Implementar la auditoría de seguridad con directivas de auditoría central (pasos de demostración)
Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 y Windows Server 2012.
En este escenario, auditará el acceso a los archivos de la carpeta Finance Documents utilizando la directiva de finanzas que creó en Implementar una directiva de acceso central (pasos de demostración). Si un usuario que no está autorizado a acceder a la carpeta intenta acceder a ella, la actividad se captura en el visor de eventos. Para someter a prueba este escenario, se requieren los siguientes pasos.
| Tarea | Descripción |
|---|---|
| Configurar el acceso a objetos global | En este paso, se configura la directiva de acceso a objetos global en el controlador de dominio. |
| Actualización de la configuración de directiva de grupo | Inicie sesión en el servidor de archivos y aplique la actualización de la directiva de grupo. |
| Comprobar la aplicación de la directiva de acceso a objetos global | Visualice los eventos relevantes en el visor de eventos. Los eventos deben incluir metadatos para el país y el tipo de documento. |
Configurar la directiva de acceso a objetos global
En este paso, se configura la directiva de acceso a objetos global en el controlador de dominio.
Para configurar una directiva de acceso a objetos global
Inicie sesión en el controlador de dominio DC1 como contoso\Administrador con la contraseña pass@word1.
En Administrador del servidor, seleccione Herramientas y haga clic en Administración de directivas de grupo.
En el árbol de la consola, haga doble clic en Dominios, haga doble clic en contoso.com, haga clic en Contoso y, a continuación, haga doble clic en Servidores de archivos.
Haga clic con el botón secundario en FlexibleAccessGPO y haga clic en Editar.
Haga doble clic en Configuración del equipo, haga doble clic en Directivas y, a continuación, haga doble clic en Configuración de Windows.
Haga doble clic en Configuración de seguridad, haga doble clic en Configuración de directiva de auditoría avanzada y, a continuación, haga doble clic en Directivas de auditoría.
Haga doble clic en Acceso a objetos y, a continuación, haga doble clic en Auditar sistema de archivos.
Active la casilla Configurar los siguientes eventos de auditoría, active las casillas Aciertos y Errores y, a continuación, haga clic en Aceptar.
En el panel de navegación, haga doble clic en Auditoría de acceso a objetos global y, a continuación, haga doble clic en Sistema de archivos.
Active la casilla Definir esta configuración de directiva y haga clic en Configurar.
En el cuadro Configuración de seguridad avanzada para SACL de archivo global, haga clic en Agregar; luego, haga clic en Seleccionar una entidad de seguridad, escriba Todos y haga clic en Aceptar.
En el cuadro Entrada de auditoría para SACL de archivo global, seleccione Control total en el cuadro Permisos.
En la sección Agregar una condición:, haga clic en Agregar una condición y, en las listas desplegables, seleccione [Recurso] [Departamento] [Cualquiera de] [Valor] [Finanzas].
Haga clic en Aceptar tres veces para completar la configuración de los parámetros de la directiva de auditoría de acceso a objetos global.
En el panel de navegación, haga clic en Acceso a objetos y, en el panel de resultados, haga doble clic en Auditar manipulación de identificadores. Haga clic en Configurar los siguientes eventos de auditoría, Correcto y Error, haga clic en Aceptar y, a continuación, cierre el GPO de acceso flexible.
Actualizar la configuración de directiva de grupo
En este paso se actualiza la configuración de directiva de grupo después de haberla creado.
Para actualizar la configuración de directiva de grupo
Inicie sesión en el servidor de archivos, FILE1 como contoso\Administrador, con la contraseña pass@word1.
Presione la tecla Windows+R y escriba cmd para abrir la ventana del símbolo del sistema.
Nota
Si aparece el cuadro de diálogo Control de cuentas de usuario, confirme que la acción que se muestra es la esperada y, a continuación, haga clic en Sí.
Escriba gpupdate /force y presione ENTRAR.
Comprobar la aplicación de la directiva de acceso a objetos global
Una vez aplicada la configuración de directiva de grupo, puede comprobar si la configuración de directiva de auditoría se ha aplicado correctamente.
Para comprobar la aplicación de la directiva de acceso a objetos global
Inicie sesión en el equipo cliente, CLIENT1 como Contoso\MReid. Busque la carpeta HYPERLINK "file:///\\\\ID_AD_FILE1\\Finance" \\ FILE1\Finance Documents y modifique el Word Document 2.
Inicie sesión en el servidor de archivos, FILE1 como contoso\administrador. Abra el Visor de eventos, busque Registros de Windows, seleccione Seguridad y confirme que las actividades generaron los eventos de auditoría 4656 y 4663 (aunque no haya establecido SACL de auditoría específicos en los archivos o las carpetas que creó, modificó y eliminó).
Importante
Se genera un nuevo evento de inicio de sesión en el equipo donde se encuentra el recurso, en nombre del usuario para el cual se está comprobando el acceso efectivo. Al analizar los registros de auditoría de seguridad de la actividad de inicio de sesión de los usuarios para diferenciar entre los eventos de inicio de sesión que se generan debido al acceso efectivo y aquellos que se generan debido al inicio de sesión de usuario interactivo en una red, se incluye información de Nivel de suplantación. Cuando se genera el evento de inicio de sesión debido a un acceso efectivo, el Nivel de suplantación será Identidad. Un inicio de sesión de usuario interactivo en la red suele generar un evento de inicio de sesión con Nivel de suplantación = Suplantación o Delegación.