La auditoria en Windows 11 es pieza fundamental para supervisar que cada proceso y acción que realiza el sistema y el usuario se cumplan de la manera correcta, la auditoria maneja los estados de error o de aceptación y son un aliado para el administrador, esto normalmente podemos trabajarlo desde la consola de directivas de seguridad pero Solvetic explicara en este tutorial como usar el comando AUDITPOL para administrar los procesos de auditoria en Windows 11.
AUDITPOL es un comando gracias al cual podemos acceder a información específica de los procesos auditados así como poder realizar acciones sobre las políticas de auditoría como:
- Configuración y consulta de opciones de auditoría
- Configuración y consulta de una política de auditoría del sistema operativo
- Configuración y consulta del descriptor de seguridad que se usa para delegar el acceso a una política de auditoría global
- CL de recursos globales
- Crear informes o copias de seguridad de una política de auditoría la cual puede ser exportada a un archivo de texto de valores separados por comas (CSV) y mas
Veamos cómo activar esta opción en Windows 11 y hacer uso eficaz de ella.
1 Cómo usar AUDITPOL.exe Windows Activar
En Windows 11 AUDITPOL ya esta habilitado por defecto pero podemos comprobar esto, para ello en el buscador de Inicio ingresamos "directiva" y damos clic en "Directiva de seguridad local":
En la ventana desplegada vamos a "Directivas locales - Opciones de seguridad":
Damos doble clic sobre "Auditoria: Forzar la configuración de subcategorías de la directiva de auditoría" para ver su estado:
Confirmamos que la casilla "Habilitada" esté activa o bien la activamos y aplicamos los cambios:
Veremos que la política esta habilitada en Windows 11:
2 Cómo usar AUDITPOL.exe Windows
Es momento de usar AUDITPOL en Windows para descubrir sus características, existen algunos parámetros disponibles para usar con este comando los cuales son:
- /get: permite ver la política de auditoría actual
- /set: establece la política de auditoría definida
- /list: lanza los elementos de política seleccionables
- /backup: crea una copia de seguridad de la política de auditoría en un archivo
- /restore: restaura la política de auditoría desde el archivo creado en backup
- /clear: borra la política de auditoría indicada
- /remove: este parámetro elimina todas las configuraciones de políticas de auditoría por usuario y asimismo deshabilita todas las configuraciones de políticas del sistema
- /resourceSACL: es un parámetro para configurar listas de control de acceso al sistema de recursos globales (SACL)
Iniciamos por el parámetro /get, damos clic derecho en el botón de Windows y luego damos clic en "Terminal Windows (Administrador)":
Aceptamos los permisos de UAC:
Accedemos a las categorías de auditoria:
auditpol /get /category:*
Accedemos a una categoría en especial con la sintaxis:
auditpol /get /category:nombre
Allí vemos el nombre del proceso de auditoria y si recopila aciertos, errores, ambos o bien no es auditada. Con /get es posible usar los siguientes parámetros extras:
- /user: permite ver la entidad de seguridad asociada a la política de auditoría por usuario
- /category: hace referencia a las categorías de auditoría que podemos ingresar por un identificador único global (GUID) o por su nombre
- /subcategory: indica una o más subcategorías de auditoría que podemos nombrar por su GUID o nombre
- /sd: su tarea es recuperar el descriptor de seguridad con el cual se entrega acceso a la política de auditoría
- /option: su función es recuperar la política existente asociada a CrashOnAuditFail, FullprivilegeAuditing, AuditBaseObjects o AuditBasedirectories
- /r: genera la salida en formato de informe CSV
Ahora veremos el parámetro /list, listamos para que usuarios están definidas las auditorias:
auditpol /list /user
Listamos las subcategorías de auditorías:
auditpol /list /subcategory:* /r
Ahora podemos editar el comportamiento de la auditoria usando /set, accedemos a una categoría en especial para ver el estado de la auditoria:
auditpol /get /category:nombre
Establecemos un nuevo valor para Sistema, en este caso deshabilitamos los errores y dejamos solo los aciertos:
auditpol /set /category:Nombre /failure:disable
Comprobamos el cambio:
auditpol /get /category:nombre
Podemos usar /set con valores extras como:
- /user: es la entidad de seguridad definida en la política de auditoría por usuario
- /include: hace referencia a la política del usuario para ser generada
- /exclude: hace que se suprima una política de auditoria
- /category: son las categorías de auditoría que podemos ingresar por un identificador único global (GUID) o por su nombre
- /success: indica que la auditoría fue exitosa
- /failure: especifica que la auditoría fallo
Vemos como AUDITPOL es una solución práctica y funcional en Windows 11 con la cual tendremos el control total de la auditoria del sistema y así trabajar en ella según sea necesario.
