Un administrador puede usar los eventos de seguridad de auditoría para obtener información confiable sobre todos los eventos en el sistema, monitorear las actividades de los usuarios y usar la información para identificar vulnerabilidades en la seguridad del servidor. En Windows, dichos eventos se registran en el registro de seguridad del sistema operativo. En este artículo, le mostraremos cómo configurar políticas de auditoría de seguridad en Windows usando el ejemplo de configuración de auditoría de acceso a archivos y carpetas.

Puede usar la consola de políticas de grupo para configurar políticas de auditoría en Windows. Si está configurando políticas para equipos/servidores de dominio, use el Consola de administración de directivas de grupo (gpmc.msc). Puedes usar el Editor de directivas de grupo local consola (gpedit.msc) al configurar la política de auditoría en un servidor independiente o en un grupo de trabajo.

Hay dos secciones en la consola de GPO, que contienen políticas de auditoría básicas y avanzadas.

La política de auditoría básica se encuentra en la sección GPO: Configuracion de Computadora > Configuración de Windows > Configuraciones de seguridad > Políticas locales > Política de auditoría. Las siguientes categorías de eventos están disponibles en él:

  • Auditar eventos de inicio de sesión de cuenta;
  • Gestión de cuentas de auditoría;
  • Auditoría de acceso al servicio de directorio;
  • Auditar eventos de inicio de sesión;
  • Acceso a objetos de auditoría;
  • Cambio de política de auditoría;
  • Uso de privilegios de auditoría;
  • Seguimiento del proceso de auditoría;
  • Eventos del sistema de auditoría.

Las políticas de auditoría avanzada se encuentran en la sección: Configuración del equipo > Configuración de Windows > Configuración de seguridad > Configuración avanzada de políticas de auditoría. Hay 60 políticas de auditoría diferentes, divididas en 10 categorías.

  • inicio de sesión de la cuenta;
  • Administración de cuentas;
  • Seguimiento detallado;
  • Acceso DS;
  • Inicio/Cierre de sesión;
  • acceso a objetos;
  • cambio de política;
  • uso de privilegios;
  • Sistema;
  • Auditoría de acceso a objetos globales.

En la mayoría de los casos, debe usar políticas de auditoría de la sección Configuración avanzada de políticas de auditoría; le permiten ajustar la auditoría y excluir eventos de seguridad innecesarios.

Antes de habilitar las políticas de auditoría de Windows, le recomendamos aumentar el tamaño máximo del registro de seguridad de 128 Mb (por defecto en Windows Server).

ejecutar el Visor de eventos consola (eventvwr.msc), expandir Registros de Windowsy abra el Seguridad propiedades de registro. Aumenta el valor en el Tamaño máximo de registro (KB) campo.

Política de auditoría de Windows 10

Ahora debe configurar la política para auditar el acceso de los usuarios a los archivos y carpetas en la carpeta de red compartida. Ve a la Política de auditoría avanzada > Acceso a objetos sección. Abra las propiedades de la Compartir archivos de auditoría y Sistema de archivos de auditoría subcategorías.

Habilite la política: Configure los siguientes eventos de auditoría.

Especifique qué eventos deben registrarse en el registro de seguridad:

  • Éxito — acceso exitoso del usuario a los objetos en la carpeta compartida
  • Falla — eventos de acceso fallido a carpetas.

En nuestro caso, basta con auditar solo los eventos de Éxito.

política de auditoría windows 10

Ahora debe asignar una política de auditoría a la carpeta compartida (crear listas de control de acceso al sistema: SACL).

Ahora abra las propiedades de la carpeta de red, vaya a Seguridad pestaña > Avanzado > Revisión de cuentas pestaña > Continuar.

políticas de auditoría de seguridad

Haga clic en el Agregar > Seleccione un director y agregar principales: estos son usuarios o grupos (locales o de Active Directory) cuyas actividades desea auditar. Agregamos el Usuarios de dominio o Todo el mundo grupos (esto significa que auditaremos el acceso a la carpeta de red compartida para todos los usuarios).
A continuación, en el permisos sección, especifique qué acciones del usuario deben registrarse. Seleccioné eventos de la Borrar categoría.

permisos de política de auditoría de Windows

Guarde los cambios y actualice las políticas en la computadora usando el comando gpupdate:

gpupdate /force

Ahora, si algún usuario elimina un archivo o carpeta en su carpeta de red, un evento con EventID 4660 desde el Seguridad de Microsoft Windows fuente con categoría de tarea Sistema de archivos Aparecerá "Se eliminó un objeto" en el registro de seguridad.

El evento contiene el usuario que eliminó el archivo (Nombre de cuenta).

ejemplos de auditpol

No se recomienda habilitar muchos eventos de auditoría a la vez; esto puede aumentar la carga en la computadora. Además, es difícil buscar una gran cantidad de eventos de seguridad.

También puede administrar las políticas de auditoría a través de la auditpol.exe herramienta de línea de comandos.

Para mostrar información sobre todas las políticas de auditoría habilitadas, ejecute el comando:

auditpol /get /category:*

auditpol

Para habilitar una política de auditoría específica, se utiliza la siguiente sintaxis:

auditpol /set /subcategory:"Registry" /success:enable

Para restablecer las políticas de auditoría a su estado limpio, use el comando:

AuditPol /clear

Recomendado para ti