Configuración avanzada de políticas de auditoría en Windows Server 2016 – informaticamadridmayor

por | Feb 25, 2022 | Admin

La configuración avanzada de políticas de auditoría en Windows Server le permite recopilar información sobre varios eventos granulares a nivel del servidor o del dominio de AD. En este artículo, le mostraremos cómo habilitar y usar la política de auditoría de seguridad avanzada con las políticas de grupo y la herramienta auditpol.exe en Windows Server 2016.

Las políticas de auditoría de seguridad avanzadas aparecieron por primera vez en Windows Server 2008 R2 (Windows 7) y le permiten habilitar más de 60 políticas de auditoría diferentes.

Configuración de políticas de auditoría a través de la política de grupo

Puede ver una lista de políticas de auditoría disponibles en Windows Server 2016 mediante el Editor de políticas de grupo local.

Ejecute la consola gpedit.msc y vaya a la siguiente sección Configuración > Políticas > Configuración de Windows > Configuración de seguridad > Configuración avanzada de políticas de auditoría > Políticas de auditoría del sistema. Como puede ver, todas las políticas de auditoría se dividen en 10 categorías:

  • inicio de sesión de la cuenta;
  • Administración de cuentas;
  • Seguimiento detallado;
  • Acceso DS;
  • Inicio/Cierre de sesión;
  • acceso a objetos;
  • cambio de política;
  • uso de privilegios;
  • Sistema;
  • Auditoría de acceso a objetos globales.

Cada sección tiene varias subcategorías de eventos de auditoría. Por ejemplo, en la sección Gestión de cuentas hay varias políticas de auditoría avanzadas:

  • Gestión de grupos de aplicaciones de auditoría;
  • Gestión de cuentas informáticas de auditoría;
  • Gestión del Grupo de Distribución de Auditoría;
  • Auditar otros eventos de gestión de cuentas;
  • Gestión del Grupo de Seguridad de Auditoría;
  • Gestión de cuentas de usuario de auditoría.

Todas las políticas de auditoría avanzadas están deshabilitadas de forma predeterminada.

Por ejemplo, desea auditar todos los eventos de cambio en el Grupos de seguridad de Active Directory. Para hacerlo, debe habilitar la política Audit Security Group Management en Política de controladores de dominio predeterminados. Abra la Consola de administración de políticas de grupo (gpmc.msc), expanda Bosque > Dominios > sudominio.com > Controladores de dominio, haga clic con el botón derecho en Política de controladores de dominio predeterminados y seleccione Editar.

Vaya a la sección GPO Comp Configuration > Policies > Windows Settings > Security Settings > Advanced Audit Policy Configuration > Audit Policies > Account Management > seleccione Audit Security Group Management. Habilite la política: "Configurar los siguientes eventos de auditoría" y seleccione tanto "Éxito" como "Error" para que se auditen en los registros de seguridad.

configuración de política de auditoría avanzada windows 10

Actualice la configuración de la política de grupo en el controlador de dominio mediante el comando gpupdate.

Ahora intente realizar cualquier operación con cualquier grupo de AD (crear grupo, cambiar membresía, etc.). En el Visor de eventos > Registros de Windows > Aparecerán los eventos de registro de seguridad de la fuente de auditoría de seguridad de Microsoft Windows.

Para mayor comodidad, puede habilitar el filtro de origen de eventos (haga clic con el botón derecho en Seguridad > Filtrar registro actual > Origen de evento: auditoría de seguridad de Microsoft Windows, Categoría de tarea: Administración de grupos de seguridad).

habilitar la configuración avanzada de políticas de auditoría

Ahora, solo los eventos de administración de grupos de AD permanecerán en el registro de seguridad, por ejemplo:

  • EventID 4727: se creó un grupo global con seguridad habilitada;
  • EventID 4728: se agregó un miembro a un grupo global con seguridad habilitada;
  • EventID 4729: se eliminó un miembro de un grupo global con seguridad habilitada;
  • EventID 4730: se eliminó un grupo global con seguridad habilitada.

Puede obtener información detallada sobre quién y qué cambios se realizaron en el grupo AD en la descripción del evento.

configuración de auditoría avanzada

Diferentes políticas de auditoría avanzada pueden requerir una configuración adicional. Por ejemplo, para habilitar la auditoría del acceso a carpetas compartidas (Acceso a objetos > Auditoría de recursos compartidos de archivos), debe habilitar adicionalmente la auditoría en las propiedades de la carpeta para la que desea recopilar eventos de auditoría.

Administre políticas de auditoría avanzadas con AuditPol

En una computadora separada, puede ver las políticas de auditoría actuales y habilitarlas/deshabilitarlas usando la herramienta AuditPol.exe incorporada.

Enumere todas las categorías de auditoría:

auditpol /list /category /v

Mostrar una lista de todas las subcategorías de auditoría:

auditpol /list /subcategory:*

Compruebe si las políticas de auditoría de la categoría Acceso a objetos están habilitadas:

auditpol /get /category:"Object Access"

ventanas de configuración de auditoría avanzada

Para habilitar la auditoría de acceso al registro, use el siguiente comando:

auditpol /set /subcategory:"Registry" /success:enable /failure:enable

ventanas de configuración de política de auditoría avanzada

Para deshabilitar una política de auditoría:

auditpol /set /subcategory:"Registry" /success:disable

Con las opciones /backup y /restore, puede guardar la configuración actual de la política de auditoría e importarla a otra computadora/servidor.

Recomendado para ti

Artículos relacionados: