Cómo supervisar las actividades del usuario administrador en Active Directory

Comience su prueba gratuita

En Active Directory (AD), los usuarios con privilegios administrativos tienen acceso completo y sin restricciones en todo el dominio para modificar los objetos de AD y sus atributos. Las cuentas de usuario que son miembros del grupo Administradores de dominio u otros grupos con privilegios de administrador deben ser supervisadas para detectar comportamientos sospechosos. Estas cuentas pueden representar graves amenazas a la seguridad si están en manos de agentes no autorizados. Siga leyendo para aprender a supervisar las acciones realizadas por las cuentas de administrador a través de la auditoría nativa de Windows y utilizando ManageEngine ADAudit Plus.

Pasos para activar la auditoría mediante la Consola de administración de directiva de grupo (GPMC, Group Policy Management Console)

Realice las siguientes acciones en el controlador de dominio (DC):

Presione en Inicio, busque y abra la Consola de administración de directiva de grupo, o ejecute el comando gpmc.msc.

Cómo supervisar las actividades del usuario administrador en Active Directory

Haga clic con el botón derecho en el botón dominio o unidad organizativa (UO) que desea auditar y haga clic en Crear una GPO en este dominio y vincúlela aquí... Si ya ha creado un objeto de directiva de grupo (GPO), vaya al paso 4.

Asigne un nombre a la GPO.
Haga clic con el botón derecho en la GPO y elija Editar.

En el panel izquierdo del Editor de administración de directivas de grupo, vaya hasta Configuración del equipo > Directivas > Configuración de Windows > Configuración de seguridad > Directiva de auditoría.

En el panel derecho, haga doble clic en Inicio de sesión de cuentas y marque las casillas junto a Defina estas configuraciones de directiva, Éxito y Error.

Vaya a Configuración del equipo > Directivas > Configuración de Windows > Configuración de seguridad > Configuración de directiva de auditoría avanzada > Directiva de auditoría > Inicio de sesión de cuentas.

En el panel derecho, haga doble clic en Auditar validación de credenciales y marque las casillas junto a Configurar los siguientes eventos de auditoría, Éxito y Error.

Haga clic en Aplicar y luego en Aceptar.
Vaya a Configuración del equipo > Directivas > Configuración de Windows > Configuración de seguridad > Configuración de directiva de auditoría avanzada > Directiva de auditoría > Administración de cuentas > Auditar administración de cuentas de usuario, y marque las casillas junto a Configurar los siguientes eventos de auditoría, Éxito y Error.

Vaya a Configuración del equipo > Directivas > Configuración de Windows > Configuración de seguridad > Configuración de directiva de auditoría avanzada > Directiva de auditoría > Administración de cuentas > Auditar administración de cuentas de equipo, y marque las casillas junto a Configurar los siguientes eventos de auditoría, Éxito y Error.

Vaya a Configuración del equipo > Directivas > Configuración de Windows > Configuración de seguridad > Configuración de directiva de auditoría avanzada > Directiva de auditoría > Acceso DS > Auditar cambios de servicios de directorio y marque las casillas junto a Configurar los siguientes eventos de auditoría, Éxito y Error.

Vuelva a la Consola de administración de directiva de grupo y,en el panel izquierdo, haga clic con el botón derecho en la unidad organizativa deseada en la que se vinculó la GPO y haga clic en Actualización de directivas de grupo... Este paso garantiza que la nueva configuración de la directiva de grupo se aplique instantáneamente en lugar de esperar la próxima actualización programada.

Pasos para ver estos eventos usando el Visor de eventos

Una vez que se completen los pasos anteriores, los eventos se almacenarán en el registro de eventos. Estos se pueden ver en el Visor de eventos. Sin embargo, antes de eso, es necesario determinar qué usuarios tienen privilegios de administrador. Realice las siguientes acciones en un controlador de dominio (DC):

Presione Inicio, luego busque y abra la consola Usuarios y equipos de Active Directory.

Vaya hasta la unidad organizativa,<Nombre de dominio>Nombre de dominio > Usuarios y haga doble clic en el grupo denominado Administradores de dominio.Cambie a la pestaña de miembros. Aquí encontrará una lista de usuarios con derechos de administrador.

Presione Inicio, busque Visor de eventos y haga clic en él para abrirlo.
En el panel izquierdo, haga clic con el botón derecho en Vistas personalizadas y seleccione Crear vista personalizada....

En la ventana Crear vista personalizada, cambie a la pestaña XML, marque la casilla junto a Editar consulta y haga clic en Sí en el cuadro de diálogo de advertencia emergente.
En el campo de consulta, ingrese la siguiente consulta:

<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">
*[EventData[Data[@Name='SubjectUserName'] and(Data='<username>')]]
</Select>
</Query>
</QueryList>

*reemplace <nombre de usuario> con el nombre de usuario del administrador deseado.

Haga clic en Aceptar y asigne un nombre a la Vista personalizada. Ahora puede ver una lista de ID de eventos relacionados con las acciones realizadas por la cuenta de administrador en Vistas personalizadas.

El método anterior es poco realista cuando hay que tratar con numerosos administradores y miles de eventos. Como administrador, deberá buscar manualmente cada evento para ver sus detalles.

ADAudit Plus, una completa herramienta de auditoría de AD, le ayuda a auditar todos los cambios de Active Directory, incluidos los realizados por cuentas de administrador.

Descargue una prueba gratuita de 30 días.

Pasos para supervisar la actividad del usuario administrador usando ManageEngine ADAudit Plus

Descargue e instaleADAudit Plus.
Las instrucciones para configurar la auditoría en el controlador de dominio se encuentran aquí.
Abra la consola e inicie sesión como administrador.
Vaya a Reports > Account Management > Administrative User Actions

Vea las actividades de administración de usuarios, computadores, grupos y unidades organizativas realizadas por cuentas de administrador.

Visualice los informes de usuarios específicos seleccionando el objeto usuario, o realice una búsqueda avanzada para ver los informes de un determinado tipo de cambio.

Ventajas de usar ADAudit Plus sobre la auditoría nativa:

Obtenga informes sobre los cambios realizados en todos los objetos de AD por las cuentas de administrador en un solo lugar, y obtenga informes sobre cualquier cambio realizado por otros usuarios.
Consulte informes listos para usar sobre los cambios en Azure AD y reciba alertas en tiempo real sobre eventos críticos.
Reciba notificaciones al detectar un comportamiento irregular del usuario. ADAudit Plus utiliza el análisis del comportamiento de los usuarios (UBA) para crear una línea de base de la actividad normal de los usuarios y le avisa cuando algún usuario se desvía de ese comportamiento. Por ejemplo, un volumen inusualmente alto de intentos de inicio de sesión, inicios de sesión que se producen a horas inusuales o la primera vez que un usuario accede a un host de forma remota.

Descargue una prueba gratuita de 30 días de ADAudit Plus.

¿Le supone un reto la auditoría AD?

Supervisar los inicios de sesión de los usuarios
Realizar un seguimiento de los cambios en las GPO, los usuarios, etc.
Averigua quién hizo qué, cuándo y dónde

Descargar ahora

Procedimientos relacionados

How to detect who deleted user account