Cargando



Crear política de auditoría Directorio Activo Windows Server 2016

Cómo crear una Política de auditoría en sistemas Windows Server 2016 y controlar todo lo que ocurre en tus equipos.


jun 21 2017 10:05
Profesional
Total de Apartados : 4
jun 22 2017 09:38

De tu interés 👌

Cuando estamos involucrados en el área de sistemas o de IT en general suele suceder que en muchas oportunidades debemos generar reportes de seguimiento y comportamiento de los usuarios a nivel de sistemas ya que, por políticas de la organización, en muchas oportunidades se restringe a los usuarios el acceso a algunas unidades, la instalación de software no autorizado por la empresa, crear ciertos elementos dentro de su equipo, etc, y esto no es con el fin de ser verdugos con el usuario sino con el fin de mantener un óptimo rendimientoy seguridad de toda la estructura jerárquica.

 

Mantener niveles de auditoría al directorio activo nos da la posibilidad de llevar un control centralizado sobre el comportamiento de cada unidad organizativa, cada usuario, cada equipo, cada política de grupo y así prevenir fallos en el futuro e implementar mejoras en el presente.

 

En entornos de servidores es fundamental mantener un control estricto sobre todos los sucesos que ocurren dentro del sistema ya que suele ocurrir que alguien efectúa un cambio en alguna política o directiva, inician sesión en horas no autorizadas y si como administradoresno tenemos control sobre esto nuestro sistema y arquitectura será vulnerable a múltiples errores y fallos.

 

Recordemos que cuando aplicamos una política de grupo con algún tipo de restricción es muy difícil que un usuario común pueda ejecutar cierta tarea, pero si sabemos que a algunos usuarios se les aporta un privilegio de administradores y ellos pueden realizar tareas específicas que afectan el perfil de un usuario. Esta auditoría que vamos a ver es realmente útil ya que si , por ejemplo, alguien borra o resetea una contraseña podremos saber quién ha sido.
En este tutorial veremos cómo podemos realizar una auditoría al directorio activo en Windows Server 2016.

 

Para solucionar esto, este tutorial analizará cómo podemos implementar las políticas de seguridad en Windows Server con el fin de llevar un control mucho más centralizado y especializado en el evento acontecido.

 

Qué es una política de auditoría
Windows Server 2016 nos ofrece la posibilidad de implementar y configurar múltiples auditorías de seguridad al sistema en categorías definidas como:
  • Auditar eventos de inicio de sesión de cuenta .
  • Auditar la administración de cuentas.
  • Auditar el acceso del servicio de directorio.
  • Auditar eventos de inicio de sesión.
  • Auditar el acceso a objetos.
  • Auditar el cambio de directivas.
  • Auditar el uso de privilegios.
  • Auditar el seguimiento de procesos.
  • Auditar eventos del sistema.

 

Por defecto dichas políticas se encuentran deshabilitadas en Windows Server 2016 y es una buena práctica de seguridad y gestión el habilitarlas para conocer en detalle los eventos que ocurren dentro del servidor o con los objetos que este administra.

 


1. Configurar las políticas de seguridad en Windows Server 2016

 

Para acceder a las políticas de seguridad debemos ir al editor de políticas de grupos y para ello podemos usar alguna de las siguientes opciones:

  • Dirigiéndonos a la ruta Panel de control\Todos los elementos de Panel de control\Herramientas administrativas y allí seleccionar la opción Directiva de seguridad local.
  • Usando la combinación de teclas siguiente y en la ventana desplegada ingresar el comando gpedit.msc, pulsamos Enter o Aceptar.

 

 

+ R

 

  • Una vez accedamos al editor nos dirigimos a la siguiente ruta: Configuración del equipo / Configuración de Windows /Configuración de seguridad /Directivas locales /Directiva de auditoría

 

 

 

Como podemos observar todas las políticas de auditoría se encuentran deshabilitadas.

 

 


2. Clases de políticas de auditoría en Windows Server 2016

 

Nota
En todas las opciones de auditoría veremos las mismas opciones a auditar; Correcto o Erróneo.

 

Como podemos observar contamos con múltiples opciones de auditorías en Windows Server 2016, estas son:

 

Auditar el acceso a objetos
Gracias a esta política podremos conocer si un usuario ha intentado acceder a los objetos que no forma parte de Active Directory.

 

Esta auditoría solo aplica a los objetos de las listas de control de acceso al sistema (SACL) y exclusivamente si los intentos de acceso como leer o escribir se encuentran dentro de la configuración de SACL. Al ejecutar la política activaremos las casillas que deseamos auditar:

 

2-'Auditar-el-acceso-a-objetos'.png

 

En todos los casos pulsaremos en Aplicar y luego en Aceptar para que los cambios en la auditoría tomen efecto. Los identificadores dentro de esta auditoría son:

 

tabla 1 gpo wserver.png

 

 

Auditar el acceso al servicio de directorio
Gracias a esta política tenemos la oportunidad de conocer si un usuario ha intentado acceder o realizar cambios en los objetos del directorio activo o Active Directory. Al igual que la política anterior solo serán auditados los objetos con acceso a las listas de control de acceso al sistema (SACL) y solo cuando el acceso coincide con alguno de los parámetros de configuración de SACL.
El identificador de este evento es 4662 (Se realiza una operación en un objeto)

 

3-Auditar-el-acceso-al-servicio-de-directorio'.png

 

 

Auditar el cambio de directivas
Gracias a esta política podremos conocer si algun usuario ha modificado alguna directiva del servidor como directivas de confianza, políticas de usuario, políticas de auditoría, cambios en los permisos y configuración de las políticas, etc. Al igual que en las anteriores podremos definir qué tipo de eventos habilitar. Los identificadores de eventos en esta política son:

 

tabla-2-GPO.png

 

 

Auditar el seguimiento de procesos
Con esta política podremos auditar todo lo relacionado con los procesos del sistema tales como salida de procesos, creación de procesos, duplicación de controladores, entre otros.
Al activar las respectivas casillas de Correcto o Erróneo generaremos eventos con los siguientes identificadores en esta política:

 

tabla-3-gpo.png

 

 

Auditar el uso de privilegios
Con esta política podremos auditar todos los eventos en los cuales un usuario ejerce un derecho de usuario dentro del sistema tales como:
  • Crear un objeto de token.
  • Reemplazar token de nivel de proceso.
  • Generar auditorías de seguridad.
  • Hacer copias de seguridad de los archivos y directorios.
  • Restaurar archivos y directorios.

 

Tal como las políticas anteriores podremos definir qué tipo de eventos registrar, Correcto o Erróneo. Los identificadores de los eventos en esta auditoría son:

 

tabla-4-identificadores-gpo.png

 

 

Auditar eventos de inicio de sesión
Es una de las políticas más usadas ya que gracias a ella podremos identificar en detalle cuando un usuario inicia sesión en su equipo y estos eventos son generados en el controlador de dominio en el caso de las cuentas de dominio o en dispositivos locales en el caso de las cuentas de usuario local. Podremos definir si auditamos los eventos correctos o erróneos. Algunos de los identificadores más comunes son:

 

tabla-5-eventos-gpo.png

 

 

Auditar eventos del sistema
No cabe duda que este es uno de los temas de auditoría más usados y que más apoyo nos da como administradores ya que allí tenemos la oportunidad de registrar todos los eventos, correctos o erróneos, que ocurren dentro de Windows Server 2016. Allí registramos eventos de seguridad, de inicio y apagado de equipos y de eventos en general. Similar a las anteriores activaremos las casillas deseadas para auditar.

 

4-'Auditar-eventos-del-sistema'.png

 

Los eventos que podremos encontrar en esta política de auditoría son los siguientes:

 

tabla-6-eventos-windows.png

 

 

Auditar la administración de cuentas
Es una política de auditoría avanzada ya que nos permite configurar que un equipo genere eventos de auditoría cuando se ejecuten tareas realizadas por usuarios específicos.
Algunas de estas tareas son:
  • Creación, edición, eliminación, cambio de nombre, deshabilitacion, habilitación, bloqueo o desbloqueo una cuenta de usuario.
  • Se establece o cambia la contraseña de una cuenta de usuario en el sistema.
  • Se agrega un historial de identificador de seguridad (SID) a una cuenta de usuario en particular.
  • Se establece la contraseña del Modo de restauración de servicios de directorio.
  • Se cambian los permisos en las cuentas que son miembros de grupos de administrador, entre otras.
  • Podemos activar las opciones de Correcto o Erróneo según sea la necesidad.

 

Los eventos en esta categoría son:

 

tabla-7-evento-id-wserver.png

 

 

 

Podemos ver como cada política de auditoría cumple un papel fundamental en el proceso de verificación y control de Windows Server 2016. Una vez configuradas estas políticas todos los eventos habilitados serán visibles desde el visor de eventos de Windows Server 2016.

 

 

 


3. Realizar auditoría a Active Directory en Windows Server 2016

 

Paso 1

Para poder acceder a un control centralizado de auditoría debemos habilitar una política específica en el servidor y para ello abriremos el editor de directivas de grupo usando alguno de los siguientes métodos:
  • Desde el comando Ejecutar con Combinación de teclas siguiente e ingresar el término gpedit.msc

 

 

 

+ R

 

  • Desde el menú Inicio > Herramientas administrativas > Administración de directivas de grupo.

 

Paso 2

Veremos que se despliega la siguiente ventana donde debemos seleccionar nuestro dominio, y dar clic derecho en la opción Default Domain Policy y seleccionar la opción Editar.

 

 

Paso 3

Una vez pulsemos Editar en la ventana desplegada debemos ir a la siguiente ruta:
  • Configuración del equipo.
  • Directivas.
  • Configuración de Windows.
  • Configuración de seguridad.
  • Directivas locales.
  • Directiva de auditoría.

 

 

 

 

 

Paso 4

En la ventana desplegada podemos ver en el costado derecho diversas políticas que, por defecto, no están configuradas. Para realizar la auditoría al Directorio Activo debemos habilitar las siguientes políticas:

 

Auditar la administración de cuentas
Esta política nos permite auditar todos los eventos que suceden con las cuentas de los usuarios en el directorio activo, para habilitarla damos doble clic sobre ella y veremos lo siguiente.

 

4-como-hacer-auditoria-directorio-activo-windows-server.jpg

 

Allí debemos habilitar la casilla “Definir esta configuración de directiva” y seleccionaremos las casillas Correcto y Error para que el sistema registre todos los eventos tanto satisfactorios como equivocados de algún usuario dentro del directorio activo. Guardamos los cambios pulsando el botón Aplicar y posteriormente Aceptar.

 

5-como-hacer-auditoria-directorio-activo-windows-server.jpg

 

 

Auditar el acceso al servicio de directorios
Esta política nos permite registrar todos los eventos que registran cualquier intento de modificación, haya sido procesado o no, a algún objeto del directorio activo, tal como usuarios, equipo, etc.Pulsamos doble clic sobre ella y activamos la casilla “Definir esta configuración de directiva” y marcamos las casillas Correcto y Error.

 

6-como-hacer-auditoria-directorio-activo-windows-server.jpg

 

Pulsamos Aplicar y luego Aceptar para guardar los cambios. Podemos ver nuestras dos políticas configuradas.

 

7-como-hacer-auditoria-directorio-activo-windows-server.jpg

 

 

Paso 5

A continuación, abriremos la herramienta Usuarios y equipos de Active Directory para aplicar las políticas recién creadas, para ello vamos al administrador del servidor, menú Herramientas y seleccionamos Usuarios y equipos de Active Directory Se abre la siguiente ventana.

 

8-como-hacer-auditoria-directorio-activo-windows-server.jpg

 

Paso 6

La política la aplicaremos a la unidad organizativa llamada Usuarios Solvetic y para ello daremos clic derecho sobre ella y seleccionamos Propiedades y en la ventana desplegada iremos a la pestaña Seguridad:

 

9-como-hacer-auditoria-directorio-activo-windows-server.jpg

 

 

Nota
En caso que no veamos la pestaña Seguridad disponible debemos ir al menú Ver en Usuarios y equipos de Active Directory y seleccionamos la opción Características avanzadas.

 

Paso 7

Una vez estemos en la pestaña Seguridad pulsaremos el botón Opciones avanzadas y allí iremos a la pestaña Auditoría.

 

10-como-hacer-auditoria-directorio-activo-windows-server.jpg

 

Paso 8

Allí pulsaremos el botón Agregar para definir a que usuarios hemos de aplicar la política de auditoría. Veremos la siguiente ventana donde debemos seleccionar la línea Seleccionar una entidad de seguridad.

 

11-como-hacer-auditoria-directorio-activo-windows-server.jpg

 

Paso 9

En la ventana desplegada ingresaremos el usuario que vamos a adicionar o las iniciales de los mismos.

 

12-como-hacer-auditoria-directorio-activo-windows-server.jpg

 

Paso 10

Pulsamos Comprobar nombres y veremos las diferentes opciones.

 

13-como-hacer-auditoria-directorio-activo-windows-server.jpg

 

Paso 11

Allí seleccionamos los usuarios o los grupos a asignar, algo recomendable es agregar el grupo Administradores debido a que todos los usuarios que cuentan con privilegios para ejecutar tareas sobre el directorio activo están incluidos en este grupo y así todos ellos serán auditados. Podemos definir qué tipo de permisos se han de auditar activando las casillas correspondientes y una vez definidos pulsaremos Aceptar.

 

14-como-hacer-auditoria-directorio-activo-windows-server.jpg

 

Paso 12

Una vez pulsemos Aceptar podremos ver que se ha adicionado nuestro usuario de forma correcta. Pulsamos Aplicar y posteriormente Aceptar.

 

 

 


4. Validar el proceso de autoría en Windows Server 2016

 

Paso 1

Una vez definidas estas políticas vamos a abrir el visor de eventos usando alguna de las siguientes formas:
  • Dando clic derecho en el menú Inicio y en la lista desplegada elegimos Visor de eventos.
  • Accediendo desde el menú Herramientas en el Administrador del servidor y seleccionando la opción Visor de eventos.

 

Paso 2

En la ventana desplegada debemos ir a la opción Registro de Windows > Seguridad.

 

 

Paso 3

Allí podremos ver todos los eventos que suceden cuando alguno de los usuarios del grupo Administradores realiza cualquier cambio en el directorio activo. En este ejemplo hemos modificado la contraseña del usuario Solvetic 1.
Podemos ver que el evento ha quedado registrado indicándonos fecha, hora, usuario que efectuó el cambio y usuario afectado. De la misma manera podemos filtrar los eventos por ID de suceso para facilitar la búsqueda.

 

167como-hacer-auditoria-directorio-activo-windows-server.jpg

 

Nota
Recordemos que la habilitación de estas políticas va a generar mucha más información en el visor de eventos lo cual implica mucha mayor cantidad de espacio.

 

Como hemos visto de esta manera podemos realizar una auditoría completa bien sea a un grupo específico a un usuario en especial y de esta manera supervisar y controlar todas las actividades que son realizadas a diario en el Directorio Activo con Windows Server 2016.

 

Como ves el Directorio Activo proporciona herramientas necesarias para la gestión de los equipos y es fundamental como administradores, conocerlas y aprender a implementarlas. Las políticas de grupo son vitales para ello y por eso también hay que tenerlas en cuenta. Saquemos el máximo provecho a esta importante configuración de seguridad en Windows Server 2016. Si quieres saber más sobre qué puedes hacer en el Directorio Activo de Windows Server 2016 echa un vistazo a este tutorial.

 

Aprende a gestionar el Directorio Activo de Windows Server 2016 con Active Directory Administrative Center y múltiples comandos PowerShell de utilidad


¿Te ayudó este Tutorial?


Sin comentarios, sé el primero!

No esperes más y entra en Solvetic
Deja tus comentarios y aprovecha las ventajas de la cuenta de usuario ¡Únete!

X