Configuración manual de la política de auditoría avanzada para controladores de dominio

 

ADAudit Plus recopila datos registrados en los registros de seguridad de los controladores de dominio, servidores miembros y servidores de archivos y proporciona informes. Los datos registrados en los registros de seguridad de los objetos anteriores dependen de la Política de auditoría / Política de auditoría avanzada (disponible en 2008 R2 y superior) configurada para esos objetos respectivos.

La configuración de la Política de auditoría avanzada garantiza que solo se recopilen los registros de seguridad necesarios para la auditoría, lo que garantiza que el espacio en disco no se llene rápidamente con registros no deseados.

Configuración de la política de auditoría avanzada para controladores de dominio que se ejecutan en el entorno de Windows Server (2008 R2 y superior):

Advanced audit policy in the 'Default Domain Controllers Policy' is to be configured for ADAudit Plus to collect only the required security logs for auditing.

Know what Advanced Audit Policies are to be established in the Default Domain Controllers Policy?

  • To audit Logon Events: Select Account Logon → Configure 'Kerberos Authentication Service (Success & Failure).

  • To audit User, Group, Computer: Select Account Management → Configure 'Computer Account Management' (Success), 'Distribution Group Management' (Success), 'Security Group Management' (Success), 'User Account Management' (Success & Failure).

  • To audit Tracking Processes: Select Detailed Tracking → Process Creation (Success), Process Termination (Success).

  • To audit GPO, OU, Configuration, Schema, Contacts, Containers, Site: Select DS Access → Configure Directory Services Changes (Success), Directory Service Access (Success).

  • To audit Logon / Logoff: Select Logon / Logoff → Configure Logon (Success & Failure), Audit Logoff (Success), Network Policy Server (Success & Failure), Other Logon / Logoff Events (Success).

  • To audit Scheduled Tasks: Select Object Access → Other Object Access Events (Success).

  • To audit Local Policy Changes: Select Policy Change → Authentication Policy Change (Success), Authorization Policy Change (Success).

  • To audit System Events: Select System → Security State Change (Success).

Step by Step Procedure to edit Default Domain Controllers Policy:

  1. Inicie sesión en Windows con una cuenta que tenga derechos de administrador.

  2. Asegúrese de que el complemento Política de grupo esté instalado.

  3. Abra la GPMC (Consola de administración de políticas de grupo) en los servidores Windows 2003/2008.

  4. Vaya a 'Política del controlador de dominio predeterminado'.

Consola de administración de políticas de grupo -> Controladores de dominio -> Política de controladores de dominio predeterminada

  1. Haga clic con el botón derecho en la Política de controladores de dominio predeterminada y haga clic en 'Editar'.

  2. Desde el Editor de administración de políticas de grupo, vaya al nodo 'Políticas de auditoría',

Configuración del equipo -> Configuración de Windows -> Configuración de seguridad -> Configuración avanzada de políticas de auditoría -> Políticas de auditoría.

  1. En el panel derecho, haga doble clic en la política que desea configurar (habilitar / deshabilitar) .

Copyright © 2014, Zoho Corp . Reservados todos los derechos.
ManageEngine