Configuración manual de la política de auditoría avanzada para servidores miembro de Windows

 

ADAudit Plus recopila datos registrados en los registros de seguridad de los servidores miembro configurados y proporciona informes. Los datos registrados en los registros de seguridad de los objetos anteriores dependen de la Política de auditoría / Política de auditoría avanzada (disponible en 2008 R2 y superior) configurada para el objeto respectivo.

La configuración de la Política de auditoría avanzada garantiza que solo se recopilen los registros de seguridad necesarios para la auditoría, lo que garantiza que el espacio en disco no se llene rápidamente con registros no deseados.

Configuración de la política de auditoría avanzada para servidores miembro que se ejecutan en servidores Windows (2008 R2 y superior):

La política de auditoría avanzada debe configurarse en el GPO que se aplica en todos los servidores miembro seleccionados para recopilar solo los registros de seguridad necesarios para la auditoría.

¿Qué políticas de auditoría avanzada se van a establecer en el GPO?

  • Para auditar Usuario, Grupo, Computadora: Seleccione Administración de cuentas → Configure 'Administración de cuentas de computadora' (S), 'Administración de grupos de distribución' (Éxito), 'Administración de grupos de seguridad' (Éxito), 'Administración de cuentas de usuario' (Éxito y fracaso) .

  • Para auditar los procesos de seguimiento: seleccione Seguimiento detallado → Creación de proceso (éxito), Terminación del proceso (éxito).

  • Para auditar el inicio de sesión / cierre de sesión: seleccione Inicio / cierre de sesión → Configurar inicio de sesión (éxito y error), Auditar cierre de sesión (éxito), Servidor de políticas de red (éxito y error), Otros eventos de inicio de sesión / cierre de sesión (éxito).

  • Para auditar tareas programadas: seleccione Acceso a objetos → Otros eventos de acceso a objetos (éxito).

  • Para auditar cambios de política local: seleccione Cambio de política → Cambio de política de autenticación (correcto), Cambio de política de autorización (correcto), Cambio de política de auditoría (correcto).

  • Para auditar los eventos del sistema: seleccione Sistema → Cambio de estado de seguridad (correcto).

Procedimiento paso a paso para editar el GPO:

  1. Inicie sesión en Windows con una cuenta que tenga derechos de administrador.

  2. Asegúrese de que el complemento Política de grupo esté instalado.

  3. Abra la GPMC (Consola de administración de políticas de grupo) en los servidores Windows 2003/2008.

  4. Navegue hasta el 'GPO' que se aplica en todos los servidores miembro seleccionados.

Consola de administración de políticas de grupo -> Controladores de dominio -> GPO aplicable para servidores miembro

  1. Haga clic derecho en el GPO y haga clic en 'Editar'.

  2. Desde el Editor de administración de políticas de grupo, vaya al nodo 'Políticas de auditoría',

Configuración del equipo -> Configuración de Windows -> Configuración de seguridad -> Configuración avanzada de políticas de auditoría -> Políticas de auditoría.

  1. En el panel derecho, haga doble clic en la política que desea configurar (habilitar / deshabilitar) .

Copyright © 2014, Zoho Corp . Reservados todos los derechos.
ManageEngine