Gestión de Active Directory » Instalación del agente

Cómo realizar un seguimiento de los cambios en los atributos de los objetos

¿Es realmente necesario realizar un seguimiento de cada cambio en Active Directory? Porque cualquiera de ellos podría suponer una amenaza para la seguridad. El seguimiento de todos estos cambios es la única forma de detectar cualquier modificación problemática en la red. El cambio de atributos es uno de esos ejemplos: puede ser algo tan inofensivo como que un usuario cambie su dirección o puede ser que un usuario malintencionado cambie la configuración de la contraseña de otra cuenta de usuario. Sin embargo, auditar los cambios en los atributos mediante herramientas nativas de AD es una tarea imposible, ya que el administrador tendrá que revisar miles de registros para encontrar los que indican un posible riesgo para la seguridad.

Por otro lado, ADAudit Plus, una solución integral de auditoría de AD, ofrece más de 200 informes de auditoría preempaquetados sobre objetos de Active Directory, incluidos los cambios en sus atributos. Proporciona información sobre el usuario que modificó el atributo e incluye los atributos original y modificado en columnas adyacentes. Esto facilita mucho la vida a los administradores, que sólo tienen que generar periódicamente este informe para controlar los cambios de atributos realizados en AD.

Aquí hay un artículo que compara el proceso de auditar cambios de atributos usando herramientas nativas de AD y ADAudit Plus. Habilitar Directiva de auditoría es el primer paso de ambos métodos. A continuación le explicamos cómo habilitarla.

Descárguelo gratis

Prueba gratuita de 30 días con todas las funciones

  • Con auditoría nativa de AD

  • Con ADAudit Plus

  • ADAudit Plus genera informes recogiendo y procesando información del Visor de eventos. Por lo tanto, la Directiva de auditoría tiene que ser configurada primero en el servidor para que ADAudit Plus pueda crear informes de auditoría.

  • Abra la consola ADAudit Plus y haga clic en la pestaña Reports. Escoger User Management y vaya hasta el informe de Extended Attribute Changes. Se trata de un informe exhaustivo que proporciona toda la información necesaria en un solo lugar. A continuación se muestra un informe de ejemplo:

    cómo-realizar-un-seguimiento-de-los-cambios-en-los-atributos-de-los-objetos-4

  • Habilite Directiva de auditoría
  • Abra el Administrador de servidores en su servidor de Windows
  • Debajo de la pestaña Administrar, haga clic en Administración de directivas de grupo para abrir la Consola de administración de directiva de grupo.
  • Navegue a “Bosque” --> “Dominio” --> “Su dominio” --> “Controladores de dominio”.
  • Puede elegir entre editar un objeto de directiva de grupo existente o crear uno nuevo.
  • En el Editor de directivas de grupo, vaya a Configuración del equipo >Configuración de Windows >Configuración de seguridad > Configuración de directiva de auditoría avanzada.

  • Expanda el nodo y haga clic en Acceso DS y, a continuación, configure Auditar cambios de servicio de directorio. Habilítelo tanto para Éxito como para Error.

    cómo-realizar-un-seguimiento-de-los-cambios-en-los-atributos-de-los-objetos-1

  • Uso de herramientas nativas de AD

  • Utilice el Visor de eventos de Windows para rastrear el cambio de atributo

  • El Visor de eventos de Windows registra los cambios realizados en cualquier objeto del directorio que se haya configurado para la auditoría. Cada evento está asociado a un identificador de evento único.

  • Para ver o acceder a los registros de eventos, abra el Visor de eventos y haga clic en Registros de Windows en el panel izquierdo. A continuación, seleccione la opción Seguridad para ver los registros de eventos relevantes en el panel central. Busque el ID de evento 5136 que se activa cuando se modifica un objeto de directorio.

    cómo-realizar-un-seguimiento-de-los-cambios-en-los-atributos-de-los-objetos-2

  • Haga clic en el evento correspondiente para obtener más detalles sobre el mismo. Los detalles incluirían el valor del atributo original y el modificado del objeto de directorio. Los administradores tendrán que comprobar manualmente cada evento uno por uno para encontrar todos los atributos de objeto modificados en el directorio.

    cómo-realizar-un-seguimiento-de-los-cambios-en-los-atributos-de-los-objetos-3

¿Se está volviendo demasiado la auditoría nativa?

Simplifique la auditoría e informes de Active Directory con ADAudit Plus.

Obtenga su prueba gratuitaPrueba gratuita de 30 días con todas las funciones

Satisfaga todas sus necesidades de auditoría y de seguridad de TI con ADAudit Plus.
Active DirectoryWorkstationServidores de archivosServidores Windows CumplimientoProductos relacionados