Este documento describe cómo configurar la auditoría de inicio de sesión de dominio en Windows Server 2008. Explica que se puede establecer una política de auditoría avanzada para registrar eventos de inicio y cierre de sesión como aciertos y errores. A continuación, proporciona los pasos para crear esta política de auditoría, como habilitar las casillas pertinentes en la configuración de la directiva de grupo de dominio predeterminada y verificar que la configuración se aplica correctamente mediante la comprobación de los valores de auditoría.
Auditoria , directivas de auditoria, configuración de Auditoria
1.
2. Auditoría
En Windows Server® 2008 se puede establecer un
proceso de auditoría de Active Directory® Domain
Services (AD DS) con una nueva subcategoría de
política de auditoría (Directory Service Changes)
capaz de registrar los valores previos y posteriores a
un cambio realizado sobre un objeto de AD DS y sus
atributos.
3. Auditoría
La política global de auditoría "Audit directory service
access" controla si la auditoría de eventos del servicio
de directorio está habilitada o deshabilitada. Este
parámetro de seguridad determina si los eventos se
deben registrar en el log de Seguridad cuando tienen
lugar ciertos tipos concretos de operaciones sobre los
objetos en el directorio. Se pueden también controlar
las operaciones a auditar simplemente modificando
las listas de control de accesos al sistema (SACL) de
un objeto. En Windows Server 2008 esta política está
habilitada por defecto
5. Valores de auditoría
Las vulnerabilidades, contramedidas y posibles
impactos de todos los valores de configuración de
auditoría son idénticos, por lo que sólo se detallan una
vez en los siguientes párrafos. Debajo de esos párrafos
se incluyen breves explicaciones de cada valor.
Las opciones para los valores de configuración de
auditoría son:
Correcto
Erróneo
Sin auditoría
6. Auditar sucesos de inicio de sesión de cuenta
El valor de configuración Auditar sucesos de inicio
de sesión de cuenta determina si se debe auditar
cada instancia de un usuario que inicie o cierre una
sesión desde otro equipo, en la que el equipo que
registra el suceso de auditoría se utiliza para validar la
cuenta.
7. Auditar la administración de cuentas
El valor de configuración Auditar la administración
de cuentas determina si se deben auditar todos los
sucesos de administración de cuentas de un equipo.
8. Auditar el acceso del servicio de directorio
El valor de configuración Auditar el acceso del
servicio de directoriodetermina si se debe auditar el
suceso de un usuario que tiene acceso a un objeto de
Microsoft Active Directory que tiene su propia lista de
control de acceso al sistema (SACL) especificada.
9. Auditar sucesos de inicio de sesión
El valor de configuración Auditar sucesos de inicio
de sesióndetermina si se debe auditar cada instancia
de un usuario que inicie, cierre una sesión o realice
una conexión de red al equipo que registra el suceso
de auditoría.
10. Auditar el acceso a objetos
El valor de configuración Auditar el acceso a
objetos determina si se debe auditar el suceso de un
usuario que obtiene acceso a un objeto como, por
ejemplo, un archivo, una carpeta, una clave de
Registro, una impresora, etc., que tiene su propia lista
de control de acceso al sistema especificada.
11. Auditar el cambio de directivas
El valor de configuración Auditar el cambio de
directivas determina si se debe auditar cada caso de
cambio de las directivas de asignación de derechos de
usuario, de auditoría o de confianza. Si define este
valor de configuración de directiva, puede especificar
si desea auditar los aciertos, los errores o no auditar el
tipo de suceso.
12. Auditar el uso de privilegios
El valor de configuración Auditar el uso de
privilegios determina si se debe auditar cada caso en
el que un usuario ejecute un derecho de usuario. Si
define este valor de configuración de directiva, puede
especificar si desea auditar los aciertos, los errores o
no auditar el tipo de suceso.
13. Auditar el seguimiento de procesos
El valor de configuración Auditar el seguimiento de
procesosdetermina si se debe auditar información de
seguimiento detallada de sucesos como la activación
de programas, la salida de procesos, la duplicación de
identificadores y el acceso indirecto a obje
14. Auditar sucesos del sistema
El valor de configuración Auditar sucesos del
sistema determina si se debe auditar el reinicio o
cierre de un equipo realizado por un usuario o un
suceso que afecte a la seguridad del sistema o al
registro de seguridad.
16. Configuración de la auditoria
Paso 1: Configurar la
infraestructura
Para preparar el entorno de prueba en el dominio de
CONTOSO, debe completar las tareas siguientes:
Configure el controlador de dominio (CONTOSODC).
Configure el servidor miembro (CONTOSO-SRV).
Configure el equipo cliente (CONTOSO-CLNT)
17. Paso 2: Crear y comprobar una directiva de
auditoría avanzada
Las nueve directivas de auditoría básicas que se
encuentran en Directivas de seguridad
localConfiguración de WindowsDirectivas
localesDirectiva de auditoría
18. Para establecer una configuración de
directiva de auditoría de inicio de sesión de
dominio avanzada
Inicie sesión en CONTOSO-SRV como miembro del
grupoAdministradores local.
Haga clic en Inicio, seleccione Herramientas
administrativas y, a continuación, haga clic
en Administración de directivas de grupo.
En el árbol de consola, haga doble clic en Bosque:
contoso.com, haga doble clic en Dominios y, a
continuación, haga doble clic encontoso.com.
19. Haga clic con el botón secundario en Directiva
predeterminada de dominio y, a continuación, haga
clic en Editar.
Haga doble clic en Configuración del equipo, haga
doble clic enDirectivas y, a continuación, haga doble
clic en Configuración de Windows.
Haga doble clic en Configuración de seguridad,
haga doble clic en Configuración de directiva de
auditoría avanzada y, a continuación, haga doble clic
en Directivas de auditoría del sistema.
20. Haga doble clic en Inicio y cierre de sesión y, a
continuación, haga doble clic en Inicio de sesión.
Active la casilla Configurar los siguientes eventos
de auditoría, active la casilla Aciertos, active la
casilla Errores y, a continuación, haga clic
en Aceptar
21. Para comprobar que la configuración de
directiva de auditoría de seguridad de inicio
de sesión avanzada se aplicó correctamente
Inicie sesión en CONTOSO-CLNT como
CONTOSOAdministrador.
Haga clic en Inicio, seleccione Todos los
programas, haga clic en Accesorios, haga clic con el
botón secundario en Símbolo del sistema y, a
continuación, haga clic en Ejecutar como
administrador.
22. Si aparece el cuadro de diálogo Control de cuentas
de usuario, confirme que la acción que muestra es la
que desea y, a continuación, haga clic en Sí.
Escriba auditpol.exe /get /category:* y presione
ENTRAR.
Compruebe que
aparece Aciertos, Errores o Aciertos y errores a la
derecha de Inicio de sesión.