Configuración de directiva de auditoría de seguridad de avanzada

Publicado: agosto de 2016

Se aplica a: Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8

Esta referencia para profesionales de TI proporciona información sobre la configuración de directiva de auditoría avanzada que están disponible en sistemas operativos Windows y los eventos de auditoría que generan.

La configuración de directiva de auditoría de 53 seguridad en la configuración de directiva de auditoría de seguridad avanzadas puede ayudar a su organización de cumplimiento de normas relacionadas con la seguridad y empresariales importantes de auditoría mediante el seguimiento de actividades definidas con precisión, como:

• Un administrador de grupos modificó la configuración ni los datos en los servidores que contienen información financiera.

• Un empleado de un grupo definido accedió a un archivo importante.

• La lista de control de acceso correcta del sistema (SACL) se aplica a cada archivo y carpeta o clave del registro en un recurso compartido de archivo o equipo como medida de seguridad comprobable frente a accesos no detectados.

Puede tener acceso a esta configuración de directiva de auditoría mediante la directiva de seguridad Local complemento (secpol.msc) en el equipo local o mediante Directiva de grupo.

Esta configuración de directiva de auditoría avanzada le permite seleccionar sólo los comportamientos que desea supervisar. Puede excluir resultados de comportamientos que son de poca o ninguna preocupación o comportamientos que crean un excesivo número de entradas de registro de auditoría. Además, porque las directivas de auditoría de seguridad se pueden aplicar mediante el uso de objetos de directiva de grupo de dominio, la configuración de directiva de auditoría puede ser modificada, probada e implementada en usuarios y grupos con relativa sencillez seleccionados.

Cuando se configura la configuración de directiva de auditoría de seguridad avanzada, los eventos aparecen en equipos que ejecutan las versiones compatibles del sistema operativo Windows, como se indica en el se aplica a lista al principio de este tema, además, Windows Server 2008 y Windows Vista.

En configuración de la directiva de auditoría configuración de directiva de auditoría de seguridad avanzadas están disponibles en las siguientes categorías:

• Inicio de sesión de cuenta

  Configurar la directiva de esta categoría puede ayudarle a documento intenta autenticar los datos de la cuenta en un controlador de dominio o en un administrador de cuentas de seguridad (SAM) local. A diferencia de la configuración de directiva de inicio de sesión y cierre de sesión y los eventos, pista intenta obtener acceso a un equipo determinado, configuración y los eventos de esta categoría se centran en la cuenta de base de datos que se utiliza. Esta categoría incluye las subcategorías siguientes:

  • Validación de credenciales de auditoría

  • Servicio de autenticación de Kerberos de auditoría

  • Auditoría de las operaciones de vale de servicio Kerberos

  • Otros eventos de inicio de sesión o cierre de sesión de auditoría

• Administración de cuentas

  Configuración de esta categoría puede utilizarse para supervisar los cambios en las cuentas de equipo, usuario y grupos de directiva de auditoría de la seguridad. Esta categoría incluye las subcategorías siguientes:

  • Administración de grupos de aplicaciones de auditoría

  • Administración de cuentas de equipo de auditoría

  • Administración de grupos de distribución de auditoría

  • Otros eventos de administración de cuentas de auditoría

  • Administración de grupos de seguridad de auditoría

  • Auditar la administración de la cuenta de usuario

• Seguimiento detallado

  Configuración de directiva de seguridad de seguimiento detallados y los eventos de auditoría se pueden utilizar para supervisar las actividades de las aplicaciones individuales y usuarios de ese equipo y comprender cómo se usa un equipo. Esta categoría incluye las subcategorías siguientes:

  • Auditar la actividad DPAPI

  • Creación del proceso de auditoría

  • Finalización del proceso de auditoría

  • Auditar eventos RPC

• Acceso DS

  Configuración de directiva de auditoría de seguridad de acceso DS proporciona una pista de auditoría detallada de los intentos de obtener acceso y modificar objetos en servicios de dominio de Active Directory (AD DS). Estos eventos se registran sólo en controladores de dominio de la auditoría. Esta categoría incluye las subcategorías siguientes:

  • Auditar la replicación del servicio de directorio detallada

  • Auditar el acceso del servicio de directorio

  • Auditar los cambios del servicio de directorio

  • Replicación del servicio de directorio de auditoría

• Inicio de sesión o cierre de sesión

  Configuración de directiva de seguridad de inicio de sesión o cierre de sesión y los eventos de auditoría permiten realizar un seguimiento de los intentos para iniciar sesión en un equipo de forma interactiva o a través de una red. Estos eventos son especialmente útiles para el seguimiento de la actividad de usuario y la identificación de posibles ataques contra recursos de red. Esta categoría incluye las subcategorías siguientes:

  • Bloqueo de cuenta de auditoría

  • Auditoría de modo extendido de IPsec

  • Modo principal de IPsec de auditoría

  • Modo rápido de IPsec de auditoría

  • Cierre de sesión de auditoría

  • Inicio de sesión de auditoría

  • Servidor de directivas de red de auditoría

  • Otros eventos de inicio de sesión o cierre de sesión de auditoría

  • Auditoría de inicio de sesión especial

• Acceso a objetos

  Configuración de directiva de acceso de objetos y eventos de auditoría permiten realizar un seguimiento de los intentos de acceso a objetos específicos o tipos de objetos en un equipo o red. Para auditar los intentos de acceso a un archivo, directorio, clave del registro o cualquier otro objeto, debe habilitar la subcategoría de auditoría de acceso a objetos adecuada para los eventos de éxito o no. Por ejemplo, la subcategoría de sistema de archivos debe habilitarse para la auditoría de las operaciones de archivo y la subcategoría Registro debe habilitarse para accesos al registro de auditoría.

  Siempre que estas directivas de auditoría están en vigor a los auditores externos es más difícil. No hay ninguna forma sencilla de comprobar que se establecen las SACL adecuadas en todos los objetos heredados. Para solucionar este problema, consulte No text is specified for bookmark or legacy link '#BKMK_GlobalObjectAccess'..

  Esta categoría incluye las subcategorías siguientes:

  • Auditoría de la aplicación generada

  • Servicios de certificación de auditoría

  • Recurso compartido de archivos detallados de auditoría

  • Recurso compartido de archivos de auditoría

  • Sistema de archivos de auditoría

  • Auditoría de filtrado de conexión de la plataforma

  • Colocación de paquetes de plataforma de filtrado de auditoría

  • Auditar la manipulación de identificadores

  • Objeto de Kernel de auditoría

  • Otros eventos de acceso a objetos de auditoría

  • Registro de auditoría

  • Auditoría de SAM

• Cambio de directiva

  Eventos de cambio de directiva de auditoría permiten realizar el seguimiento de cambios a las directivas de seguridad importantes en un sistema local o la red. Dado que las directivas se establecen normalmente por los administradores para ayudar a los recursos de red segura, supervisando los cambios o intenta cambiar estas directivas puede ser un aspecto importante de la administración de seguridad para una red. Esta categoría incluye las subcategorías siguientes:

  • Auditar el cambio de directiva de auditoría

  • Auditar el cambio de la directiva de autenticación

  • Auditar el cambio de directiva de autorización

  • Auditoría de cambio de directiva de la plataforma de filtrado

  • Auditar el cambio de directiva de nivel de reglas MPSSVC

  • Otros eventos de cambio de directiva de auditoría

• Uso de privilegios

  En una red tienen los permisos para que usuarios o equipos completar tareas definidas. Configuración de directiva de seguridad de uso de privilegios y eventos de auditoría permiten controlar el uso de determinados permisos en uno o varios sistemas. Esta categoría incluye las subcategorías siguientes:

  • Auditar el uso de privilegio no confidencial

  • Auditar el uso de privilegio confidencial

  • Otros eventos de uso del privilegio de auditoría

• System (Sistema)

  Configuración de directiva de seguridad de sistema y eventos de auditoría permiten realizar un seguimiento de los cambios de nivel de sistema en un equipo que no se incluyen en otras categorías y que tienen implicaciones de seguridad potenciales. Esta categoría incluye las subcategorías siguientes:

  • Controlador IPsec de auditoría

  • Auditar eventos del sistema

  • Cambio de estado de seguridad de auditoría

  • Extensión del sistema de seguridad de auditoría

  • Integridad del sistema de auditoría

• Acceso a objetos global

  Configuración de directiva de auditoría de acceso de objetos globales permite a los administradores definir equipo acceso a listas de control sistema (SACL) por cada tipo de objeto para el sistema de archivos o el registro. La SACL especificada a continuación, se aplica automáticamente a todos los objetos de ese tipo.

  Auditores podrán demostrar que todos los recursos en el sistema está protegido por una directiva de auditoría por ver el contenido de la configuración de directiva de auditoría de acceso de objetos globales. Por ejemplo, si los auditores ver una configuración de directiva denominada "Controlar todos los cambios realizados por los administradores de grupo", saben que esta directiva está en vigor.

  Las SACL de recursos también son útiles para los escenarios de diagnóstico. Por ejemplo, establecer la auditoría de acceso a objetos Global directiva para registrar toda la actividad para un usuario específico y habilitar la directiva de seguimiento de eventos de "Acceso denegado" para el sistema de archivos o el registro puede ayudar a los administradores identificar rápidamente qué objeto en un sistema deniega el acceso de un usuario.

  Nota

  Si un archivo o carpeta SACL y una configuración de directiva de auditoría de acceso de objetos globales (o un único registro establecer SACL y una configuración de directiva de auditoría de acceso de objetos globales) se configura en un equipo, la SACL efectiva se deriva de combinar el archivo o carpeta SACL y la directiva de auditoría de acceso de objetos globales. Esto significa que se genera un evento de auditoría si una actividad coincide con el archivo o carpeta SACL o la directiva de auditoría de acceso de objetos globales.

  Esta categoría incluye las subcategorías siguientes:

  • Sistema de archivos (acceso a objetos Global de auditoría)

  • Registro (acceso a objetos Global de auditoría)