Lo primero es encontrar Directivas de auditoría estas tienen control sobre lo siguiente:
- Auditar el acceso a objetos.
- Auditar el acceso del servicio de directorio.
- Auditar el cambio de directivas.
- Auditar el seguimiento de procesos.
- Auditar el uso de privilegios.
- Auditar la administración de cuentas.
- Auditar sucesos de inicio de sesión.
- Auditar sucesos de inicio de sesión de cuenta.
- Auditar sucesos del sistema
Primero hay que activar las GPO de adutiria donde activarlas se ve en la siguiente imagen:
Ahora bien transcribiré la descripción de cada una de ellas:
Auditar el acceso a objetosEsta configuración de seguridad determina si debe auditarse el evento de un usuario que obtiene acceso a un objeto (por ejemplo, un archivo, carpeta, clave del Registro, impresora, etc.) con su propia lista de control de acceso del sistema (SACL) especificada.Si define esta configuración de directiva, puede especificar si auditar los aciertos, los errores o no auditar ningún tipo de evento. Las auditorías de aciertos generan una entrada de auditoría cuando un usuario obtiene acceso correctamente a un objeto con una SACL adecuada especificada. Las auditorías de errores generan una entrada de auditoría cuando un usuario intenta obtener acceso a un objeto con una SACL especificada y no lo consigue.Para establecer este valor en Sin auditoría, en el cuadro de diálogo Propiedades de esta configuración de directiva, active la casilla Definir esta configuración de directiva y desactive las casillas Correcto y Erróneo.Tenga en cuenta que puede establecer una SACL en un objeto del sistema de archivos mediante la ficha Seguridad del cuadro de diálogo de dicho objeto.Valor predeterminado: Sin auditoría.Auditar el acceso del servicio de directorioEsta configuración de seguridad determina si debe auditarse el evento de un usuario que obtiene acceso a un objeto de Active Directory con su propia lista de control de acceso del sistema (SACL) especificada.De forma predeterminada, este valor se establece en Sin auditoría en el objeto de directiva de grupo (GPO) de controlador de dominio predeterminado y permanece sin definir en estaciones de trabajo y servidores donde no tiene ningún significado.Si define esta configuración de directiva, puede especificar si auditar los aciertos, los errores o no auditar ningún tipo de evento. Las auditorías de aciertos generan una entrada de auditoría cuando el usuario obtiene acceso correctamente a un objeto de Active Directory con una SACL especificada. Las auditorías de errores generan una entrada de auditoría cuando un usuario intenta obtener acceso a un objeto de Active Directory con una SACL especificada y no lo consigue. Para establecer este valor en Sin auditoría, en el cuadro de diálogo Propiedades de esta configuración de directiva, active la casilla Definir esta configuración de directiva y desactive las casillas Correcto y Erróneo.Tenga en cuenta que puede establecer una SACL en un objeto de Active Directory mediante la ficha Seguridad del cuadro de diálogo Propiedades de dicho objeto. Es lo mismo que Auditar el acceso a objetos, salvo que se aplica únicamente a objetos de Active Directory y no a los objetos del sistema de archivos y del Registro.Valor predeterminado:Correcto en controladores de dominio.Sin definir para un equipo miembro.Auditar el cambio de directivasEsta configuración de seguridad determina si debe auditarse cada incidente de cambio en las directivas de asignación de derechos de usuario, directivas de auditoría o directivas de confianza.Si define esta configuración de directiva, puede especificar si auditar los aciertos, los errores o no auditar ningún tipo de evento. Las auditorías de aciertos generan una entrada de auditoría cuando se produce un cambio correcto en las directivas de asignación de derechos de usuario, directivas de auditoría o directivas de confianza. Las auditorías de errores generan una entrada de auditoría cuando se produce un error al cambiar las directivas de asignación de derechos de usuario, directivas de auditoría o directivas de confianza.Para establecer este valor en Sin auditoría, en el cuadro de diálogo Propiedades de esta configuración de directiva, active la casilla Definir esta configuración de directiva y desactive las casillas Correcto y Erróneo.Valor predeterminado:Correcto en controladores de dominio.Sin auditoría en servidores miembro.Auditar el seguimiento de procesosEsta configuración de seguridad determina si debe auditarse la información de seguimiento detallada para eventos como activación de programas, salida de procesos, duplicación de identificadores y acceso a objetos indirectos.Si define esta configuración de directiva, puede especificar si auditar los aciertos, los errores o no auditar ningún tipo de evento. Las auditorías de aciertos generan una entrada de auditoría cuando el proceso del que se realiza un seguimiento es correcto. Las auditorías de errores generan una entrada de auditoría cuando el proceso del que se realiza un seguimiento es incorrecto.Para establecer este valor en Sin auditoría, en el cuadro de diálogo Propiedades de esta configuración de directiva, active la casilla Definir esta configuración de directiva y desactive las casillas Correcto y Erróneo.Valor predeterminado: Sin auditoríaAuditar el uso de privilegiosEsta configuración de seguridad determina si debe auditarse cada instancia de un usuario que ejerce un derecho de usuario.Si define esta configuración de directiva, puede especificar si auditar los aciertos, los errores o no auditar ningún tipo de evento. Las auditorías de aciertos generan una entrada de auditoría cuando se realiza correctamente el ejercicio de un derecho de usuario. Las auditorías de errores generan una entrada de auditoría cuando no se realiza correctamente el ejercicio de un derecho de usuario.Para establecer este valor en Sin auditoría, en el cuadro de diálogo Propiedades de esta configuración de directiva, active la casilla Definir esta configuración de directiva y desactive las casillas Correcto y Erróneo.Valor predeterminado: Sin auditoría.No se generan auditorías para el uso de los siguientes derechos de usuario, aunque se especifiquen auditorías de aciertos o errores para Auditar el uso de privilegios. Si se habilita la auditoría de estos derechos de usuario, se tiende a generar muchos eventos en el registro de eventos que pueden impedir el funcionamiento del equipo. Para auditar los siguientes derechos de usuario, habilite la clave del Registro FullPrivilegeAuditing.Omitir comprobación de recorridoDepurar programasCrear un objeto símbolo (token)Reemplazar un símbolo (token) de nivel de procesoGenerar auditorías de seguridadHacer copias de seguridad de archivos y directoriosRestaurar archivos y directoriosPrecauciónLa edición incorrecta del Registro puede causar daños graves al sistema. Antes de realizar cambios en el Registro, debe hacer una copia de seguridad de los datos valiosos del equipo.Auditar eventos de inicio de sesiónEsta configuración de seguridad determina si debe auditarse cada instancia de inicio o cierre de sesión de un usuario en un equipo.Los eventos de inicio de sesión de cuenta se generan en controladores de dominio para la actividad de cuentas de dominio y en equipos locales para la actividad de cuentas locales. Si se habilitan las dos categorías de directivas de auditoría de inicio de sesión de cuenta e inicio de sesión, los inicios de sesión que usan una cuenta de dominio generan un evento de inicio o cierre de sesión en la estación de trabajo o servidor, y generan un evento de inicio de sesión de cuenta en el controlador de dominio. Además, los inicios de sesión interactivos en un servidor miembro o estación de trabajo que usan una cuenta de dominio generan un evento de inicio de sesión en el controlador de dominio a medida que se recuperan los scripts y directivas de inicio de sesión cuando un usuario inicia sesión. Para obtener más información acerca de los eventos de inicio de sesión de cuenta, consulte Auditar eventos de inicio de sesión de cuenta.Si define esta configuración de directiva, puede especificar si auditar los aciertos, los errores o no auditar ningún tipo de evento. Las auditorías de aciertos generan una entrada de auditoría cuando se produce un intento de inicio de sesión correcto. Las auditorías de errores generan una entrada de auditoría cuando se produce un intento de inicio de sesión incorrecto.Para establecer este valor en Sin auditoría, en el cuadro de diálogo Propiedades de esta configuración de directiva, active la casilla Definir esta configuración de directiva y desactive las casillas Correcto y Erróneo.Valor predeterminado: Correcto.Auditar eventos de inicio de sesión de cuentaEsta configuración de seguridad determina si debe auditarse cada instancia de inicio o cierre de sesión de un usuario en un equipo en el que este equipo se usa para validar la cuenta. Los eventos de inicio de sesión de cuenta se generan cuando la cuenta de un usuario del dominio se autentica en un controlador de dominio. El evento se registra en el registro de seguridad del controlador de dominio. Los eventos de inicio de sesión se generan cuando un usuario local se autentica en un equipo local. El evento se registra en el registro de seguridad local. No se generan eventos de cierre de sesión de cuenta.Si define esta configuración de directiva, puede especificar si deben auditarse los aciertos, los errores o si no debe auditarse ningún tipo de evento. Las auditorías de aciertos generan una entrada de auditoría cuando se produce un intento de inicio de sesión correcto. Las auditorías de errores generan una entrada de auditoría cuando se produce un intento de inicio de sesión incorrecto.Para establecer este valor en Sin auditoría, en el cuadro de diálogo Propiedades de esta configuración de directiva, active la casilla Definir esta configuración de directiva y desactive las casillas Correcto y Erróneo.Si está habilitada la auditoría de aciertos para eventos de inicio de sesión de cuenta en un controlador de dominio, se registra una entrada para cada usuario validado en dicho controlador de dominio, aunque el usuario realmente esté iniciando sesión en una estación de trabajo unida al dominio.Valor predeterminado: Correcto.Auditar eventos del sistemaEsta configuración de seguridad determina si debe realizarse una auditoría cuando un usuario reinicia o apaga el equipo o cuando se produce un evento que afecta a la seguridad del sistema o al registro de seguridad.Si define esta configuración de directiva, puede especificar si auditar los aciertos, los errores o no auditar ningún tipo de evento. Las auditorías de aciertos generan una entrada de auditoría cuando se ejecuta correctamente un evento del sistema. Las auditorías de errores generan una entrada de auditoría cuando no se logra ejecutar un evento del sistema.Para establecer este valor en Sin auditoría, en el cuadro de diálogo Propiedades de esta configuración de directiva, active la casilla Definir esta configuración de directiva y desactive las casillas Correcto y Erróneo.Valor predeterminado:Correcto en controladores de dominio.Sin auditoría en servidores miembro.Auditar la administración de cuentasEsta configuración de seguridad determina si debe auditarse cada evento de administración de cuentas en un equipo. Ejemplos de eventos de administración de cuentas:Se crea, cambia o elimina un grupo o una cuenta de usuario.Se cambia el nombre de una cuenta, se deshabilita o se habilita.Se establece o se cambia una contraseña.Si define esta configuración de directiva, puede especificar si auditar los aciertos, los errores o no auditar ningún tipo de evento. Las auditorías de aciertos generan una entrada de auditoría cuando se produce un evento de administración de cuentas correcto. Las auditorías de errores generan una entrada de auditoría cuando se produce un evento de administración de cuentas incorrecto. Para establecer este valor en Sin auditoría, en el cuadro de diálogo Propiedades de esta configuración de directiva, active la casilla Definir esta configuración de directiva y desactive las casillas Correcto y Erróneo.Valor predeterminado:Correcto en controladores de dominio.Sin auditoría en servidores miembro.
Ahora bien ya que se activaron estas políticas el editor se ve de la siguiente forma; cada uno puede activar las que necesite según su descripción, en mi caso como la auditoria así me lo requiere active todas las opciones se ve de la siguiente forma:
Esto genera registros de los eventos de auditoria, los cuales se pueden ver en el Visor de Eventos los registros se ven de la siguiente forma:
Como se ve en la Imagen se están ya almacenando los eventos de auditoria de inicio de sesión entre otros elementos que se activaron para la auditoria.
Espero que alguien le sirva una información así me hubiera sido útil hace un par de días, si alguien gusta agregar algun elemento que sea a útil puede expresarse libremente aquí.
justo lo que buscaba, ¡Gracias!
ResponderEliminarGenial tu explicación Colega, justo lo que necesitabamos.
ResponderEliminarSe inició sesión correctamente en una cuenta.
ResponderEliminarHola, he hecho esto que muestras aquí y al revisar los eventos encuentro que hay muchisimos que aparecen así.
Sujeto:
Id. de seguridad: NULL SID
Nombre de cuenta: -
Dominio de cuenta: -
Id. de inicio de sesión: 0x0
Tipo de inicio de sesión: 3
Tienes alguna idea por que podrá ser?.
YO ME IMAGINO QUE HA DE SER UN LOGEO ANONIMO DE ALGUNS SERVICIO QUE TENGAS EJECUTNADO...
Eliminargracias!
ResponderEliminarcomo puedo hacer la consult para que salgan solo los usuarios Activos, el user y nombre y ya.?
ResponderEliminarestoy intentando pero me salen todos los activos e inactivos..
Pues me parece que la auditoria es completa pero puedes exportarla a y filtrar la informacion
Eliminartengo activado esas opciones pero no me aparece nada en los eventos y necesito saber quien reseteo una cuenta de usuario con urgencia solo aparecen eventos 5136.
ResponderEliminarmira aqui aparece la descripcion de ese evento y me parece que si tiene que ver con modoficacion de informacion de usuarios
Eliminarhttps://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventID=5136
El editor de administracion de directiva de grupo se abre en modo local desde el controlador de dominio? con gpedit.msc?
ResponderEliminarEl editor de administracion de directiva de grupo se abre en modo local desde el controlador de dominio? con gpedit.msc?
ResponderEliminar