Gestión de Active Directory » Instalación del agente

Cómo habilitar la auditoría de Servicios de federación de Active Directory

La mayoría de las organizaciones tienen usuarios que necesitan utilizar aplicaciones locales y aplicaciones de terceros en la nube. AD FS facilita esta tarea integrando el proceso de autenticación entre Active Directory y las distintas aplicaciones. Con AD FS, los usuarios sólo tienen que iniciar sesión una vez con sus credenciales de Active Directory para iniciar sesión en todas las demás aplicaciones, durante un periodo de tiempo determinado. Esto también significa que si un usuario malintencionado se hace con un solo conjunto de credenciales, pone en peligro toda la red y las aplicaciones de terceros. Por lo tanto, AD FS debe auditarse de forma constante y exhaustiva. Utilizando herramientas nativas de AD, esta tarea se complica, ya que un administrador tendrá que revisar numerosos registros para encontrar cualquier entrada que pueda ser motivo de preocupación.

ADAdudit Plus, en cambio, puede facilitar mucho esta tarea. Se trata de una herramienta de auditoría e informes de Active Directory en tiempo real que cuenta con una sección especial para la auditoría de AD FS. Audita los inicios de sesión en AD FS, los bloqueos de extranet, etc. También alerta a los administradores en tiempo real si detecta algo sospechoso.

A continuación se muestra una comparación del proceso de auditoría utilizando herramientas nativas de AD y ADAudit Plus. Activar la Directiva de auditoría es el primer paso del proceso y es común a ambos métodos.

Descárguelo gratis

Prueba gratuita de 30 días con todas las funciones

  • Con auditoría nativa de AD

  • Con ADAudit Plus

  • Paso 1: Habilite Directiva de auditoría
  • Abra el Administrador de servidores en su servidor de Windows
  • Debajo de la pestaña Administrar, haga clic en Administración de directivas de grupo para abrir la Consola de administración de directiva de grupo.
  • Navegue a Bosque --> Dominio --> Su dominio --> Controladores de dominio.
  • Puede elegir entre editar un objeto de directiva de grupo existente o crear uno nuevo.
  • En el Editor de directivas de grupo, vaya a Configuración del equipo >Configuración de Windows >Configuración de seguridad >Configuración de directiva de auditoría avanzada.
  • Expanda el nodo y vaya hasta Directiva de auditoría >Acceso a objetos y, luego configure Auditar aplicación generada. Habilítelo tanto para 'Éxito' como para 'Error'.
  • Paso 2: Configure la auditoría para AD FS en el complemento de gestión de AD FS
  • Para abrir el complemento Administración de AD FS, vaya a Programas >Herramientas administrativas > Gestión de ADFS
  • Haga clic en Acciones y, a continuación, seleccione Edite las propiedades del servicio de federación.
  • En el cuadro de diálogo que se abre, haga clic en la pestaña de Eventos. Habilítelo para Éxito y Error.
  • En ADAudit Plus

ADAudit Plus puede realizar auditorías de forma eficiente generando múltiples informes sobre AD FS. Para acceder a ellos, abra la consola ADAudit Plus, busque la pestaña Reports en la parte superior y vaya hasta ADFS Auditing. Aquí puede generar varios informes sobre AD FS, como el éxito de inicio de sesión, los errores de inicio de sesión, etc. Aquí hay un informe de ejemplo:

  • Paso 1: Habilite Directiva de auditoría
  • Abra el Administrador de servidores en su servidor de Windows
  • Debajo de la pestaña Administrar, haga clic en Administración de directivas de grupo para abrir la Consola de administración de directiva de grupo.
  • Navegue a Bosque --> Dominio --> Su dominio --> Controladores de dominio.
  • Puede elegir entre editar un objeto de directiva de grupo existente o crear uno nuevo.
  • En el Editor de directivas de grupo, vaya a Configuración del equipo >Configuración de Windows >Configuración de seguridad >Configuración de directiva de auditoría avanzada.

  • Expanda el nodo y vaya hasta Directiva de auditoría >Acceso a objetos y, luego configure Auditar aplicación generada. Habilítelo tanto para 'Éxito' como para 'Error'.

    cómo-habilitar-la-auditoría-de-servicios-de-federación-de-Active-Directory

[Directivas destacadas, Configuración de Windows, Configuración de seguridad, Configuración de directiva de auditoría avanzada, Directiva de auditoría, Acceso a objetos y Auditar aplicación generada].

  • Paso 2: Configure la auditoría para AD FS en el complemento de gestión de AD FS
  • Para abrir el complemento Administración de AD FS, vaya a Programas >Herramientas administrativas > Gestión de ADFS
  • Haga clic en Acciones y, a continuación, seleccione Edite las propiedades del servicio de federación.
  • En el cuadro de diálogo que se abre, haga clic en la pestaña de Eventos. Habilítelo para Éxito y Error.
  • En AD nativo
  • Paso 3: Usar el Visor de eventos para buscar los eventos asociados a AD FS

El Visor de eventos registra todos los eventos conectados a los objetos en Active Directory que han sido habilitados para auditoría con ID de eventos únicos.

Para ver los eventos, abra el Visor de eventos de Windows, vaya a Registros de Windows > Seguridad y busque los eventos ID 1200 (Aplicación de token correcta), 1201 (Aplicación de token fallida), 1202 (Validación de credencial nueva correcta), 1203 (Validación de credencial nueva errónea), 1204 (Solicitud de cambio de contraseña correcta), 1205 (Solicitud de cambio de contraseña errónea), 1206 (Cierre de sesión correcto), 1207 (Cierre de sesión erróneo).

¿Se está volviendo demasiado la auditoría nativa?

Simplifique la auditoría e informes de Active Directory con ADAudit Plus.

Obtenga su prueba gratuitaPrueba gratuita de 30 días con todas las funciones

Satisfaga todas sus necesidades de auditoría y de seguridad de TI con ADAudit Plus.
Active DirectoryWorkstationServidores de archivosServidores Windows CumplimientoProductos relacionados