guía paso a paso de la directiva de auditoría de seguridad avanzada

19/12/12Guía paso a paso de la directiva de auditoría de seguridad avanzada

1/18

Acerca de esta guía

Guía paso a paso de la directiva de auditoríade seguridad avanzada

Actualizado: junio de 2011

Se aplica a: Windows Server 2008, Windows Server 2008 R2

Las mejoras de auditoría de seguridad en Windows Server 2008 R2 y Windows 7 permiten que unaorganización pueda auditar el cumplimiento de reglas empresariales y de seguridad importantes medianteun seguimiento de actividades definidas con precisión, como por ejemplo:

Un administrador de grupos modificó la configuración o los datos en los servidores que contieneninformación financiera.

Un empleado de un grupo definido obtuvo acceso a un archivo importante.

La lista de control de acceso del sistema (SACL) correcta se aplica a cada archivo y carpeta oclave del Registro en un recurso compartido de archivo o equipo como una medida de seguridadcomprobable frente a accesos no detectados.

En Windows 7 y Windows Server 2008 R2, el número de opciones de configuración de auditoría para lasque se puede realizar un seguimiento de aciertos y errores ha aumentado a 53. Anteriormente, habíanueve opciones de configuración de auditoría básicas en Configuración delequipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivaslocales\Directiva de auditoría. Estas 53 opciones nuevas permiten al usuario seleccionar solamentelos comportamientos que desee controlar y excluir los resultados de auditoría de los comportamientosque no son importantes o que crean un excesivo número de entradas en el registro. Además, debido aque la directiva de auditoría de seguridad de Windows 7 y Windows Server 2008 R2 puede aplicarsemediante la directiva de grupo de dominio, las opciones de configuración de directiva de auditoría sepueden modificar, probar e implementar en usuarios y grupos seleccionados con relativa sencillez.

Esta guía paso a paso demuestra el proceso de configuración de una infraestructura avanzada dedirectivas de auditoría de seguridad de Windows 7 y Windows Server 2008 R2 en un entorno de prueba.También sirve de guía en el proceso de configuración de algunas opciones representativas de directivade auditoría de seguridad avanzada. Cuando complete estas tareas iniciales, se recomienda que use losprocedimientos de esta guía para elegir, configurar, aplicar y evaluar opciones adicionales deconfiguración de la directiva de auditoría de seguridad.

Durante este proceso, se creará un dominio de Active Directory, se instalará Windows Server 2008 R2en un servidor miembro, se instalará Windows 7 en un equipo cliente y se configurarán opcionesavanzadas de directiva de auditoría de seguridad, incluida la auditoría de acceso a objetos global.Además, en este documento se explicará cómo examinar los nuevos datos de "razón de acceso"disponibles mediante una serie de nuevas opciones de configuración de directiva de auditoría.

Una vez finalizado, puede usar este entorno de prueba para aplicar diferentes conjuntos de opciones deconfiguración de directiva de auditoría de seguridad avanzada de Windows Server 2008 R2 y evaluar laforma en que se pueden usar para mejorar la seguridad en su organización.

Después de completar los pasos de esta guía, podrá:

Crear y aplicar opciones de configuración de directiva de auditoría de seguridad avanzada en ungrupo definido de equipos de su organización.

http://technet.microsoft.com/es-es/default.aspx


2/18technet.microsoft.com/es-es/library/dd408940(d=printer,v=ws.10).aspx

Importante

Nota

Nota

Implementación de opciones de configuración de directiva de auditoría avanzada en un entorno de pru

eba

Verificar que las opciones de configuración de directiva de auditoría se han aplicado a un grupodefinido de equipos cliente en su organización.

Usar datos de eventos de seguridad de "razón de acceso" nuevos para identificar los permisosutilizados y determinar si se activó un evento de seguridad concreto.

Configurar, aplicar y analizar el impacto de diferentes opciones de configuración de directiva deauditoría para identificar las opciones importantes para su organización.

Administrar la auditoría por usuario en Windows 7 y Windows Server 2008 R2.

Después de completar esta guía paso a paso, tendrá una infraestructura de auditoría de seguridadavanzada. Luego podrá probar y obtener más información acerca de otras opciones de configuración dedirectiva de auditoría de seguridad avanzada. Para ello, inicie sesión en CONTOSO-CLNT y asegúrese deque se aplica la directiva de auditoría correcta en el equipo.

Se recomienda que primero siga los procedimientos indicados en la presente guía en un entorno delaboratorio de pruebas. Las guías paso a paso no se utilizan para implementar características deWindows sin documentación ni planeación adicional de la implementación.

El entorno de prueba descrito en esta guía incluye tres equipos conectados a una red privada que usanlos siguientes sistemas operativos, aplicaciones y servicios:

Nombrede equipo

Sistema operativo Aplicaciones y servicios

CONTOSO-DC

Windows Server 2008 R2

Windows Server 2008 o Windows Server 2003 conService Pack 2 (SP2) también se pueden usar enel controlador de dominio.

Servicios de dominio de ActiveDirectory (AD DS) y Sistema denombres de dominio (DNS)

CONTOSO-SRV

Windows Server 2008 R2Consola de administración dedirectivas de grupo (GPMC)

CONTOSO-CLNT

Windows 7

Windows Server 2008 R2 también se puede usarcomo el equipo cliente


Nota

Pasos para la implementación de directivas de auditoría avanzada en un entorno de prueba

Paso 1: Configurar la infraestructura

Para obtener más información acerca de los requisitos y la compatibilidad de sistemas operativos,vea el tema acerca de las ¿Qué versiones de Windows admiten la configuración de directiva de

auditoría avanzada?1.

Los equipos forman una intranet privada y se conectan a través de un concentrador común o unconmutador de nivel 2. Esta configuración se puede emular en un entorno de máquina virtual si así lodesea. Esta guía paso a paso usa direcciones privadas para la configuración del laboratorio de pruebas.Se usa el identificador de red privada 10.0.0.0/24 para la intranet. El controlador de dominio para eldominio llamado contoso.com se llama CONTOSO-DC. La ilustración siguiente muestra la configuracióndel entorno de prueba.

Complete los pasos siguientes para implementar la configuración de directiva de auditoría avanzada enun entorno de prueba.

Paso 1: Configurar la infraestructura

Paso 2: Crear y comprobar una directiva de auditoría avanzada

Paso 3: Crear y comprobar una directiva de auditoría que proporcione la razón de acceso a objetos

Paso 4: Crear y comprobar una directiva de acceso a objetos global

Paso 5: Crear y comprobar directivas de auditoría avanzada adicionales

Sección opcional: Revertir la directiva de auditoría de seguridad de directiva de auditoría avanzada adirectiva de auditoría básica

Para preparar el entorno de prueba en el dominio de CONTOSO, debe completar las tareas siguientes:

Configure el controlador de dominio (CONTOSO-DC).

Configure el servidor miembro (CONTOSO-SRV).

http://technet.microsoft.com/es-es/library/dd692792(v=ws.10).aspx

http://technet.microsoft.com/es-es/library/dd408940(d=printer,v=ws.10).aspx#BKMK_step1








Importante

Nota

Configurar el controlador de dominio (CONTOSO-DC)

Configure el equipo cliente (CONTOSO-CLNT).

Use la siguiente tabla como referencia para configurar los nombres de equipo, sistemas operativos yparámetros de red adecuados que son necesarios para completar los pasos de esta guía.

Antes de configurar sus equipos con direcciones IP estáticas, es recomendable que primerocomplete dos tareas importantes que requieren conectividad a Internet: completar la activación delproducto Windows y usar Windows Update para obtener e instalar las actualizaciones críticas deseguridad disponibles.

Nombrede equipo

Requisitos del sistema operativo Configuración IP Configuración DNS

CONTOSO-DC

Windows Server 2008 R2, Windows Server 2008 oWindows Server 2003 con Service Pack 2 (SP2)

Dirección IP:10.0.0.1

Máscara desubred:255.255.255.0

Configurado por elrol de servidor DNS

CONTOSO-SRV

Windows Server 2008 R2



Preferido: 10.0.0.1

CONTOSO-CLNT

Windows 7 o Windows Server 2008 R2



Preferido: 10.0.0.1

En función del entorno, puede evaluar la configuración de directiva de auditoría avanzada en undominio de Windows Server 2008 R2, Windows Server 2008 o Windows Server 2003. Para esta guía,se usa un dominio de Windows Server 2008 R2.

Para obtener más información acerca de los requisitos del sistema operativo, vea el tema de

Novedades de auditoría de seguridad de Windows2.




Para instalar Windows Server 2008 R2

Para configurar las propiedades TCP/IP

Para configurar CONTOSO-DC como un controlador de dominio que ejecuta Windows Server 2008

Para configurar el controlador de dominio CONTOSO-DC que ejecuta Windows Server 2008 R2, deberealizar lo siguiente:

Instalar Windows Server 2008 R2.

Configurar las propiedades TCP/IP.

Instalar AD DS.

Crear una unidad organizativa (OU) de finanzas.

En primer lugar, instale Windows Server 2008 R2 en un servidor independiente.

1. Inicie el equipo con el CD del producto de Windows Server 2008 R2.

2. Cuando se le pida un nombre de equipo, escriba CONTOSO-DC.

3. Siga el resto de instrucciones que aparecen en la pantalla para finalizar la instalación.

A continuación, configure las propiedades TCP/IP para que CONTOSO-DC tenga la dirección IPestática IPv4 10.0.0.1.

1. Inicie sesión en CONTOSO-DC con la cuenta CONTOSO-DC\Administrador.

2. Haga clic en Inicio, en Panel de control, en Redes e Internet, en Centro de redes yrecursos compartidos, en Cambiar configuración del adaptador, haga clic con el botónsecundario en Conexión de área local y, a continuación, haga clic en Propiedades.

3. En la pestaña Funciones de red, haga clic en Protocolo de Internet versión 4(TCP/IPv4) y, luego, haga clic en Propiedades.

4. Haga clic en Usar la siguiente dirección IP. En el cuadro Dirección IP, escriba 10.0.0.1.En el cuadro Máscara de subred, escriba 255.255.255.0. En el cuadro Puerta de enlacepredeterminada, escriba 10.0.0.1.

5. En el cuadro Servidor DNS preferido, escriba 10.0.0.1 y, a continuación, haga clic enAceptar.

6. En la pestaña Funciones de red, desactive la casilla Protocolo de Internet versión 6(TCP/IPv6) y haga clic en Cerrar.

A continuación, configure el equipo como un controlador de dominio que ejecuta WindowsServer 2008 R2.

1. Haga clic en Inicio y, a continuación, en Ejecutar. En el cuadro Abrir, escriba dcpromo y,a continuación, haga clic en Aceptar.

2. En la página Asistente para la instalación de los Servicios de dominio de ActiveDirectory, haga clic en Siguiente y, a continuación, haga clic en Siguiente de nuevo.

3. Haga clic en Crear un dominio nuevo en un bosque nuevo y luego haga clic enSiguiente.

4. En el cuadro FQDN del dominio raíz del bosque, escriba contoso.com y luego haga clic en



Nota

Para crear una OU de finanzas en contoso.com

Configurar el servidor miembro de Windows Server 2008 R2 (CONTOSO-SRV)

Siguiente.

5. Deje el valor predeterminado en el cuadro Nombre NetBIOS del dominio y, a continuación,haga clic en Siguiente.

6. En la lista Nivel funcional del bosque, haga clic en Windows Server 2003 y luego hagaclic en Siguiente.

7. En la lista Nivel funcional del dominio, haga clic en Windows Server 2003 y luego hagaclic en Siguiente.

8. Asegúrese de que la casilla Servidor DNS esté activada y haga clic en Siguiente.

9. Haga clic en Sí para confirmar que desea crear una delegación para este servidor DNS.

10. En la página Ubicación de la base de datos, los archivos de registro y SYSVOL, haga clicen Siguiente.

11. En los cuadros Contraseña y Confirmar contraseña, escriba una contraseña segura y, acontinuación, haga clic en Siguiente.

12. En la página Resumen, haga clic en Siguiente para iniciar la instalación.

13. Cuando se complete la instalación, haga clic en Finalizar y, a continuación, haga clic enReiniciar ahora.

Debe reiniciar el equipo tras completar este procedimiento.


2. Haga clic en Inicio, haga clic en Panel de control, haga doble clic en Herramientasadministrativas y, a continuación, haga doble clic en Usuarios y equipos de ActiveDirectory.

3. En el árbol de consola, haga clic con el botón secundario en contoso.com, seleccioneNuevo y, a continuación, haga clic en Unidad organizativa.

4. Escriba el nombre de la nueva unidad organizativa, Finanzas y haga clic en Aceptar.

Para configurar el servidor miembro, CONTOSO-SRV, debe realizar lo siguiente:

Instalar Windows Server 2008 R2.


Unir CONTOSO-SRV al dominio contoso.com.

Agregar CONTOSO-SRV a la unidad organizativa Finanzas.

Instalar GPMC.



Para instalar Windows Server 2008 R2


Para unir CONTOSO-SRV al dominio contoso.com

Primero, instale Windows Server 2008 R2 como servidor independiente.

1. Inicie el equipo con el CD del producto de Windows Server 2008 R2.

2. Cuando se le pida un nombre de equipo, escriba CONTOSO-SRV.

3. Siga el resto de instrucciones que aparecen en la pantalla para finalizar la instalación.

A continuación, configure las propiedades TCP/IP para que CONTOSO-SRV tenga la dirección IPestática 10.0.0.2. Además, configure el servidor DNS con la dirección IP de CONTOSO-DC (10.0.0.1).

1. Inicie sesión en CONTOSO-SRV con la cuenta CONTOSO-SRV\Administrador o con otracuenta de usuario en el grupo Administradores local.

2. Haga clic en Inicio, haga clic en Panel de control, haga doble clic en Centro de redes yrecursos compartidos, haga clic en Administrar conexiones de red, haga clic con elbotón secundario en Conexión de área local y, a continuación, haga clic en Propiedades.


4. Haga clic en Usar la siguiente dirección IP. En el cuadro Dirección IP, escriba 10.0.0.2.En el cuadro Máscara de subred, escriba 255.255.255.0. En el cuadro Puerta de enlacepredeterminada, escriba 10.0.0.1.

5. Haga clic en Usar las siguientes direcciones de servidor DNS. En Servidor DNSpreferido, escriba 10.0.0.1.

6. Haga clic en Aceptar y, a continuación, en Cerrar para cerrar el cuadro de diálogoPropiedades de conexión de área local.

A continuación, una CONTOSO-SRV al dominio contoso.com.

1. Haga clic en Inicio, haga clic con el botón secundario en Equipo y, después, haga clic enPropiedades.

2. Haga clic en Cambiar la configuración (a la derecha, bajo Configuración de nombre,dominio y grupo de trabajo del equipo) y, a continuación, haga clic en Cambiar.

3. En el cuadro de diálogo Cambios en el dominio o el nombre del equipo, haga clic enDominio y, a continuación, escriba contoso.com.

4. Haga clic en Más y, en el cuadro Sufijo DNS principal de este equipo, escribacontoso.com.

5. Haga clic en Aceptar y, a continuación, vuelva a hacer clic en Aceptar.

6. Cuando aparezca un cuadro de diálogo Cambios en el dominio o el nombre del equipo quele pide las credenciales administrativas, proporcione las credenciales deCONTOSO\Administrador y, a continuación, haga clic en Aceptar.

7. Cuando aparezca un cuadro de diálogo Cambios en el dominio o el nombre del equipo quele da la bienvenida al dominio contoso.com, haga clic en Aceptar.

8. Cuando aparezca un cuadro de diálogo Cambios en el dominio o el nombre del equipo quele informa de que es necesario reiniciar el equipo, haga clic en Aceptar y, luego, en Cerrar.

19/12/12

technet.microsoft.com/es-es/library/dd408940(d=printer,v=ws.10).aspx

Para agregar un equipo a la unidad organizativa Finanzas

Para instalar GPMC

Para instalar Windows 7

Configurar el equipo cliente (CONTOSO-CLNT)

9. Haga clic en Reiniciar ahora.

Después de reiniciar el equipo, agregue CONTOSO-SRV a la unidad organizativa Finanzas.


2. Haga clic en Inicio, haga clic en Panel de control, haga doble clic en Herramientasadministrativas y, a continuación, haga doble clic en Usuarios y equipos de ActiveDirectory.

3. En el árbol de consola, haga clic con el botón secundario en contoso.com.

4. En el árbol de consola, haga clic con el botón secundario en la unidad organizativa Finanzas,seleccione Nuevo y, a continuación, haga clic en Grupo.

5. Escriba el nombre del grupo nuevo, Equipos, y luego, en Ámbito de grupo, haga clic enDominio local y, en Tipo de grupo, haga clic en Grupo de seguridad.

6. Haga clic con el botón secundario en Equipos y, a continuación, haga clic en Propiedades.En la pestaña Miembros, haga clic en Agregar.

7. En Escriba los nombres de objeto que desea seleccionar, escriba CONTOSO-SRV y,después, haga clic en Aceptar.

Por último, instale GPMC en CONTOSO-SRV mediante el Administrador del servidor. Se usará paraestablecer la configuración de directiva de auditoría de seguridad avanzada.

1. Inicie sesión en CONTOSO-SRV como miembro del grupo Administradores local.

2. Haga clic en Inicio, seleccione Herramientas administrativas y, a continuación, haga clicen Administrador del servidor.

3. En Resumen de características, haga clic en Agregar características.

4. Active la casilla Administración de directivas de grupo y, a continuación, haga clic enInstalar.

5. Cierre el Administrador del servidor.

Para configurar CONTOSO-CLNT, debe realizar lo siguiente:

Instalar Windows 7.


Unir CONTOSO-CLNT al dominio contoso.com.

1. Inicie el equipo con el CD del producto de Windows 7.

2. Siga las instrucciones que aparecen en pantalla y, cuando se le pida un nombre de equipo,escriba CONTOSO-CLNT.

A continuación, configure las propiedades TCP/IP para que CONTOSO-CLNT tenga la dirección IP

estática 10.0.0.3. Configure también el servidor DNS de CONTOSO-DC (10.0.0.1).




Para unir CONTOSO-CLNT al dominio contoso.com

estática 10.0.0.3. Configure también el servidor DNS de CONTOSO-DC (10.0.0.1).

1. Inicie sesión en CONTOSO-CLNT con la cuenta CONTOSO-CLNT\Administrador o con otracuenta de usuario en el grupo Administradores local.

2. Haga clic en Inicio, en Panel de control, en Redes e Internet y, por último, en Centro deredes y recursos compartidos.

3. Haga clic en Cambiar configuración del adaptador, haga clic con el botón secundario enConexión de área local y luego haga clic en Propiedades.

4. Si aparece el cuadro de diálogo Control de cuentas de usuario, confirme que la acción quemuestra es la que desea y, a continuación, haga clic en Sí.


6. Haga clic en Usar la siguiente dirección IP. En Dirección IP, escriba 10.0.0.3. EnMáscara de subred, escriba 255.255.255.0.

7. Haga clic en Usar las siguientes direcciones de servidor DNS. En Servidor DNSpreferido, escriba 10.0.0.1.

8. Haga clic en Aceptar y, a continuación, en Cerrar para cerrar el cuadro de diálogoPropiedades de conexión de área local.

A continuación, una CONTOSO-CLNT al dominio contoso.com.

1. Haga clic en Inicio, haga clic con el botón secundario en Equipo y, después, haga clic enPropiedades.

2. En Configuración de nombre, dominio y grupo de trabajo del equipo, haga clic enCambiar la configuración.


4. En la pestaña Nombre de equipo, haga clic en Cambiar.

5. En el cuadro de diálogo Cambios en el dominio o el nombre del equipo, haga clic enDominio y, a continuación, escriba contoso.com.

6. Haga clic en Más y, en el cuadro Sufijo DNS principal de este equipo, escribacontoso.com.

7. Haga clic en Aceptar y, a continuación, vuelva a hacer clic en Aceptar.

8. Cuando aparezca un cuadro de diálogo Cambios en el dominio o el nombre del equipo quele pide credenciales administrativas, proporcione las credenciales y, a continuación, haga clicen Aceptar.

9. Cuando aparezca un cuadro de diálogo Cambios en el dominio o el nombre del equipo quele da la bienvenida al dominio contoso.com, haga clic en Aceptar.

10. Cuando aparezca un cuadro de diálogo Cambios en el dominio o el nombre del equipo quele informa de que es necesario reiniciar el equipo, haga clic en Aceptar y, luego, en Cerrar.

11. En el cuadro de diálogo Cambio de configuración del sistema, haga clic en Sí para reiniciar

el equipo.



Para establecer una configuración de directiva de auditoría de inicio de sesión de dominio avanzada

Paso 2: Crear y comprobar una directiva de auditoría avanzada

el equipo.

Las nueve directivas de auditoría básicas que se encuentran en Configuración delequipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivaslocales\Directiva de auditoría permiten establecer la configuración de directivas de auditoría deseguridad para conjuntos amplios de comportamientos, algunos de los cuales generan muchos máseventos de auditoría que otros. Un administrador debe revisar todos los eventos que se generen,independientemente de su grado de interés.

En Windows Server 2008 R2 y Windows 7, los administradores pueden auditar aspectos más específicosdel comportamiento del cliente en el equipo o la red, de manera que resulta más sencillo identificar loscomportamientos que tienen un mayor interés. Por ejemplo, en Configuración delequipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivaslocales\Directiva de auditoría, hay una sola configuración de directiva para eventos de inicio desesión, Auditar eventos de inicio de sesión. Sin embargo, en Configuración delequipo\Directivas\Configuración de Windows\Configuración de seguridad\Configuración dedirectiva de auditoría avanzada\Directivas de auditoría del sistema, puede elegir entre ochoconfiguraciones de directiva distintas en la categoría Inicio y cierre de sesión. De esta manera, puedecontrolar mejor cuáles son los aspectos de inicio y cierre de sesión que puede incluir en el seguimiento

Cuando se crea un dominio nuevo, se genera automáticamente una directiva de dominiopredeterminada. En esta sección se editará la directiva de dominio predeterminada y se agregará unaconfiguración de directiva de auditoría de seguridad avanzada que audite los inicios de sesión correctoso incorrectos de un usuario en un equipo del dominio CONTOSO.

Para configurar, aplicar y validar una configuración de directiva de auditoría de inicio de sesión dedominio avanzada, debe realizar lo siguiente:

Establezca una configuración de directiva de inicio de sesión de dominio avanzada.

Asegúrese de que no se sobrescribe la Configuración de directiva de auditoría avanzada.

Actualice la configuración de directiva de grupo.

Compruebe que la configuración de directiva de auditoría de seguridad de inicio de sesiónavanzada se aplicó correctamente.


2. Haga clic en Inicio, seleccione Herramientas administrativas y, a continuación, haga clic enAdministración de directivas de grupo.

3. En el árbol de consola, haga doble clic en Bosque: contoso.com, haga doble clic en Dominiosy, a continuación, haga doble clic en contoso.com.

4. Haga clic con el botón secundario en Directiva predeterminada de dominio y, acontinuación, haga clic en Editar.

5. Haga doble clic en Configuración del equipo, haga doble clic en Directivas y, a continuación,haga doble clic en Configuración de Windows.

6. Haga doble clic en Configuración de seguridad, haga doble clic en Configuración dedirectiva de auditoría avanzada y, a continuación, haga doble clic en Directivas deauditoría del sistema.



Para asegurarse de que no se sobrescribe la Configuración de directiva de auditoría avanzada

Para actualizar la configuración de directiva de grupo

Para comprobar que la configuración de directiva de auditoría de seguridad de inicio de sesión avan

zada se aplicó correctamente

7. Haga doble clic en Inicio y cierre de sesión y, a continuación, haga doble clic en Inicio desesión.

8. Active la casilla Configurar los siguientes eventos de auditoría, active la casilla Aciertos,active la casilla Errores y, a continuación, haga clic en Aceptar.

Si usa la Configuración de directiva de auditoría avanzada, deberá confirmar que la configuración dedirectiva de auditoría básica no la sobrescribe. En el procedimiento siguiente se muestra cómo evitarconflictos bloqueando la aplicación de cualquier configuración de directiva de auditoría básica.

1. En CONTOSO-SRV, haga clic en Inicio, seleccione Herramientas administrativas y, acontinuación, haga clic en Administración de directivas de grupo.




5. Haga doble clic en Configuración de seguridad y, a continuación, haga clic en Opciones deseguridad.

6. Haga doble clic en Auditoría: forzar la configuración de subcategorías de la directiva deauditoría (Windows Vista o posterior) para invalidar la configuración de la categoría dedirectiva de auditoría y, a continuación, haga clic en Definir esta configuración dedirectiva.

7. Haga clic en Habilitada y, a continuación, haga clic en Aceptar.

Antes de poder comprobar la funcionalidad de la configuración de directiva de auditoría de seguridadavanzada en el dominio contoso.com, debe iniciar sesión en CONTOSO-CLNT como administrador deldominio contoso.com y asegurarse de que se ha aplicado la configuración de directiva de grupo.

1. Inicie sesión en CONTOSO-CLNT como CONTOSO\Administrador.

2. Haga clic en Inicio, seleccione Todos los programas, haga clic en Accesorios, haga clic conel botón secundario en Símbolo del sistema y, a continuación, haga clic en Ejecutar comoadministrador.


4. Escriba gpupdate y presione ENTRAR.

Una vez aplicada la configuración de directiva de grupo, puede comprobar si la configuración dedirectiva de auditoría se ha aplicado correctamente.

1. Inicie sesión en CONTOSO-CLNT como CONTOSO\Administrador.

2. Haga clic en Inicio, seleccione Todos los programas, haga clic en Accesorios, haga clic conel botón secundario en Símbolo del sistema y, a continuación, haga clic en Ejecutar comoadministrador.


Para configurar la directiva de auditoría del sistema de archivos

Paso 3: Crear y comprobar una directiva de auditoría que proporcione la razón de acceso a objetos


4. Escriba auditpol.exe /get /category:* y presione ENTRAR.

5. Compruebe que aparece Aciertos, Errores o Aciertos y errores a la derecha de Inicio desesión.

Una de las necesidades de auditoría más habituales es el seguimiento del acceso a un determinadoarchivo o carpeta. Por ejemplo, quizás necesite identificar una actividad como cuando un usuarioescribe en un archivo al que no debería haber tenido acceso. Al habilitar la auditoría de "razón deacceso", no solo podrá realizar un seguimiento de este tipo de actividad, sino que además podráidentificar la entrada de control de acceso exacta que permitió el acceso no deseado, lo que puedesimplificar enormemente la tarea de modificar la configuración de control de acceso para evitar futurosepisodios similares de acceso no deseado a objetos.

Para configurar, aplicar y validar una directiva de razón de acceso a objetos, debe realizar lo siguiente:

Configure la directiva de auditoría del sistema de archivos.

Habilite la auditoría en un archivo o una carpeta.

Habilite la directiva de auditoría de manipulación de identificadores.



Revise y compruebe los datos de auditoría de razón de acceso.







7. Haga doble clic en Acceso a objetos y, a continuación, haga doble clic en Sistema dearchivos.

8. Active la casilla Configurar los siguientes eventos de auditoría y, a continuación, active lacasilla Aciertos, active la casilla Errores o active ambas casillas Aciertos y Errores.

9. Haga clic en Aceptar.

Para habilitar la auditoría en un archivo o una carpeta

Para habilitar la directiva de auditoría de manipulación de identificadores

La directiva de auditoría del sistema de archivos solo se usa para supervisar objetos en los que sehayan configurado SACL de auditoría. En el procedimiento siguiente se muestra cómo configurar laauditoría en un archivo o una carpeta.

1. Inicie sesión en CONTOSO-CLNT como miembro del grupo Administradores local.

2. Cree una nueva carpeta o un documento .txt.

3. Haga clic con el botón secundario en el nuevo objeto, haga clic en Propiedades y, acontinuación, haga clic en la pestaña Seguridad.

4. Haga clic en Opciones avanzadas y, a continuación, haga clic en la pestaña Auditoría.


6. Haga clic en Agregar, escriba un nombre de usuario o nombre de equipo con el formatocontoso\usuario1 y, a continuación, haga clic en Aceptar.

7. En el cuadro de diálogo Entradas de auditoría, seleccione los permisos que desee auditar,como Control total o Eliminar.

8. Haga clic en Aceptar cuatro veces para completar la configuración de la SACL del objeto.

En Windows 7 y Windows Server 2008 R2, la razón por la que se concede o deniega el acceso a unusuario se agrega al evento de identificador abierto. De esta manera, el administrador puede entenderel motivo por el que un usuario pudo abrir un archivo, una carpeta o un recurso compartido para unacceso específico. Para habilitar esta funcionalidad, también es necesario habilitar la directiva deauditoría de manipulación de identificadores para que los eventos de aciertos registren los intentos deacceso que se permitieron y los eventos de errores registren los intentos de acceso que se denegaron.




4. Haga doble clic en la unidad organizativa Finanzas, haga clic con el botón secundario enDirectiva de auditoría Finanzas y haga clic en Editar.



7. Haga doble clic en Acceso a objetos, haga clic con el botón secundario en Manipulación deidentificadores y haga clic en Propiedades.

8. Active la casilla Configurar los siguientes eventos de auditoría, active las casillas Aciertosy Errores y, a continuación, haga clic en Aceptar.

Después de crear esta directiva de auditoría, confirme que no se puede sobrescribir esta configuraciónde directiva de auditoría avanzada. Para obtener más información, vea el procedimiento "Para



Para revisar los datos de auditoría de razón de acceso

Para configurar una directiva de auditoría de acceso a objetos global del dominio

Paso 4: Crear y comprobar una directiva de acceso a objetos global

asegurarse de que no se sobrescribe la Configuración de directiva de auditoría avanzada" en la secciónPaso 2: Crear y comprobar una directiva de auditoría avanzada.

A continuación, aplique las actualizaciones de directiva de grupo siguiendo el procedimiento "Paraactualizar la configuración de directiva de grupo" de la sección Paso 2: Crear y comprobar una directivade auditoría avanzada.

Después de aplicar la configuración de directiva de grupo actualizada, asegúrese de iniciar y cerrarsesión en CONTOSO-CLNT y complete algunas tareas que generen eventos de razón de acceso aobjetos. Cuando haya completado estos pasos, puede revisar los datos de auditoría que proporcionan larazón de acceso.

1. En CONTOSO-CLNT, haga clic en Inicio, seleccione Herramientas administrativas y, acontinuación, haga clic en Visor de eventos.

2. Haga clic en Registros de Windows y, a continuación, en Seguridad.

3. En el panel Acciones, haga clic en Vaciar registro.

4. Busque el archivo o la carpeta que configuró en el procedimiento de acceso a objetos dedominio y modifique el archivo o la carpeta con los permisos que configuró para la cuenta deusuario.

5. Vuelva al Visor de eventos y, en el panel Acciones, haga clic en Actualizar.

6. En la columna Id. de evento, haga clic en el evento o los eventos 4656, desplácese a lasección Información de solicitud de acceso y confirme los permisos que se usaron pararealizar la tarea.

Se puede usar una directiva de auditoría de acceso a objetos global para forzar una directiva deauditoría de acceso a objetos para un equipo, recurso compartido de archivos o Registro sin tener queconfigurar y propagar las SACL convencionales. La configuración y propagación de las SACL es unatarea administrativa más compleja y resulta difícil de comprobar, especialmente si es necesariodemostrar a un auditor que se está cumpliendo la directiva de seguridad. La directiva de auditoría deacceso a objetos global permite aplicar una directiva de seguridad como "Registrar toda la actividad deescritura administrativa en servidores que contengan información de Finanzas" y comprobar que losactivos críticos están protegidos.

En este caso, se auditarán los cambios realizados en las claves del Registro por miembros de un grupoespecificado en lugar de los cambios realizados en los objetos del sistema de archivos.

Para configurar, aplicar y validar una directiva de auditoría de acceso a objetos global, debe realizar losiguiente:

Configure una directiva de auditoría de acceso a objetos global del dominio.



Confirme que se está realizando la auditoría de acceso a objetos global.






Para comprobar la aplicación de la directiva de acceso a objetos global

Paso 5: Crear y comprobar directivas de auditoría avanzada adicionales






7. Haga doble clic en Acceso a objetos y, a continuación, haga doble clic en Registro.

8. Active la casilla Configurar los siguientes eventos de auditoría, active las casillas Aciertosy Errores y, a continuación, haga clic en Aceptar.

9. Haga doble clic en Directivas de acceso a objetos global y, a continuación, haga doble clicen Registro.

10. Active la casilla Definir esta configuración de directiva y haga clic en Configurar.

11. En el cuadro Configuración de seguridad avanzada para SACL de Registro global, hagaclic en Agregar.

12. Escriba un nombre de usuario o nombre de equipo con el formato contoso\usuario1,[email protected] o CONTOSO-CLNT; a continuación, haga clic en Aceptar.

13. En el cuadro Entrada de auditoría para SACL de Registro global, seleccione las actividadesCorrecta o Incorrecta en las que desea registrar entradas de auditoría; por ejemplo, Crearsubclave, Eliminar o Leer.

14. Haga clic en Aceptar tres veces para completar la configuración de directiva de auditoría.

Después de crear la directiva de auditoría, confirme que no se puede sobrescribir esta configuración dedirectiva de auditoría avanzada. Para obtener más información, vea el procedimiento "Para asegurarsede que no se sobrescribe la Configuración de directiva de auditoría avanzada" en la sección Paso 2:Crear y comprobar una directiva de auditoría avanzada.

A continuación, aplique las actualizaciones de directiva de grupo siguiendo el procedimiento "Paraactualizar la configuración de directiva de grupo" de la sección Paso 2: Crear y comprobar una directivade auditoría avanzada. Después de aplicar la configuración de directiva de grupo actualizada, inicie ycierre sesión en CONTOSO-CLNT.

1. Abra el Editor del Registro y cree y modifique una o varias opciones de configuración delRegistro.

2. Elimine una o varias opciones de configuración del Registro que haya creado.

3. Abra el Visor de eventos y confirme que las actividades desencadenaron eventos de auditoría,a pesar de que no se configuraron SACL de auditoría explícitas en las opciones de configuracióndel Registro que creó, modificó y eliminó.



Importante

Administrar la auditoría por usuario en Windows 7 y Windows Server 2008 R2

Ahora que ya ha creado, aplicado y validado los tres tipos básicos de configuración de directiva deauditoría de seguridad avanzada, debe identificar y probar configuraciones de directiva de auditoría deseguridad avanzada adicionales siguiendo los procedimientos básicos descritos en las seccionesanteriores.

Para identificar configuraciones adicionales que pueden ser de interés para su organización, revise la

información del tema sobre las Novedades de auditoría de seguridad de Windows2.

Para obtener información adicional, vaya a Configuración del equipo\Directivas\Configuración deWindows\Configuración de seguridad\Configuración de directiva de auditoríaavanzada\Directivas de auditoría del sistema, haga clic con el botón secundario en las opciones deconfiguración individuales, haga clic en Propiedades y, a continuación, haga clic en la pestañaExplicar.

A medida que aplica y prueba las configuraciones adicionales, piense en el modo en que los datos deevento de auditoría que se generan pueden ayudarle a crear una red más segura. En concreto, valore losiguiente:

¿Es útil la información que proporcionan estos eventos de auditoría?

¿Proporcionan suficiente información los datos de auditoría?

¿Proporcionan demasiada información los datos de auditoría?

¿Cómo se puede ajustar esta configuración de directiva de auditoría para obtener únicamente lainformación necesaria?

La auditoría de seguridad es una herramienta crítica y esencial para garantizar que los recursos de redson seguros. Debe invertir todo el tiempo necesario en explorar y entender la nueva configuración dedirectiva de auditoría de seguridad avanzada en Windows 7 y Windows Server 2008 R2.

La configuración de directiva de auditoría de seguridad de Windows 7 y Windows Server 2008 R2 puedeconfigurarse y usarse únicamente por equipo y no por usuario. Sin embargo, existen varias formas deaplicar opciones de configuración de auditoría a usuarios específicos:

Si es posible, configure los permisos de seguridad avanzada en el objeto que se está auditando demanera que la directiva de auditoría se aplique solamente a un grupo específico. Por ejemplo, sidesea que la configuración de directiva Acceso a objetos se aplique a un archivo o una carpeta,puede configurar permisos en el archivo o la carpeta de manera que solo se realice el seguimientodel acceso a objetos en los individuos o grupos que especifique. En el procedimiento "Parahabilitar la auditoría en un archivo o una carpeta" descrito anteriormente en este documento seexplica cómo completar esta tarea.

Para definir e implementar la configuración de auditoría por usuario, use un archivo de texto dedirectiva de auditoría, un script de inicio de sesión y la herramienta de línea de comandosAuditpol.exe.

La auditoría por usuario basada en scripts de inicio de sesión puede aplicarse a usuariosindividuales, pero no a grupos. No puede usar scripts de inicio de sesión para excluirsubcategorías o categorías de configuración de directiva de auditoría para los administradores.

En el siguiente procedimiento se describe cómo crear un archivo de texto de directiva de auditoría que

puede implementarse mediante un script de inicio de sesión. Para obtener más información acerca del




Nota

Nota

Importante

Para crear un archivo de texto de directiva de auditoría

puede implementarse mediante un script de inicio de sesión. Para obtener más información acerca del

uso de scripts de inicio de sesión para implementar una directiva de auditoría, vea el artículo 9214693

de Microsoft Knowledge Base (http://go.microsoft.com/fwlink/?LinkID=82447).

1. En el símbolo del sistema, escriba auditpol /set/user:nombreEntidadSeguridad/category:"nombreSubcategoría" /include /Aciertos oErrores:enable para agregar una configuración de auditoría por usuario. Repita este paso paracada subcategoría de directiva de auditoría y usuario o grupo que desee agregar al archivo detexto de directiva de auditoría.

Para obtener una lista de posibles configuraciones de auditoría con formato de informe, abrauna ventana del símbolo del sistema, escriba auditpol /list /subcategory:* /r y presioneENTRAR. Para obtener más información acerca del uso de la herramienta Auditpol, vea los

temas sobre los comandos Auditpol set4 y Auditpol list5.

2. En el símbolo del sistema, escriba auditpol /backup /file: nombreArchivoDirectivaAuditoría.txtpara exportar la directiva.

3. Para dar formato a la directiva, abra nombreArchivoDirectivaAuditoría.txt y quite todas laslíneas excepto la primera línea de texto y las líneas de texto de auditoría por usuario.

El texto de directiva de auditoría por usuario tiene el siguiente formato: nombreEquipo,S-1-XXXX,nombreSubcategoría,GUID,configuraciónInclusiónTexto,configuraciónExclusiónTexto,#.La configuración del sistema tiene el siguiente formato:nombreEquipo,sistema,nombreSubcategoría,GUID,configuraciónAuditoríaTexto,#. Asegúreseademás de quitar las últimas seis líneas, que contienen la configuración de opciones deauditoría.

4. Cuando haya terminado de crear el archivo, en el menú Archivo, haga clic en Guardar como yconfirme que la opción ANSI esté seleccionada en la lista Codificación. Haga clic en OK.

5. En el símbolo del sistema, escriba auditpol /restore /file: nombreArchivoDirectivaAuditoría.txty presione ENTRAR para confirmar que se ha establecido la configuración de auditoría deseada.Escriba auditpol /list /user y presione ENTRAR para obtener una lista de usuarios conconfiguración de auditoría por usuario.

6. Copie el archivo nombreArchivoDirectivaAuditoría.txt al recurso compartido Netlogon delcontrolador de dominio que tiene el rol de emulador de controlador de dominio principal (PDC) enel dominio.

No importe directivas de auditoría que contengan configuraciones de auditoría por usuariodirectamente en un objeto de directiva de grupo (GPO). Cuando la configuración deauditoría por usuario se implementa a través de una directiva de grupo y no a través descripts de inicio de sesión, tal y como se describe en este procedimiento, pueden aparecerniveles inesperados de eventos de errores en los registros de auditoría de seguridad.

http://go.microsoft.com/fwlink/?LinkID=82447

http://technet.microsoft.com/es-es/library/cc755264(v=ws.10).aspx

http://technet.microsoft.com/es-es/library/cc753632(v=ws.10).aspx

Sección opcional: Revertir la directiva de auditoría de seguridad de directiva de auditoría avanzada a di

rectiva de auditoría básica

© 2012 Microsoft. Reservados todos los derechos.

La aplicación de una configuración de directiva de auditoría avanzada sustituye cualquier configuraciónde auditoría de seguridad básica comparable. Si después cambia la configuración de directiva deauditoría avanzada a Sin configurar, tendrá que completar los pasos siguientes para restaurar laconfiguración de directiva de auditoría básica original:

1. Configure todas las subcategorías de directiva de auditoría avanzada a Sin configurar.

2. Elimine todos los archivos audit.csv de la carpeta %SYSVOL% en el controlador de dominio.

3. Vuelva a configurar y aplique la configuración de directiva de auditoría básica.

A menos que complete todos estos pasos, no se restaurará la configuración de directiva de auditoríabásica.

Tabla de vínculos

1http://technet.microsoft.com/es-es/library/dd692792(v=ws.10).aspx

2http://technet.microsoft.com/es-es/library/dd560628(v=ws.10).aspx

3http://go.microsoft.com/fwlink/?LinkID=82447

4http://technet.microsoft.com/es-es/library/cc755264(v=ws.10).aspx

5http://technet.microsoft.com/es-es/library/cc753632(v=ws.10).aspx

Contenido de la comunidad

guía paso a paso de la directiva de auditoría de seguridad avanzada

Documents