C18 Polticas de auditoria

Supervisar la creacin o la modificacin de objetos permite hacer un seguimiento de los posibles

problemas de seguridad, ayuda a asegurar la responsabilidad del usuario y proporciona pruebas en caso
de producirse una infraccin en la seguridad.
Los tipos de eventos ms comunes que se auditan son:

Acceso a objetos, como archivos y carpetas.

Administracin de cuentas de usuarios y de grupos.

Usuarios que inician y cierran la sesin del sistema.

Antes de implementar una auditora, debe tomar una decisin sobre una directiva de auditora. Una
directiva de auditora especifica las categoras de eventos relacionados con la seguridad que desea
auditar. Cuando esta versin de Windows se instala por primera vez, todas las categoras de auditora
estn deshabilitadas. Al habilitar varias categoras de eventos de auditora, puede implementar una
directiva de auditora apropiada para las necesidades de seguridad de su organizacin.
Las categoras de eventos que puede elegir para auditar son:

Auditar eventos de inicio de sesin de cuenta

Auditar la administracin de cuentas

Auditar el acceso del servicio de directorio

Auditar eventos de inicio de sesin

Auditar el acceso a objetos

Auditar el cambio de directivas

Auditar el uso de privilegios

Auditar el seguimiento de procesos

Auditar eventos del sistema

Si opta por auditar el acceso a objetos como parte de su directiva de auditora, debe habilitar la categora
Auditar el acceso del servicio de directorio (para auditar objetos en un controlador de dominio) o la
categora Auditar el acceso a objetos (para auditar objetos en un servidor miembro o una estacin de
trabajo). Despus de habilitar la categora de acceso a objetos, puede especificar los tipos de acceso que
desea auditar para cada grupo o usuario.
Para habilitar la auditora de objetos locales, debe iniciar una sesin como miembro del grupo de cuentas
predefinidas de administrador.
Al definir la configuracin de auditora para categoras de eventos especficas, puede crear una directiva
de auditora apropiada para las necesidades de seguridad de su organizacin. En los servidores y
estaciones de trabajo miembro que se unen a un dominio, la configuracin de auditora para las
categoras de eventos no est definida de manera predeterminada. En los controladores de dominio, la
auditora est activada de manera predeterminada.

Para definir o modificar la configuracin de directiva de auditora de una categora de eventos para
un dominio o una unidad organizativa, cuando est en un servidor miembro o en una estacin de
trabajo que est unida a un dominio
1.

Si la Consola de administracin de directivas de grupo (GPMC) no est instalada,

abra Administrador del servidor y, en Resumen de caractersticas, haga clic en Agregar
caractersticas. Active la casilla Administracin de directivas de grupo, haga clic
en Siguiente y, a continuacin, haga clic en Instalar.

2.

Una vez que la pgina Resultados de la instalacin muestra que la instalacin de GPMC es
correcta, haga clic en Cerrar.

3.

Haga clic en Inicio, seleccione Herramientas administrativas y, a continuacin, haga clic

en Administracin de directivas de grupo.

4.

En el rbol de consola, haga doble clic en Objetos de directivas de grupo en el bosque y

dominio que contiene el objeto de directiva de grupo (GPO) de la Directiva predeterminada de
dominioque desea editar.

5.

Haga clic con el botn secundario en el GPO de la Directiva predeterminada de dominios y, a

continuacin, haga clic en Editar.

6.

En GPMC, vaya a Configuracin del equipo, Configuracin de Windows, Configuracin de

seguridad y, despus, haga clic en Directiva de auditora.

7.

En el panel de resultados, haga doble clic en una categora de eventos para la que desee
modificar la configuracin de directiva de auditora.

8.

Si va a definir la configuracin de directiva de auditora para esta categora de eventos por

primera vez, active la casilla Definir esta configuracin de directiva.

9.

Lleve a cabo una de las acciones siguientes, o ambas, y haga clic en Aceptar.
o

Para auditar los intentos correctos, active la casilla Correcto.

Para auditar los intentos incorrectos, active la casilla Incorrecto.

Consideraciones adicionales

Para abrir Microsoft Management Console a travs de la interfaz de Windows, haga clic en Inicio,
en el cuadro de texto Iniciar bsqueda, escriba mmc y, despus, presione ENTRAR.

Para auditar el acceso a objetos, habilite la auditora de la categora de eventos de acceso a

objetos siguiendo los pasos anteriores. A continuacin, habilite la auditora del objeto especfico.

Despus de configurar la directiva de auditora, los eventos se guardarn en el registro de

seguridad. Abra el registro de seguridad para ver esos eventos.

La configuracin predeterminada de la directiva de auditora para controladores de dominio

es Sin auditora. Eso significa que, incluso si est habilitada la auditora en el dominio, los
controladores de dominio no heredan la directiva de auditora localmente. Si desea que la
directiva de auditora se aplique a los controladores de dominio, debe modificar esta
configuracin de directiva.

Para aplicar directivas de auditora a archivos y carpetas individuales en el equipo, configure el tipo de
permiso para que registre los intentos de acceso correctos o incorrectos en el registro de seguridad.
Administradores locales es la pertenencia al grupo mnima necesaria para completar este procedimiento.

Para aplicar o modificar la configuracin de directiva de auditora de un archivo o carpeta local

1.

Abra el Explorador de Windows.

2.

Haga clic con el botn secundario en el archivo o carpeta que desee auditar, haga clic
en Propiedades y, a continuacin, en la ficha Seguridad.

3.

Haga clic en Editar y, a continuacin, haga clic en Opciones avanzadas.

4.

En el cuadro de dilogo Configuracin de seguridad avanzada para <objeto>, haga clic en la

ficha Auditora.
Realice uno de los siguientes pasos:

5.

6.
7.

8.

Para configurar la auditora para un usuario o grupo nuevo, haga clic en Agregar.
En Escriba el nombre del objeto a seleccionar, escriba el nombre del usuario o grupo
que desee y, a continuacin, haga clic en Aceptar.

Para quitar la auditora para un grupo o usuario existente, haga clic en su nombre,
en Quitar, en Aceptar y, a continuacin, omita el resto de este procedimiento.

Para ver o cambiar la auditora de un grupo o usuario existente, haga clic en su nombre y,
a continuacin, haga clic en Editar.

En el cuadro Aplicar en, haga clic en la ubicacin donde desee que se realice la auditora.
En el cuadro Acceso, indique las acciones que desea auditar; para ello, active las casillas
adecuadas:
o

Para auditar los eventos correctos, active la casilla Correcto.

Para dejar de auditar los eventos correctos, desactive la casilla Correcto.

Para auditar los eventos errneos, active la casilla Incorrecto.

Para dejar de auditar los eventos errneos, desactive la casilla Incorrecto.

Para dejar de auditar todos los eventos, haga clic en Borrar todo.

Si desea evitar que los archivos y las subcarpetas siguientes del objeto original hereden estas
entradas de auditora, active la casilla Aplicar estos valores de auditora slo a los objetos y/o
contenedores dentro de este contenedor.

Consideraciones adicionales

Debe haber iniciado sesin como miembro del grupo Administradores o debe tener concedido el
derecho para Administrar registro de auditora y seguridad en Directiva de grupo para realizar
este procedimiento.

Para abrir el Explorador de Windows, haga clic en Inicio, seleccione Todos los programas, haga
clic en Accesorios y, a continuacin, haga clic en Explorador de Windows.

Despus de habilitar la auditora de acceso a objetos, consulte el registro de seguridad en el visor

de eventos para revisar el resultado de los cambios.

Slo puede configurar la auditora de archivos y carpetas en unidades NTFS.

Si observa una de las situaciones siguientes, se ha heredado la auditora de la carpeta principal:

En el cuadro de dilogo Entrada de auditora para <archivo o carpeta>, en el

cuadro Acceso, las casillas no estn disponibles.

En el cuadro de dilogo Configuracin de seguridad avanzada para <archivo o

carpeta>, el botn Quitar no est disponible.

Debido a que el registro de seguridad tiene un lmite de tamao, seleccione cuidadosamente los
archivos y carpetas que se auditarn. Considere tambin la cantidad de espacio en disco que
desea dedicar al registro de seguridad. El tamao mximo del registro de seguridad se define en
el visor de eventos.

El registro de seguridad registra cada evento como se define en las directivas de auditora establecidas en
cada objeto.
Para ver el registro de seguridad
1. Abra el visor de eventos.
2. En el rbol de consola, abra Registros globales y, despus, haga clic en Seguridad. El panel de
resultados enumera los eventos de seguridad individuales.
3. Si desea ver ms detalles acerca de un evento especfico, haga doble clic en el evento en el panel
de resultados.
Consideraciones adicionales

Para abrir el visor de eventos, haga clic en Inicio, Panel de control, Sistema y mantenimiento,
haga doble clic en Herramientas administrativas y, despus, haga doble clic en Visor de
eventos.

Si el equipo est conectado a una red, es probable que la configuracin de directivas de red le
impida realizar el procedimiento.

Fuente: Obtenido de http://technet.microsoft.com/es-es/library/cc771475.aspx

Ejercicio

Enlaces de inters.
http://www.techotopia.com/index.php/Auditing_Windows_Server_2008_File_and_Folder_Access
http://www.aprendeinformaticaconmigo.com/windows-server-2008-configurar-permisos-y-auditoria/

https://www.youtube.com/watch?v=pGsXzLKgKRg