Implementando plantillas administrativas y auditorías -XIII-

Llevamos a cabo auditorías para detectar y grabar sucesos de seguridad relacionados, como cuando un usuario intenta el acceso a un archivo o carpeta confidencial. Cuando auditamos un objeto se escribe una entrada en el registro de seguridad siempre que se acceda al objeto de cierta forma.

Después de habilitar una auditoría podemos guardar el seguimiento de aquéllos usuarios que acceden a ciertos objetos y analizar los agujeros de seguridad. El seguimiento de la auditoría muestra quienes han llevado a cabo las acciones y quienes lo han intentado de forma no autorizada.

Podemos habilitar una auditoría para archivos y carpetas:

  1. Localizamos el archivo o carpeta al que queremos auditar.
  2. Clic derecho, seleccionamos propiedades.
  3. En el cuadro de diálogo de propiedades, ficha Seguridad, pulsamos en Avanzadas.
  4. En la configuración de seguridad avanzada, ficha Auditoría, y hacemos uno de lo siguiente:
    1. Para habilitar la auditoría para un nuevo usuario o grupo pulsamos Agregar. Luego escribimos el nombre del usuario o el grupo y pulsamos en Aceptar.
    2. Para ver o cambiar la auditoría de un usuario o grupo, pulsamos en el nombre y luego en Editar.
    3. Para deshabilitar una auditoría para un usuario o grupo, pulsamos en el nombre y luego en Suprimir.
  5. Bajo Acceso, pulsamos en correcto, erróneo, o ambos, dependiendo del tipo de acceso que deseamos auditar.
  6. Si queremos evitar la herencia hacia los objetos hijo de las entradas de auditoría, seleccionamos Aplicar esta auditoría a los objetos y/o contenedores dentro de este contenedor sólo.

Cuando habilitamos auditorías para UOs estamos auditando los sucesos generados por los usuarios al acceder a los objetos de AD para los que tienen permisos. De forma predeterminada las auditorías se establecen para sucesos en la GPO predeterminada de controlador de dominio, y permanece no definida en estaciones de trabajo y servidores, donde no se aplica.

Asímismo de forma predeterminada sólo los miembros del grupo de Administradores tienen suficientes privilegios para configurar auditorías. Puede delegarse esta tarea o la configuración de auditorías para eventos de servidor a otra cuenta de usuario mediante la asignación del derecho Administrar los registros de auditoría y de seguridad en la Directiva de seguridad.

Si hemos de habilitar a no administradores para administrar y ver auditorías en un servidor miembro, primero debemos delegar dicha autoridad en un usuario o grupo. Para hacerlo:

  1. En el editor de GPO, árbol de la consola, navegamos hasta la rama: Configuración de equipoConfiguración de WindowsConfiguración de seguridadDirectivas LocalesAsignación de derechos de usuario.
  2. Pulsamos en Administrar registros de auditoría y registro de seguridad.
  3. En el menú Acción, pulsamos en propiedades.
  4. En el cuadro de diálogo de Administar registros de auditoría y seguridad, seleccionamos la casilla de verificación, Definir estos valores de directiva y pulsamos en agregar usuario o grupo.
  5. Escribimos el nombre del usuario o del grupo y pulsamos Aceptar.
  6. Aceptar.

Para habilitar la auditoría para una OU:

  1. En usuarios y equipos de active directory, clic derecho en la OU que queremos auditar y luego en propiedades.
  2. En el cuadro de diálogo, ficha seguridad, pulsamos en Avanzadas. (Para ver las propiedades de seguridad debemos pulsar en características avanzadas del menú Ver de usuarios y equipos de Active Directory.
  3. En el cuadro de diálogo de configuración avanzada de seguridad, ficha auditoría, hacemos uno de lo siguiente:
    1. Para habilitar la auditoría para un nuevo usuario o grupo, pulsamos en Agregar. Escribimos el nombre del usuario o grupo y pulsamos en Aceptar.
    2. Para eliminar una auditoría para un grupo o usuario, pulsamos en el nombre usuario o grupo, clic en suprimir y Aceptar.
    3. Para ver o cambiar una auditoría para un grupo o usuario, clic en el nombre de usuario o grupo y pulsamos en Editar.
  4. Clic en la ubicación donde queremos aplicar la auditoría.
  5. Bajo Acceso, indicar que acciones deseamos auditar mediante la selección de las casillas apropiadas:
    • Para auditar eventos correctos, seleccionamos la casilla Correcto.
    • Para auditar eventos erróneos, seleccionamos la casilla erróneo.
    • Para detener las auditorías desmarcamos la casilla, o todas las casillas.
  6. Si queremos evitar la herencia utilizaremos la casilla de Aplicación de estas entradas a objetos y/o contenedores dentro de este contenedor solamente.

 

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *