Cómo auditar los cambios en la directiva de grupo
en Active Directory

Pasos para habilitar la auditoría mediante la Consola de administración de directivas de grupo:

Realice las siguientes acciones en el controlador de dominio (DC):

1. Presione en Inicio, y busque y abra la Consola de administración de directivas de grupo, o ejecute el comando gpmc.msc.

2. Haga clic con el botón derecho en el dominio o unidad organizativa (OU) que desea auditar y haga clic en Crear una GPO en este dominio y vincúlela aquí.

Nota: Si ya ha creado un objeto de directiva de grupo (GPO), haga clic en Vincular una GPO existente.

3. Asigne un nombre a la GPO según corresponda.
4. Haga clic con el botón derecho en la GPO y elija Editar.

5. En el Editor de administración de directivas de grupo, en el panel izquierdo, vaya a Configuración del equipo > Directivas > Configuración de Windows > Configuración de seguridad > Configuración de directiva de auditoría avanzada > Directiva de auditoría > Acesso DS.

6. En el panel derecho, verá una lista de las directivas que se encuentran en Acceso DS. Haga doble clic en Auditar cambios de servicio de directorioy marque las casillas etiquetadas Configurar los siguientes eventos de auditoría, Éxito y Error.

7. Haga clic en Aplicar, luego en Aceptar.
8. Vaya a Configuración del equipo > Directivas > Configuración de Windows > Configuración de seguridad > Configuración de directiva de auditoría avanzada > Directiva de auditoría > Acceso a objetos.

9. En el panel derecho, verá una lista de las directivas que se encuentran debajo de Acceso a objetos. Haga doble clic en Auditar sitema de archivosy marque las casillas etiquetadas Configurar los siguientes eventos de auditoría, Éxito y Error.

10. Vuelva a la sección Consola de administración de directiva de grupoy, en el panel izquierdo, haga clic con el botón derecho en la unidad organizativa deseada en la que se vinculó el GPO y, a continuación, haga clic en Actualización de directiva de grupo. Este paso garantiza que la nueva configuración de la directiva de grupo se aplique instantáneamente en lugar de esperar la próxima actualización programada.

Una vez habilitada esta directiva, los eventos se registran en el registro de seguridad del controlador de dominio cada vez que se modifica un objeto de directiva de grupo.

Pasos para configurar la auditoría de objetos groupPolicyContainer mediante ADSI Edit

Realice las siguientes acciones en el controlador de dominio:

1. Haga clic en Inicio, busque ADSI Edit, haga clic con el botón derecho en él y seleccione Ejecutar como administrador.

2. En el panel izquierdo, haga clic con el botón derecho ADSI Edit y seleccione Conectar a.

3. En la nueva ventana, asegúrese de que Nombre se establece en Contexto de nomenclatura predeterminado y el nombre de dominio mencionado en la Ruta de acceso es el dominio que desea auditar.

4. Haga clic en Aceptar.
5. Haga doble clic en Contexto de nomenclatura predeterminadoy navegue hasta DC=dominio > DC=com > CN=Sistema > CN=Directivas.

6. Haga clic con el botón derecho CN=Directivas y seleccione Propiedades.
7. Vaya a la pestaña de Seguridad y haga clic en el botón Avanzado.

8. Vaya a la pestaña de Auditoría y haga clic en el botón Agregar.

9. Haga clic enSeleccionar una entidad de seguridad y busque Todos, a continuación, haga clic en Aceptar.
10. Haga clic en el menú desplegable Tipo y seleccione Éxito. Haga clic en el desplegable Se aplica a y, a continuación, seleccione Este objeto y todos los objetos descendientes.

11. Desplácese hacia abajo y marque las casillas etiquetadas Creación de objetos groupPolicyContainer y Eliminación de objetos groupPolicyContainery haga clic en Aceptar para cerrar la ventana deEntrada de auditoría. Haga clic en Aceptar para cerrar la ventana Configuración de seguridad avanzada. Haga clic en Aceptar para cerrar la ventana de Propiedades.

Ahora ha habilitado la auditoría de la creación y eliminación de objetos groupPolicyContainer.

Pasos para auditar la carpeta SYSVOL

Todos los archivos de directiva de grupo se almacenan en la carpeta SYSVOL del controlador de dominio, por lo que para auditar los cambios en la GPO, es necesario auditar esta carpeta. Realice las siguientes acciones en el controlador de dominio:

Nota: Si no tiene acceso a un controlador de dominio, acceda a la carpeta SYSVOL a través del recurso compartido de red.

1. Abra el Explorador de Windows y navegue hasta C: > Windows > SYSVOL > dominio.
2. Haga clic con el botón derecho en la carpeta de Directivas y seleccione Propiedades.

3. Vaya a la pestaña de Seguridad y haga clic en el botón Avanzado.

4. Seleccione la pestaña de Auditoría y haga clic en el botón Agregar.

5. Haga clic enSeleccionar una entidad de seguridad y busque Todos, a continuación, haga clic en Aceptar.
6. Haga clic en el menú desplegable Tipo y seleccione Todos. Haga clic en el desplegable Se aplica a y seleccione Esta carpeta, subcarpetas y archivos.
7. Haga clic en Permisos avanzados y marque la casilla etiquetada Control total.

8. Haga clic en Aceptar.

Pasos para ver los eventos de cambio de directiva de grupo usando el Visor de eventos

Una vez completados los pasos anteriores, los cambios realizados en cualquier GPO se registrarán como eventos. Esto se puede ver en el Visor de eventos siguiendo los pasos que se indican a continuación:

1. Presione en Inicio, busque el Visor de eventosy haga clic para abrirlo.
2. En la ventana Visor de eventos, en el panel izquierdo, vaya a Registros de Windows > Seguridad.
3. Aquí encontrará una lista de todos los eventos de seguridad que se registran en el sistema.

4. En el panel derecho, en Seguridad, haga clic en Filtrar registro actual.

5. En la ventana emergente, introduzca el valor deseado ID de evento* en el campo etiquetado (Todos los IDs de Eventos).

Se generan los siguientes identificadores (ID) de evento para los eventos especificados:

6. Haga clic en Aceptar. Esto le proporcionará una lista de ocurrencias del ID de evento ingresado.
7. Haga doble clic en un Event ID para ver sus Propiedades (descripción).

El evento 5137 se registra cuando se crea un objeto de directiva de grupo. Los siguientes detalles se registran en las propiedades del evento, entre otros:

• Nombre distintivo del objeto que se ha modificado.
• El SID y el nombre de la cuenta que solicitó la operación.
• El atributo de objeto que se ha modificado.
• El tipo de operación realizada en el GPO, es decir, si se agregó o quitó un valor del GPO.

Limitaciones de la auditoría nativa:

• Para realizar un seguimiento de los eventos críticos, un administrador tendría que buscar cada identificador de evento y ver sus propiedades. Esto es muy poco práctico incluso para una organización pequeña.
• La información proporcionada por la auditoría nativa es insuficiente. Incluso si el administrador realiza un seguimiento de los eventos, no podrá saber si un cambio es un signo de comportamiento atípico del usuario.
• Los eventos mencionados anteriormente solo muestran el nombre del GPO y no muestran los valores antiguos y nuevos del GPO que se modificó.
• Se puede realizar un cambio de directiva de grupo desde cualquier controlador de dominio del dominio. Un administrador tendría que supervisar los eventos en cada controlador de dominio, lo que supone una cantidad excesiva de trabajo. Una herramienta centralizada para supervisar los eventos de todos los centros de distribución reduciría enormemente el trabajo.