Contenidos

Importancia de las directivas de auditoría avanzadas.

El propósito de la auditoría de seguridad es garantizar que los eventos se registren siempre que se produzca una actividad. Sin embargo, cuando se audita cada actividad, los registros de eventos se inundan con información irrelevante que dificulta que los administradores de red puedan separar los eventos críticos de los insignificantes. La configuración de directiva de auditoría avanzada ayuda a los administradores a ejercer un control pormenorizado sobre qué actividades se registran en los registros, lo que ayuda a reducir el ruido de los eventos.

Por ejemplo, en lugar de activar la categoría de directiva de auditoría de Acceso DS para solucionar un problema de replicación, lo que generaría alrededor de ocho eventos cada vez que se produzca esta actividad, un administrador podría activar la subcategoría de directiva de auditoría avanzada para la replicación del servicio de directorio, que solo generaría un evento en lugar de ocho.

Bases para configurar una directiva de auditoría avanzada.

  • Identifique las actividades más importantes en su red que necesitan seguimiento. Consulte los 8 ID de eventos más críticos como punto de partida.
  • Identifique la configuración de auditoría de seguridad que se puede usar para realizar un seguimiento de estas actividades.
  • Evalúe las posibles ventajas y desventajas (implicaciones en el tamaño del registro de eventos, por ejemplo) de cada una de estas configuraciones.
  • Configure y administre la configuración de auditoría de seguridad (además de las directivas de auditoría y las directivas de auditoría avanzadas, también debe configurar las Listas de control de acceso de sistema (SACL) para habilitar la auditoría en objetos de directorio y archivos/carpetas).

Para obtener información sobre cómo configurar las SACL, visite nuestro documento de ayuda.

Active Directory auditing

Pasos para configurar cualquier ajuste de directiva de auditoría avanzada.

La configuración de una directiva de auditoría avanzada requiere permisos de cuenta de nivel de administrador o los permisos delegados correspondientes.

  • Desde el controlador de dominio, haga clic en Inicio, apunte a Herramientas administrativas y, a continuación, Administración de directivas de grupo.
  • En el árbol de la consola, haga clic en el nombre de su bosque > Dominios > su dominio; a continuación, haga clic con el botón derecho en el dominio predeterminado o en la directiva de controladores de dominio correspondiente (o cree su propia directiva) y, para terminar, haga clic en Editar.
  • En Configuración del equipo, haga clic en Directivas > Configuración de Windows > Configuración de seguridad > Configuración de directiva de auditoría avanzada > Directiva de auditoría; a continuación, haga doble clic en la configuración de directiva correspondiente.
  • En el panel derecho, haga clic con el botón derecho en la Subcategoría correspondiente y, a continuación, haga clic en Propiedades.
  • Seleccione Correcto, Error o ambos en la casilla de verificación de eventos de auditoría y, a continuación, haga clic en Aceptar.
Pasos para configurar cualquier ajuste de directiva de auditoría avanzada
  • Inicio de sesión de cuenta (cuatro subcategorías): supervisa los intentos de autenticar datos de cuenta en un controlador de dominio o en un administrador de cuentas de seguridad (SAM) local.
  • Gestión de cuentas (seis subcategorías): monitorea los cambios en las cuentas y grupos de usuarios y computadoras.
  • Seguimiento detallado (cinco subcategorías): supervisa las actividades de aplicaciones y usuarios individuales en una computadora y muestra cómo se utiliza esa computadora.
  • DS Access (cuatro subcategorías): proporciona un seguimiento de auditoría detallado de los intentos de acceder y modificar objetos en Active Directory Domain Services.
  • Inicio/Cierre de sesión (11 subcategorías): rastrea los intentos de iniciar sesión en una computadora de forma interactiva o a través de una red.
  • Acceso a objetos (14 subcategorías): rastrea los intentos de acceder a objetos o tipos de objetos específicos en una red o computadora.
  • Cambio de política (seis subcategorías): realiza un seguimiento de los cambios en políticas de seguridad importantes en un sistema o red local.
  • Uso de privilegios (tres subcategorías): rastrea el uso de ciertos permisos en uno o más sistemas.
  • Sistema (cinco subcategorías): realiza un seguimiento de los cambios a nivel del sistema en una computadora que no están incluidos en otras categorías y que tienen posibles implicaciones de seguridad.
  • Auditoría global de acceso a objetos (dos subcategorías): permite a los administradores definir SACL de computadora por tipo de objeto para el sistema de archivos o para el registro.

Selección de registrar éxitos, errores o ambos.

Debe evaluar las ventajas y desventajas antes de seleccionar registrar éxitos, errores o ambos. Por ejemplo, para los archivos a los que acceden con frecuencia usuarios legítimos, los intentos de acceso correctos llenarán rápidamente el registro de eventos con eventos benignos. Dado que los eventos de inicio de sesión erróneos pueden indicar intentos de acceso no autorizado, esos son los eventos que deben auditarse en este escenario. Por otro lado, para los archivos con información confidencial, se deben registrar todos los intentos de acceso (tanto correctos como erróneos), de modo que tenga un registro de auditoría de cada usuario que accedió al archivo.

Cinco puntos clave a tener en cuenta.

  • Las directivas de auditoría son directivas de equipo. Esto significa que se debe aplicar una directiva de auditoría avanzada a través de los GPO que se aplican a las unidades organizativas que contienen equipos y no a las unidades organizativas de usuarios.
  • La directiva de dominio predeterminada está vinculada al dominio y afecta a todos los usuarios y equipos de ese dominio a través de la herencia de directivas de grupo. Mientras que la directiva de controladores de dominio predeterminados está vinculada a la unidad organizativa de controladores de dominio y solo afecta a los controladores de dominio. La configuración de la directiva que se aplica a nivel de unidad organizativa anula la configuración de directiva aplicada a nivel de dominio.
  • Cuando utilice la configuración de directiva de auditoría avanzada, asegúrese de habilitar la configuración de Forzar directiva de auditoría avanzada para anular la configuración de directiva de auditoría. Para hacerlo, vaya a Directivas locales > Opciones de seguridad y habilite la configuración de la subcategoría Forzar directiva de auditoría.
  • Ejecute el asistente de Resultados de directivas de grupo que se encuentra en la Consola de administración de directivas de grupo para ver una lista consolidada de todas las configuraciones de directivas de auditoría que se aplicarán.
  • Al modificar una directiva de auditoría avanzada existente, realice una copia de seguridad del GPO existente para que pueda restaurarse en cualquier momento. Para realizar una copia de seguridad, haga clic con el botón derecho en el GPO correspondiente y utilice la funcionalidad Copia de seguridad.

¡Pase de descargar ADAudit Plus de ManageEngine a recibir alertas de seguridad de Active Directory en solo una hora!

ADAudit Plus detecta automáticamente los controladores de dominio, configura los ajustes de seguridad necesarios para registrar eventos y configura los perfiles de alerta predeterminados, por supuesto, con su consentimiento.

 
3 de cada 5 empresas de Fortune 500 confían en ManageEngine para administrar su TI.
Pruébelo gratis
 
 
 
 
En este mundo de locos

ADAudit Plus es una herramienta de auditoría de cambios de Active Directory en tiempo real basada en web que le ayuda

  • Realizar un seguimiento de todos los cambios a objetos de Windows AD, incluidos usuarios, grupos, equipos, GPO y unidades organizativas.
  • Monitorizar la actividad de inicio y cierre de sesión de cada usuario, incluidos todos los intentos de inicio de sesión correctos y erróneos de la red estaciones de trabajo.
  • Auditar servidores de archivos de Windows, clústeres de conmutación por error, NetApp, y almacenamiento ECM para documentar cambios en archivos y carpetas.
  • Monitorizar las configuraciones del sistema, los archivos de programa y los cambios de carpetas para garantizar la integridad de los archivos.
  • Realizar un seguimiento de los cambios en servidores Windows, impresoras, y dispositivos USB con un resumen de los eventos.

Si desea explorar el producto usted mismo, descargue una versión de prueba gratuita y totalmente funcional de 30 días.

Si desea que un experto le haga un recorrido personalizado por el producto, programe una demostración.

Satisfaga todas sus necesidades de auditoría y de seguridad de TI con ADAudit Plus.
Active Directory Workstation Servidores de archivos Servidores Windows  Cumplimiento Productos relacionados