Como realizar el registro de los eventos importantes de Active Directory en el registro de seguridad
Configuración de directivas de auditoría
Ejecute GPMC.msc (url2open.com/gpmc) > abra “Default Domain Referencia de ID de Controllers Policy” > Configuración del equipo > Directivas > Configuración de Windows > Configuración de seguridad > Directivas locales > Directiva eventos de auditoría: Auditar la administración de cuentas > Definir > Correcto (2003/2008 - 12) Auditar el acceso del servicio de directorio > Definir > Correcto 517/1102 – Registro de seguridad anulado Auditar eventos de inicio de sesión de cuenta > Definir > Correcto y error 528, 540/4624 – Inicio de sesión Auditar eventos de inicio de sesión > Definir > Correcto y error realizado correctamente 534, 529, 530, 531, 532, 533, 534, Auditoría de objetos en Active Directory 535, 536, 537, 539, 675/4625, 4771 – Intento fallido de conexión Abra ADSI Edit (url2open.com/adsi) > Conecte con el context de 535, 675/4625, 4771 (Código de nomenclatura predeterminado > Clic con el botón segundario en el objeto error 0x17) – Contraseña caducada de DomainDNS con el nombre de su dominio > Propiedades > Seguridad 624/4720 – Сuenta de usuario (Ficha) > Avanzadas (Botón) > Auditoría (Ficha) > Agregar entidad “Todas” > creada Tipo “Correcto” > Se aplica a “Este objeto y los descendientes” > Permisos > 626/4722 – Cuenta de usuario Seleccione todas las casillas de verificación excepto las siguientes: Control habilitada total, Mostrar contenidos, Leer todas las propiedades, Leer permisos > 628/4724 – Intento del Haga clic en “OK” restablecimiento de contraseña 629/4725 – Cuenta de usuario Configuraciones del registro de eventos de seguridad deshabilitada Ejecute GPMC.msc > abra “Default Domain Controllers Policy” > 630/4726 – Cuenta de uruario Configuración del equipo > Directivas > Configuración de Windows > eliminada Configuración de seguridad > Registro de eventos > Definir 631, 635, 648, 653, 658, 663/4727, 4731, 4754 , 4759, 4744, 4749 – Tamaño máximo de registro de seguridad a 1gb Grupo creado Método de retención del registro de seguridad a Sobrescribir eventos 632, 636, 650, 655, 660, 665/4728, cuando sea necesario 4732, 4756 , 4761, 4746, 4751 – Abra Visor de sucesos y busque en el Registro de seguridad de los ID de Miembro añadido al grupo eventos, enumerados en la sección izquierda “Referencia de ID de 633, 637, 651, 656, 661, 666/4729, eventos” 4733, 4757, 4762, 4747, 4752 – Miembro eliminado del grupo 634, 638, 652, 662, 667, 657/4730, Para la auditoría detallada de Active Directory, 4734, 4758, 4748, 4753, 4763 – pruebe Netwrix Auditor — netwrix.es/trial Grupo eliminado Auditoría de cambios: detección, alertas e informes sobre todos los cambios 644/4740 – Cuenta de usuario de configuración dentro de su infraestructura TI con detalles de Quién bloqueada cambió Qué, Cuándo y Dónde y análisis de los valores previos y posteriores. 647/4743 – Equipo eliminado Valoración de configuraciones: los informes State-in-time™ muestran los 668/4764 – Tipo del grupo parámetros de configuración en un momento determinado tales como los modificado de la política de pertenencia a grupos o de contraseñas, tal y como fueron 671/4767 – Cuenta de usuario realizados hace un año. desbloqueada Más de 200 informes predefinidos con posibilidades de filtrado, agrupación, selección, exportación (PDF, XLS, etc.), suscripciones por correo electrónico, navegación, acceso web, permisos granulares y la posibilidad de crear informes personalizados. Archivos a largo plazo: el almacenamiento escalable de dos niveles (basado en ficheros + base de datos SQL), alberga los datos auditados y consolidados durante 10 años o más. Realice Plataforma unificada para auditar toda la infraestructura TI en comparación la auditoría de Active Directory con otros proveedores con distintas herramientas difíciles de integrar. GRATIS: netwrix.es/trial
Sede principal: Teléfono: 1-949-407-5125 Int'l: 1-949-407-5125
20 Pacifica, Suite 625, Irvine, CA 92618 EMEA: 44 (0) 203-318-0261