Gestión de Active Directory » Instalación del agente

Cómo supervisar las tareas programadas en el Programador de tareas de Windows

El Programador de tareas de Windows ha sido el punto de entrada de muchos hackers para infiltrarse en el sistema. Incluso Windows 10, que cuenta con un sandbox (una función que ejecuta aplicaciones no fiables en un entorno independiente para que la instalación principal no se vea afectada), ha sido propenso a que los hackers ejecuten scripts y tareas maliciosas a través del Programador de tareas. Estos scripts maliciosos ayudan al hacker a escalar privilegios dentro de su red.

Activar la auditoría del Programador de tareas para controlar las tareas sospechosas que se han creado debería formar parte de su plan de seguridad. Siga los pasos que se indican a continuación para supervisar las tareas programadas en un servidor Windows. Alternativamente, en la pestaña Server Audit del servidor encontrarás una forma más sencilla de utilizar los informes preconfigurados de ADAudit Plus para ver y exportar las tareas programadas.

Descárguelo gratis

Prueba gratuita de 30 días con todas las funciones

  • Con auditoría nativa de AD

  • Con ADAudit Plus

  • Cómo supervisar las tareas programadas en el Programador de tareas con ADAudit Plus
  • Para realizar un seguimiento de las tareas programadas, tendrá que habilitar la auditoría de Active Directory (AD).
  • En la consola de ADAudit Plus, vaya a la pestaña "Server Audit" y navegue hasta "Process Tracking" en el panel izquierdo. Esto le proporciona una lista de informes preconfigurados sobre la actividad de los procesos dentro de AD.
  • Puede seleccionar el informe "Scheduled Task Created" para ver las nuevas tareas que se han programado.

  • También puede crear informes personalizados y exportarlos en formatos CSV, PDF, XSL, HTML.

    cómo-supervisar-tareas-programadas-en-Windows-7 

  • Paso 1: Habilite la auditoría de directiva de grupo
  • Inicie sesión en el controlador de dominio con privilegios de administrador e inicie la Consola de administración de directiva de grupo.
  • Haga clic con el botón derecho del ratón en el Objeto de directiva de grupo correspondiente vinculado al contenedor Controladores de dominio y seleccione Editar.
  • Expanda la Configuración del equipo → Configuración de Windows → Configuración de seguridad → Configuración de directiva de auditoría avanzada → Directiva de auditoría → nodo Directiva de auditoría → Acceso a objetos → Auditar otros eventos de acceso a objetos

  • Configure las propiedades tanto para el 'Éxito' como para el 'Error'. Salga del Editor de administración de directiva de grupo.

    cómo-supervisar-tareas-programadas-en-Windows-1 

  • En la Consola de administración de directiva de grupo, elija la GPO modificada y haga clic en "Agregar" en la sección "Seguridad" en el panel derecho. Escriba 'Everyone' en el cuadro de texto y haga clic en 'Check Names' para incluir el valor. Salga de la Consola de administración de directiva de grupo.
  • Para aplicar estos cambios en todo el dominio, ejecute el comando gpupdate /force, en la consola de “Ejecutar”.
  • Paso 2: Permita auditoría de AD a través de ADSI Edit
  • Desde su “Administrador de servidores”, vaya a “Herramientas” y seleccione “ADSI Edit”.
  • Haga clic con el botón derecho en el nodo “ADSI Edit” en el panel izquierdo y seleccione la opción “Conectar a”. Esto abre la ventana “Configuración de conexión”.

  • Seleccione la opción “Contexto de nomenclatura predeterminado” de la lista desplegable “Seleccione un contexto de nomenclatura conocido”.

    cómo-supervisar-tareas-programadas-en-Windows-2 

  • Haga clic en “Aceptar” y regrese a la ventana de ADSI Edit. Expanda “Contexto de nomenclatura predeterminado” y seleccione el sub-nodo “DC” asociado. Haga clic derecho en este sub-nodo y haga clic en “Propiedades”.

  • En la ventana 'Propiedades', vaya a la pestaña 'Seguridad' y seleccione 'Avanzado'. Después de eso, seleccione 'Auditoría' y haga clic en 'Agregar'.

    cómo-supervisar-tareas-programadas-en-Windows-4 

  • Haga clic en 'Seleccionar una entidad de seguridad'. Esto hará que aparezca una ventana de 'Seleccione Usuario, Computador o Grupo'. Escriba “Todos” en el cuadro de texto y verifíquelo con “Comprobar nombres”.
  • La “Entidad de seguridad” en la ventana “Entrada de auditoría” ahora muestra “Todos”. En el menú desplegable “Tipo”, seleccione “Todos”para auditar los eventos de “Éxito” y “Error”.
  • En el menú desplegable “Seleccionar” elija “Este objeto y todos los objetos descendientes”. Esto permite la auditoría de los objetos descendientes de la unidad organizativa. Seleccione “Control total” en la sección “Permisos”.

  • Esto selecciona todas las casillas de verificación disponibles. Desmarque las siguientes casillas de verificación:

    1. Control total
    2. Contenido de la lista
    3. Lea todas las propiedades
    4. Lea permisos

    cómo-supervisar-tareas-programadas-en-Windows-5 

  • Paso 3: Vea eventos en el Visor de eventos.

  • Puede supervisar las tareas programadas accediendo a "Registros de seguridad" en el "Visor de eventos". Puede filtrar su registro para buscar el siguiente evento.

  • ID de evento: 4698 describe una tarea que se ha programado.

    cómo-supervisar-tareas-programadas-en-Windows-6 

¿Llega a ser demasiado la auditoría nativa?

Simplifique la auditoría y la generación de informes de eventos del sistema con ADAudit Plus.

Obtenga su prueba gratuitaPrueba gratuita de 30 días con todas las funciones

¡La auditoría de Active Directory ahora es más fácil!

ADAudit Plus viene con más de 300 informes predefinidos que facilitan su auditoría de AD. La solución también envía alertas en tiempo real para eventos críticos y, de este modo, le ayuda a proteger su red de amenazas y a mejorar su postura de seguridad de TI. Consulte aquí las funciones de ADAudit Plus. 
Descargar ADAudit Plus

Satisfaga todas sus necesidades de auditoría y de seguridad de TI con ADAudit Plus.
Active DirectoryWorkstationServidores de archivosServidores Windows CumplimientoProductos relacionados