.png)
AD DS: auditoría
Actualizado: marzo de 2009
Se aplica a: Windows Server 2008
En el sistema operativo Windows Server® 2008, ahora puede configurar la auditoría de los Servicios de dominio de Active Directory® (AD DS) con una nueva subcategoría de la directiva de auditoría (Cambios de servicio de directorio) para registrar los valores antiguos y nuevos cuando efectúe cambios en objetos de AD DS y sus atributos.
 Nota |
|---|
| Esta nueva función de auditoría también es aplicable a los Servicios de directorio ligero de Active Directory (AD LDS). No obstante, aquí sólo se tratarán los AD DS. |
¿Qué hace la auditoría de AD DS?
La directiva de auditoría global Auditar el acceso del servicio de directorio controla si la auditoría de los eventos del servicio de directorio está habilitada o deshabilitada. Esta configuración de seguridad determina si los eventos se registran en el registro de seguridad cuando se llevan a cabo determinadas operaciones en objetos del directorio. La modificación de la lista de control de acceso del sistema (SACL) en un objeto le permite controlar qué operaciones se auditan. En Windows Server 2008, esta directiva está habilitada de forma predeterminada.
Si define esta opción de directiva (mediante la modificación de la Directiva de controladores de dominio predeterminada), puede especificar si se debe efectuar una auditoría de los aciertos, de los errores o sencillamente no efectuarla. Las auditorías de aciertos generan una entrada de auditoría cuando un usuario tiene acceso correctamente a un objeto de AD DS que tiene especificada una SACL. Las auditorías de errores generan una entrada de auditoría cuando un usuario no consigue obtener acceso a un objeto de AD DS que tiene especificada una SACL.
Puede de configurar una SACL en un objeto de AD DS en la ficha Seguridad del cuadro de diálogo de propiedades del objeto. Auditar el acceso del servicio de directorio se aplica exactamente igual que Auditar el acceso a objetos; no obstante, solamente es aplicable a los objetos de AD DS, no a los objetos del sistema de archivos ni a los objetos del Registro.
¿A quién podría interesar esta función?
Esta función tiene validez para los administradores de AD DS que sean responsables de configurar la auditoría en el directorio. Los administradores configuran listas SACL apropiadas para los objetos que desean auditar.
En general, los permisos para modificar las SACL y ver el registro de seguridad solamente se asignan a los miembros de los grupos de administradores, incluidos Admins. del dominio, Builtin\Administradores y Administradores de organización.
¿Qué funcionalidad existente cambia?
Windows Server 2008 agrega la capacidad de que AD DS realice una auditoría para registrar los valores antiguos y nuevos de un atributo cuando éste se modifique correctamente. Anteriormente, la auditoría de AD DS solamente registraba el nombre del atributo modificado; no registraba los valores actual y anterior del atributo.
Auditoría de acceso de AD DS
En Windows 2000 Server y Windows Server 2003, una directiva de auditoría, Auditar el acceso del servicio de directorio, controlaba si la auditoría de los eventos del servicio de directorio estaba habilitada o no. En Windows Server 2008, esta directiva está dividida en cuatro subcategorías:
-
Acceso del servicio de directorio
-
Cambios de servicio de directorio
-
Replicación de servicio de directorio
-
Replicación de servicio de directorio detallada
La capacidad para auditar los cambios en los objetos de AD DS está habilitada con la nueva subcategoría de auditoría Cambios de servicio de directorio. Los tipos de cambios que pueden auditarse son operaciones de creación, modificación, desplazamiento y recuperación que se realizan en un objeto. Los eventos que generan estas operaciones aparecen en el registro de seguridad.
Esta nueva subcategoría de directiva agrega la siguiente capacidad a la auditoría de AD DS:
-
Cuando se lleva a cabo correctamente una operación de modificación en un atributo de un objeto, AD DS registra los valores anterior y actual del atributo. Si el atributo tiene varios valores, solamente se registran aquellos que varían como consecuencia de la operación de modificación.
-
Cuando se crea un objeto nuevo, se registran los valores de los atributos que se rellenan en el momento de su creación. Si se agregan atributos durante la operación de creación, se registran los valores de los nuevos atributos. En la mayoría de los casos, AD DS asigna a los atributos valores predeterminados (por ejemplo, sAMAccountName). Los valores de estos atributos del sistema no se registran.
-
Si el objeto se desplaza dentro de un dominio, se registran las ubicaciones anterior y nueva (en forma del nombre distintivo). Cuando un objeto se desplaza a otro dominio, se genera un evento de creación en el controlador del dominio de destino.
-
Si se recupera un objeto, se registra la ubicación a la que se desplaza el objeto. Asimismo, si se agregan, modifican o eliminan atributos durante una operación de recuperación, se registran los valores de dichos atributos.
|
Nota |
|---|
| Si un objeto se elimina, no se generan eventos de auditoría de cambios. No obstante, se genera un evento de auditoría si está habilitada la subcategoría Acceso del servicio de directorio. |
Una vez habilitado Cambios de servicio de directorio, AD DS registra los eventos en el registro de eventos de seguridad cuando se efectúan cambios en objetos para los cuales un administrador habilitó la auditoría. En la tabla siguiente se describen estos eventos.
| Id. de evento | Tipo de evento | Descripción del evento |
|---|---|---|
|
5136 |
Modificar |
Este evento se registra cuando se modifica correctamente un atributo del directorio. |
|
5137 |
Crear |
Este evento se registra cuando se crea un objeto nuevo en el directorio. |
|
5138 |
Recuperar |
Este evento se registra cuando se recupera un objeto en el directorio. |
|
5139 |
Mover |
Este evento se registra cuando un objeto se desplaza en el directorio. |
¿Por qué es importante este cambio?
La capacidad para identificar cómo cambian los atributos de los objetos aumenta la utilidad de los registros de eventos como mecanismo de seguimiento de los cambios producidos durante la vigencia de un objeto.
¿Qué funciona de forma diferente?
En Windows Server 2008, la nueva función de auditoría se implementa con los controles siguientes:
-
Directiva de auditoría global
-
SACL
-
Esquema
Directiva de auditoría global
Al habilitar la directiva de auditoría global, Auditar el acceso del servicio de directorio habilita todas las subcategorías de directivas de servicios de directorio. Puede configurar esta directiva de auditoría global en la Directiva predeterminada de controladores de dominio (en Configuración de seguridad\Directivas locales\Directiva de auditoría). En Windows Server 2008, esta directiva de auditoría global está habilitada de forma predeterminada. Por tanto, la subcategoría Cambios de servicio de directorio también está habilitada de manera predeterminada. Esta subcategoría sólo se establece para los eventos correctos.
En Windows 2000 Server y Windows Server 2003, la directiva Auditar el acceso del servicio de directorio era el único control de auditoría disponible para Active Directory. Los eventos que generaba este control no mostraban los valores antiguo y nuevo de las modificaciones. Esta configuración generaba eventos de auditoría en el registro de seguridad con el número de identificación 566. En Windows Server 2008, la subcategoría de directiva de auditoría Acceso del servicio de directorio sigue generando los mismos eventos, pero el número de identificación ahora es 4662.
Con la nueva subcategoría de directiva de auditoría Cambios de servicio de directorio, los cambios correctos en el directorio se registran junto con los valores anterior y actual de los atributos. La configuración de Acceso del servicio de directorio y de Cambios de servicio de directorio se almacena en la base de datos de la Autoridad de seguridad local (LSA) y puede consultarse con las nuevas interfaces de programación de aplicaciones (API) de la LSA.
Las dos subcategorías de auditoría son independientes entre sí. Aunque deshabilite Acceso del servicio de directorio, podrá seguir viendo los eventos de cambio generados si está habilitada la subcategoría Cambios de servicio de directorio. Del mismo modo, si deshabilita Cambios de servicio de directorio y habilita Acceso del servicio de directorio, podrá ver los eventos del registro de seguridad con el número de identificación 4662.
Puede usar la herramienta de la línea de comandos Auditpol.exe para ver o establecer subcategorías de la directiva de auditoría. En Windows Server 2008 no está disponible una herramienta de la interfaz de Windows para ver o establecer subcategorías de la directiva de auditoría.
SACL
La lista SACL es la parte del descriptor de seguridad de un objeto que especifica las operaciones que deben someterse a auditoría para una entidad de seguridad. La SACL del objeto sigue siendo la autoridad máxima a la hora de determinar si se debe auditar o no una comprobación de acceso.
El contenido de la SACL lo controlan los administradores de seguridad del sistema local. Los administradores de seguridad son usuarios a quienes se ha asignado el privilegio Administrar registro de seguridad y auditoría (SeSecurityPrivilege). De manera predeterminada, este privilegio se asigna al grupo Administradores integrado.
Si no hay entradas de control de acceso (ACE) en la SACL que requieran el registro de las modificaciones de los atributos, aunque esté habilitada la subcategoría Cambios de servicio de directorio, no se registrarán los eventos de auditoría de cambios. Por ejemplo, si no hay ACE en una SACL que requiere el acceso Propiedad de escritura en el atributo de número de teléfono de un objeto de usuario que se desea auditar, no se generarán eventos de auditoría cuando se modifique el atributo de número de teléfono, aunque esté habilitada la subcategoría Cambios de servicio de directorio.
Esquema
Para evitar la posibilidad de que se genere un número excesivo de eventos, el esquema tiene un control adicional que permite crear excepciones de auditoría.
Por ejemplo, si desea ver los cambios de todas las modificaciones de los atributos de un objeto de usuario, excepto de uno o dos atributos, puede establecer en el esquema un marcador para los atributos que no desee auditar. La propiedad searchFlags de cada atributo define si el atributo se indiza, se replica en el catálogo global o exhibe cualquier otro comportamiento de esta clase. Actualmente están definidos siete bits para la propiedad searchFlags.
Si el bit 9 (valor 256) está establecido para un atributo, AD DS no registrará los eventos de cambios cuando se modifique el atributo. Esto se aplica a todos los objetos que contengan el atributo.
¿Qué opciones de configuración se han agregado o modificado?
Hay nuevas configuraciones de claves del Registro y configuraciones de la directiva de grupo para la auditoría de AD DS.
Configuración del Registro
Se usan los valores de clave del Registro siguientes para configurar la auditoría de AD DS.
| Nombre de la opción | Ubicación | Posibles valores |
|---|---|---|
|
MaximumStringBytesToAudit |
HKEY_LOCAL_MACHINE\ System\CurrentControlSet\ Services\NTDS\Parameters |
|
Configuración de directiva de grupo
No se pueden ver las subcategorías de la directiva de auditoría con el Editor de directivas de grupo local (GPedit.msc). Sólo pueden verse con la herramienta de la línea de comandos Auditpol.exe. El ejemplo siguiente del comando auditpol habilita la subcategoría de auditoría Cambios de servicio de directorio:
auditpol /set /subcategory:"directory service changes" /success:enable
