2.
En Windows Server 2008 se puede establecer un proceso de
auditoría de Active Directory con una nueva subcategoría de
política de auditoría capaz de registrar los valores.
Las mejoras de auditoría de seguridad en Windows Server 2008 R2 y
Windows 7 permiten que una organización pueda auditar el
cumplimiento de reglas empresariales y de seguridad. Por ejemplo:
Un administrador de grupos modificó la configuración o los datos en
los servidores que contienen información financiera.
Un empleado de un grupo definido obtuvo acceso a un archivo
importante.
La lista de control de acceso del sistema (SACL) correcta se aplica a
cada archivo y carpeta o clave del Registro en un recurso
compartido de archivo o equipo como una medida de seguridad
comprobable frente a accesos no detectados.
4.
Auditar el acceso a objetos : esta configuración determina si debe
auditarse el evento de un usuario q obtiene acceso a un objeto por
ejemplo archivos o registros.
Auditar el acceso del servicio de directorio: Determina si debe
auditarse el evento de un usuario de un usuario que obtiene un
acceso a un objeto de Active Directory.
Auditar el cambio de directivas: Verificar si debe auditarse cada
incidente de cambio de las directivas de asignación de derecho de
usuario, Directivas de auditoria o Directivas de confianza.
Auditar el seguimiento de procesos: Sé verifica si se debe auditase la
información de seguimiento detallada para eventos como
activación de programas, salida de procesos o duplicación.
Auditar el uso de privilegios: si debe auditarse cada instancia de un
usuario que ejerce un derecho de usuario.
5.
Auditar la administración de cuentas: es en caso de que se
crea, cambia o elimina un grupo en una cuenta de usuario.
Auditar sucesos de inicio de sesión: determina si debe auditarse
cada instancia de inicio o cierre de sesión de un usuario en un
equipo.
Auditar sucesos de inicio de sesión de cuenta: Los eventos se
generan cuando la cuenta de un usuario del dominio se autentica
en un controlador de dominio. No se generan eventos de cierre de
sesión de cuenta.
Auditar sucesos del sistema: Debe realizarse una auditoría cuando
un usuario reinicia o apaga el equipo o cuando se produce un
evento que afecta a la seguridad del sistema o al registro de
seguridad.
6. Configuración de la Auditoria
1.
2.
Abrimos el Explorador de Windows.
Carpeta que se controlara
11.
He iniciado sesión, a la carpeta RECURSO y creado una subcarpeta.
En el visor de sucesos ha quedado constancia de tal acción.
12.
Debemos iniciar sesión como miembro del grupo Administradores
Después de habilitar la auditoría de acceso a objetos, mirar el
registro de seguridad del Visor de sucesos para ver el resultado de
los cambios.
Sólo podemos configurar la auditoría de archivos y carpetas en
unidades NTFS.
Como el registro de seguridad está limitado a un tamaño, hemos de
calcular bien los archivos y carpetas que queremos controlar
(aunque el tamaño del registro podemos aumentarlo si es necesario)
15.
En el panel de detalles, clic doble en los sucesos que
queremos configurar la directiva.
16.
Dominio o una OU, desde un DC con el paquete de
herramientas de administración.
17.
En el árbol de la consola, clic botón secundario en el dominio
u OU al que queremos establecer la Directiva de grupo.
Clic en Propiedades.
18.
Clic en Editar y abrimos la GPO que queremos
cambiar/modificar, o en Nuevo si lo que queremos es crear
una nueva GPO y, después de darle nombre, clic en Editar.
19.
Dominio o una OU, desde un servidor miembro o estación de
trabajo unida al dominio
20.
Menú Archivo->Agregar o quitar complemento->Agregar.
Clic en Editor de objetos de directiva de grupo->Agregar.
21.
En la ventana Seleccionar un objeto de directiva de
grupo del Asistente para directivas de grupo, clic
en Examinar.
22.
En Buscar un objeto directiva de grupo, seleccionamos una
GPO, en el dominio, sitio o unidad organizativa, existente (o
creamos una nueva), luego clic en Aceptar, para terminar
clicando en Finalizar.