Auditar cambio de directiva de autenticación

Auditar el cambio de directiva de autenticación determina si el sistema operativo genera eventos de auditoría cuando se realizan cambios en la directiva de autenticación.

Los cambios realizados en la directiva de autenticación incluyen:

  • Creación, modificación y eliminación de confianzas de bosque y dominio.

  • Cambios en la directiva kerberos en Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas de cuenta\Directiva kerberos.

  • Cuando se concede cualquiera de los siguientes derechos de inicio de sesión de usuario a un usuario o grupo:

    • Obtener acceso a este equipo desde la red

    • Permitir inicio de sesión localmente

    • Permitir inicio de sesión a través de Escritorio remoto

    • Inicio de sesión como trabajo por lotes

    • Inicio de sesión como servicio

  • Colisión de espacios de nombres, como cuando una confianza agregada se intercala con un nombre de espacio de nombres existente.

Esta configuración es útil para realizar el seguimiento de los cambios en la confianza y los privilegios de nivel de dominio y de bosque que se conceden a cuentas de usuario o grupos.

Volumen de eventos: bajo.

Tipo de equipo Éxito general Error general Mayor éxito Error más fuerte Observaciones
Controlador de dominio No No En los controladores de dominio, es importante habilitar la auditoría correcta para que esta subcategoría pueda obtener información relacionada con las operaciones con confianzas de dominio y bosque, cambios en la directiva Kerberos y algunos otros eventos incluidos en esta subcategoría.
Esta subcategoría no tiene eventos Failure, por lo que no hay ninguna recomendación para habilitar la auditoría de errores para esta subcategoría.
Servidor miembro No No En los servidores miembros, es importante habilitar la auditoría correcta para que esta subcategoría pueda obtener información relacionada con los cambios en las directivas de derechos de inicio de sesión de usuario y los cambios en la directiva de contraseña.
Esta subcategoría no tiene eventos Failure, por lo que no hay ninguna recomendación para habilitar la auditoría de errores para esta subcategoría.
Estación No No En las estaciones de trabajo, es importante habilitar la auditoría correcta para que esta subcategoría pueda obtener información relacionada con los cambios en las directivas de derechos de inicio de sesión de usuario y los cambios en la directiva de contraseña.
Esta subcategoría no tiene eventos Failure, por lo que no hay ninguna recomendación para habilitar la auditoría de errores para esta subcategoría.

Lista de eventos:

  • 4670(S): se han cambiado los permisos de un objeto

  • 4706(S): se creó una nueva confianza en un dominio.

  • 4707(S): se quitó una confianza en un dominio.

  • 4716(S): se modificó la información de dominio de confianza.

  • 4713(S): se cambió la directiva Kerberos.

  • 4717(S): se concedió acceso de seguridad del sistema a una cuenta.

  • 4718(S): el acceso de seguridad del sistema se quitó de una cuenta.

  • 4739(S): Se cambió la directiva de dominio.

  • 4864(S): se detectó una colisión de espacio de nombres.

  • 4865(S): se agregó una entrada de información de bosque de confianza.

  • 4866(S): Se quitó una entrada de información de bosque de confianza.

  • 4867(S): se modificó una entrada de información de bosque de confianza.