Auditando accesos a servicios de directorio

Podemos auditar los cambios en el servicio de directorio Active Directory habilitando la auditoría correspondiente. Aunque tengamos habilitada la auditoría de sucesos de administración de cuentas, puede que queramos seguir los cambios a otros objetos de AD.

Para auditar los aciertos y los errores en objetos de AD o sus atributos, no sólo debemos habilitar la auditoría en todos los DC, sino que además debemos configurar los SACL (system access control list) para cada objeto o atributo que queramos auditar. Como añadido a la grabación de cambios en objetos y atributos de AD se grabarán sucesos como la replicación. Consecuentemente, habilitando esta auditoria para aciertos aumentaremos las entradas en el log de eventos, resultando en un incremento de tamaño del archivo log y con ello cierta dificultad en localizar significativos sucesos sin la ayuda de herramientas sofisticadas para filtrar el log.

Si definimos esta directiva, podemos indicar si auditamos aciertos o errores. Lo primero genera una entrada cuando un usuario accede con éxito a un objeto de AD que tiene una SACL especificada. Los errores generan entradas cuando un usuario intenta sin éxito acceder a un objeto de AD con una SACL especificada.

AD es una base de datos múltiple, lo que significa que cualquier cambio puede ser escrito en cualquier DC, debemos asegurarnos que la auditoría esté habilitada en todos los DC. La mejor manera de asegurarse es crear un objeto de directiva de grupo a nivel de dominio.

Todos los eventos de directorio, tanto aciertos como errores, tendrán un ID 565 o 566. Tendremos que examinar los detalles de cada 565 o 566 para ver si fue o no, correctamente realizado.

El evento 565 en windows 2000  nos permite el seguimiento de cambios en objetos de AD a nivel de propiedad, mientras que la administración de cuentas proporciona más utilidad para cambios de usuarios, grupos y equipos.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *