Apoyo
 
Nosotros: + 1888 720 9500
Estados Unidos: +1888791 1189
Internacional: +1925924 9500
Aus: +1800 631268
Reino Unido: 0800 028 6590
CN: +86400660 8680

Marcación interna directa: +1 408 916 9892

 

Configuración de políticas de auditoría: configuración manual

Las políticas de auditoría deben configurarse para garantizar que los eventos se registren siempre que se produzca alguna actividad.

1. Configuración de políticas de auditoría avanzadas

Las políticas de auditoría avanzadas ayudan a los administradores a ejercer un control granular sobre las actividades que se registran en los registros, lo que ayuda a reducir el ruido de los eventos. Se recomienda que las políticas de auditoría avanzadas se configuren en los controladores de dominio que se ejecutan en Windows Server 2008 y versiones posteriores.

  • Inicie sesión en cualquier computadora que tenga la Consola de administración de políticas de grupo (GPMC), con credenciales de administrador de dominio → Abra GPMC → Haga clic con el botón derecho en Política de controladores de dominio predeterminada → Editar.
  • En el Editor de administración de políticas de grupo → Configuración del equipo → Políticas → Configuración de Windows → Configuración de seguridad → Configuración avanzada de la política de auditoría → Política de auditoría, haga doble clic en la configuración de política relevante.
  • Navegue hasta el panel derecho → Haga clic con el botón derecho en la subcategoría relevante y luego haga clic en Propiedades → Seleccionar éxito, fracaso o ambos; como se indica en la tabla a continuación.

Categoría Subcategoría Eventos de auditoría
Inicio de sesión de cuenta
  • Auditar el servicio de autenticación Kerberos
Éxito y fracaso
Administración de cuentas
  • Gestión de cuentas informáticas de auditoría
  • Gestión del grupo de distribución de auditoría
  • Auditoría de la gestión del grupo de seguridad
Éxito
  • Auditoría de la gestión de cuentas de usuario
Éxito y fracaso
Seguimiento detallado
  • Creación de procesos de auditoría
  • Terminación del proceso de auditoría
Éxito
Acceso DS
  • Auditar cambios en los servicios de directorio
  • Auditar el acceso al servicio de directorio
Éxito
Inicio / Cierre de sesión
  • Inicio de sesión de auditoría
  • Servidor de políticas de red de auditoría
Éxito y fracaso
  • Auditar otros eventos de inicio / cierre de sesión
  • Cierre de sesión de auditoría
Éxito
Acceso a objetos
  • Auditar otros eventos de acceso a objetos
Éxito
Cambio de política
  • Auditoría de cambios en la política de autenticación
  • Cambio de política de autorización de auditoría
Éxito
Sistema
  • Auditoría del cambio de estado de seguridad
Éxito
Active-directory-audit-configuring-advanced-audit-policies Imagen que muestra: categoría Inicio de sesión de cuenta → Subcategoría del servicio de autenticación Kerberos de auditoría → Configuración correcta y incorrecta.
2. Aplicación de políticas de auditoría avanzadas

Cuando utilice políticas de auditoría avanzadas, asegúrese de que se impongan a las políticas de auditoría heredadas.

  • Inicie sesión en cualquier computadora que tenga la Consola de administración de políticas de grupo (GPMC), con credenciales de administrador de dominio → Abra GPMC → Haga clic con el botón derecho en Política de controladores de dominio predeterminada → Editar.
  • En el Editor de administración de políticas de grupo → Configuración del equipo → Políticas → Configuración de Windows → Configuración de seguridad → Políticas locales → Opciones de seguridad.
  • Navegue al panel derecho → Haga clic con el botón derecho en Auditoría: Forzar configuración de subcategoría de política de auditoría → Propiedades → Habilitar.
  • políticas-de-auditoría-avanzadas-de-ejecución-de-auditoría-del-directorio-activo
3. Configuración de políticas de auditoría heredadas

La opción para configurar políticas de auditoría avanzadas no está disponible en Windows Server 2003 y versiones anteriores. Por lo tanto, para estos sistemas, debe configurar las políticas de auditoría heredadas.

  • Inicie sesión en cualquier computadora que tenga la Consola de administración de políticas de grupo (GPMC), con credenciales de administrador de dominio → Abra GPMC → Haga clic con el botón derecho en Política de controladores de dominio predeterminada → Editar.
  • En el Editor de administración de políticas de grupo → Configuración del equipo → Políticas → Configuración de Windows → Configuración de seguridad → Políticas locales → Haga doble clic en Política de auditoría.
  • Navegue al panel derecho → Haga clic con el botón derecho en la política relevante y luego haga clic en Propiedades → Seleccionar éxito, fracaso o ambos; como se indica en la tabla a continuación-

Categoría Eventos de auditoría
Inicio de sesión de cuenta Éxito y fracaso
Auditar inicio / cierre de sesión Éxito y fracaso
Administración de cuentas Éxito
Acceso al servicio de directorio Éxito
Seguimiento de procesos Éxito
Acceso a objetos Éxito
Eventos del sistema Éxito
Active-directory-audit-configuring-legacy-audit-policies Imagen que muestra: Categoría de eventos de inicio de sesión de cuenta de auditoría → Configuración correcta y fallida.

Nota:  Para habilitar la auditoría de eventos NTLM, inicie sesión en la consola web de ADAudit Plus → Haga clic en la  pestaña Soporte > En  Información de soporte , haga clic en  Más > En  Configuración , haga clic en  Habilitar / deshabilitar ajustes de configuración > Habilitar auditoría NTLM.

ADAudit Plus cuenta con la confianza de