Apoyo
 
Nosotros: + 1888 720 9500
Estados Unidos: +1888791 1189
Internacional: +1925924 9500
Aus: +1800 631268
Reino Unido: 0800 028 6590
CN: +86400660 8680

Marcación interna directa: +1 408 916 9892

Obtener cotización

Importancia de las políticas de auditoría avanzadas.

El propósito de la auditoría de seguridad es garantizar que los eventos se registren siempre que se produzca una actividad. Sin embargo, cuando se audita cada actividad, los registros de eventos se inundan de información irrelevante que dificulta a los administradores de red separar los eventos críticos de los insignificantes. La configuración avanzada de políticas de auditoría ayuda a los administradores a  ejercer un control granular sobre las actividades que se registran en los registros, lo que ayuda a reducir el ruido de los eventos.

Por ejemplo, en lugar de activar la categoría de política de auditoría de DS Access para solucionar un problema de replicación, que generaría alrededor de ocho eventos cada vez que se produce esta actividad, un administrador podría activar la subcategoría de política de auditoría avanzada para la replicación del servicio de directorio, que solo generar un evento en lugar de ocho. 

Base para configurar una política de auditoría avanzada.

  • Identifique las actividades más importantes en su red que necesitan ser rastreadas. Consulte los 8 identificadores de eventos más importantes como punto de partida.
  • Identifique la configuración de auditoría de seguridad que se puede utilizar para realizar un seguimiento de estas actividades. 
  • Evalúe las posibles ventajas y desventajas (implicaciones en el tamaño del registro de eventos, por ejemplo) de cada una de estas configuraciones.  
  • Configure y administre la configuración de auditoría de seguridad (además de las políticas de auditoría y las políticas de auditoría avanzadas, también debe configurar las Listas de control de acceso del sistema (SACL) para habilitar la auditoría en objetos de directorio y archivos / carpetas).

Para obtener información sobre cómo configurar las SACL, visite nuestro  documento de ayuda.

Auditoría de Active Directory

Pasos para configurar cualquier configuración de política de auditoría avanzada.

La configuración de una política de auditoría avanzada requiere permisos de cuenta de nivel de administrador o los permisos delegados correspondientes.

  • Desde el controlador de dominio, haga clic en Inicio , seleccione Herramientas administrativas y luego Administración de políticas de grupo .
  • Desde el árbol de la consola, haga clic en el nombre de su bosque> Dominios> su dominio , luego haga clic con el botón derecho en el Dominio predeterminado o la Política de controladores de dominio correspondiente (o cree su propia política) y luego haga clic en Editar.
  • En Configuración del equipo, haga clic en Políticas> Configuración de Windows> Configuración de seguridad> Configuración de política de auditoría avanzada> Política de auditoría, luego haga doble clic en la configuración de política relevante.
  • En el panel derecho, haga clic con el botón derecho en la subcategoría correspondiente y luego haga clic en Propiedades.
  • Seleccione Correcto, Error o ambos en la casilla de verificación de eventos de auditoría y luego haga clic en Aceptar.
Pasos para configurar la política de auditoría avanzada
  • Inicio de sesión de cuenta (cuatro subcategorías): supervisa los intentos de autenticar los datos de la cuenta en un controlador de dominio o en un administrador de cuentas de seguridad (SAM) local.
  • Administración de cuentas (seis subcategorías): monitorea los cambios en las cuentas y grupos de usuarios y computadoras.
  • Seguimiento detallado (cinco subcategorías): supervisa las actividades de las aplicaciones y los usuarios individuales en una computadora, y muestra cómo se utiliza esa computadora.
  • DS Access (cuatro subcategorías): proporciona una pista de auditoría detallada de los intentos de acceder y modificar objetos en los servicios de dominio de Active Directory.
  • Inicio de sesión / Cierre de sesión (11 subcategorías): Realiza un seguimiento de los intentos de iniciar sesión en una computadora de forma interactiva o en una red.
  • Acceso a objetos (14 subcategorías): rastrea los intentos de acceder a objetos específicos o tipos de objetos en una red o computadora.
  • Cambio de política (seis subcategorías): realiza un seguimiento de los cambios en las políticas de seguridad importantes en un sistema o red local.
  • Uso de privilegios (tres subcategorías): rastrea el uso de ciertos permisos en uno o más sistemas.
  • Sistema (cinco subcategorías): realiza un seguimiento de los cambios a nivel del sistema en una computadora que no están incluidos en otras categorías y que tienen posibles implicaciones de seguridad.
  • Auditoría global de acceso a objetos (dos subcategorías): permite a los administradores definir las SACL de la computadora por tipo de objeto para el sistema de archivos o para el registro.

Elegir registrar éxitos, fracasos o ambos.

Debe evaluar las ventajas y desventajas antes de elegir registrar éxitos, fracasos o ambos. Por ejemplo, para archivos a los que acceden con frecuencia usuarios legítimos, los intentos de acceso exitosos llenarán rápidamente el registro de eventos con eventos benignos. Dado que los eventos de inicio de sesión fallidos pueden indicar intentos de acceso no autorizados, esos son los eventos que deben auditarse en este escenario. Por otro lado, para los archivos con información confidencial, se debe registrar cada intento de acceso (tanto exitoso como fallido), para que tenga una pista de auditoría de cada usuario que accedió al archivo.

Cinco puntos clave a tener en cuenta.

  • Las políticas de auditoría son políticas informáticas. Esto significa que se debe aplicar una política de auditoría avanzada a través de los GPO que se aplican a las unidades organizativas que contienen equipos y no a las unidades organizativas del usuario.
  • La Política de dominio predeterminada está vinculada al dominio y afecta a todos los usuarios y equipos de ese dominio a través de la herencia de la política de grupo. Mientras que la política de controladores de dominio predeterminada está vinculada a la unidad organizativa de controladores de dominio y solo afecta a los controladores de dominio. La configuración de la política que se aplica en el nivel de OU anula la configuración de la política aplicada en el nivel de dominio.
  • Cuando utilice la configuración de la política de auditoría avanzada, asegúrese de habilitar Forzar la configuración de la política de auditoría avanzada para anular la configuración de la política de auditoría. Para hacerlo, vaya a Políticas locales> Opciones de seguridad y habilite Forzar configuración de subcategoría de política de auditoría.
  • Ejecute el asistente de Resultados de políticas de grupo que se encuentra en la Consola de administración de políticas de grupo para ver una lista consolidada de todas las configuraciones de políticas de auditoría que se aplicarán.
  • Al modificar una política de auditoría avanzada existente, realice una copia de seguridad del GPO existente para que pueda restaurarse en cualquier momento. Para realizar una copia de seguridad, haga clic con el botón derecho en el GPO correspondiente y utilice la función Copia de seguridad .

¡Pase de descargar ADAudit Plus de ManageEngine a recibir alertas de seguridad de Active Directory en solo una hora!

ADAudit Plus detecta automáticamente los controladores de dominio, configura los ajustes de seguridad necesarios para registrar eventos y configura los perfiles de alerta predeterminados, por supuesto, con su consentimiento.

 
3 de cada 5 empresas de Fortune 500 confían en ManageEngine para administrar su TI.
 
 
 
 
En una palabra

ADAudit Plus es una herramienta de auditoría de cambios de Active Directory en tiempo real basada en la web que le ayuda

Si desea explorar el producto usted mismo, descargue una versión de prueba gratuita y completamente funcional de 30 días.

Si desea que un experto lo lleve a través de un recorrido personalizado del producto, programe una demostración.

 

ADAudit Plus cuenta con la confianza de