martes, 20 de abril de 2010

Auditar Active Directory en Windows Server 2008

Esta semana me enfrento a una auditoria sobre uno de sistemas que administro; la verdad cumplir con los requerimiento y preparar la auditoria es un trabajo tedioso y algo arduo de realizar; en especial se me solicito el control de como ingresaban los usuarios del dominio a sus cuentas mediante los equipos, me puse a buscar y buscar como obtener esta información;

Lo primero es encontrar Directivas de auditoría estas tienen control sobre lo siguiente:

  • Auditar el acceso a objetos.
  • Auditar el acceso del servicio de directorio.
  • Auditar el cambio de directivas.
  • Auditar el seguimiento de procesos.
  • Auditar el uso de privilegios.
  • Auditar la administración de cuentas.
  • Auditar sucesos de inicio de sesión.
  • Auditar sucesos de inicio de sesión de cuenta.
  • Auditar sucesos del sistema

Primero hay que activar las GPO de adutiria donde activarlas se ve en la siguiente imagen:

Ahora bien transcribiré la descripción de cada una de ellas:


Auditar el acceso a objetos
Esta configuración de seguridad determina si debe auditarse el evento de un usuario que obtiene acceso a un objeto (por ejemplo, un archivo, carpeta, clave del Registro, impresora, etc.) con su propia lista de control de acceso del sistema (SACL) especificada.
Si define esta configuración de directiva, puede especificar si auditar los aciertos, los errores o no auditar ningún tipo de evento. Las auditorías de aciertos generan una entrada de auditoría cuando un usuario obtiene acceso correctamente a un objeto con una SACL adecuada especificada. Las auditorías de errores generan una entrada de auditoría cuando un usuario intenta obtener acceso a un objeto con una SACL especificada y no lo consigue.
Para establecer este valor en Sin auditoría, en el cuadro de diálogo Propiedades de esta configuración de directiva, active la casilla Definir esta configuración de directiva y desactive las casillas Correcto y Erróneo.
Tenga en cuenta que puede establecer una SACL en un objeto del sistema de archivos mediante la ficha Seguridad del cuadro de diálogo de dicho objeto.
Valor predeterminado: Sin auditoría.
Auditar el acceso del servicio de directorio
Esta configuración de seguridad determina si debe auditarse el evento de un usuario que obtiene acceso a un objeto de Active Directory con su propia lista de control de acceso del sistema (SACL) especificada.
De forma predeterminada, este valor se establece en Sin auditoría en el objeto de directiva de grupo (GPO) de controlador de dominio predeterminado y permanece sin definir en estaciones de trabajo y servidores donde no tiene ningún significado.
Si define esta configuración de directiva, puede especificar si auditar los aciertos, los errores o no auditar ningún tipo de evento. Las auditorías de aciertos generan una entrada de auditoría cuando el usuario obtiene acceso correctamente a un objeto de Active Directory con una SACL especificada. Las auditorías de errores generan una entrada de auditoría cuando un usuario intenta obtener acceso a un objeto de Active Directory con una SACL especificada y no lo consigue. Para establecer este valor en Sin auditoría, en el cuadro de diálogo Propiedades de esta configuración de directiva, active la casilla Definir esta configuración de directiva y desactive las casillas Correcto y Erróneo.
Tenga en cuenta que puede establecer una SACL en un objeto de Active Directory mediante la ficha Seguridad del cuadro de diálogo Propiedades de dicho objeto. Es lo mismo que Auditar el acceso a objetos, salvo que se aplica únicamente a objetos de Active Directory y no a los objetos del sistema de archivos y del Registro.
Valor predeterminado:
Correcto en controladores de dominio.
Sin definir para un equipo miembro.
Auditar el cambio de directivas
Esta configuración de seguridad determina si debe auditarse cada incidente de cambio en las directivas de asignación de derechos de usuario, directivas de auditoría o directivas de confianza.
Si define esta configuración de directiva, puede especificar si auditar los aciertos, los errores o no auditar ningún tipo de evento. Las auditorías de aciertos generan una entrada de auditoría cuando se produce un cambio correcto en las directivas de asignación de derechos de usuario, directivas de auditoría o directivas de confianza. Las auditorías de errores generan una entrada de auditoría cuando se produce un error al cambiar las directivas de asignación de derechos de usuario, directivas de auditoría o directivas de confianza.
Para establecer este valor en Sin auditoría, en el cuadro de diálogo Propiedades de esta configuración de directiva, active la casilla Definir esta configuración de directiva y desactive las casillas Correcto y Erróneo.
Valor predeterminado:
Correcto en controladores de dominio.
Sin auditoría en servidores miembro.
Auditar el seguimiento de procesos
Esta configuración de seguridad determina si debe auditarse la información de seguimiento detallada para eventos como activación de programas, salida de procesos, duplicación de identificadores y acceso a objetos indirectos.
Si define esta configuración de directiva, puede especificar si auditar los aciertos, los errores o no auditar ningún tipo de evento. Las auditorías de aciertos generan una entrada de auditoría cuando el proceso del que se realiza un seguimiento es correcto. Las auditorías de errores generan una entrada de auditoría cuando el proceso del que se realiza un seguimiento es incorrecto.
Para establecer este valor en Sin auditoría, en el cuadro de diálogo Propiedades de esta configuración de directiva, active la casilla Definir esta configuración de directiva y desactive las casillas Correcto y Erróneo.
Valor predeterminado: Sin auditoría
Auditar el uso de privilegios
Esta configuración de seguridad determina si debe auditarse cada instancia de un usuario que ejerce un derecho de usuario.
Si define esta configuración de directiva, puede especificar si auditar los aciertos, los errores o no auditar ningún tipo de evento. Las auditorías de aciertos generan una entrada de auditoría cuando se realiza correctamente el ejercicio de un derecho de usuario. Las auditorías de errores generan una entrada de auditoría cuando no se realiza correctamente el ejercicio de un derecho de usuario.
Para establecer este valor en Sin auditoría, en el cuadro de diálogo Propiedades de esta configuración de directiva, active la casilla Definir esta configuración de directiva y desactive las casillas Correcto y Erróneo.
Valor predeterminado: Sin auditoría.
No se generan auditorías para el uso de los siguientes derechos de usuario, aunque se especifiquen auditorías de aciertos o errores para Auditar el uso de privilegios. Si se habilita la auditoría de estos derechos de usuario, se tiende a generar muchos eventos en el registro de eventos que pueden impedir el funcionamiento del equipo. Para auditar los siguientes derechos de usuario, habilite la clave del Registro FullPrivilegeAuditing.
Omitir comprobación de recorrido
Depurar programas
Crear un objeto símbolo (token)
Reemplazar un símbolo (token) de nivel de proceso
Generar auditorías de seguridad
Hacer copias de seguridad de archivos y directorios
Restaurar archivos y directorios
Precaución
La edición incorrecta del Registro puede causar daños graves al sistema. Antes de realizar cambios en el Registro, debe hacer una copia de seguridad de los datos valiosos del equipo.
Auditar eventos de inicio de sesión
Esta configuración de seguridad determina si debe auditarse cada instancia de inicio o cierre de sesión de un usuario en un equipo.
Los eventos de inicio de sesión de cuenta se generan en controladores de dominio para la actividad de cuentas de dominio y en equipos locales para la actividad de cuentas locales. Si se habilitan las dos categorías de directivas de auditoría de inicio de sesión de cuenta e inicio de sesión, los inicios de sesión que usan una cuenta de dominio generan un evento de inicio o cierre de sesión en la estación de trabajo o servidor, y generan un evento de inicio de sesión de cuenta en el controlador de dominio. Además, los inicios de sesión interactivos en un servidor miembro o estación de trabajo que usan una cuenta de dominio generan un evento de inicio de sesión en el controlador de dominio a medida que se recuperan los scripts y directivas de inicio de sesión cuando un usuario inicia sesión. Para obtener más información acerca de los eventos de inicio de sesión de cuenta, consulte Auditar eventos de inicio de sesión de cuenta.
Si define esta configuración de directiva, puede especificar si auditar los aciertos, los errores o no auditar ningún tipo de evento. Las auditorías de aciertos generan una entrada de auditoría cuando se produce un intento de inicio de sesión correcto. Las auditorías de errores generan una entrada de auditoría cuando se produce un intento de inicio de sesión incorrecto.
Para establecer este valor en Sin auditoría, en el cuadro de diálogo Propiedades de esta configuración de directiva, active la casilla Definir esta configuración de directiva y desactive las casillas Correcto y Erróneo.
Valor predeterminado: Correcto.
Auditar eventos de inicio de sesión de cuenta
Esta configuración de seguridad determina si debe auditarse cada instancia de inicio o cierre de sesión de un usuario en un equipo en el que este equipo se usa para validar la cuenta. Los eventos de inicio de sesión de cuenta se generan cuando la cuenta de un usuario del dominio se autentica en un controlador de dominio. El evento se registra en el registro de seguridad del controlador de dominio. Los eventos de inicio de sesión se generan cuando un usuario local se autentica en un equipo local. El evento se registra en el registro de seguridad local. No se generan eventos de cierre de sesión de cuenta.
Si define esta configuración de directiva, puede especificar si deben auditarse los aciertos, los errores o si no debe auditarse ningún tipo de evento. Las auditorías de aciertos generan una entrada de auditoría cuando se produce un intento de inicio de sesión correcto. Las auditorías de errores generan una entrada de auditoría cuando se produce un intento de inicio de sesión incorrecto.
Para establecer este valor en Sin auditoría, en el cuadro de diálogo Propiedades de esta configuración de directiva, active la casilla Definir esta configuración de directiva y desactive las casillas Correcto y Erróneo.
Si está habilitada la auditoría de aciertos para eventos de inicio de sesión de cuenta en un controlador de dominio, se registra una entrada para cada usuario validado en dicho controlador de dominio, aunque el usuario realmente esté iniciando sesión en una estación de trabajo unida al dominio.
Valor predeterminado: Correcto.
Auditar eventos del sistema
Esta configuración de seguridad determina si debe realizarse una auditoría cuando un usuario reinicia o apaga el equipo o cuando se produce un evento que afecta a la seguridad del sistema o al registro de seguridad.
Si define esta configuración de directiva, puede especificar si auditar los aciertos, los errores o no auditar ningún tipo de evento. Las auditorías de aciertos generan una entrada de auditoría cuando se ejecuta correctamente un evento del sistema. Las auditorías de errores generan una entrada de auditoría cuando no se logra ejecutar un evento del sistema.
Para establecer este valor en Sin auditoría, en el cuadro de diálogo Propiedades de esta configuración de directiva, active la casilla Definir esta configuración de directiva y desactive las casillas Correcto y Erróneo.
Valor predeterminado:
Correcto en controladores de dominio.
Sin auditoría en servidores miembro.
Auditar la administración de cuentas
Esta configuración de seguridad determina si debe auditarse cada evento de administración de cuentas en un equipo. Ejemplos de eventos de administración de cuentas:
Se crea, cambia o elimina un grupo o una cuenta de usuario.
Se cambia el nombre de una cuenta, se deshabilita o se habilita.
Se establece o se cambia una contraseña.
Si define esta configuración de directiva, puede especificar si auditar los aciertos, los errores o no auditar ningún tipo de evento. Las auditorías de aciertos generan una entrada de auditoría cuando se produce un evento de administración de cuentas correcto. Las auditorías de errores generan una entrada de auditoría cuando se produce un evento de administración de cuentas incorrecto. Para establecer este valor en Sin auditoría, en el cuadro de diálogo Propiedades de esta configuración de directiva, active la casilla Definir esta configuración de directiva y desactive las casillas Correcto y Erróneo.
Valor predeterminado:
Correcto en controladores de dominio.
Sin auditoría en servidores miembro.

Ahora bien ya que se activaron estas políticas el editor se ve de la siguiente forma; cada uno puede activar las que necesite según su descripción, en mi caso como la auditoria así me lo requiere active todas las opciones se ve de la siguiente forma:


Esto genera registros de los eventos de auditoria, los cuales se pueden ver en el Visor de Eventos los registros se ven de la siguiente forma:

Como se ve en la Imagen se están ya almacenando los eventos de auditoria de inicio de sesión entre otros elementos que se activaron para la auditoria.

Espero  que alguien le sirva una información así me hubiera sido útil hace un par de días, si alguien gusta agregar algun elemento que sea a útil puede expresarse libremente aquí.

Publicado por en
Etiquetas: , ,

11 comentarios:

  1. kloniko6 de julio de 2011, 7:24

    justo lo que buscaba, ¡Gracias!

    ResponderEliminar
  2. Anónimo22 de octubre de 2011, 10:16

    Genial tu explicación Colega, justo lo que necesitabamos.

    ResponderEliminar
  3. ppkapo3 de septiembre de 2012, 8:21

    Se inició sesión correctamente en una cuenta.

    Hola, he hecho esto que muestras aquí y al revisar los eventos encuentro que hay muchisimos que aparecen así.
    Sujeto:
    Id. de seguridad: NULL SID
    Nombre de cuenta: -
    Dominio de cuenta: -
    Id. de inicio de sesión: 0x0

    Tipo de inicio de sesión: 3

    Tienes alguna idea por que podrá ser?.

    ResponderEliminar
    Respuestas
    1. Arcangel Asesino3 de octubre de 2012, 14:35

      YO ME IMAGINO QUE HA DE SER UN LOGEO ANONIMO DE ALGUNS SERVICIO QUE TENGAS EJECUTNADO...

      Eliminar
  4. Anónimo25 de junio de 2014, 7:18

    gracias!

    ResponderEliminar
  5. Anónimo19 de agosto de 2014, 8:09

    como puedo hacer la consult para que salgan solo los usuarios Activos, el user y nombre y ya.?
    estoy intentando pero me salen todos los activos e inactivos..

    ResponderEliminar
    Respuestas
    1. Arcangel Asesino30 de enero de 2015, 16:33

      Pues me parece que la auditoria es completa pero puedes exportarla a y filtrar la informacion

      Eliminar
  6. paola22 de mayo de 2015, 23:09

    tengo activado esas opciones pero no me aparece nada en los eventos y necesito saber quien reseteo una cuenta de usuario con urgencia solo aparecen eventos 5136.

    ResponderEliminar
    Respuestas
    1. Arcangel Asesino4 de junio de 2015, 10:13

      mira aqui aparece la descripcion de ese evento y me parece que si tiene que ver con modoficacion de informacion de usuarios

      https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventID=5136

      Eliminar
  7. Unknown29 de septiembre de 2016, 7:18

    El editor de administracion de directiva de grupo se abre en modo local desde el controlador de dominio? con gpedit.msc?

    ResponderEliminar
  8. Unknown29 de septiembre de 2016, 7:20

    El editor de administracion de directiva de grupo se abre en modo local desde el controlador de dominio? con gpedit.msc?

    ResponderEliminar

Suscribirse a: Enviar comentarios (Atom)