Auditoría

  • Artículo
  • Tiempo de lectura: 3 minutos

El Windows Filtering Platform (PMA) proporciona auditoría de eventos relacionados con firewall e IPsec. Estos eventos se almacenan en el registro de seguridad del sistema.

Los eventos auditados son los siguientes.

Categoría auditoría Subcategoría de auditoría Eventos auditados
Cambio de directiva
{6997984D-797A-11D9-BED3-505054503030}
 Cambio de directiva de plataforma de filtrado
{0CCE9233-69AE-11D9-BED3-505054503030}
[! Nota]
Los números representan los identificadores de evento tal y como se muestran en Visor de eventos (eventvwr.exe).

Adición y eliminación de objetos DE PMA:
  • Se ha agregado una llamada persistente 5440
  • 5441 Tiempo de arranque o filtro persistente agregado
  • Se ha agregado el proveedor persistente 5442
  • Se agregó el contexto del proveedor persistente 5443
  • 5444 Subcapa persistente agregada
  • 5446 Llamada en tiempo de ejecución agregada o eliminada
  • 5447 Filtro en tiempo de ejecución agregado o quitado
  • 5448 Proveedor en tiempo de ejecución agregado o quitado
  • 5449 Contexto del proveedor en tiempo de ejecución agregado o quitado
  • 5450 Subcapa en tiempo de ejecución agregado o quitado
Acceso a objetos
{6997984A-797A-11D9-BED3-505054503030}
 Filtrado de la colocación de paquetes de plataforma
{0CCE9225-69AE-11D9-BED3-505054503030}
 Paquetes descartados por EL PMA:
  • 5152 Paquete descartado
  • 5153 Paquete vetado
Acceso a objetos
 Filtrado de la conexión de la plataforma
{0CCE9226-69AE-11D9-BED3-505054503030}
 Conexiones permitidas y bloqueadas:
  • 5154 Escucha permitida
  • 5155 Escucha bloqueada
  • 5156 Conexión permitida
  • 5157 Conexión bloqueada
  • 5158 Bind permitido
  • 5159 Enlace bloqueado
[! Nota]
Las conexiones permitidas no siempre auditan el identificador del filtro asociado. FilterID para TCP será 0 a menos que se use un subconjunto de estas condiciones de filtrado: UserID, AppID, Protocol, Puerto remoto.
Acceso a objetos
 Otros eventos de acceso a objetos
{0CCE9227-69AE-11D9-BED3-505054503030}
[! Nota]
Esta subcategoría permite muchas auditorías. Las auditorías específicas del PMA se enumeran a continuación.

Estado de prevención de denegación de servicio:
  • 5148 Modo de prevención de doS del PMA iniciado
  • 5149 Modo de prevención doS del PMA detenido
Inicio/cierre de sesión
{69979849-797A-11D9-BED3-505054503030}
 Modo principal de IPsec
{0CCE9218-69AE-11D9-BED3-505054503030}
 Negociación del modo principal de IKE y AuthIP:
  • 4650, 4651 Asociación de seguridad establecida
  • Error de negociación 4652, 4653
  • 4655 La asociación de seguridad finalizó
Inicio/cierre de sesión
 Modo rápido de IPsec
{0CCE9219-69AE-11D9-BED3-505054503030}
 Negociación del modo rápido de IKE y AuthIP:
  • 5451 Asociación de seguridad establecida
  • 5452 Asociación de seguridad finalizada
  • Error de negociación 4654
Inicio/cierre de sesión
 Modo extendido IPsec
{0CCE921A-69AE-11D9-BED3-505054503030}
 Negociación del modo extendido de AuthIP:
  • 4978 Paquete de negociación no válido
  • 4979, 4980, 4981, 4982 Asociación de seguridad establecida
  • Error de negociación 4983, 4984
Sistema
{69979848-797A-11D9-BED3-505054503030}
 Controlador IPsec
{0CCE9213-69AE-11D9-BED3-505054503030}
 Paquetes descartados por el controlador IPsec:
  • Paquete de texto no cifrado de entrada 4963 descartado

De forma predeterminada, la auditoría para EL PMA está deshabilitada.

La auditoría se puede habilitar por categoría mediante el complemento MMC del Editor de objetos de directiva de grupo, el complemento MMC de directiva de seguridad local o el comando auditpol.exe.

Por ejemplo, para habilitar la auditoría de eventos de cambio de directiva, puede hacer lo siguiente:

  • Usar el Editor de objetos directiva de grupo

    1. Ejecute gpedit.msc.
    2. Expanda Directiva de equipo local.
    3. Expanda la opción Configuración del equipo.
    4. Expanda Windows Configuración.
    5. Expanda Seguridad Configuración.
    6. Expanda Directivas locales.
    7. Haz clic en Directiva de auditoría.
    8. Haga doble clic en Auditar cambio de directiva para iniciar el cuadro de diálogo Propiedades.
    9. Active las casillas Correcto y Error.

  • Usar la directiva de seguridad local

    1. Ejecute secpol.msc.
    2. Expanda Directivas locales.
    3. Haz clic en Directiva de auditoría.
    4. Haga doble clic en Auditar cambio de directiva para iniciar el cuadro de diálogo Propiedades.
    5. Active las casillas Correcto y Error.

  • Uso del comando auditpol.exe

    • auditpol /set /category:"Policy Change" /success:enable /failure:enable

La auditoría solo se puede habilitar por subcategoría mediante el comando auditpol.exe.

Los nombres de categoría y subcategoría de auditoría se localizan. Para evitar la localización de scripts de auditoría, se pueden usar los GUID correspondientes en lugar de los nombres.

Por ejemplo, para habilitar la auditoría de los eventos Filtering Platform Policy Change, puede usar uno de los siguientes comandos:

  • auditpol /set /subcategory:"Filtering Platform Policy Change" /success:enable /failure:enable
  • auditpol /set /subcategory:"{0CCE9233-69AE-11D9-BED3-505054503030}" /success:enable /failure:enable

Auditpol

Registro de eventos

Directiva de grupo