Guía Paso A Paso de La Directiva de Auditoría de Seguridad

Guía paso a paso de la directiva de auditoría de seguridad avanzada Página 1 de 13
Al usar este sitio acepta el uso de cookies para análisis, contenido personalizado y publicidad. Saber más
Guía paso a paso de la directiva de auditoría de seguridad

avanzada
Personas que lo han encontrado útil: 8 de 11
Actualizado: junio de 2011
Se aplica a: Windows Server 2008, Windows Server 2008 R2
Acerca de esta guía

Las mejoras de auditoría de seguridad en Windows Server 2008 R2 y Windows 7 permiten que una organización pueda auditar el cumplimiento de reglas
empresariales y de seguridad importantes mediante un seguimiento de actividades definidas con precisión, como por ejemplo:
• Un administrador de grupos modificó la configuración o los datos en los servidores que contienen información financiera.
• Un empleado de un grupo definido obtuvo acceso a un archivo importante.
• La lista de control de acceso del sistema (SACL) correcta se aplica a cada archivo y carpeta o clave del Registro en un recurso compartido de archivo o
equipo como una medida de seguridad comprobable frente a accesos no detectados.
En Windows 7 y Windows Server 2008 R2, el número de opciones de configuración de auditoría para las que se puede realizar un seguimiento de aciertos y
errores ha aumentado a 53. Anteriormente, había nueve opciones de configuración de auditoría básicas en Configuración del equipo\Directivas\Configuración
de Windows\Configuración de seguridad\Directivas locales\Directiva de auditoría. Estas 53 opciones nuevas permiten al usuario seleccionar solamente los
comportamientos que desee controlar y excluir los resultados de auditoría de los comportamientos que no son importantes o que crean un excesivo número de
entradas en el registro. Además, debido a que la directiva de auditoría de seguridad de Windows 7 y Windows Server 2008 R2 puede aplicarse mediante la
directiva de grupo de dominio, las opciones de configuración de directiva de auditoría se pueden modificar, probar e implementar en usuarios y grupos
seleccionados con relativa sencillez.
Esta guía paso a paso demuestra el proceso de configuración de una infraestructura avanzada de directivas de auditoría de seguridad de Windows 7 y Windows
Server 2008 R2 en un entorno de prueba. También sirve de guía en el proceso de configuración de algunas opciones representativas de directiva de auditoría de
seguridad avanzada. Cuando complete estas tareas iniciales, se recomienda que use los procedimientos de esta guía para elegir, configurar, aplicar y evaluar
opciones adicionales de configuración de la directiva de auditoría de seguridad.
Durante este proceso, se creará un dominio de Active Directory, se instalará Windows Server 2008 R2 en un servidor miembro, se instalará Windows 7 en un
equipo cliente y se configurarán opciones avanzadas de directiva de auditoría de seguridad, incluida la auditoría de acceso a objetos global. Además, en este
documento se explicará cómo examinar los nuevos datos de "razón de acceso" disponibles mediante una serie de nuevas opciones de configuración de directiva
de auditoría.
Una vez finalizado, puede usar este entorno de prueba para aplicar diferentes conjuntos de opciones de configuración de directiva de auditoría de seguridad
avanzada de Windows Server 2008 R2 y evaluar la forma en que se pueden usar para mejorar la seguridad en su organización.
Después de completar los pasos de esta guía, podrá:
• Crear y aplicar opciones de configuración de directiva de auditoría de seguridad avanzada en un grupo definido de equipos de su organización.
• Verificar que las opciones de configuración de directiva de auditoría se han aplicado a un grupo definido de equipos cliente en su organización.
• Usar datos de eventos de seguridad de "razón de acceso" nuevos para identificar los permisos utilizados y determinar si se activó un evento de seguridad
concreto.
• Configurar, aplicar y analizar el impacto de diferentes opciones de configuración de directiva de auditoría para identificar las opciones importantes para su
organización.
• Administrar la auditoría por usuario en Windows 7 y Windows Server 2008 R2.
Implementación de opciones de configuración de directiva de auditoría avanzada en un

entorno de prueba
Después de completar esta guía paso a paso, tendrá una infraestructura de auditoría de seguridad avanzada. Luego podrá probar y obtener más información
acerca de otras opciones de configuración de directiva de auditoría de seguridad avanzada. Para ello, inicie sesión en CONTOSO-CLNT y asegúrese de que se
aplica la directiva de auditoría correcta en el equipo.
https://technet.microsoft.com/es-es/library/dd408940(v=ws.10).aspx 24-04-2015
Importante
Se recomienda que primero siga los procedimientos indicados en la presente guía en un entorno de laboratorio de pruebas. Las guías paso a paso no se
utilizan para implementar características de Windows sin documentación ni planeación adicional de la implementación.
El entorno de prueba descrito en esta guía incluye tres equipos conectados a una red privada que usan los siguientes sistemas operativos, aplicaciones y servicios:
Nombre de
Sistema operativo Aplicaciones y servicios
equipo
CONTOSO-DC Windows Server 2008 R2 Servicios de dominio de Active Directory (AD DS) y

Sistema de nombres de dominio (DNS)
Nota
Windows Server 2008 o Windows Server 2003 con Service Pack 2 (SP2)

también se pueden usar en el controlador de dominio.
CONTOSO-SRV Windows Server 2008 R2 Consola de administración de directivas de grupo

(GPMC)
CONTOSO- Windows 7
CLNT
Nota
Windows Server 2008 R2 también se puede usar como el equipo cliente
Nota
Para obtener más información acerca de los requisitos y la compatibilidad de sistemas operativos, vea el tema acerca de las ¿Qué versiones de Windows
admiten la configuración de directiva de auditoría avanzada?.
Los equipos forman una intranet privada y se conectan a través de un concentrador común o un conmutador de nivel 2. Esta configuración se puede emular en
un entorno de máquina virtual si así lo desea. Esta guía paso a paso usa direcciones privadas para la configuración del laboratorio de pruebas. Se usa el
identificador de red privada 10.0.0.0/24 para la intranet. El controlador de dominio para el dominio llamado contoso.com se llama CONTOSO-DC. La ilustración
siguiente muestra la configuración del entorno de prueba.
Pasos para la implementación de directivas de auditoría avanzada en un entorno de prueba

Complete los pasos siguientes para implementar la configuración de directiva de auditoría avanzada en un entorno de prueba.
Paso 1: Configurar la infraestructura
Paso 2: Crear y comprobar una directiva de auditoría avanzada
Paso 3: Crear y comprobar una directiva de auditoría que proporcione la razón de acceso a objetos
Paso 4: Crear y comprobar una directiva de acceso a objetos global
Paso 5: Crear y comprobar directivas de auditoría avanzada adicionales
Sección opcional: Revertir la directiva de auditoría de seguridad de directiva de auditoría avanzada a directiva de auditoría básica
Paso 1: Configurar la infraestructura

Para preparar el entorno de prueba en el dominio de CONTOSO, debe completar las tareas siguientes:
• Configure el controlador de dominio (CONTOSO-DC).
• Configure el servidor miembro (CONTOSO-SRV).
• Configure el equipo cliente (CONTOSO-CLNT).
Use la siguiente tabla como referencia para configurar los nombres de equipo, sistemas operativos y parámetros de red adecuados que son necesarios para
completar los pasos de esta guía.
Importante
Antes de configurar sus equipos con direcciones IP estáticas, es recomendable que primero complete dos tareas importantes que requieren conectividad a
Internet: completar la activación del producto Windows y usar Windows Update para obtener e instalar las actualizaciones críticas de seguridad disponibles.
Nombre de
Requisitos del sistema operativo Configuración IP Configuración DNS
equipo
CONTOSO-DC Windows Server 2008 R2, Windows Server 2008 o Windows Server 2003 Dirección IP: 10.0.0.1 Configurado por el rol de
con Service Pack 2 (SP2) servidor DNS
Máscara de subred:
255.255.255.0
CONTOSO-SRV Windows Server 2008 R2 Dirección IP: 10.0.0.2 Preferido: 10.0.0.1
Máscara de subred:
255.255.255.0
CONTOSO-CLNT Windows 7 o Windows Server 2008 R2 Dirección IP: 10.0.0.3 Preferido: 10.0.0.1
Máscara de subred:
255.255.255.0
Configurar el controlador de dominio (CONTOSO-DC)

En función del entorno, puede evaluar la configuración de directiva de auditoría avanzada en un dominio de Windows Server 2008 R2, Windows Server 2008 o
Windows Server 2003. Para esta guía, se usa un dominio de Windows Server 2008 R2.
Nota
Para obtener más información acerca de los requisitos del sistema operativo, vea el tema de Novedades de auditoría de seguridad de Windows.
Para configurar el controlador de dominio CONTOSO-DC que ejecuta Windows Server 2008 R2, debe realizar lo siguiente:
• Instalar Windows Server 2008 R2.
• Configurar las propiedades TCP/IP.
• Instalar AD DS.
• Crear una unidad organizativa (OU) de finanzas.
En primer lugar, instale Windows Server 2008 R2 en un servidor independiente.
Para instalar Windows Server 2008 R2

1. Inicie el equipo con el CD del producto de Windows Server 2008 R2.
2. Cuando se le pida un nombre de equipo, escriba CONTOSO-DC.
3. Siga el resto de instrucciones que aparecen en la pantalla para finalizar la instalación.
A continuación, configure las propiedades TCP/IP para que CONTOSO-DC tenga la dirección IP estática IPv4 10.0.0.1.
Para configurar las propiedades TCP/IP

1. Inicie sesión en CONTOSO-DC con la cuenta CONTOSO-DC\Administrador.
2. Haga clic en Inicio, en Panel de control, en Redes e Internet, en Centro de redes y recursos compartidos, en Cambiar configuración del
adaptador, haga clic con el botón secundario en Conexión de área local y, a continuación, haga clic en Propiedades.
3. En la pestaña Funciones de red, haga clic en Protocolo de Internet versión 4 (TCP/IPv4) y, luego, haga clic en Propiedades.
4. Haga clic en Usar la siguiente dirección IP. En el cuadro Dirección IP, escriba 10.0.0.1. En el cuadro Máscara de subred, escriba 255.255.255.0. En
el cuadro Puerta de enlace predeterminada, escriba 10.0.0.1.
5. En el cuadro Servidor DNS preferido, escriba 10.0.0.1 y, a continuación, haga clic en Aceptar.
6. En la pestaña Funciones de red, desactive la casilla Protocolo de Internet versión 6 (TCP/IPv6) y haga clic en Cerrar.
A continuación, configure el equipo como un controlador de dominio que ejecuta Windows Server 2008 R2.
Para configurar CONTOSO-DC como un controlador de dominio que ejecuta Windows

Server 2008
1. Haga clic en Inicio y, a continuación, en Ejecutar. En el cuadro Abrir, escriba dcpromo y, a continuación, haga clic en Aceptar.
2. En la página Asistente para la instalación de los Servicios de dominio de Active Directory, haga clic en Siguiente y, a continuación, haga clic en
Siguiente de nuevo.
3. Haga clic en Crear un dominio nuevo en un bosque nuevo y luego haga clic en Siguiente.
4. En el cuadro FQDN del dominio raíz del bosque, escriba contoso.com y luego haga clic en Siguiente.
5. Deje el valor predeterminado en el cuadro Nombre NetBIOS del dominio y, a continuación, haga clic en Siguiente.
6. En la lista Nivel funcional del bosque, haga clic en Windows Server 2003 y luego haga clic en Siguiente.
7. En la lista Nivel funcional del dominio, haga clic en Windows Server 2003 y luego haga clic en Siguiente.
8. Asegúrese de que la casilla Servidor DNS esté activada y haga clic en Siguiente.
9. Haga clic en Sí para confirmar que desea crear una delegación para este servidor DNS.
10. En la página Ubicación de la base de datos, los archivos de registro y SYSVOL, haga clic en Siguiente.
11. En los cuadros Contraseña y Confirmar contraseña, escriba una contraseña segura y, a continuación, haga clic en Siguiente.
12. En la página Resumen, haga clic en Siguiente para iniciar la instalación.
13. Cuando se complete la instalación, haga clic en Finalizar y, a continuación, haga clic en Reiniciar ahora.
Nota
Debe reiniciar el equipo tras completar este procedimiento.
Para crear una OU de finanzas en contoso.com

2. Haga clic en Inicio, haga clic en Panel de control, haga doble clic en Herramientas administrativas y, a continuación, haga doble clic en Usuarios y
equipos de Active Directory.
3. En el árbol de consola, haga clic con el botón secundario en contoso.com, seleccione Nuevo y, a continuación, haga clic en Unidad organizativa.
4. Escriba el nombre de la nueva unidad organizativa, Finanzas y haga clic en Aceptar.
Configurar el servidor miembro de Windows Server 2008 R2 (CONTOSO-SRV)

Para configurar el servidor miembro, CONTOSO-SRV, debe realizar lo siguiente:
• Instalar Windows Server 2008 R2.
• Unir CONTOSO-SRV al dominio contoso.com.
• Agregar CONTOSO-SRV a la unidad organizativa Finanzas.
• Instalar GPMC.
Primero, instale Windows Server 2008 R2 como servidor independiente.
Para instalar Windows Server 2008 R2

1. Inicie el equipo con el CD del producto de Windows Server 2008 R2.
2. Cuando se le pida un nombre de equipo, escriba CONTOSO-SRV.
3. Siga el resto de instrucciones que aparecen en la pantalla para finalizar la instalación.
A continuación, configure las propiedades TCP/IP para que CONTOSO-SRV tenga la dirección IP estática 10.0.0.2. Además, configure el servidor DNS con la
dirección IP de CONTOSO-DC (10.0.0.1).

1. Inicie sesión en CONTOSO-SRV con la cuenta CONTOSO-SRV\Administrador o con otra cuenta de usuario en el grupo Administradores local.
2. Haga clic en Inicio, haga clic en Panel de control, haga doble clic en Centro de redes y recursos compartidos, haga clic en Administrar
conexiones de red, haga clic con el botón secundario en Conexión de área local y, a continuación, haga clic en Propiedades.
4. Haga clic en Usar la siguiente dirección IP. En el cuadro Dirección IP, escriba 10.0.0.2. En el cuadro Máscara de subred, escriba 255.255.255.0. En
el cuadro Puerta de enlace predeterminada, escriba 10.0.0.1.
5. Haga clic en Usar las siguientes direcciones de servidor DNS. En Servidor DNS preferido, escriba 10.0.0.1.
6. Haga clic en Aceptar y, a continuación, en Cerrar para cerrar el cuadro de diálogo Propiedades de conexión de área local.
A continuación, una CONTOSO-SRV al dominio contoso.com.
Para unir CONTOSO-SRV al dominio contoso.com
1. Haga clic en Inicio, haga clic con el botón secundario en Equipo y, después, haga clic en Propiedades.
2. Haga clic en Cambiar la configuración (a la derecha, bajo Configuración de nombre, dominio y grupo de trabajo del equipo) y, a continuación,
haga clic en Cambiar.
3. En el cuadro de diálogo Cambios en el dominio o el nombre del equipo, haga clic en Dominio y, a continuación, escriba contoso.com.
4. Haga clic en Más y, en el cuadro Sufijo DNS principal de este equipo, escriba contoso.com.
5. Haga clic en Aceptar y, a continuación, vuelva a hacer clic en Aceptar.
6. Cuando aparezca un cuadro de diálogo Cambios en el dominio o el nombre del equipo que le pide las credenciales administrativas, proporcione
las credenciales de CONTOSO\Administrador y, a continuación, haga clic en Aceptar.
7. Cuando aparezca un cuadro de diálogo Cambios en el dominio o el nombre del equipo que le da la bienvenida al dominio contoso.com, haga clic
en Aceptar.
8. Cuando aparezca un cuadro de diálogo Cambios en el dominio o el nombre del equipo que le informa de que es necesario reiniciar el equipo,
haga clic en Aceptar y, luego, en Cerrar.
9. Haga clic en Reiniciar ahora.
Después de reiniciar el equipo, agregue CONTOSO-SRV a la unidad organizativa Finanzas.
Para agregar un equipo a la unidad organizativa Finanzas

2. Haga clic en Inicio, haga clic en Panel de control, haga doble clic en Herramientas administrativas y, a continuación, haga doble clic en Usuarios y
equipos de Active Directory.
3. En el árbol de consola, haga clic con el botón secundario en contoso.com.
4. En el árbol de consola, haga clic con el botón secundario en la unidad organizativa Finanzas, seleccione Nuevo y, a continuación, haga clic en Grupo.
5. Escriba el nombre del grupo nuevo, Equipos, y luego, en Ámbito de grupo, haga clic en Dominio local y, en Tipo de grupo, haga clic en Grupo de
seguridad.
6. Haga clic con el botón secundario en Equipos y, a continuación, haga clic en Propiedades. En la pestaña Miembros, haga clic en Agregar.
7. En Escriba los nombres de objeto que desea seleccionar, escriba CONTOSO-SRV y, después, haga clic en Aceptar.
Por último, instale GPMC en CONTOSO-SRV mediante el Administrador del servidor. Se usará para establecer la configuración de directiva de auditoría de
seguridad avanzada.
Para instalar GPMC

1. Inicie sesión en CONTOSO-SRV como miembro del grupo Administradores local.
2. Haga clic en Inicio, seleccione Herramientas administrativas y, a continuación, haga clic en Administrador del servidor.
3. En Resumen de características, haga clic en Agregar características.
4. Active la casilla Administración de directivas de grupo y, a continuación, haga clic en Instalar.
5. Cierre el Administrador del servidor.
Configurar el equipo cliente (CONTOSO-CLNT)

Para configurar CONTOSO-CLNT, debe realizar lo siguiente:
• Instalar Windows 7.
• Unir CONTOSO-CLNT al dominio contoso.com.
Para instalar Windows 7

1. Inicie el equipo con el CD del producto de Windows 7.
2. Siga las instrucciones que aparecen en pantalla y, cuando se le pida un nombre de equipo, escriba CONTOSO-CLNT.
A continuación, configure las propiedades TCP/IP para que CONTOSO-CLNT tenga la dirección IP estática 10.0.0.3. Configure también el servidor DNS de
CONTOSO-DC (10.0.0.1).

1. Inicie sesión en CONTOSO-CLNT con la cuenta CONTOSO-CLNT\Administrador o con otra cuenta de usuario en el grupo Administradores local.
2. Haga clic en Inicio, en Panel de control, en Redes e Internet y, por último, en Centro de redes y recursos compartidos.
3. Haga clic en Cambiar configuración del adaptador, haga clic con el botón secundario en Conexión de área local y luego haga clic en
Propiedades.
4. Si aparece el cuadro de diálogo Control de cuentas de usuario, confirme que la acción que muestra es la que desea y, a continuación, haga clic en
Sí.
6. Haga clic en Usar la siguiente dirección IP. En Dirección IP, escriba 10.0.0.3. En Máscara de subred, escriba 255.255.255.0.
7. Haga clic en Usar las siguientes direcciones de servidor DNS. En Servidor DNS preferido, escriba 10.0.0.1.
8. Haga clic en Aceptar y, a continuación, en Cerrar para cerrar el cuadro de diálogo Propiedades de conexión de área local.
A continuación, una CONTOSO-CLNT al dominio contoso.com.
Para unir CONTOSO-CLNT al dominio contoso.com

1. Haga clic en Inicio, haga clic con el botón secundario en Equipo y, después, haga clic en Propiedades.
2. En Configuración de nombre, dominio y grupo de trabajo del equipo, haga clic en Cambiar la configuración.
3. Si aparece el cuadro de diálogo Control de cuentas de usuario, confirme que la acción que muestra es la que desea y, a continuación, haga clic en
Sí.
4. En la pestaña Nombre de equipo, haga clic en Cambiar.
5. En el cuadro de diálogo Cambios en el dominio o el nombre del equipo, haga clic en Dominio y, a continuación, escriba contoso.com.
6. Haga clic en Más y, en el cuadro Sufijo DNS principal de este equipo, escriba contoso.com.
7. Haga clic en Aceptar y, a continuación, vuelva a hacer clic en Aceptar.
8. Cuando aparezca un cuadro de diálogo Cambios en el dominio o el nombre del equipo que le pide credenciales administrativas, proporcione las
credenciales y, a continuación, haga clic en Aceptar.
9. Cuando aparezca un cuadro de diálogo Cambios en el dominio o el nombre del equipo que le da la bienvenida al dominio contoso.com, haga clic
en Aceptar.
10. Cuando aparezca un cuadro de diálogo Cambios en el dominio o el nombre del equipo que le informa de que es necesario reiniciar el equipo,
haga clic en Aceptar y, luego, en Cerrar.
11. En el cuadro de diálogo Cambio de configuración del sistema, haga clic en Sí para reiniciar el equipo.
Paso 2: Crear y comprobar una directiva de auditoría avanzada

Las nueve directivas de auditoría básicas que se encuentran en Configuración del equipo\Directivas\Configuración de Windows\Configuración de
seguridad\Directivas locales\Directiva de auditoría permiten establecer la configuración de directivas de auditoría de seguridad para conjuntos amplios de
comportamientos, algunos de los cuales generan muchos más eventos de auditoría que otros. Un administrador debe revisar todos los eventos que se generen,
independientemente de su grado de interés.
En Windows Server 2008 R2 y Windows 7, los administradores pueden auditar aspectos más específicos del comportamiento del cliente en el equipo o la red, de
manera que resulta más sencillo identificar los comportamientos que tienen un mayor interés. Por ejemplo, en Configuración del
equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas locales\Directiva de auditoría, hay una sola configuración de
directiva para eventos de inicio de sesión, Auditar eventos de inicio de sesión. Sin embargo, en Configuración del equipo\Directivas\Configuración de
Windows\Configuración de seguridad\Configuración de directiva de auditoría avanzada\Directivas de auditoría del sistema, puede elegir entre ocho
configuraciones de directiva distintas en la categoría Inicio y cierre de sesión. De esta manera, puede controlar mejor cuáles son los aspectos de inicio y cierre de
sesión que puede incluir en el seguimiento
Cuando se crea un dominio nuevo, se genera automáticamente una directiva de dominio predeterminada. En esta sección se editará la directiva de dominio
predeterminada y se agregará una configuración de directiva de auditoría de seguridad avanzada que audite los inicios de sesión correctos o incorrectos de un
usuario en un equipo del dominio CONTOSO.
Para configurar, aplicar y validar una configuración de directiva de auditoría de inicio de sesión de dominio avanzada, debe realizar lo siguiente:
• Establezca una configuración de directiva de inicio de sesión de dominio avanzada.
• Asegúrese de que no se sobrescribe la Configuración de directiva de auditoría avanzada.
• Actualice la configuración de directiva de grupo.
• Compruebe que la configuración de directiva de auditoría de seguridad de inicio de sesión avanzada se aplicó correctamente.
Para establecer una configuración de directiva de auditoría de inicio de sesión de dominio

avanzada
2. Haga clic en Inicio, seleccione Herramientas administrativas y, a continuación, haga clic en Administración de directivas de grupo.
3. En el árbol de consola, haga doble clic en Bosque: contoso.com, haga doble clic en Dominios y, a continuación, haga doble clic en contoso.com.
4. Haga clic con el botón secundario en Directiva predeterminada de dominio y, a continuación, haga clic en Editar.
5. Haga doble clic en Configuración del equipo, haga doble clic en Directivas y, a continuación, haga doble clic en Configuración de Windows.
6. Haga doble clic en Configuración de seguridad, haga doble clic en Configuración de directiva de auditoría avanzada y, a continuación, haga doble
clic en Directivas de auditoría del sistema.
7. Haga doble clic en Inicio y cierre de sesión y, a continuación, haga doble clic en Inicio de sesión.
8. Active la casilla Configurar los siguientes eventos de auditoría, active la casilla Aciertos, active la casilla Errores y, a continuación, haga clic en
Aceptar.
Si usa la Configuración de directiva de auditoría avanzada, deberá confirmar que la configuración de directiva de auditoría básica no la sobrescribe. En el
procedimiento siguiente se muestra cómo evitar conflictos bloqueando la aplicación de cualquier configuración de directiva de auditoría básica.
Para asegurarse de que no se sobrescribe la Configuración de directiva de auditoría avanzada

1. En CONTOSO-SRV, haga clic en Inicio, seleccione Herramientas administrativas y, a continuación, haga clic en Administración de directivas de
grupo.
5. Haga doble clic en Configuración de seguridad y, a continuación, haga clic en Opciones de seguridad.
6. Haga doble clic en Auditoría: forzar la configuración de subcategorías de la directiva de auditoría (Windows Vista o posterior) para invalidar la
configuración de la categoría de directiva de auditoría y, a continuación, haga clic en Definir esta configuración de directiva.
7. Haga clic en Habilitada y, a continuación, haga clic en Aceptar.
Antes de poder comprobar la funcionalidad de la configuración de directiva de auditoría de seguridad avanzada en el dominio contoso.com, debe iniciar sesión
en CONTOSO-CLNT como administrador del dominio contoso.com y asegurarse de que se ha aplicado la configuración de directiva de grupo.
Para actualizar la configuración de directiva de grupo
1. Inicie sesión en CONTOSO-CLNT como CONTOSO\Administrador.
2. Haga clic en Inicio, seleccione Todos los programas, haga clic en Accesorios, haga clic con el botón secundario en Símbolo del sistema y, a
continuación, haga clic en Ejecutar como administrador.
3. Si aparece el cuadro de diálogo Control de cuentas de usuario, confirme que la acción que muestra es la que desea y, a continuación, haga clic en Sí.
4. Escriba gpupdate y presione ENTRAR.
Una vez aplicada la configuración de directiva de grupo, puede comprobar si la configuración de directiva de auditoría se ha aplicado correctamente.
Para comprobar que la configuración de directiva de auditoría de seguridad de inicio de

sesión avanzada se aplicó correctamente
1. Inicie sesión en CONTOSO-CLNT como CONTOSO\Administrador.
2. Haga clic en Inicio, seleccione Todos los programas, haga clic en Accesorios, haga clic con el botón secundario en Símbolo del sistema y, a
continuación, haga clic en Ejecutar como administrador.
4. Escriba auditpol.exe /get /category:* y presione ENTRAR.
5. Compruebe que aparece Aciertos, Errores o Aciertos y errores a la derecha de Inicio de sesión.
Paso 3: Crear y comprobar una directiva de auditoría que proporcione la razón de acceso a
objetos
Una de las necesidades de auditoría más habituales es el seguimiento del acceso a un determinado archivo o carpeta. Por ejemplo, quizás necesite identificar una
actividad como cuando un usuario escribe en un archivo al que no debería haber tenido acceso. Al habilitar la auditoría de "razón de acceso", no solo podrá
realizar un seguimiento de este tipo de actividad, sino que además podrá identificar la entrada de control de acceso exacta que permitió el acceso no deseado, lo
que puede simplificar enormemente la tarea de modificar la configuración de control de acceso para evitar futuros episodios similares de acceso no deseado a
objetos.
Para configurar, aplicar y validar una directiva de razón de acceso a objetos, debe realizar lo siguiente:
• Configure la directiva de auditoría del sistema de archivos.
• Habilite la auditoría en un archivo o una carpeta.
• Habilite la directiva de auditoría de manipulación de identificadores.
• Revise y compruebe los datos de auditoría de razón de acceso.
Para configurar la directiva de auditoría del sistema de archivos

7. Haga doble clic en Acceso a objetos y, a continuación, haga doble clic en Sistema de archivos.
8. Active la casilla Configurar los siguientes eventos de auditoría y, a continuación, active la casilla Aciertos, active la casilla Errores o active ambas
casillas Aciertos y Errores.
9. Haga clic en Aceptar.
La directiva de auditoría del sistema de archivos solo se usa para supervisar objetos en los que se hayan configurado SACL de auditoría. En el procedimiento
siguiente se muestra cómo configurar la auditoría en un archivo o una carpeta.
Para habilitar la auditoría en un archivo o una carpeta

1. Inicie sesión en CONTOSO-CLNT como miembro del grupo Administradores local.
2. Cree una nueva carpeta o un documento .txt.
3. Haga clic con el botón secundario en el nuevo objeto, haga clic en Propiedades y, a continuación, haga clic en la pestaña Seguridad.
4. Haga clic en Opciones avanzadas y, a continuación, haga clic en la pestaña Auditoría.
6. Haga clic en Agregar, escriba un nombre de usuario o nombre de equipo con el formato contoso\usuario1 y, a continuación, haga clic en Aceptar.
7. En el cuadro de diálogo Entradas de auditoría, seleccione los permisos que desee auditar, como Control total o Eliminar.
8. Haga clic en Aceptar cuatro veces para completar la configuración de la SACL del objeto.
En Windows 7 y Windows Server 2008 R2, la razón por la que se concede o deniega el acceso a un usuario se agrega al evento de identificador abierto. De esta
manera, el administrador puede entender el motivo por el que un usuario pudo abrir un archivo, una carpeta o un recurso compartido para un acceso específico.
Para habilitar esta funcionalidad, también es necesario habilitar la directiva de auditoría de manipulación de identificadores para que los eventos de aciertos
registren los intentos de acceso que se permitieron y los eventos de errores registren los intentos de acceso que se denegaron.
Para habilitar la directiva de auditoría de manipulación de identificadores

4. Haga doble clic en la unidad organizativa Finanzas, haga clic con el botón secundario en Directiva de auditoría Finanzas y haga clic en Editar.
7. Haga doble clic en Acceso a objetos, haga clic con el botón secundario en Manipulación de identificadores y haga clic en Propiedades.
8. Active la casilla Configurar los siguientes eventos de auditoría, active las casillas Aciertos y Errores y, a continuación, haga clic en Aceptar.
Después de crear esta directiva de auditoría, confirme que no se puede sobrescribir esta configuración de directiva de auditoría avanzada. Para obtener más
información, vea el procedimiento "Para asegurarse de que no se sobrescribe la Configuración de directiva de auditoría avanzada" en la sección Paso 2: Crear y
comprobar una directiva de auditoría avanzada.
A continuación, aplique las actualizaciones de directiva de grupo siguiendo el procedimiento "Para actualizar la configuración de directiva de grupo" de la sección
Paso 2: Crear y comprobar una directiva de auditoría avanzada.
Después de aplicar la configuración de directiva de grupo actualizada, asegúrese de iniciar y cerrar sesión en CONTOSO-CLNT y complete algunas tareas que
generen eventos de razón de acceso a objetos. Cuando haya completado estos pasos, puede revisar los datos de auditoría que proporcionan la razón de acceso.
Para revisar los datos de auditoría de razón de acceso

1. En CONTOSO-CLNT, haga clic en Inicio, seleccione Herramientas administrativas y, a continuación, haga clic en Visor de eventos.
2. Haga clic en Registros de Windows y, a continuación, en Seguridad.
3. En el panel Acciones, haga clic en Vaciar registro.
4. Busque el archivo o la carpeta que configuró en el procedimiento de acceso a objetos de dominio y modifique el archivo o la carpeta con los permisos
que configuró para la cuenta de usuario.
5. Vuelva al Visor de eventos y, en el panel Acciones, haga clic en Actualizar.
6. En la columna Id. de evento, haga clic en el evento o los eventos 4656, desplácese a la sección Información de solicitud de acceso y confirme los
permisos que se usaron para realizar la tarea.
Paso 4: Crear y comprobar una directiva de acceso a objetos global

Se puede usar una directiva de auditoría de acceso a objetos global para forzar una directiva de auditoría de acceso a objetos para un equipo, recurso compartido
de archivos o Registro sin tener que configurar y propagar las SACL convencionales. La configuración y propagación de las SACL es una tarea administrativa más
compleja y resulta difícil de comprobar, especialmente si es necesario demostrar a un auditor que se está cumpliendo la directiva de seguridad. La directiva de
auditoría de acceso a objetos global permite aplicar una directiva de seguridad como "Registrar toda la actividad de escritura administrativa en servidores que
contengan información de Finanzas" y comprobar que los activos críticos están protegidos.
En este caso, se auditarán los cambios realizados en las claves del Registro por miembros de un grupo especificado en lugar de los cambios realizados en los
objetos del sistema de archivos.
Para configurar, aplicar y validar una directiva de auditoría de acceso a objetos global, debe realizar lo siguiente:
• Configure una directiva de auditoría de acceso a objetos global del dominio.
• Confirme que se está realizando la auditoría de acceso a objetos global.
Para configurar una directiva de auditoría de acceso a objetos global del dominio
7. Haga doble clic en Acceso a objetos y, a continuación, haga doble clic en Registro.
8. Active la casilla Configurar los siguientes eventos de auditoría, active las casillas Aciertos y Errores y, a continuación, haga clic en Aceptar.
9. Haga doble clic en Directivas de acceso a objetos global y, a continuación, haga doble clic en Registro.
10. Active la casilla Definir esta configuración de directiva y haga clic en Configurar.
11. En el cuadro Configuración de seguridad avanzada para SACL de Registro global, haga clic en Agregar.
12. Escriba un nombre de usuario o nombre de equipo con el formato contoso\usuario1, usuario1@contoso.com o CONTOSO-CLNT; a continuación,
haga clic en Aceptar.
13. En el cuadro Entrada de auditoría para SACL de Registro global, seleccione las actividades Correcta o Incorrecta en las que desea registrar entradas
de auditoría; por ejemplo, Crear subclave, Eliminar o Leer.
14. Haga clic en Aceptar tres veces para completar la configuración de directiva de auditoría.
Después de crear la directiva de auditoría, confirme que no se puede sobrescribir esta configuración de directiva de auditoría avanzada. Para obtener más
información, vea el procedimiento "Para asegurarse de que no se sobrescribe la Configuración de directiva de auditoría avanzada" en la sección Paso 2: Crear y
comprobar una directiva de auditoría avanzada.
A continuación, aplique las actualizaciones de directiva de grupo siguiendo el procedimiento "Para actualizar la configuración de directiva de grupo" de la sección
Paso 2: Crear y comprobar una directiva de auditoría avanzada. Después de aplicar la configuración de directiva de grupo actualizada, inicie y cierre sesión en
CONTOSO-CLNT.
Para comprobar la aplicación de la directiva de acceso a objetos global

1. Abra el Editor del Registro y cree y modifique una o varias opciones de configuración del Registro.
2. Elimine una o varias opciones de configuración del Registro que haya creado.
3. Abra el Visor de eventos y confirme que las actividades desencadenaron eventos de auditoría, a pesar de que no se configuraron SACL de auditoría
explícitas en las opciones de configuración del Registro que creó, modificó y eliminó.
Paso 5: Crear y comprobar directivas de auditoría avanzada adicionales

Ahora que ya ha creado, aplicado y validado los tres tipos básicos de configuración de directiva de auditoría de seguridad avanzada, debe identificar y probar
configuraciones de directiva de auditoría de seguridad avanzada adicionales siguiendo los procedimientos básicos descritos en las secciones anteriores.
Para identificar configuraciones adicionales que pueden ser de interés para su organización, revise la información del tema sobre las Novedades de auditoría de
seguridad de Windows.
Para obtener información adicional, vaya a Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Configuración de
directiva de auditoría avanzada\Directivas de auditoría del sistema, haga clic con el botón secundario en las opciones de configuración individuales, haga clic
en Propiedades y, a continuación, haga clic en la pestaña Explicar.
A medida que aplica y prueba las configuraciones adicionales, piense en el modo en que los datos de evento de auditoría que se generan pueden ayudarle a
crear una red más segura. En concreto, valore lo siguiente:
• ¿Es útil la información que proporcionan estos eventos de auditoría?
• ¿Proporcionan suficiente información los datos de auditoría?
• ¿Proporcionan demasiada información los datos de auditoría?
• ¿Cómo se puede ajustar esta configuración de directiva de auditoría para obtener únicamente la información necesaria?
La auditoría de seguridad es una herramienta crítica y esencial para garantizar que los recursos de red son seguros. Debe invertir todo el tiempo necesario en
explorar y entender la nueva configuración de directiva de auditoría de seguridad avanzada en Windows 7 y Windows Server 2008 R2.
Administrar la auditoría por usuario en Windows 7 y Windows Server 2008 R2

La configuración de directiva de auditoría de seguridad de Windows 7 y Windows Server 2008 R2 puede configurarse y usarse únicamente por equipo y no por
usuario. Sin embargo, existen varias formas de aplicar opciones de configuración de auditoría a usuarios específicos:
• Si es posible, configure los permisos de seguridad avanzada en el objeto que se está auditando de manera que la directiva de auditoría se aplique
solamente a un grupo específico. Por ejemplo, si desea que la configuración de directiva Acceso a objetos se aplique a un archivo o una carpeta, puede
configurar permisos en el archivo o la carpeta de manera que solo se realice el seguimiento del acceso a objetos en los individuos o grupos que
especifique. En el procedimiento "Para habilitar la auditoría en un archivo o una carpeta" descrito anteriormente en este documento se explica cómo
completar esta tarea.
• Para definir e implementar la configuración de auditoría por usuario, use un archivo de texto de directiva de auditoría, un script de inicio de sesión y la
herramienta de línea de comandos Auditpol.exe.
Importante
La auditoría por usuario basada en scripts de inicio de sesión puede aplicarse a usuarios individuales, pero no a grupos. No puede usar scripts de inicio
de sesión para excluir subcategorías o categorías de configuración de directiva de auditoría para los administradores.
En el siguiente procedimiento se describe cómo crear un archivo de texto de directiva de auditoría que puede implementarse mediante un script de inicio de
sesión. Para obtener más información acerca del uso de scripts de inicio de sesión para implementar una directiva de auditoría, vea el artículo 921469 de
Microsoft Knowledge Base (http://go.microsoft.com/fwlink/?LinkID=82447).
Para crear un archivo de texto de directiva de auditoría

1. En el símbolo del sistema, escriba auditpol /set /user:nombreEntidadSeguridad/category:"nombreSubcategoría" /include /Aciertos o Errores:enable
para agregar una configuración de auditoría por usuario. Repita este paso para cada subcategoría de directiva de auditoría y usuario o grupo que desee
agregar al archivo de texto de directiva de auditoría.
Nota
Para obtener una lista de posibles configuraciones de auditoría con formato de informe, abra una ventana del símbolo del sistema, escriba
auditpol /list /subcategory:* /r y presione ENTRAR. Para obtener más información acerca del uso de la herramienta Auditpol, vea los temas sobre
los comandos Auditpol set y Auditpol list.
2. En el símbolo del sistema, escriba auditpol /backup /file: nombreArchivoDirectivaAuditoría.txt para exportar la directiva.
3. Para dar formato a la directiva, abra nombreArchivoDirectivaAuditoría.txt y quite todas las líneas excepto la primera línea de texto y las líneas de texto de
auditoría por usuario.
Nota
El texto de directiva de auditoría por usuario tiene el siguiente formato: nombreEquipo,S-1-

XXXX,nombreSubcategoría,GUID,configuraciónInclusiónTexto,configuraciónExclusiónTexto,#. La configuración del sistema tiene el siguiente formato:
nombreEquipo,sistema,nombreSubcategoría,GUID,configuraciónAuditoríaTexto,#. Asegúrese además de quitar las últimas seis líneas, que contienen la
configuración de opciones de auditoría.
4. Cuando haya terminado de crear el archivo, en el menú Archivo, haga clic en Guardar como y confirme que la opción ANSI esté seleccionada en la lista
Codificación. Haga clic en OK.
5. En el símbolo del sistema, escriba auditpol /restore /file: nombreArchivoDirectivaAuditoría.txt y presione ENTRAR para confirmar que se ha establecido
la configuración de auditoría deseada. Escriba auditpol /list /user y presione ENTRAR para obtener una lista de usuarios con configuración de auditoría
por usuario.
6. Copie el archivo nombreArchivoDirectivaAuditoría.txt al recurso compartido Netlogon del controlador de dominio que tiene el rol de emulador de
controlador de dominio principal (PDC) en el dominio.
Importante
No importe directivas de auditoría que contengan configuraciones de auditoría por usuario directamente en un objeto de directiva de grupo (GPO).
Cuando la configuración de auditoría por usuario se implementa a través de una directiva de grupo y no a través de scripts de inicio de sesión, tal y
como se describe en este procedimiento, pueden aparecer niveles inesperados de eventos de errores en los registros de auditoría de seguridad.
Sección opcional: Revertir la directiva de auditoría de seguridad de directiva de auditoría

avanzada a directiva de auditoría básica
La aplicación de una configuración de directiva de auditoría avanzada sustituye cualquier configuración de auditoría de seguridad básica comparable. Si después
cambia la configuración de directiva de auditoría avanzada a Sin configurar, tendrá que completar los pasos siguientes para restaurar la configuración de
directiva de auditoría básica original:
1. Configure todas las subcategorías de directiva de auditoría avanzada a Sin configurar.
2. Elimine todos los archivos audit.csv de la carpeta %SYSVOL% en el controlador de dominio.
3. Vuelva a configurar y aplique la configuración de directiva de auditoría básica.
A menos que complete todos estos pasos, no se restaurará la configuración de directiva de auditoría básica.
Adiciones de comunidad
© 2015 Microsoft

Guía Paso A Paso de La Directiva de Auditoría de Seguridad

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Guía Paso A Paso de La Directiva de Auditoría de Seguridad

Cargado por

Copyright:

Formatos disponibles

Guía paso a paso de la directiva de auditoría de seguridad avanzada Página 1 de 13

Guía paso a paso de la directiva de auditoría de seguridad

Actualizado: junio de 2011

Se aplica a: Windows Server 2008, Windows Server 2008 R2

Acerca de esta guía

• Un empleado de un grupo definido obtuvo acceso a un archivo importante.

Después de completar los pasos de esta guía, podrá:

• Administrar la auditoría por usuario en Windows 7 y Windows Server 2008 R2.

Implementación de opciones de configuración de directiva de auditoría avanzada en un

CONTOSO-DC Windows Server 2008 R2 Servicios de dominio de Active Directory (AD DS) y

Windows Server 2008 o Windows Server 2003 con Service Pack 2 (SP2)

CONTOSO-SRV Windows Server 2008 R2 Consola de administración de directivas de grupo

Windows Server 2008 R2 también se puede usar como el equipo cliente

Pasos para la implementación de directivas de auditoría avanzada en un entorno de prueba

Paso 1: Configurar la infraestructura

Paso 2: Crear y comprobar una directiva de auditoría avanzada

Paso 4: Crear y comprobar una directiva de acceso a objetos global

Paso 5: Crear y comprobar directivas de auditoría avanzada adicionales

Paso 1: Configurar la infraestructura

• Configure el controlador de dominio (CONTOSO-DC).

• Configure el servidor miembro (CONTOSO-SRV).

• Configure el equipo cliente (CONTOSO-CLNT).

CONTOSO-SRV Windows Server 2008 R2 Dirección IP: 10.0.0.2 Preferido: 10.0.0.1

CONTOSO-CLNT Windows 7 o Windows Server 2008 R2 Dirección IP: 10.0.0.3 Preferido: 10.0.0.1

Configurar el controlador de dominio (CONTOSO-DC)

• Instalar Windows Server 2008 R2.

• Configurar las propiedades TCP/IP.

• Crear una unidad organizativa (OU) de finanzas.

En primer lugar, instale Windows Server 2008 R2 en un servidor independiente.

Para instalar Windows Server 2008 R2

2. Cuando se le pida un nombre de equipo, escriba CONTOSO-DC.

3. Siga el resto de instrucciones que aparecen en la pantalla para finalizar la instalación.

Para configurar las propiedades TCP/IP

Para configurar CONTOSO-DC como un controlador de dominio que ejecuta Windows

12. En la página Resumen, haga clic en Siguiente para iniciar la instalación.

Debe reiniciar el equipo tras completar este procedimiento.

Para crear una OU de finanzas en contoso.com

4. Escriba el nombre de la nueva unidad organizativa, Finanzas y haga clic en Aceptar.

Configurar el servidor miembro de Windows Server 2008 R2 (CONTOSO-SRV)

• Instalar Windows Server 2008 R2.

• Configurar las propiedades TCP/IP.

• Unir CONTOSO-SRV al dominio contoso.com.

• Agregar CONTOSO-SRV a la unidad organizativa Finanzas.

Primero, instale Windows Server 2008 R2 como servidor independiente.

Para instalar Windows Server 2008 R2

2. Cuando se le pida un nombre de equipo, escriba CONTOSO-SRV.

3. Siga el resto de instrucciones que aparecen en la pantalla para finalizar la instalación.

Para configurar las propiedades TCP/IP

A continuación, una CONTOSO-SRV al dominio contoso.com.

Para unir CONTOSO-SRV al dominio contoso.com

5. Haga clic en Aceptar y, a continuación, vuelva a hacer clic en Aceptar.

9. Haga clic en Reiniciar ahora.

Después de reiniciar el equipo, agregue CONTOSO-SRV a la unidad organizativa Finanzas.

Para agregar un equipo a la unidad organizativa Finanzas

3. En el árbol de consola, haga clic con el botón secundario en contoso.com.

Para instalar GPMC

3. En Resumen de características, haga clic en Agregar características.

4. Active la casilla Administración de directivas de grupo y, a continuación, haga clic en Instalar.

5. Cierre el Administrador del servidor.

Configurar el equipo cliente (CONTOSO-CLNT)

• Configurar las propiedades TCP/IP.

• Unir CONTOSO-CLNT al dominio contoso.com.

Para instalar Windows 7