Un administrador puede utilizar los eventos de seguridad de auditoría para obtener información fiable sobre todos los eventos del sistema, supervisar las actividades de los usuarios y utilizar la información para identificar las vulnerabilidades en la seguridad del servidor. En Windows, tales eventos se registran en el registro de seguridad del sistema operativo. En este artículo, le mostraremos cómo configurar las políticas de auditoría de seguridad en Windows utilizando el ejemplo de la configuración de la auditoría de acceso a archivos y carpetas.
Puede utilizar la consola de Política de grupo para configurar las políticas de auditoría en Windows. Si está configurando políticas para equipos/servidores de dominio, utilice la consola de administración de políticas de grupo (gpmc.msc). Puedes utilizar la consola del Editor de políticas de grupo local (gpedit.msc) cuando configures la política de auditoría en un servidor independiente o en un grupo de trabajo.
Hay dos secciones en la consola de la GPO, que contienen políticas de auditoría básicas y avanzadas.
La política básica de auditoría se encuentra en la sección de la GPO: Configuración del ordenador> Configuración de Windows> Configuración de seguridad> Políticas locales> Política de auditoría . En ella se encuentran las siguientes categorías de eventos:
- Eventos de inicio de sesión de la cuenta de auditoría;
- Gestión de la cuenta de auditoría;
- Acceso al servicio de directorio de auditoría;
- Eventos de inicio de sesión de auditoría;
- Acceso al objeto de auditoría;
- Cambio de la política de auditoría;
- Uso del privilegio de auditoría;
- Seguimiento del proceso de auditoría;
- Eventos del sistema de auditoría.
Las políticas avanzadas de auditoría se encuentran en la sección Configuración del ordenador> Configuración de Windows> Configuración de seguridad> Configuración de la política de auditoría avanzada . Hay 60 políticas de auditoría diferentes, divididas en 10 categorías.
LEER TAMBIÉN Usando Pathping en Windows
- Inicio de sesión de la cuenta;
- Gestión de cuentas;
- Seguimiento detallado;
- DS Access;
- Inicio de sesión/fin de sesión;
- Acceso al objeto;
- Cambio de política;
- Uso de privilegios;
- Sistema;
- Auditoría de Acceso a Objetos Globales.
En la mayoría de los casos, es necesario utilizar las políticas de auditoría de la sección Configuración avanzada de políticas de auditoría, que permiten ajustar la auditoría y excluir los eventos de seguridad innecesarios.
Antes de habilitar las políticas de auditoría de Windows, le recomendamos que aumente el tamaño máximo del registro de seguridad de 128 Mb (por defecto en Windows Server).
Ejecute la consola del Visor de eventos (eventvwr.msc), expanda el Registros de Windows y abra las propiedades del registro de seguridad . Aumenta el valor del campo Tamaño máximo de registro (KB) .
Ahora hay que configurar la política para auditar el acceso de los usuarios a los archivos y carpetas de la carpeta compartida de la red. Ve a la sección Política de auditoría avanzada> Acceso a objetos . Abrir las propiedades de las subcategorías Audit File Share y Audit File System .
Habilitar la política: Configurar los siguientes eventos de auditoría .
Especifique qué eventos deben ser registrados en el registro de seguridad:
- Éxito – acceso exitoso del usuario a los objetos de la carpeta compartida
- Fallo – eventos de acceso a carpetas sin éxito.
En nuestro caso, basta con auditar sólo los eventos de éxito.
Ahora necesitas asignar una política de auditoría a la carpeta compartida (crear listas de control de acceso al sistema -SACL-).
LEER TAMBIÉN Cómo hacer una copia de seguridad y restaurar el GPO?
Ahora abre las propiedades de la carpeta de red, ve a Seguridad tab> Avanzado> Auditoría tab> Continuar .
Haga clic en el botón Add> Seleccione un director y añada directores – estos son usuarios o grupos (locales o de Active Directory) cuyas actividades desea auditar. Añadimos los grupos Domain Users o Everyone (esto significa que auditaremos el acceso a la carpeta compartida de la red para todos los usuarios).
A continuación, en la sección Permisos , especifique qué acciones del usuario deben registrarse. Seleccioné los eventos de la categoría Borrar .
Guarda los cambios y actualiza las políticas en el ordenador usando el comando gpupdate :
gpupdate /force
Ahora, si algún usuario borra un archivo o una carpeta de su carpeta de red, aparecerá en el registro de seguridad un evento con EventID 4660 de la fuente Seguridad de Microsoft Windows con Categoría de tarea Sistema de archivos «Se ha borrado un objeto».
El evento contiene el usuario que borró el archivo (Nombre de la cuenta).
No se recomienda habilitar muchos eventos de auditoría a la vez, ya que esto puede causar un aumento de la carga de la computadora. Además, es difícil buscar un gran número de eventos de seguridad.
También puede gestionar las políticas de auditoría a través de la herramienta de línea de comandos auditpol.exe .
Para mostrar información sobre todas las políticas de auditoría habilitadas, ejecute el comando:
auditpol /get /category:*
Para permitir una política de auditoría específica, se utiliza la siguiente sintaxis:
auditpol /set /subcategoría: "Registro" /success:enable
Para restablecer las políticas de auditoría a su estado limpio, use el comando:
AuditPol /clear