Compartir vía


Mejoras de auditorías para AD FS en Windows Server 2016

Actualmente, en AD FS para Windows Server 2012 R2, se generan muchos eventos de auditoría para una única solicitud y falta información pertinente sobre una actividad de inicio de sesión o de emisión de tokens (en algunas versiones de AD FS) o se reparte entre varios eventos de auditoría. De forma predeterminada, se desactivan los eventos de auditoría de AD FS debido a su naturaleza detallada.

Con el lanzamiento de AD FS en Windows Server 2016, la auditoría se ha vuelto más ágil y menos detallada.

Niveles de auditoría en AD FS para Windows Server 2016

De manera predeterminada, AD FS en Windows Server 2016 tiene habilitada la auditoría básica. Con la auditoría básica, los administradores pueden ver cinco eventos o menos para una única solicitud. Esto supone una disminución significativa del número de eventos que los administradores tienen que mirar para ver una sola solicitud. El nivel de auditoría se puede elevar o reducir mediante el cmdlet de PowerShell: Set-AdfsProperties -AuditLevel. En la tabla siguiente se explican los niveles de auditoría disponibles.

Nivel de auditoría Sintaxis de PowerShell Descripción
None Set-AdfsProperties - AuditLevel None La auditoría está deshabilitada y no se registrará ningún evento.
Básico (predeterminado) Set-AdfsProperties - AuditLevel Basic No se registrarán más de cinco eventos para una única solicitud.
Verbose Set-AdfsProperties - AuditLevel Verbose Se registrarán todos los eventos. Este registrará una cantidad significativa de información por solicitud.

Para ver el nivel de auditoría actual, puede usar el cmdlet de PowerShell: Get-AdfsProperties.

Screenshot that shows how to use the Get-AdfsProperties cmdlet.

El nivel de auditoría se puede elevar o reducir mediante el cmdlet de PowerShell: Set-AdfsProperties -AuditLevel.

audit enhancements

Tipos de eventos de auditoría

Los eventos de auditoría de AD FS pueden ser de diferentes tipos, en función de los distintos tipos de solicitudes procesadas por AD FS. Cada tipo de evento de auditoría tiene datos específicos asociados. Se pueden distinguir dos tipos de eventos de auditoría: solicitudes de inicio de sesión (como las solicitudes de token) y solicitudes del sistema (llamadas servidor-servidor, incluida la obtención de información de configuración).

En la tabla siguiente se describen los tipos básicos de eventos de auditoría.

Tipo de evento de auditoría Id. de evento Descripción
Validación de credenciales nuevas, correcto 1202 Solicitud en la que el servicio de federación valida correctamente las credenciales nuevas. Esto incluye WS-Trust, WS-Federation, SAML-P (primera etapa para generar el inicio de sesión único) y OAuth Authorize Endpoints.
Validación de credenciales nuevas, error 1203 Solicitud en la que se produjo un error en la validación de credenciales nuevas en el servicio de federación. Esto incluye WS-Trust, WS-Fed, SAML-P (primera etapa para generar el inicio de sesión único) y OAuth Authorize Endpoints.
Token de aplicación, correcto 1200 Solicitud en la que el servicio de federación emite correctamente un token de seguridad. Para WS-Federation, SAML-P se registra cuando la solicitud se procesa con el artefacto de inicio de sesión único. (por ejemplo, la cookie de inicio de sesión único).
Token de aplicación, error 1201 Solicitud en la que se produjo un error en la emisión de tokens de seguridad en el servicio de federación. Para WS-Federation, SAML-P se registra cuando la solicitud se procesó con el artefacto de inicio de sesión único. (por ejemplo, la cookie de inicio de sesión único).
Solicitud de cambio de contraseña, correcto 1204 Transacción en la que el servicio de federación procesó correctamente la solicitud de cambio de contraseña.
Solicitud de cambio de contraseña, error 1205 Transacción en la que el servicio de federación no pudo procesar la solicitud de cambio de contraseña.
Cierre de sesión, correcto 1206 Describe una solicitud de cierre de sesión correcta.
Cierre de sesión, error 1207 Describe una solicitud de cierre de sesión con errores.