Compartir vía

Configuración de directivas de auditoría para los registros de eventos de Windows

  • Artículo

Para mejorar las detecciones y recopilar más información sobre acciones de usuario como inicios de sesión NTLM y cambios en grupos de seguridad, Microsoft Defender for Identity se basa en entradas específicas del registro de eventos de Windows. La configuración adecuada de la directiva de auditoría avanzada en los controladores de dominio es fundamental para evitar brechas en el registro de eventos y la cobertura incompleta de Defender for Identity.

En este artículo se describe cómo configurar las opciones de directiva de auditoría avanzada según sea necesario para un sensor de Defender for Identity y otras configuraciones para tipos de eventos específicos.

Defender for Identity genera problemas de mantenimiento para cada uno de estos escenarios si se detectan. Consulte Problemas de estado de Microsoft Defender for Identity para obtener más información.

Requisitos previos

Generación de un informe con las configuraciones actuales mediante PowerShell

Antes de empezar a crear nuevas directivas de eventos y auditoría, se recomienda ejecutar el siguiente comando de PowerShell para generar un informe de las configuraciones de dominio actuales:

New-MDIConfigurationReport [-Path] <String> [-Mode] <String> [-OpenHtmlReport]

Donde:

  • Path especifica la ruta en la que se guardarán los informes
  • Mode especifica si desea utilizar el modo de Dominio o LocalMachine. En el modo Dominio, la configuración se recopila a partir de los objetos de directiva de grupo. En el modo LocalMachine, la configuración se recopila de la máquina local.
  • OpenHtmlReport abre el informe HTML una vez generado el informe

Por ejemplo, para generar un informe y abrirlo en el explorador predeterminado, ejecute el siguiente comando:

New-MDIConfigurationReport -Path "C:\Reports" -Mode Domain -OpenHtmlReport

Para obtener más información, consulte la referencia de PowerShell DefenderForIdentity.

Sugerencia

El informe del modo Domain solo incluye las configuraciones establecidas como directivas de grupo en el dominio. Si tiene la configuración definida localmente en los controladores de dominio, se recomienda ejecutar también el script Test-MdiReadiness.ps1.

Configuración de la auditoría para controladores de dominio

Actualice la configuración de la directiva de auditoría avanzada y las configuraciones adicionales para eventos y tipos de eventos específicos, como usuarios, grupos, equipos, etc. Las configuraciones de auditoría de los controladores de dominio incluyen:

Use los procedimientos siguientes para configurar la auditoría en los controladores de dominio que usa con Defender for Identity:

Configuración de la directiva de auditoría avanzada desde la IU

En este procedimiento se describe cómo modificar las directivas de auditoría avanzada del controlador de dominio según sea necesario para Defender for Identity mediante la IU.

Problema de estado relacionado: la auditoría avanzada de Directory Services no está habilitada según corresponde

Para configurar la directiva de auditoría avanzada:

  1. Inicie sesión en el servidor como Administrador de dominio.

  2. Abra el Editor de administración de directivas de grupo desde Administrador del servidor>Herramientas> Administración de directivas de grupo.

  3. Expanda los Controladores de dominio de unidades organizativas, haga clic con el botón derecho en Directiva predeterminada de controladores de dominio y, después, haga clic en Editar. Por ejemplo:

    Captura de pantalla del cuadro de diálogo Editar directiva de controlador de dominio.

    Nota:

    Use la directiva predeterminada de controladores de dominio o un GPO dedicado para establecer estas directivas.

  4. En la ventana que se abre, vaya a Configuración del equipo>Directivas>Configuraciones de Windows>Configuraciones de Seguridad y, en función de la directiva que desee habilitar, haga lo siguiente:

    1. Vaya a Configuración de directivas de auditoría avanzadas>Directivas de auditoría. Por ejemplo:

      Captura de pantalla del cuadro de diálogo Configuración avanzada de directivas de auditoría.

    2. En Directivas de auditoría, edite cada una de las siguientes directivas y seleccione Configurar los siguientes eventos de auditoría para eventos de Éxito y Error.

      Directiva de auditoría Subcategoría Desencadenar ID de eventos
      Inicio de sesión de la cuenta Auditar validación de credenciales 4776
      Administración de cuentas Auditar administración de cuentas de equipo * 4741, 4743
      Administración de cuentas Auditar administración de grupos de distribución 4753, 4763
      Administración de cuentas Auditar administración de grupos de seguridad * 4728, 4729, 4730, 4732, 4733, 4756, 4757, 4758
      Administración de cuentas Auditar administración de cuentas de usuario 4726
      Acceso DS Auditar cambios de servicio de directorio 5136
      Sistema Auditar extensión del sistema de seguridad * 7045
      Acceso DS Auditar el acceso del servicio de directorio 4662 - Para este evento, también debe configurar la auditoría de objetos de dominio.

      Nota:

      * Las subcategorías indicadas no admiten eventos de error. Sin embargo, se recomienda añadirlas para fines de auditoría en caso de que se implementen en el futuro. Para obtener más información, consulte Auditar administración de cuentas de equipo, Auditar administración de grupos de seguridad y Auditar extensión del sistema de seguridad.

      Por ejemplo, para configurar Auditar administración de grupos de seguridad, en Administración de cuentas, haga doble clic en Auditar administración de grupos de seguridad y, a continuación, seleccione Configurar los siguientes eventos de auditoría para eventos de Éxito y Error:

      Captura de pantalla del cuadro de diálogo Auditar administración de grupos de seguridad.

  5. Desde un símbolo del sistema con privilegios elevados, escriba gpupdate.

  6. Después de aplicar la directiva a través de GPO, los nuevos eventos estarán visibles en el Visor de eventos, en Registros de Windows ->Seguridad.

Para probar las directivas de auditoría desde la línea de comandos, ejecute el siguiente comando:

auditpol.exe /get /category:*

Para obtener más información, consulte la documentación de referencia de auditpol.

Configuración de la directiva de auditoría avanzada mediante PowerShell

En este procedimiento se describe cómo modificar las directivas de auditoría avanzada del controlador de dominio según sea necesario para Defender for Identity con PowerShell.

Problema de estado relacionado: la auditoría avanzada de Directory Services no está habilitada según corresponde

Para configurar las opciones, ejecute:

Set-MDIConfiguration [-Mode] <String> [-Configuration] <String[]> [-CreateGpoDisabled] [-SkipGpoLink] [-Force]

Donde:

  • Mode especifica si desea utilizar el modo de Dominio o LocalMachine. En el modo Dominio, la configuración se recopila a partir de los objetos de directiva de grupo. En el modo LocalMachine, la configuración se recopila de la máquina local.

  • Configuration especifica la configuración que se va a establecer. Use All para establecer todas las configuraciones.

  • CreateGpoDisabled especifica si los GPO se crean y se mantienen como deshabilitados.

  • SkipGpoLink especifica que no se crean vínculos de GPO.

  • Force especifica que se establece la configuración o se crean GPO sin validar el estado actual.

Para ver las directivas de auditoría, use el comando Get-MDIConfiguration para mostrar los valores actuales:

Get-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>

Donde:

  • Mode especifica si desea utilizar el modo de Dominio o LocalMachine. En el modo Dominio, la configuración se recopila a partir de los objetos de directiva de grupo. En el modo LocalMachine, la configuración se recopila de la máquina local.

  • Configuration especifica la configuración que se va a obtener. Use All para obtener todas las configuraciones.

Para probar las directivas de auditoría, use el comando Test-MDIConfiguration para obtener una respuesta true o false sobre si los valores están configurados correctamente:

Test-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>

Donde:

  • Mode especifica si desea utilizar el modo de Dominio o LocalMachine. En el modo Dominio, la configuración se recopila a partir de los objetos de directiva de grupo. En el modo LocalMachine, la configuración se recopila de la máquina local.

  • Configuration especifica la configuración que se va a probar. Use All para probar todas las configuraciones.

Para obtener más información, consulte las siguientes referencias de PowerShell DefenderForIdentity:

Configuración de la auditoría NTLM

En esta sección se describen los pasos de configuración adicionales necesarios para auditar el identificador de evento 8004.

Nota:

  • Las directivas de grupo de dominio para recopilar el evento de Windows 8004 solo deben aplicarse a los controladores de dominio.
  • Cuando Defender for Identity Sensor analiza el evento 8004 de Windows, las actividades de autenticación NTLM de Defender for Identity se enriquecen con los datos a los que se accede en el servidor.

Problema de mantenimiento relacionado:: La auditoría NTLM no está habilitada

Para configurar la auditoría NTLM:

  1. Después de configurar la configuración inicial de la directiva de auditoría avanzada (IU / PowerShell), abra Administración de directivas de grupo y vaya a Directiva predeterminada de controladores de dominio>Directivas locales>Opciones de seguridad.

  2. En Opciones de seguridad, configure las directivas de seguridad especificadas de la siguiente manera:

    Configuración de las directivas de seguridad Valor
    Seguridad de red: restringir NTLM: tráfico NTLM saliente hacia servidores remotos Auditar todo
    Seguridad de red: restringir NTLM: auditar la autenticación NTLM en este dominio Habilitar todo
    Seguridad de red: Restringir NTLM: se auditará el tráfico NTLM entrante Habilitación de la auditoría para todas las cuentas

Por ejemplo, para configurar el tráfico NTLM saliente en servidores remotos, en Opciones de seguridad, haga doble clic en Seguridad de red: Restringir NTLM: Tráfico NTLM saliente a servidores remotos y, a continuación, seleccione Auditar todo:

Captura de pantalla del tráfico NTLM saliente de auditoría a la configuración de servidores remotos.

Configuración de la auditoría de objetos de dominio

Para recopilar eventos para los cambios de objeto, como el evento 4662, también debe configurar la auditoría de objetos en el usuario, grupo, equipo y otros objetos. En este procedimiento se describe cómo habilitar la auditoría en el dominio de Active Directory.

Importante

Asegúrese de revisar y auditar las directivas (UI / PowerShell) antes de habilitar la recopilación de eventos para asegurarse de que los controladores de dominio estén configurados correctamente para registrar los eventos necesarios. Si se configura correctamente, esta auditoría debe tener un efecto mínimo en el rendimiento del servidor.

Problema de estado relacionado: la auditoría de objetos de Directory Services no está habilitada según corresponde

Para configurar la auditoría de objetos de dominio:

  1. Diríjase a la consola de Usuarios y equipos de Active Directory.

  2. Seleccione el dominio que desea auditar.

  3. Seleccione el menú Ver y luego Funciones avanzadas.

  4. Haga clic con el botón derecho en el dominio y seleccione Propiedades. Por ejemplo:

    Captura de pantalla de la opción de propiedades del contenedor.

  5. Diríjase a la pestaña Seguridad y seleccione Opciones avanzadas. Por ejemplo:

    Captura de pantalla del cuadro de diálogo de propiedades de seguridad avanzadas.

  6. En Configuraciones avanzadas de seguridad, seleccione la pestaña Auditoría y, a continuación, seleccione Agregar. Por ejemplo:

    Captura de pantalla de la pestaña Auditoría de configuración de seguridad avanzada.

  7. Elija Seleccionar la principal. Por ejemplo:

    Captura de pantalla de la opción Seleccionar una entidad de seguridad.

  8. En Escriba el nombre del objeto que desea seleccionar, escriba **Todos los usuarios y seleccione Comprobar nombres>Aceptar. Por ejemplo:

    Captura de pantalla de la configuración Seleccionar todos los usuarios.

  9. A continuación, vuelva a Entrada de auditoría. Realice las selecciones siguientes:

    1. En Tipo , seleccione Correcto.

    2. En Se aplica a, seleccione Objetos de usuario descendientes.

    3. En Permisos, desplácese hacia abajo y seleccione el botón Borrar todo. Por ejemplo:

      Captura de pantalla de la selección de Borrar todo.

    4. Desplácese hacia arriba y seleccione Control total. Se seleccionan todos los permisos.

    5. Desactive la selección para el contenido de la lista, Leer todas las propiedades y Leer permisos de lectura y seleccione OK. Esto establece todo el conjunto de propiedades en Escribir. Por ejemplo:

      Captura de pantalla de la selección de permisos.

      Ahora, cuando se desencadena, todos los cambios pertinentes en los servicios de directorio aparecen como 4662 eventos.

  10. Repita los pasos de este procedimiento, pero en Se aplica a, seleccione los siguientes tipos de objeto:

    • Objetos del grupo descendiente
    • Objetos del equipo descendiente
    • Objetos msDS-GroupManagedServiceAccount descendientes
    • Objetos msDS-ManagedServiceAccount descendientes

Nota:

La asignación de los permisos de auditoría en Todos los objetos descendientes también funcionaría, pero solo necesitamos los tipos de objeto como se detalla en el último paso.

Configurar auditoría en Servicios de federación de Active Directory (AD FS)

Problema de estado relacionado: la auditoría en el contenedor de ADFS no está habilitada como es necesario

Para configurar la auditoría en Servicios de federación de Active Directory (AD FS):

  1. Vaya a la consola de Usuarios y equipos de Active Directory y seleccione el dominio en el que desea habilitar los registros.

  2. Vaya a Datos de programa>Microsoft>ADFS. Por ejemplo:

    Captura de pantalla de un contenedor de ADFS.

  3. Haga clic con el botón derecho en ADFS y seleccione Propiedades.

  4. Vaya a la pestaña Seguridad y seleccione Avanzadas>Configuraciones avanzadas de seguridad >pestaña Auditorías>Agregar>Seleccionar la principal.

  5. En Escriba el nombre del objeto que desea seleccionar, escriba Todos.

  6. Seleccione Comprobar nombres>Aceptar.

  7. A continuación, vuelva a Entrada de auditoría. Realice las selecciones siguientes:

    • En Tipo, seleccione Todos.
    • En Aplica a seleccione Este objeto y todos los descendientes.
    • En Permisos, desplácese hacia abajo y seleccione Borrar todo. Desplácese hacia arriba y seleccione Leer todas las propiedades y Escribir todas las propiedades.

    Por ejemplo:

    Captura de pantalla de la configuración de auditoría de ADFS.

  8. Seleccione Aceptar.

Configurar la auditoría para los Servicios de certificados de Active Directory (AD CS)

Si trabaja con un servidor dedicado con servicios de certificados de Active Directory (AD CS) configurado, asegúrese de configurar la auditoría de la siguiente manera para ver alertas dedicadas e informes de puntuación de seguridad.

  1. Cree una directiva de grupo para aplicarla al servidor de AD CS. Edítelo y configure las siguientes opciones de auditoría:

    1. Diríjase y haga doble clic en Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Configuración de directiva de auditoría avanzada\Directivas de auditoría\Acceso a objetos\Auditar certificado de servicios.

    2. Seleccione esta opción para configurar eventos de auditoría en Éxito y Error. Por ejemplo:

      Captura de pantalla del Editor de administración de directivas de grupo.

  2. Configure la auditoría en la Autoridad de certificación (CA) mediante uno de los métodos siguientes:

    • Para configurar la auditoría de CA mediante la línea de comandos, ejecute:

      certutil –setreg CA\AuditFilter 127 

net stop certsvc && net start certsvc

    • Para configurar la auditoría de CA mediante la GUI:

      1. Seleccione Iniciar-> Autoridad de certificación (aplicación de escritorio MMC). Haga clic derecho en el nombre de la CA y seleccione Propiedades. Por ejemplo:

        Captura de pantalla del cuadro de diálogo Entidad de certificación.

      2. Seleccione la pestaña Auditoría, seleccione todos los eventos que desea auditar y, a continuación, seleccione Aplicar. Por ejemplo:

        Captura de pantalla de la pestaña Auditoría de propiedades.

Nota:

La configuración de la auditoría de eventos Iniciar y detener Servicios de certificados de Active Directory puede provocar retrasos en el reinicio cuando se trabaja con una base de datos de AD CS de gran tamaño. Considere la posibilidad de quitar entradas irrelevantes de la base de datos o bien evite habilitar este tipo específico de evento.

Configuración de la auditoría en el contenedor de configuración

Problema de estado relacionado: la auditoría en el contenedor de configuración no está habilitada como es necesario

  1. Abra Editar ADSI seleccionando Iniciar>Ejecución. Escriba ADSIEdit.msc y seleccione OK.

  2. En el menú Acción, seleccione Conectar a.

  3. En el cuadro de diálogo Conectar Configuración en Seleccionar un contexto de nomenclatura conocido, seleccione Configuración>OK.

  4. Expanda el contenedor Configuración para mostrar el nodo Configuración, empezando por “CN=Configuration,DC=..."

  5. Haga clic con el botón derecho en nodo Configuración y seleccione Propiedades. Por ejemplo:

    Captura de pantalla de las propiedades del nodo Configuración.

  6. En la pestaña Seguridad, seleccione >Opciones avanzadas.

  7. En la página Configuraciones avanzadas de seguridad, seleccione la pestaña Auditoría>Agregar.

  8. Elija Seleccionar la principal.

  9. En Escriba el nombre del objeto que desea seleccionar, escriba **Todos los usuarios y seleccione Comprobar nombres>Aceptar.

  10. A continuación, vuelva a Entrada de auditoría. Realice las selecciones siguientes:

    • En Tipo, seleccione Todos.
    • En Aplica a seleccione Este objeto y todos los descendientes.
    • En Permisos, desplácese hacia abajo y seleccione Borrar todo. Desplácese hacia arriba y seleccione Escribir todas las propiedades.

    Por ejemplo:

    Captura de pantalla de los valores de auditoría para el contenedor de configuración.

  11. Seleccione Aceptar.

Opciones de configuración antiguas

Importante

Defender for Identity ya no requiere el registro de eventos 1644. Si tiene habilitada esta configuración de registro, puede eliminarla.

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics]
"15 Field Engineering"=dword:00000005

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters]
"Expensive Search Results Threshold"=dword:00000001
"Inefficient Search Results Threshold"=dword:00000001
"Search Time Threshold (msecs)"=dword:00000001

Contenido relacionado

Para más información, vea:

Paso siguiente

¿Qué son los roles y permisos de Defender for Identity? »