Configuración de directiva de auditoría de seguridad de avanzada
Publicado: agosto de 2016
Se aplica a: Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8
Esta referencia para profesionales de TI proporciona información sobre la configuración de directiva de auditoría avanzada que están disponible en sistemas operativos Windows y los eventos de auditoría que generan.
La configuración de directiva de auditoría de 53 seguridad en la configuración de directiva de auditoría de seguridad avanzadas puede ayudar a su organización de cumplimiento de normas relacionadas con la seguridad y empresariales importantes de auditoría mediante el seguimiento de actividades definidas con precisión, como:
Un administrador de grupos modificó la configuración ni los datos en los servidores que contienen información financiera.
Un empleado de un grupo definido accedió a un archivo importante.
La lista de control de acceso correcta del sistema (SACL) se aplica a cada archivo y carpeta o clave del registro en un recurso compartido de archivo o equipo como medida de seguridad comprobable frente a accesos no detectados.
Puede tener acceso a esta configuración de directiva de auditoría mediante la directiva de seguridad Local complemento (secpol.msc) en el equipo local o mediante Directiva de grupo.
Esta configuración de directiva de auditoría avanzada le permite seleccionar sólo los comportamientos que desea supervisar. Puede excluir resultados de comportamientos que son de poca o ninguna preocupación o comportamientos que crean un excesivo número de entradas de registro de auditoría. Además, porque las directivas de auditoría de seguridad se pueden aplicar mediante el uso de objetos de directiva de grupo de dominio, la configuración de directiva de auditoría puede ser modificada, probada e implementada en usuarios y grupos con relativa sencillez seleccionados.
Cuando se configura la configuración de directiva de auditoría de seguridad avanzada, los eventos aparecen en equipos que ejecutan las versiones compatibles del sistema operativo Windows, como se indica en el se aplica a lista al principio de este tema, además, Windows Server 2008 y Windows Vista.
En configuración de la directiva de auditoría configuración de directiva de auditoría de seguridad avanzadas están disponibles en las siguientes categorías:
Inicio de sesión de cuenta
Configurar la directiva de esta categoría puede ayudarle a documento intenta autenticar los datos de la cuenta en un controlador de dominio o en un administrador de cuentas de seguridad (SAM) local. A diferencia de la configuración de directiva de inicio de sesión y cierre de sesión y los eventos, pista intenta obtener acceso a un equipo determinado, configuración y los eventos de esta categoría se centran en la cuenta de base de datos que se utiliza. Esta categoría incluye las subcategorías siguientes:
Administración de cuentas
Configuración de esta categoría puede utilizarse para supervisar los cambios en las cuentas de equipo, usuario y grupos de directiva de auditoría de la seguridad. Esta categoría incluye las subcategorías siguientes:
Seguimiento detallado
Configuración de directiva de seguridad de seguimiento detallados y los eventos de auditoría se pueden utilizar para supervisar las actividades de las aplicaciones individuales y usuarios de ese equipo y comprender cómo se usa un equipo. Esta categoría incluye las subcategorías siguientes:
Acceso DS
Configuración de directiva de auditoría de seguridad de acceso DS proporciona una pista de auditoría detallada de los intentos de obtener acceso y modificar objetos en servicios de dominio de Active Directory (AD DS). Estos eventos se registran sólo en controladores de dominio de la auditoría. Esta categoría incluye las subcategorías siguientes:
Inicio de sesión o cierre de sesión
Configuración de directiva de seguridad de inicio de sesión o cierre de sesión y los eventos de auditoría permiten realizar un seguimiento de los intentos para iniciar sesión en un equipo de forma interactiva o a través de una red. Estos eventos son especialmente útiles para el seguimiento de la actividad de usuario y la identificación de posibles ataques contra recursos de red. Esta categoría incluye las subcategorías siguientes:
Acceso a objetos
Configuración de directiva de acceso de objetos y eventos de auditoría permiten realizar un seguimiento de los intentos de acceso a objetos específicos o tipos de objetos en un equipo o red. Para auditar los intentos de acceso a un archivo, directorio, clave del registro o cualquier otro objeto, debe habilitar la subcategoría de auditoría de acceso a objetos adecuada para los eventos de éxito o no. Por ejemplo, la subcategoría de sistema de archivos debe habilitarse para la auditoría de las operaciones de archivo y la subcategoría Registro debe habilitarse para accesos al registro de auditoría.
Siempre que estas directivas de auditoría están en vigor a los auditores externos es más difícil. No hay ninguna forma sencilla de comprobar que se establecen las SACL adecuadas en todos los objetos heredados. Para solucionar este problema, consulte No text is specified for bookmark or legacy link '#BKMK_GlobalObjectAccess'..
Esta categoría incluye las subcategorías siguientes:
Cambio de directiva
Eventos de cambio de directiva de auditoría permiten realizar el seguimiento de cambios a las directivas de seguridad importantes en un sistema local o la red. Dado que las directivas se establecen normalmente por los administradores para ayudar a los recursos de red segura, supervisando los cambios o intenta cambiar estas directivas puede ser un aspecto importante de la administración de seguridad para una red. Esta categoría incluye las subcategorías siguientes:
Uso de privilegios
En una red tienen los permisos para que usuarios o equipos completar tareas definidas. Configuración de directiva de seguridad de uso de privilegios y eventos de auditoría permiten controlar el uso de determinados permisos en uno o varios sistemas. Esta categoría incluye las subcategorías siguientes:
System (Sistema)
Configuración de directiva de seguridad de sistema y eventos de auditoría permiten realizar un seguimiento de los cambios de nivel de sistema en un equipo que no se incluyen en otras categorías y que tienen implicaciones de seguridad potenciales. Esta categoría incluye las subcategorías siguientes:
Acceso a objetos global
Configuración de directiva de auditoría de acceso de objetos globales permite a los administradores definir equipo acceso a listas de control sistema (SACL) por cada tipo de objeto para el sistema de archivos o el registro. La SACL especificada a continuación, se aplica automáticamente a todos los objetos de ese tipo.
Auditores podrán demostrar que todos los recursos en el sistema está protegido por una directiva de auditoría por ver el contenido de la configuración de directiva de auditoría de acceso de objetos globales. Por ejemplo, si los auditores ver una configuración de directiva denominada "Controlar todos los cambios realizados por los administradores de grupo", saben que esta directiva está en vigor.
Las SACL de recursos también son útiles para los escenarios de diagnóstico. Por ejemplo, establecer la auditoría de acceso a objetos Global directiva para registrar toda la actividad para un usuario específico y habilitar la directiva de seguimiento de eventos de "Acceso denegado" para el sistema de archivos o el registro puede ayudar a los administradores identificar rápidamente qué objeto en un sistema deniega el acceso de un usuario.
Nota
Si un archivo o carpeta SACL y una configuración de directiva de auditoría de acceso de objetos globales (o un único registro establecer SACL y una configuración de directiva de auditoría de acceso de objetos globales) se configura en un equipo, la SACL efectiva se deriva de combinar el archivo o carpeta SACL y la directiva de auditoría de acceso de objetos globales. Esto significa que se genera un evento de auditoría si una actividad coincide con el archivo o carpeta SACL o la directiva de auditoría de acceso de objetos globales.
Esta categoría incluye las subcategorías siguientes: