Gestión de Active Directory

Contenido

  • Habilitación del registro mediante políticas de auditoría avanzadas y SACL
  • 5 puntos para tener en cuenta al habilitar el registro
  • Configuración de los ajustes del log de eventos
  • ID de eventos que debe controlar
  • Limitaciones de la auditoría nativa

Desde la autenticación de inicios de sesión y la autorización de acceso a archivos, hasta la categorización de usuarios en grupos y el control de la configuración de seguridad, AD sirve como columna vertebral de la infraestructura de TI de una organización. La auditoría proporciona visibilidad de las actividades que tienen lugar en un entorno de AD y es crucial para mantenerlo seguro y conforme a la normativa.

Sin embargo, la auditoría tiene una pronunciada curva de aprendizaje. Esta lista de control proporciona información concisa sobre la auditoría de AD para simplificarle el proceso. Le guiará a través de los ajustes de auditoría para habilitar el registro, los ID de eventos que debe controlar, las limitaciones de la auditoría nativa y mucho más.

Habilitación del registro mediante políticas de auditoría avanzadas y SACL

Las políticas de auditoría avanzadas y los ajustes de auditoría a nivel de objeto, también denominados listas de control de acceso al sistema (SACL), deben configurarse para garantizar que los eventos se registren siempre que se produzca cualquier actividad de AD.

Las políticas de auditoría avanzadas deben configurarse para los equipos y pueden llevarse a cabo mediante la Consola de gestión de directivas de grupo (GPMC). En un objeto de directiva de grupo (GPO), las políticas avanzadas de auditoría pueden encontrarse en: Configuración del equipo > Políticas > Ajustes de Windows > Ajustes de seguridad > Configuración de políticas de auditoría avanzada > Política de auditoría.

Las categorías de ajustes que deben configurarse para la auditoría de AD son:

  • Inicio de sesión de cuenta: Monitorea los intentos de autenticación de datos de cuenta en un controlador de dominio o en un gestor de cuentas de seguridad local.
  • Gestión de cuentas: Monitorea los cambios en las cuentas y grupos de usuarios y equipos.
  • Control detallado: Monitorea las actividades de aplicaciones y usuarios individuales en un equipo y muestra cómo se está utilizando ese equipo.
  • Acceso a DS: Proporciona una pista de auditoría detallada de los intentos de acceso y modificación de objetos en los Servicios de dominio de Active Directory.
  • Inicio/cierre de sesión: Controla los intentos de inicio de sesión en un equipo de forma interactiva o a través de una red.
  • Acceso a objetos: Controla los intentos de acceder a objetos o tipos de objetos específicos en una red o equipo.
  • Cambio de políticas: Controla los cambios en las políticas de seguridad importantes de un sistema o red local.
  • Sistema: Controla los cambios a nivel de sistema en un equipo que no se incluyen en otras categorías y que tienen implicaciones potenciales para la seguridad.

Las SACL deben configurarse para objetos protegidos como usuarios, grupos, OU y GPO. Las SACL pueden configurarse mediante Active Directory Users and Computers accediendo a los Ajustes de seguridad avanzada de las propiedades de un objeto.

5 puntos para tener en cuenta al habilitar el registro

  • Habilite la opción “Forzar configuración de subcategorías de la política de auditoría”

    Esto garantiza que los ajustes avanzados de la política de auditoría se apliquen sobre los ajustes básicos de la política de auditoría. Para hacerlo, vaya a Políticas locales > Opciones de seguridad y active "Auditoría: Forzar configuración de subcategorías de la política de auditoría" para anular los ajustes de categorías de la política de auditoría.

    Nota: Microsoft recomienda configurar las opciones avanzadas de la política de auditoría en sistemas que ejecuten Windows Server 2008 R2 y superiores, o Windows 7 y superiores.

  • Especifique los eventos de éxito o fracaso para cada ajuste:

    Para cada ajuste de política de auditoría avanzada, puede elegir registrar los éxitos, los fracasos, ambos o ninguno.

  • Vincule el GPO adecuadamente:

    Para habilitar el registro en todos los equipos de un dominio, vincule al dominio el GPO que contiene los ajustes de la política de auditoría avanzada. Para habilitar el registro en equipos específicos, vincule el GPO a una OU que contenga dichos equipos.

  • Planifique cuidadosamente antes de seleccionar los ajustes de auditoría:

    Elija los ajustes en función de las actividades, los recursos y los usuarios de los que desee hacer un control, y tenga en cuenta el volumen de eventos que genera cada ajuste. Una mala planificación puede hacer que pase por alto actividades críticas o inundarle con demasiados eventos, lo que dificultará la identificación de actividades sospechosas.

  • Visualice una lista consolidada de los ajustes de auditoría:

    Ejecute el Asistente de resultados de la directiva de grupo desde GPMC para ver los ajustes de auditoría efectivos que se aplicarán.

    Nota: Microsoft no proporciona una herramienta para consolidar y mostrar todos las SACL de un entorno.

Configuración de los ajustes del log de eventos

Los ajustes del log de eventos deben configurarse para garantizar que los eventos se almacenan correctamente. Si el tamaño del log de eventos es demasiado pequeño, podrían sobrescribirse los eventos y perderse los datos de auditoría.

Para evitar esto:

  • Aumente el tamaño máximo de los logs de eventos.
  • Establezca el método de retención en Sobrescribir eventos según sea necesario.

Nota: Se recomienda que los logs de eventos contengan al menos 12 horas de datos de auditoría de su entorno.

Una solución integral para todas sus necesidades de auditoría, cumplimiento y seguridad de TI

ManageEngine ADAudit Plus proporciona funciones como la auditoría de cambios, el monitoreo de inicios de sesión, el control de archivos, los informes de cumplimiento, el análisis de la superficie de ataque, la automatización de respuestas, y la copia de seguridad y recuperación para diversos sistemas de TI.

Active Directory | Microsoft Entra ID | Servidores de archivos Windows | Servidores de archivos NAS | Servidores Windows | Estaciones de trabajo | Y más

Descargar ahora

ID de eventos que debe controlar

Existen cientos de eventos relacionados con la auditoría de AD. Algunos de los más importantes son:

Auditar inicio de sesión

  • 4624: Se ha iniciado sesión correctamente en una cuenta
  • 4625: Se ha producido un error al iniciar sesión en una cuenta

Auditoría de la gestión de cuentas de usuario

  • 4720: Se ha creado una cuenta de usuario
  • 4722: Se ha habilitado una cuenta de usuario
  • 4724: Se ha intentado restablecer la contraseña de una cuenta
  • 4725: Se ha deshabilitado una cuenta de usuario
  • 4726: Se ha eliminado una cuenta de usuario
  • 4740: Se ha bloqueado una cuenta de usuario
  • 4767: Se ha desbloqueado una cuenta de usuario

Auditoría de la gestión de cuentas de equipoo

  • 4743: Se ha eliminado una cuenta de equipo

Auditoría de la gestión de grupos de seguridad

  • 4727, 4731 y 4754: Se ha creado un grupo con seguridad habilitada
  • 4728, 4732 y 4756: Se ha añadido un miembro a un grupo habilitado para seguridad
  • 4729, 4733 y 4757: Se ha eliminado un miembro de un grupo habilitado para seguridad
  • 4730, 4734 y 4758: Se ha eliminado un grupo universal habilitado para seguridad
  • 4764: Se ha cambiado el tipo de un grupo

Auditar el acceso al servicio de directorio

  • 4662: Se ha realizado una operación en un objeto

Auditar la replicación detallada del servicio de directorio

  • 4928, 4929 y 4930: Se ha cambiado el contexto de nomenclatura de origen de una réplica de Active Directory

Otros eventos

  • 1102: Se ha borrado el registro de auditoría
  • 4660: Se ha eliminado un objeto
  • 4663: Se ha intentado acceder a un objeto
  • 4670: Se han cambiado los permisos de un objeto

ADAudit Plus ayuda a auditar todos los eventos anteriores. Transforma los datos contenidos en estos eventos en informes detallados y alertas en tiempo real con solo unos clics.

Limitaciones de la auditoría nativa

Limitación 1:Agregación de logs

Los logs de eventos no se replican, lo que hace poco práctico para los administradores revisar manualmente los logs en cada equipo. Para centralizar la auditoría, los logs deben agregarse. Windows Event Forwarding (WEF) puede enviar eventos específicos a un servidor de Windows Event Collector. Sin embargo, establecer el WEF requiere experiencia, teniendo en cuenta factores como la salud del sistema, el reenvío entre dominios, el balanceo de la carga y las suscripciones a eventos.

ADAudit Plus recopila datos de todos los equipos configurados en el dominio y proporciona un repositorio central de información de auditoría con solo unos clics.

Limitación 2:Critical activity detection

Cada actividad de Windows genera múltiples eventos. Por ejemplo, un simple inicio de sesión crea eventos tanto en la estación de trabajo como en el DC. Con muchos usuarios y actividades, el volumen de eventos se vuelve rápidamente abrumador, lo que dificulta la detección manual de acciones críticas. El Programador de tareas y PowerShell pueden activar correos electrónicos para ID de eventos específicos, pero Windows no puede marcar patrones inusuales, como un inicio de sesión desde una cuenta desactivada.

Las alertas de ADAudit Plus le permiten definir umbrales basados en el volumen, el tiempo y otros criterios para detectar actividades críticas como inicios de sesión desde una cuenta desactivada. Puede recibir notificaciones instantáneas por correo electrónico y SMS de dichas actividades. El UBA puede aprovecharse para establecer patrones de actividad y detectar anomalías sutiles, como un volumen inusual de actividad de usuarios privilegiados, que pasan por debajo del radar de los sistemas de detección convencionales. También puede ejecutar scripts para automatizar acciones de respuesta, como apagar un dispositivo para mitigar el impacto de un incidente de seguridad.

Limitación 3:Generación de informes de auditoría

Los eventos de Windows suelen proporcionar información limitada. Por ejemplo, los cambios de atributos de AD se reparten entre los eventos, lo que requiere una correlación manual. Las normativas exigen recopilar estos detalles en tiempo real. Aunque PowerShell puede ayudar a correlacionar eventos y resolver nombres de GPO, requiere profundos conocimientos, extensas pruebas y no es ideal para la auditoría en tiempo real, especialmente en grandes entornos.

Los informes integrados de ADAudit Plus proporcionan información en tiempo real sobre los valores antes y después de los cambios de AD. También puede automatizar la generación y entrega de informes integrados para superar las auditorías de cumplimiento con facilidad.

Optimice la auditoría, demuestre el cumplimiento y detecte amenazas en entornos híbridos de AD, nube y archivos con solo unos pocos clics con ADAudit Plus.

Programe una demostración

Para una gestión de activos fácil y efectiva en la que confían las siguientes empresas

                                                        
Satisfaga todas sus necesidades de auditoría y de seguridad de TI con ADAudit Plus.
Active DirectoryWorkstationServidores de archivosServidores Windows CumplimientoProductos relacionados