auditoria , directivas de auditoria, configuración de auditoria
TRANSCRIPT
![Page 1: Auditoria , directivas de auditoria, configuración de Auditoria](https://reader030.vdocuments.co/reader030/viewer/2022012318/556438d0d8b42ace308b4e65/html5/thumbnails/1.jpg)
![Page 2: Auditoria , directivas de auditoria, configuración de Auditoria](https://reader030.vdocuments.co/reader030/viewer/2022012318/556438d0d8b42ace308b4e65/html5/thumbnails/2.jpg)
AuditoríaEn Windows Server® 2008 se puede
establecer un proceso de auditoría de Active Directory® Domain Services (AD DS) con una nueva subcategoría de política de auditoría (Directory Service Changes) capaz de registrar los valores previos y posteriores a un cambio realizado sobre un objeto de AD DS y sus atributos.
![Page 3: Auditoria , directivas de auditoria, configuración de Auditoria](https://reader030.vdocuments.co/reader030/viewer/2022012318/556438d0d8b42ace308b4e65/html5/thumbnails/3.jpg)
AuditoríaLa política global de auditoría "Audit directory
service access" controla si la auditoría de eventos del servicio de directorio está habilitada o deshabilitada. Este parámetro de seguridad determina si los eventos se deben registrar en el log de Seguridad cuando tienen lugar ciertos tipos concretos de operaciones sobre los objetos en el directorio. Se pueden también controlar las operaciones a auditar simplemente modificando las listas de control de accesos al sistema (SACL) de un objeto. En Windows Server 2008 esta política está habilitada por defecto
![Page 4: Auditoria , directivas de auditoria, configuración de Auditoria](https://reader030.vdocuments.co/reader030/viewer/2022012318/556438d0d8b42ace308b4e65/html5/thumbnails/4.jpg)
Directivas de Auditoria
![Page 5: Auditoria , directivas de auditoria, configuración de Auditoria](https://reader030.vdocuments.co/reader030/viewer/2022012318/556438d0d8b42ace308b4e65/html5/thumbnails/5.jpg)
Valores de auditoríaLas vulnerabilidades, contramedidas y posibles impactos de todos los valores de configuración de auditoría son idénticos, por lo que sólo se detallan una vez en los siguientes párrafos. Debajo de esos párrafos se incluyen breves explicaciones de cada valor.Las opciones para los valores de configuración de auditoría son:CorrectoErróneoSin auditoría
![Page 6: Auditoria , directivas de auditoria, configuración de Auditoria](https://reader030.vdocuments.co/reader030/viewer/2022012318/556438d0d8b42ace308b4e65/html5/thumbnails/6.jpg)
Auditar sucesos de inicio de sesión de cuenta
El valor de configuración Auditar sucesos de inicio de sesión de cuenta determina si se debe auditar cada instancia de un usuario que inicie o cierre una sesión desde otro equipo, en la que el equipo que registra el suceso de auditoría se utiliza para validar la cuenta.
![Page 7: Auditoria , directivas de auditoria, configuración de Auditoria](https://reader030.vdocuments.co/reader030/viewer/2022012318/556438d0d8b42ace308b4e65/html5/thumbnails/7.jpg)
Auditar la administración de cuentas
El valor de configuración Auditar la administración de cuentas determina si se deben auditar todos los sucesos de administración de cuentas de un equipo.
![Page 8: Auditoria , directivas de auditoria, configuración de Auditoria](https://reader030.vdocuments.co/reader030/viewer/2022012318/556438d0d8b42ace308b4e65/html5/thumbnails/8.jpg)
Auditar el acceso del servicio de directorio
El valor de configuración Auditar el acceso del servicio de directoriodetermina si se debe auditar el suceso de un usuario que tiene acceso a un objeto de Microsoft Active Directory que tiene su propia lista de control de acceso al sistema (SACL) especificada.
![Page 9: Auditoria , directivas de auditoria, configuración de Auditoria](https://reader030.vdocuments.co/reader030/viewer/2022012318/556438d0d8b42ace308b4e65/html5/thumbnails/9.jpg)
Auditar sucesos de inicio de sesión
El valor de configuración Auditar sucesos de inicio de sesióndetermina si se debe auditar cada instancia de un usuario que inicie, cierre una sesión o realice una conexión de red al equipo que registra el suceso de auditoría.
![Page 10: Auditoria , directivas de auditoria, configuración de Auditoria](https://reader030.vdocuments.co/reader030/viewer/2022012318/556438d0d8b42ace308b4e65/html5/thumbnails/10.jpg)
Auditar el acceso a objetosEl valor de configuración Auditar el acceso
a objetos determina si se debe auditar el suceso de un usuario que obtiene acceso a un objeto como, por ejemplo, un archivo, una carpeta, una clave de Registro, una impresora, etc., que tiene su propia lista de control de acceso al sistema especificada.
![Page 11: Auditoria , directivas de auditoria, configuración de Auditoria](https://reader030.vdocuments.co/reader030/viewer/2022012318/556438d0d8b42ace308b4e65/html5/thumbnails/11.jpg)
Auditar el cambio de directivasEl valor de configuración Auditar el cambio
de directivas determina si se debe auditar cada caso de cambio de las directivas de asignación de derechos de usuario, de auditoría o de confianza. Si define este valor de configuración de directiva, puede especificar si desea auditar los aciertos, los errores o no auditar el tipo de suceso.
![Page 12: Auditoria , directivas de auditoria, configuración de Auditoria](https://reader030.vdocuments.co/reader030/viewer/2022012318/556438d0d8b42ace308b4e65/html5/thumbnails/12.jpg)
Auditar el uso de privilegios
El valor de configuración Auditar el uso de privilegios determina si se debe auditar cada caso en el que un usuario ejecute un derecho de usuario. Si define este valor de configuración de directiva, puede especificar si desea auditar los aciertos, los errores o no auditar el tipo de suceso.
![Page 13: Auditoria , directivas de auditoria, configuración de Auditoria](https://reader030.vdocuments.co/reader030/viewer/2022012318/556438d0d8b42ace308b4e65/html5/thumbnails/13.jpg)
Auditar el seguimiento de procesos
El valor de configuración Auditar el seguimiento de procesosdetermina si se debe auditar información de seguimiento detallada de sucesos como la activación de programas, la salida de procesos, la duplicación de identificadores y el acceso indirecto a obje
![Page 14: Auditoria , directivas de auditoria, configuración de Auditoria](https://reader030.vdocuments.co/reader030/viewer/2022012318/556438d0d8b42ace308b4e65/html5/thumbnails/14.jpg)
Auditar sucesos del sistemaEl valor de configuración Auditar sucesos
del sistema determina si se debe auditar el reinicio o cierre de un equipo realizado por un usuario o un suceso que afecte a la seguridad del sistema o al registro de seguridad.
![Page 15: Auditoria , directivas de auditoria, configuración de Auditoria](https://reader030.vdocuments.co/reader030/viewer/2022012318/556438d0d8b42ace308b4e65/html5/thumbnails/15.jpg)
Configuración de la auditoria
![Page 16: Auditoria , directivas de auditoria, configuración de Auditoria](https://reader030.vdocuments.co/reader030/viewer/2022012318/556438d0d8b42ace308b4e65/html5/thumbnails/16.jpg)
Configuración de la auditoriaPaso 1: Configurar la infraestructura
Para preparar el entorno de prueba en el dominio de CONTOSO, debe completar las tareas siguientes:
Configure el controlador de dominio (CONTOSO-DC).
Configure el servidor miembro (CONTOSO-SRV).
Configure el equipo cliente (CONTOSO-CLNT)
![Page 17: Auditoria , directivas de auditoria, configuración de Auditoria](https://reader030.vdocuments.co/reader030/viewer/2022012318/556438d0d8b42ace308b4e65/html5/thumbnails/17.jpg)
Paso 2: Crear y comprobar una directiva de auditoría avanzada
Las nueve directivas de auditoría básicas que se encuentran en Directivas de seguridad local\Configuración de Windows\Directivas locales\Directiva de auditoría
![Page 18: Auditoria , directivas de auditoria, configuración de Auditoria](https://reader030.vdocuments.co/reader030/viewer/2022012318/556438d0d8b42ace308b4e65/html5/thumbnails/18.jpg)
Para establecer una configuración de directiva de auditoría de inicio de sesión de
dominio avanzadaInicie sesión en CONTOSO-SRV como
miembro del grupoAdministradores local.Haga clic en Inicio,
seleccione Herramientas administrativas y, a continuación, haga clic en Administración de directivas de grupo.
En el árbol de consola, haga doble clic en Bosque: contoso.com, haga doble clic en Dominios y, a continuación, haga doble clic encontoso.com.
![Page 19: Auditoria , directivas de auditoria, configuración de Auditoria](https://reader030.vdocuments.co/reader030/viewer/2022012318/556438d0d8b42ace308b4e65/html5/thumbnails/19.jpg)
Haga clic con el botón secundario en Directiva predeterminada de dominio y, a continuación, haga clic en Editar.Haga doble clic en Configuración del equipo, haga doble clic enDirectivas y, a continuación, haga doble clic en Configuración de Windows.Haga doble clic en Configuración de seguridad, haga doble clic en Configuración de directiva de auditoría avanzada y, a continuación, haga doble clic en Directivas de auditoría del sistema.
![Page 20: Auditoria , directivas de auditoria, configuración de Auditoria](https://reader030.vdocuments.co/reader030/viewer/2022012318/556438d0d8b42ace308b4e65/html5/thumbnails/20.jpg)
Haga doble clic en Inicio y cierre de sesión y, a continuación, haga doble clic en Inicio de sesión.
Active la casilla Configurar los siguientes eventos de auditoría, active la casilla Aciertos, active la casilla Errores y, a continuación, haga clic en Aceptar
![Page 21: Auditoria , directivas de auditoria, configuración de Auditoria](https://reader030.vdocuments.co/reader030/viewer/2022012318/556438d0d8b42ace308b4e65/html5/thumbnails/21.jpg)
Para comprobar que la configuración de directiva de auditoría de seguridad de inicio de sesión avanzada se aplicó correctamente
Inicie sesión en CONTOSO-CLNT como CONTOSO\Administrador.
Haga clic en Inicio, seleccione Todos los programas, haga clic en Accesorios, haga clic con el botón secundario en Símbolo del sistema y, a continuación, haga clic en Ejecutar como administrador.
![Page 22: Auditoria , directivas de auditoria, configuración de Auditoria](https://reader030.vdocuments.co/reader030/viewer/2022012318/556438d0d8b42ace308b4e65/html5/thumbnails/22.jpg)
Si aparece el cuadro de diálogo Control de cuentas de usuario, confirme que la acción que muestra es la que desea y, a continuación, haga clic en Sí.
Escriba auditpol.exe /get /category:* y presione ENTRAR.
Compruebe que aparece Aciertos, Errores o Aciertos y errores a la derecha de Inicio de sesión.