Supervisión de Active Directory en busca de indicios de riesgo

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 y Windows Server 2012.

Número cinco de la ley: la seguridad es el precio de la seguridad. - -

Un sistema sólido de supervisión de registros de eventos es una parte fundamental de cualquier diseño Active Directory seguridad. Muchos riesgos de seguridad informática podrían detectarse al principio del evento si las victimas aplicaran la supervisión y las alertas apropiadas del registro de eventos. Los informes independientes han admitido esta conclusión durante mucho tiempo. Por ejemplo, el informe de vulneración de datos de Verizon de 2009 indica:

"La ineficacia aparente de la supervisión de eventos y el análisis de registros sigue siendo algo complicado. La oportunidad de detección está ahí; los investigadores señalaron que el 66 por ciento de las victimas tenían suficiente evidencia disponible en sus registros para detectar la infracción si hubieran sido más diligentes en el análisis de estos recursos".

Esta falta de supervisión de los registros de eventos activos sigue siendo una debilidad coherente en los planes de defensa de seguridad de muchas empresas. El informe de vulneración de datos de Verizon de 2012 encontró que, aunque el 85 por ciento de las infracciones tardaron varias semanas en notarse, el 84 por ciento de las victimas tenían pruebas de la infracción en sus registros de eventos.

Windows auditoría de auditoría

A continuación se incluyen vínculos al blog oficial de soporte técnico empresarial de Microsoft. El contenido de estos blogs proporciona consejos, instrucciones y recomendaciones sobre auditoría que le ayudarán a mejorar la seguridad de la infraestructura de Active Directory y son un recurso valioso al diseñar una directiva de auditoría.

  • Auditoría global de acceso a objetos es mágica: describe un mecanismo de control denominado Configuración de directiva de auditoría avanzada que se agregó a Windows 7 y Windows Server 2008 R2 que le permite establecer qué tipos de datos desea auditar fácilmente y no hacer malabares con scripts y auditpol.exe.
  • Introducción a los cambios de auditoría en Windows 2008: presenta los cambios de auditoría realizados en Windows Server 2008.
  • Cool Auditing Tricks in Vista and 2008 (Trucos de auditoría interesantes en Vista y 2008) explica características interesantes de auditoría de Windows Vista y Windows Server 2008 que se pueden usar para solucionar problemas o ver lo que sucede en su entorno.
  • One-Stop Shop for Auditing in Windows Server 2008 and Windows Vista : contiene una compilación de características de auditoría e información contenida en Windows Server 2008 y Windows Vista.

Los vínculos siguientes proporcionan información sobre las mejoras en la auditoría de Windows en Windows 8 y Windows Server 2012 e información sobre la auditoría de AD DS en Windows Server 2008.

  • Novedades de la auditoría de seguridad: proporciona información general sobre las nuevas características de auditoría de seguridad en Windows 8 y Windows Server 2012.
  • AD DS de auditoría paso a paso: describe la nueva característica de auditoría Active Directory Domain Services (AD DS) en Windows Server 2008. También proporciona procedimientos para implementar esta nueva característica.

Windows audit categories

Antes de Windows Vista y Windows Server 2008, Windows solo tenía nueve categorías de directiva de auditoría del registro de eventos:

  • Eventos de inicio de sesión de cuenta
  • Administración de cuentas
  • Acceso al servicio de directorio
  • Eventos de inicio de sesión
  • Acceso a objetos
  • Cambio de directiva
  • Uso de privilegios
  • Seguimiento de procesos
  • Eventos del sistema

Estas nueve categorías de auditoría tradicionales componen una directiva de auditoría. Cada categoría de directiva de auditoría se puede habilitar para los eventos Correcto, Error o Correcto y Error. Sus descripciones se incluyen en la sección siguiente.

Descripciones de categoría de directiva de auditoría

Las categorías de directiva de auditoría habilitan los siguientes tipos de mensajes del registro de eventos.

Auditar eventos de inicio de sesión de cuenta

Informa de cada instancia de una entidad de seguridad (por ejemplo, usuario, equipo o cuenta de servicio) que inicia o inicia sesión desde un equipo en el que se usa otro equipo para validar la cuenta. Los eventos de inicio de sesión de cuenta se generan cuando se autentica una cuenta de entidad de seguridad de dominio en un controlador de dominio. La autenticación de un usuario local en un equipo local genera un evento de inicio de sesión que se registra en el registro de seguridad local. No se registran eventos de cierre de sesión de cuenta.

Esta categoría genera mucho "ruido" porque Windows constantemente tiene cuentas que inician sesión en los equipos locales y remotos durante el curso normal del negocio. Aun así, cualquier plan de seguridad debe incluir el éxito y el error de esta categoría de auditoría.

Auditar administración de cuentas

Esta configuración de auditoría determina si se debe realizar un seguimiento de la administración de usuarios y grupos. Por ejemplo, se debe realizar un seguimiento de los usuarios y grupos cuando se crea, cambia o elimina una cuenta de usuario o equipo, un grupo de seguridad o un grupo de distribución. cuando se cambia el nombre de una cuenta de usuario o equipo, se deshabilita o se habilita; o cuando se cambia una contraseña de usuario o equipo. Se puede generar un evento para los usuarios o grupos que se agregan a otros grupos o se quitan de ellos.

Auditar el acceso del servicio de directorio

Esta configuración de directiva determina si se debe auditar el acceso de la entidad de seguridad Active Directory un objeto que tiene su propia lista de control de acceso del sistema (SACL) especificada. En general, esta categoría solo debe habilitarse en controladores de dominio. Cuando se habilita, esta configuración genera mucho "ruido".

Auditar eventos de inicio de sesión

Los eventos de inicio de sesión se generan cuando se autentica una entidad de seguridad local en un equipo local. Eventos de inicio de sesión registra los inicios de sesión de dominio que se producen en el equipo local. No se generan eventos de cierre de sesión de cuenta. Cuando se habilita, los eventos de inicio de sesión generan mucho "ruido", pero deben habilitarse de forma predeterminada en cualquier plan de auditoría de seguridad.

Auditar el acceso a objetos

El acceso a objetos puede generar eventos cuando se accede a objetos definidos posteriormente con la auditoría habilitada (por ejemplo, Abierto, Leído, Cambiado de nombre, Eliminado o Cerrado). Una vez habilitada la categoría de auditoría principal, el administrador debe definir individualmente qué objetos tendrán habilitada la auditoría. Muchos Windows del sistema vienen con la auditoría habilitada, por lo que habilitar esta categoría normalmente comenzará a generar eventos antes de que el administrador haya definido ninguno.

Esta categoría es muy "ruidosa" y generará de cinco a diez eventos para cada acceso a objetos. Puede ser difícil que los administradores nuevos en la auditoría de objetos obtengan información útil. Solo debe habilitarse cuando sea necesario.

Cambio de directiva de auditoría

Esta configuración de directiva determina si se audita cada uno de los cambios en las directivas de asignación de derechos de usuario, Windows Directivas de firewall, Directivas de confianza o cambios en la directiva de auditoría. Esta categoría debe estar habilitada en todos los equipos. Genera muy poco ruido.

Auditar el uso de privilegios

Hay docenas de permisos y derechos de usuario en Windows (por ejemplo, iniciar sesión como un trabajo por lotes y actuar como parte del sistema operativo). Esta configuración de directiva determina si se debe auditar cada instancia de una entidad de seguridad mediante el ejercicio de un derecho o privilegio de usuario. La habilitación de esta categoría da como resultado una gran cantidad de "ruido", pero puede ser útil para realizar el seguimiento de las cuentas de entidad de seguridad mediante privilegios elevados.

Auditar el seguimiento de procesos

Esta configuración de directiva determina si se debe auditar la información detallada de seguimiento de procesos para eventos como la activación del programa, la salida del proceso, la administración de la duplicación y el acceso indirecto a objetos. Es útil para realizar el seguimiento de usuarios malintencionados y los programas que usan.

La habilitación del seguimiento de procesos de auditoría genera un gran número de eventos, por lo que normalmente se establece en Sin auditoría. Sin embargo, esta configuración puede proporcionar una gran ventaja durante una respuesta a incidentes desde el registro detallado de los procesos iniciados y la hora en que se iniciaron. En el caso de los controladores de dominio y otros servidores de infraestructura de un solo rol, esta categoría puede estar activada de forma segura todo el tiempo. Los servidores de rol único no generan mucho tráfico de seguimiento de procesos durante el curso normal de sus tareas. Por lo tanto, se pueden habilitar para capturar eventos no autorizados si se producen.

Auditoría de eventos del sistema

Eventos del sistema es casi una categoría genérica, que registra varios eventos que afectan al equipo, a su seguridad del sistema o al registro de seguridad. Incluye eventos para apagados y reinicios del equipo, errores de alimentación, cambios de hora del sistema, inicializaciones de paquetes de autenticación, borrados del registro de auditoría, problemas de suplantación y una serie de otros eventos generales. En general, la habilitación de esta categoría de auditoría genera mucho "ruido", pero genera suficientes eventos muy útiles que es difícil recomendar no habilitar.

Directivas de auditoría avanzadas

A partir de Windows Vista y Windows Server 2008, Microsoft mejoró la forma en que se pueden realizar selecciones de categorías de registro de eventos mediante la creación de subcategorías en cada categoría de auditoría principal. Las subcategorías permiten que la auditoría sea mucho más granular de lo que podría hacer de lo contrario mediante el uso de las categorías principales. Mediante el uso de subcategorías, solo puede habilitar partes de una categoría principal determinada y omitir la generación de eventos para los que no tiene ningún uso. Cada subcategoría de directiva de auditoría se puede habilitar para eventos correctos, erróneos, o correctos y erróneos.

Para enumerar todas las subcategorías de auditoría disponibles, revise el contenedor Directiva de auditoría avanzada en un objeto directiva de grupo o escriba lo siguiente en un símbolo del sistema en cualquier equipo que ejecute Windows Server 2012, Windows Server 2008 R2 o Windows Server 2008, Windows 8, Windows 7 o Windows Vista:

auditpol /list /subcategory:*

Para obtener una lista de las subcategorías de auditoría configuradas actualmente en un equipo que ejecuta Windows Server 2012, Windows Server 2008 R2 o Windows 2008, escriba lo siguiente:

auditpol /get /category:*

En la captura de pantalla siguiente se muestra un ejemplo auditpol.exe la directiva de auditoría actual.

Screenshot that shows an example of auditpol.exe listing the current audit policy.

Nota

directiva de grupo no siempre informa con precisión del estado de todas las directivas de auditoría habilitadas, auditpol.exe sí. Consulte Getting the Effective Audit Policy in Windows 7 and 2008 R2 (Obtención de la directiva de auditoría efectiva en Windows 7 y 2008 R2) para obtener más detalles.

Cada categoría principal tiene varias subcategorías. A continuación se muestra una lista de categorías, sus subcategorías y una descripción de sus funciones.

Auditar descripciones de subcategorías

Las subcategorías de directiva de auditoría habilitan los siguientes tipos de mensajes del registro de eventos:

Inicio de sesión de la cuenta

Validación de credenciales

Esta subcategoría informa de los resultados de las pruebas de validación en las credenciales enviadas para una solicitud de inicio de sesión de cuenta de usuario. Estos eventos se producen en el equipo autorizado para las credenciales. Para las cuentas de dominio, el controlador de dominio es autoritativo, mientras que para las cuentas locales, el equipo local es autoritativo.

En entornos de dominio, la mayoría de los eventos de inicio de sesión de cuenta se registran en el registro de seguridad de los controladores de dominio que son autoritativos para las cuentas de dominio. Sin embargo, estos eventos pueden producirse en otros equipos de la organización cuando se usan cuentas locales para iniciar sesión.

Auditar operaciones de vales de servicio Kerberos

Esta subcategoría informa de los eventos generados por los procesos de solicitud de vales de Kerberos en el controlador de dominio autoritativo para la cuenta de dominio.

Servicio de autenticación Kerberos

Esta subcategoría notifica los eventos generados por el servicio de autenticación Kerberos. Estos eventos se producen en el equipo autorizado para las credenciales.

Otros eventos de inicio de sesión de cuentas

Esta subcategoría informa de los eventos que se producen en respuesta a las credenciales enviadas para una solicitud de inicio de sesión de cuenta de usuario que no están relacionadas con la validación de credenciales o vales kerberos. Estos eventos se producen en el equipo autorizado para las credenciales. Para las cuentas de dominio, el controlador de dominio es autoritativo, mientras que para las cuentas locales, el equipo local es autoritativo.

En entornos de dominio, la mayoría de los eventos de inicio de sesión de cuenta se registran en el registro de seguridad de los controladores de dominio que son autoritativos para las cuentas de dominio. Sin embargo, estos eventos pueden producirse en otros equipos de la organización cuando se usan cuentas locales para iniciar sesión. Algunos ejemplos pueden incluir lo siguiente:

  • Servicios de Escritorio remoto desconexiones de sesión
  • Nuevas Servicios de Escritorio remoto sesión
  • Bloqueo y desbloqueo de una estación de trabajo
  • Invocación de un protector de pantalla
  • Descarte de un protector de pantalla
  • Detección de un ataque de reproducción de Kerberos, en el que se recibe dos veces una solicitud Kerberos con información idéntica
  • Acceso a una red inalámbrica por parte de una cuenta de usuario o de equipo
  • Acceso a una red 802.1x cableada por parte de una cuenta de usuario o de equipo

Administración de cuentas

Administración de cuentas de usuario

Esta subcategoría informa de cada evento de administración de cuentas de usuario, por ejemplo, cuando se crea, cambia o elimina una cuenta de usuario. se cambia el nombre de una cuenta de usuario, se deshabilita o se habilita; o se establece o cambia una contraseña. Si esta configuración de directiva de auditoría está habilitada, los administradores pueden realizar un seguimiento de los eventos para detectar la creación malintencionada, accidental y autorizada de cuentas de usuario.

Administración de cuentas de equipo

Esta subcategoría informa de cada evento de administración de cuentas de equipo, como cuando se crea, cambia, elimina, cambia, cambia, deshabilita o habilita una cuenta de equipo.

Administración de grupos de seguridad

Esta subcategoría informa de cada evento de administración de grupos de seguridad, como cuando se crea, cambia o elimina un grupo de seguridad o cuando se agrega o quita un miembro de un grupo de seguridad. Si esta configuración de directiva de auditoría está habilitada, los administradores pueden realizar un seguimiento de los eventos para detectar la creación malintencionada, accidental y autorizada de cuentas de grupo de seguridad.

Administración de grupos de distribución

Esta subcategoría notifica cada evento de administración de grupos de distribución, como cuando se crea, cambia o elimina un grupo de distribución o cuando se agrega o quita un miembro de un grupo de distribución. Si esta configuración de directiva de auditoría está habilitada, los administradores pueden realizar un seguimiento de los eventos para detectar la creación malintencionada, accidental y autorizada de cuentas de grupo.

Administración de grupos de aplicaciones

Esta subcategoría notifica cada evento de administración de grupos de aplicaciones en un equipo, como cuando se crea, cambia o elimina un grupo de aplicaciones o cuando se agrega o quita un miembro de un grupo de aplicaciones. Si esta configuración de directiva de auditoría está habilitada, los administradores pueden realizar un seguimiento de los eventos para detectar la creación malintencionada, accidental y autorizada de cuentas de grupo de aplicaciones.

Otros eventos de administración de cuentas

Esta subcategoría notifica otros eventos de administración de cuentas.

Seguimiento de procesos detallado

Creación de un proceso

Esta subcategoría informa de la creación de un proceso y el nombre del usuario o programa que lo creó.

Finalización del proceso

Esta subcategoría notifica cuándo finaliza un proceso.

Actividad de DPAPI

Esta subcategoría informa de que las llamadas se cifran o descifran en la interfaz de programación de aplicaciones de protección de datos (DPAPI). DPAPI se usa para proteger la información secreta, como la contraseña almacenada y la información de clave.

Eventos RPC

Esta subcategoría notifica eventos de conexión de llamada a procedimiento remoto (RPC).

Acceso al servicio de directorio

Acceso al servicio de directorio

Esta subcategoría notifica cuándo se AD DS a un objeto . Solo los objetos con SACL configurados hacen que se generen eventos de auditoría y solo cuando se tiene acceso a ellos de forma que coincida con las entradas sacl. Estos eventos son similares a los eventos de acceso del servicio de directorio en versiones anteriores de Windows Server. Esta subcategoría solo se aplica a los controladores de dominio.

Cambios en el servicio de directorio

Esta subcategoría notifica los cambios en los objetos AD DS. Los tipos de cambios que se notifican son las operaciones de creación, modificación, movimiento y eliminación que se realizan en un objeto . La auditoría de cambios del servicio de directorio, si procede, indica los valores antiguos y nuevos de las propiedades modificadas de los objetos que se cambiaron. Solo los objetos con SACL hacen que se generen eventos de auditoría y solo cuando se tiene acceso a ellos de forma que coincida con sus entradas SACL. Algunos objetos y propiedades no hacen que se generen eventos de auditoría debido a la configuración de la clase de objeto en el esquema. Esta subcategoría solo se aplica a los controladores de dominio.

Replicación de servicio de directorio

Esta subcategoría notifica cuándo comienza y finaliza la replicación entre dos controladores de dominio.

Replicación detallada del servicio de directorio

Esta subcategoría informa de información detallada sobre la información replicada entre controladores de dominio. Estos eventos pueden tener un volumen muy alto.

Inicio/cierre de sesión

Iniciar sesión

Esta subcategoría informa cuando un usuario intenta iniciar sesión en el sistema. Estos eventos se producen en el equipo al que se accede. En el caso de los inicios de sesión interactivos, la generación de estos eventos se produce en el equipo en el que se ha iniciado sesión. Si se produce un inicio de sesión de red para acceder a un recurso compartido, estos eventos se generan en el equipo que hospeda el recurso al que se accede. Si esta opción está configurada en Sinauditoría, es difícil o imposible determinar a qué usuario ha accedido o ha intentado acceder a los equipos de la organización.

Servidor de directivas de redes

Esta subcategoría informa de los eventos generados por las solicitudes de acceso de usuario RADIUS (IAS) y Protección de acceso de red (NAP). Estas solicitudes pueden ser Grant, Deny, Discard, Quarantine, Locky Unlock. La auditoría de esta configuración dará como resultado un volumen medio o alto de registros en servidores NPS e IAS.

Modo principal de IPsec

Esta subcategoría informa de los resultados del protocolo Exchange clave de Internet (IKE) y protocolo de Internet autenticado (AuthIP) durante las negociaciones del modo principal.

Modo extendido de IPsec

Esta subcategoría informa de los resultados de AuthIP durante las negociaciones del modo extendido.

Otros eventos de inicio y cierre de sesión

Esta subcategoría notifica otros eventos relacionados con el inicio de sesión y el cierre de sesión, como las desconexiones y reconexión de una sesión de Servicios de Escritorio remoto, el uso de RunAs para ejecutar procesos en una cuenta diferente y el bloqueo y desbloqueo de una estación de trabajo.

La opción de cierre de sesión

Esta subcategoría informa cuando un usuario cierra la sesión del sistema. Estos eventos se producen en el equipo al que se accede. En el caso de los inicios de sesión interactivos, la generación de estos eventos se produce en el equipo en el que se ha iniciado sesión. Si se produce un inicio de sesión de red para acceder a un recurso compartido, estos eventos se generan en el equipo que hospeda el recurso al que se accede. Si esta opción está configurada en Sinauditoría, es difícil o imposible determinar a qué usuario ha accedido o ha intentado acceder a los equipos de la organización.

Bloqueo de cuenta

Esta subcategoría notifica cuándo se bloquea la cuenta de un usuario como resultado de demasiados intentos de inicio de sesión con errores.

Modo rápido de IPsec

Esta subcategoría informa de los resultados del protocolo IKE y AuthIP durante las negociaciones del modo rápido.

Inicio de sesión especial

Esta subcategoría notifica cuándo se usa un inicio de sesión especial. Un inicio de sesión especial es un inicio de sesión que tiene privilegios equivalentes de administrador y se puede usar para elevar un proceso a un nivel superior.

Cambio de directiva

Cambio de directiva de auditoría

Esta subcategoría informa de los cambios en la directiva de auditoría, incluidos los cambios de SACL.

Cambio de directiva de autenticación

Esta subcategoría informa de los cambios en la directiva de autenticación.

Cambio de directiva de autorización

Esta subcategoría notifica los cambios en la directiva de autorización, incluidos los cambios de permisos (DACL).

Cambio de directiva Rule-Level MPSSVC

Esta subcategoría notifica los cambios en las reglas de directiva que usa Servicio de protección de Microsoft (MPS) (MPSSVC.exe). Firewall de Windows usa este servicio.

Filtrado del cambio de directiva de plataforma

Esta subcategoría informa de la adición y eliminación de objetos de WFP, incluidos los filtros de inicio. Estos eventos pueden tener un volumen muy alto.

Otros eventos de cambio de directiva

Esta subcategoría informa de otros tipos de cambios de directiva de seguridad, como la configuración de los Módulo de plataforma segura (TPM) o los proveedores criptográficos.

Uso de privilegios

Uso de privilegios confidenciales

Esta subcategoría informa cuando una cuenta de usuario o servicio usa un privilegio confidencial. Un privilegio confidencial incluye los siguientes derechos de usuario: actuar como parte del sistema operativo, realizar una copia de seguridad de archivos y directorios, crear un objeto de token, depurar programas, permitir que las cuentas de equipo y de usuario sean de confianza para la delegación, generar auditorías de seguridad, suplantar un cliente después de la autenticación, cargar y descargar controladores de dispositivo, administrar auditorías y registros de seguridad, modificar valores de entorno de firmware, reemplace un token de nivel de proceso, restaure archivos y directorios y tome posesión de archivos u otros objetos. La auditoría de esta subcategoría creará un gran volumen de eventos.

Uso de privilegios insensateces

Esta subcategoría informa cuando una cuenta de usuario o servicio usa un privilegio sin sentido. Un privilegio sin sentido incluye los siguientes derechos de usuario: acceso Administrador de credenciales como llamador de confianza, acceso a este equipo desde la red, adición de estaciones de trabajo al dominio, ajuste de las cuotas de memoria para un proceso, permitir el inicio de sesión localmente, permitir el inicio de sesión a través de Servicios de Escritorio remoto, omitir la comprobación de recorrido, cambiar la hora del sistema, crear un archivo de paginación, crear objetos globales, crear objetos compartidos permanentes, crear vínculos simbólicos, denegar el acceso a este equipo desde la red, denegar el inicio de sesión como un trabajo por lotes, denegar el inicio de sesión como servicio, denegar el inicio de sesión localmente, denegar el inicio de sesión a través de Servicios de Escritorio remoto, forzar el cierre desde un sistema remoto, aumentar un conjunto de trabajo de proceso, aumentar la prioridad de programación, bloquear páginas en memoria, iniciar sesión como un trabajo por lotes, inicie sesión como servicio, modifique una etiqueta de objeto, realice tareas de mantenimiento del volumen, perfile un proceso único, rendimiento del sistema de perfiles, quite el equipo de la estación de acoplamiento, apague el sistema y sincronice los datos del servicio de directorio. La auditoría de esta subcategoría creará un volumen muy alto de eventos.

Otros eventos de uso de privilegios

Esta configuración de directiva de seguridad no se usa actualmente.

Acceso a objetos

Sistema de archivos

Esta subcategoría notifica cuándo se accede a los objetos del sistema de archivos. Solo los objetos del sistema de archivos con SACL hacen que se generen eventos de auditoría y solo cuando se accede a ellos de forma que coincidan con sus entradas sacl. Por sí sola, esta configuración de directiva no provocará la auditoría de ningún evento. Determina si se debe auditar el evento de un usuario que tiene acceso a un objeto del sistema de archivos que tiene una lista de control de acceso del sistema (SACL) especificada, lo que permite que se lleve a cabo la auditoría de forma eficaz.

Si la configuración de acceso al objeto de auditoría está configurada en Correcto,se genera una entrada de auditoría cada vez que un usuario accede correctamente a un objeto con una SACL especificada. Si esta configuración de directiva se configura como Error, se genera una entrada de auditoría cada vez que se produce un error en un usuario al intentar acceder a un objeto con una SACL especificada.

Registro

Esta subcategoría notifica cuándo se tiene acceso a los objetos del Registro. Solo los objetos del Registro con SACL hacen que se generen eventos de auditoría y solo cuando se accede a ellos de forma que coincidan con sus entradas sacl. Por sí sola, esta configuración de directiva no provocará la auditoría de ningún evento.

Objeto kernel

Esta subcategoría notifica cuándo se accede a objetos de kernel como procesos y exclusiones mutuas. Solo los objetos de kernel con SACL hacen que se generen eventos de auditoría y solo cuando se accede a ellos de forma que coincidan con sus entradas sacl. Normalmente, los objetos kernel solo reciben SACL si las opciones de auditoría AuditBaseObjects o AuditBaseDirectories están habilitadas.

SAM

Esta subcategoría notifica cuándo se accede a los objetos de base de datos de autenticación del Administrador de cuentas de seguridad (SAM) local.

Servicios de certificación

Esta subcategoría notifica cuándo se realizan las operaciones de Servicios de certificación.

Aplicación generada

Esta subcategoría informa cuando las aplicaciones intentan generar eventos de auditoría mediante Windows auditar interfaces de programación de aplicaciones (API).

Control de la manipulación

Esta subcategoría notifica cuándo se abre o cierra un identificador de un objeto. Solo los objetos con SACL hacen que se generen estos eventos y solo si la operación de identificador intentada coincide con las entradas sacl. Controlar eventos de manipulación solo se generan para los tipos de objeto en los que está habilitada la subcategoría de acceso a objetos correspondiente (por ejemplo, el sistema de archivos o el Registro).

Recurso compartido de archivos

Esta subcategoría notifica cuándo se tiene acceso a un recurso compartido de archivos. Por sí sola, esta configuración de directiva no provocará la auditoría de ningún evento. Determina si se debe auditar el evento de un usuario que accede a un objeto de recurso compartido de archivos que tiene una lista de control de acceso del sistema (SACL) especificada, lo que permite que se lleve a cabo la auditoría de forma eficaz.

Filtrado de la colocación de paquetes de plataforma

Esta subcategoría notifica cuándo se descartan los paquetes Windows plataforma de filtrado (WFP). Estos eventos pueden tener un volumen muy alto.

Filtrado de la conexión de plataforma

Esta subcategoría notifica cuándo WFP permite o bloquea las conexiones. Estos eventos pueden tener un gran volumen.

Otros eventos de acceso a objetos

Esta subcategoría notifica otros eventos relacionados con el acceso a objetos, como Programador de tareas trabajos y objetos COM+.

Sistema

Cambio de estado de seguridad

Esta subcategoría informa de los cambios en el estado de seguridad del sistema, como cuando se inicia y se detiene el subsistema de seguridad.

Extensión del sistema de seguridad

Esta subcategoría informa de la carga del código de extensión, como los paquetes de autenticación, por parte del subsistema de seguridad.

Integridad del sistema

Esta subcategoría informa sobre las infracciones de integridad del subsistema de seguridad.

Controlador IPsec

Esta subcategoría informa sobre las actividades del controlador de seguridad del protocolo de Internet (IPsec).

Otros eventos del sistema

Esta subcategoría informa sobre otros eventos del sistema.

Para obtener más información sobre las descripciones de subcategoría, consulte la herramienta Microsoft Security Compliance Manager.

Cada organización debe revisar las categorías y subcategorías cubiertas anteriores y habilitar las que mejor se adapten a su entorno. Los cambios en la directiva de auditoría siempre deben probarse antes de la implementación en un entorno de producción.

Configuración de la Windows auditoría de auditoría

Windows directiva de auditoría se puede establecer mediante directivas de grupo, auditpol.exe, API o ediciones del Registro. Los métodos recomendados para configurar la directiva de auditoría para la mayoría de las empresas directiva de grupo o auditpol.exe. La configuración de la directiva de auditoría de un sistema requiere permisos de cuenta de nivel de administrador o los permisos delegados adecuados.

Nota

El privilegio Administrar auditoría y registro de seguridad debe proporcionarse a las entidades de seguridad (los administradores lo tienen de forma predeterminada) para permitir la modificación de las opciones de auditoría de acceso a objetos de recursos individuales, como archivos, objetos Active Directory y claves del Registro.

Establecer Windows directiva de auditoría mediante directiva de grupo

Para establecer la directiva de auditoría mediante directivas de grupo, configure las categorías de auditoría adecuadas que se encuentran en Configuración del equipo\Windows Configuración\Seguridad Configuración\Directivas locales\Directiva de auditoría (vea la captura de pantalla siguiente para obtener un ejemplo de Editor de directivas de grupo local (gpedit.msc)). Cada categoría de directiva de auditoría se puede habilitar para los eventos Correcto,Erroro Correcto y Error.

monitoring AD

La directiva de auditoría avanzada se puede establecer mediante directivas Active Directory o de grupo local. Para establecer la directiva de auditoría avanzada, configure las subcategorías adecuadas que se encuentran en Configuración del equipo\Windows Configuración\Seguridad Configuración\Directiva de auditoría avanzada (vea la captura de pantalla siguiente para obtener un ejemplo de Editor de directivas de grupo local (gpedit.msc)). Cada subcategoría de directiva de auditoría se puede habilitar para los eventos Correcto,Erroro Correctoy Error.

Screenshot that shows an example from the Local Group Policy Editor (gpedit.msc).

Establecer Windows directiva de auditoría mediante Auditpol.exe

Auditpol.exe (para establecer Windows de auditoría) se introdujo en Windows Server 2008 y Windows Vista. Inicialmente, solo auditpol.exe podría usarse para establecer la directiva de auditoría avanzada, pero directiva de grupo se puede usar en Windows Server 2012, Windows Server 2008 R2 o Windows Server 2008, Windows 8 y Windows 7.

Auditpol.exe es una utilidad de línea de comandos. La sintaxis es la siguiente:

auditpol /set /<Category|Subcategory>:<audit category> /<success|failure:> /<enable|disable>

Auditpol.exe ejemplos de sintaxis:

auditpol /set /subcategory:"user account management" /success:enable /failure:enable

auditpol /set /subcategory:"logon" /success:enable /failure:enable

auditpol /set /subcategory:"IPSEC Main Mode" /failure:enable

Nota

Auditpol.exe establece la directiva de auditoría avanzada localmente. Si la directiva local entra en conflicto con Active Directory o con directiva de grupo local, directiva de grupo configuración suele prevalecer sobre auditpol.exe configuración. Cuando existen varios conflictos de directiva local o de grupo, solo se volverá a imponer una directiva (es decir, reemplazar). Las directivas de auditoría no se combinarán.

Scripting Auditpol

Microsoft proporciona un script de ejemplo para los administradores que desean establecer la directiva de auditoría avanzada mediante un script en lugar de escribir manualmente cada auditpol.exe comando.

Nota directiva de grupo no siempre informa con precisión del estado de todas las directivas de auditoría habilitadas, auditpol.exe sí. Consulte Getting the Effective Audit Policy in Windows 7 and Windows 2008 R2 (Obtención de la directiva de auditoría efectiva en Windows 7 y Windows 2008 R2) para obtener más detalles.

Otros comandos Auditpol

Auditpol.exe se puede usar para guardar y restaurar una directiva de auditoría local y para ver otros comandos relacionados con la auditoría. Estos son los otros comandos auditpol.

auditpol /clear - Se usa para borrar y restablecer las directivas de auditoría local

auditpol /backup /file:<filename> : se usa para realizar una copia de seguridad de una directiva de auditoría local actual en un archivo binario.

auditpol /restore /file:<filename> - Se usa para importar un archivo de directiva de auditoría guardado previamente en una directiva de auditoría local.

auditpol /<get/set> /option:<CrashOnAuditFail> /<enable/disable> - Si esta configuración de directiva de auditoría está habilitada, hace que el sistema se detenga inmediatamente (con el mensaje STOP: C0000244 {Audit Failed} ) si no se puede registrar una auditoría de seguridad por cualquier motivo. Normalmente, no se puede registrar un evento cuando el registro de auditoría de seguridad está lleno y el método de retención especificado para el registro de seguridad es No sobrescribir eventos o Sobrescribir eventos por días. Normalmente, solo lo habilitan los entornos que necesitan una mayor garantía de que el registro de seguridad está registrando. Si está habilitada, los administradores deben observar estrechamente el tamaño del registro de seguridad y rotar los registros según sea necesario. También se puede establecer con directiva de grupo modificando la opción de seguridad Audit: Shut down system immediately if unable to log security audits (default=disabled).

auditpol /<get/set> /option:<AuditBaseObjects> /<enable/disable> - Esta configuración de directiva de auditoría determina si se debe auditar el acceso de los objetos del sistema global. Si esta directiva está habilitada, hace que los objetos del sistema, como exclusiones mutuas, eventos, semáforos y dispositivos DOS, se cree con una lista de control de acceso del sistema (SACL) predeterminada. La mayoría de los administradores consideran que la auditoría de objetos del sistema global es demasiado "ruidosa", y solo lo habilitarán si se sospecha de piratería malintencionada. Solo a los objetos con nombre se les da una SACL. Si la directiva de auditoría de acceso a objetos de auditoría (o subcategoría de auditoría de objetos kernel) también está habilitada, se audita el acceso a estos objetos del sistema. Al configurar esta configuración de seguridad, los cambios no se harán efectivos hasta que se reinicie Windows. Esta directiva también se puede establecer con directiva de grupo modificando la opción de seguridad Auditar el acceso de objetos globales del sistema (default=disabled).

auditpol /<get/set> /option:<AuditBaseDirectories> /<enable/disable> - Esta configuración de directiva de auditoría especifica que los objetos de kernel con nombre (como exclusiones mutuas y semáforos) se les deben dar SACL cuando se crean. AuditBaseDirectories afecta a los objetos de contenedor, mientras que AuditBaseObjects afecta a los objetos que no pueden contener otros objetos.

auditpol /<get/set> /option:<FullPrivilegeAuditing> /<enable/disable> - Esta configuración de directiva de auditoría especifica si el cliente genera un evento cuando uno o varios de estos privilegios se asignan a un token de seguridad de usuario: AssignPrimaryTokenPrivilege, AuditPrivilege, BackupPrivilege, CreateTokenPrivilege, DebugPrivilege, EnableDelegationPrivilege, ImpersonatePrivilege, LoadDriverPrivilege, RestorePrivilege, SecurityPrivilege, SystemEnvironmentPrivilege, TakeOwnershipPrivilege y TcbPrivilege. Si esta opción no está habilitada (default=Disabled), no se registran los privilegios BackupPrivilege y RestorePrivilege. La habilitación de esta opción puede hacer que el registro de seguridad sea extremadamente ruidoso (a veces cientos de eventos por segundo) durante una operación de copia de seguridad. Esta directiva también se puede establecer con directiva de grupo modificando la opción de seguridad Audit: Auditarel uso de los privilegios de copia de seguridad y restauración .

Nota

Parte de la información proporcionada aquí se tomó del tipo de opción de auditoría de Microsoft y de la herramienta SCM de Microsoft.

Aplicación de auditoría tradicional o auditoría avanzada

En Windows Server 2012, Windows Server 2008 R2, Windows Server 2008, Windows 8, Windows 7 y Windows Vista, los administradores pueden optar por habilitar las nueve categorías tradicionales o usar las subcategorías. Se trata de una opción binaria que debe realizarse en cada Windows sistema. Se pueden habilitar las categorías principales o las subcategorías, no puede ser ambas.

Para evitar que la directiva de categorías tradicional heredada sobrescriba las subcategorías de directiva de auditoría, debe habilitar la opción Forzar configuración de subcategoría de directiva de auditoría (Windows Vista o posterior) para invalidar la configuración de configuración de categoría de directiva de auditoría que se encuentra en Configuración del equipo\Windows Configuración\Seguridad Configuración \Directivas locales\Opciones de seguridad.

Se recomienda habilitar y configurar las subcategorías en lugar de las nueve categorías principales. Esto requiere que se habilite una configuración de directiva de grupo (para permitir que las subcategorías invalide las categorías de auditoría) junto con la configuración de las distintas subcategorías que admiten directivas de auditoría.

La auditoría de subcategorías se puede configurar mediante varios métodos, incluidos directiva de grupo y el programa de línea de comandos, auditpol.exe.

Pasos siguientes