Magic Quadrant™ para la gestión de acceso privilegiado 2025: Netwrix reconocida por cuarto año consecutivo. Descarga el informe.

ContáctenosSoporteCommunity
English Español Italiano Français Deutsch Português
Plataforma
Soluciones

Data Security Posture Management

Descubra y clasifique datos en entornos híbridos. Evalúe, priorice y mitigue los riesgos para los datos sensibles.

Directory Management

Simplifique y asegure la administración del directorio reduciendo la complejidad, el riesgo y el esfuerzo manual.

Endpoint Management

Asegure los endpoints y prevenga la pérdida de datos mientras mantiene a los equipos productivos, sin importar dónde trabajen.

Identity Management

Asegure cada identidad, agilice cada proceso y manténgase a la vanguardia del cumplimiento, sin añadir complejidad.

Identity Threat Detection & Response

Manténgase a la vanguardia de las amenazas basadas en identidades: remedie proactivamente los riesgos, bloquee ataques y asegure una recuperación rápida.

Privileged Access Management

Reduzca su superficie de ataque eliminando privilegios permanentes, asegurando credenciales y monitoreando sesiones privilegiadas.
Productos destacados Ver todos los productos
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plataforma Netwrix 1Secure™

Explorar
Netwrix AI Entornos que protegemos Integraciones MSPs Riesgos de seguridad de Active Directory Cumplimiento Precios
Centro de Recursos Ver todo
BlogAttack CatalogCumplimientoHistorias de clientesMarcos de CiberseguridadGlosario de CiberseguridadEventosFreewareGuíasIdeas PortalNoticiasPodcastsPublicacionesAnuncios de ProductosInvestigaciónWebinars
Asset not found

Historia Destacada de un Cliente

DXC Technology permite a los clientes lograr el cumplimiento de PCI DSS y centrarse en iniciativas estratégicas
Socios
Programa de SociosConviértete en un SocioMSPsBuscador de sociosWebinars
Asset not found

Historia Destacada de Cliente

AppRiver mejora el control sobre Active Directory al tiempo que reduce significativamente el tiempo de auditoría
Asset not found

Historia Destacada de un Cliente

MSP ayuda a cliente a recuperarse de un ransomware en 6 horas
¿Por qué Netwrix?
Acerca de nosotrosLiderazgoNetwrix AIHistorias de clientesReconocimientoNoticiasCarreras
Asset not found

Historia Destacada de un Cliente

Horizon Leisure Centres acelera la clasificación de datos para cumplir con el RGPD y ahorra £80,000 al año
Asset not found

Historia Destacada de un Cliente

Samsung R&D Institute protege los datos con uso multiplataforma y despliegue rápido en macOS utilizando Netwrix Endpoint Protector
Centro de recursosBlog
Guías de Auditoría de Active Directory

Guías de Auditoría de Active Directory

Apr 21, 2021

Active Directory proporciona gestión de cuentas, autenticación y servicios de autorización que son críticos para una gobernanza de acceso sólida. Por lo tanto, una auditoría adecuada de Active Directory es esencial tanto para la ciberseguridad como para el cumplimiento de las regulaciones que requieren una gestión de acceso robusta.

Sin embargo, Active Directory no audita todos los eventos de seguridad de forma predeterminada — debe habilitar explícitamente la auditoría de eventos importantes para que se registren en el registro de eventos de seguridad y estén disponibles para su inclusión en informes de auditoría y alertas.

Este artículo proporciona recomendaciones para configurar la auditoría en su entorno de Active Directory, utilizando las Netwrix Audit Policy Best Practices como referencia.

Contenido relacionado seleccionado

Comenzando con la Auditoría de AD

La auditoría de Active Directory (AD) es el proceso de recolectar y analizar datos sobre sus objetos de AD y Group Policy. Las organizaciones realizan auditorías de AD para mejorar proactivamente la seguridad, detectar y responder rápidamente a amenazas, y mantener las operaciones de TI funcionando sin problemas.

Usando la Política de Auditoría

Para especificar qué eventos del sistema y actividad del usuario seguir, se utilizan las configuraciones de Audit Policy en Active Directory Group Policy. Se especifica qué tipos de eventos se desean auditar y se seleccionan las configuraciones para cada uno. Por ejemplo, se pueden registrar todos los eventos cuando una cuenta de usuario es deshabilitada o se introduce una contraseña incorrecta.

Como otras configuraciones de Group Policy, la auditoría se configura utilizando la herramienta Group Policy Management Editor (GPME) en la consola Group Policy Management. Tenga en cuenta que la configuración de auditoría para dispositivos unidos a un dominio se establece por defecto en un nivel relativamente bajo, por lo que deberían refinarse. En los controladores de dominio (DCs), la auditoría suele ser más robusta, pero aún así podría no estar al nivel que usted necesita.

Para auditar Active Directory, puedes utilizar las configuraciones de la política de auditoría de seguridad básica (local) o las configuraciones de la política de auditoría de seguridad avanzada, que permiten mayor granularidad. Microsoft no recomienda usar ambas, ya que eso puede llevar a “resultados inesperados en los informes de auditoría.” En la mayoría de los casos, cuando activas la auditoría avanzada, la auditoría básica será ignorada, incluso si después desactivas la auditoría avanzada. Se recomienda utilizar la auditoría Avanzada si actualmente no estás realizando ninguna auditoría.

  • Se pueden establecer políticas básicas accediendo a Configuración del equipo > Políticas > Configuración de Windows > Configuración de seguridad > Políticas locales > Audit Policy.
  • Se pueden encontrar configuraciones avanzadas de políticas en Configuración del equipo > Directivas > Configuración de Windows > Configuración avanzada de directivas de auditoría > Directivas de auditoría.

Alcance de la Política de Auditoría

Puede definir políticas de auditoría tanto para el dominio completo como para unidades organizativas individuales (OUs). Tenga en cuenta que una configuración establecida a nivel de OU tiene mayor prioridad que una configuración a nivel de dominio y la anulará en caso de conflictos. Puede verificar las políticas resultantes utilizando la utilidad de línea de comandos auditpol.

Configurando el Registro de Seguridad

También deberá especificar el tamaño máximo y otras propiedades del registro de Seguridad utilizando la configuración de políticas de Registro de Eventos. Para cambiar la configuración a través de GPME, navegue a Configuración del equipo > Directivas > Configuración de Windows > Configuración de seguridad > Registro de eventos y haga doble clic en el nombre de la política. Según Microsoft, el tamaño máximo recomendado para el registro en versiones modernas del SO es de 4Gb, y el tamaño total máximo recomendado para todos los registros es de 16Gb. Puede ver los registros con Visor de eventos.

Qué eventos del registro de seguridad de AD seguir

La clave para una auditoría efectiva es saber qué eventos registrar. Si rastreas demasiados eventos, tus registros estarán tan llenos de ruido que serán difíciles de analizar y se sobrescribirán rápidamente. Pero si no rastreas los eventos críticos, serás incapaz de detectar actividades maliciosas e investigar incidentes de seguridad. Aquí están los eventos recomendados para rastrear y así encontrar el equilibrio adecuado.

Auditar eventos de inicio de sesión de cuenta

Para detectar intentos no autorizados de iniciar sesión en un dominio, es necesario auditar los eventos de inicio de sesión, tanto los exitosos como los fallidos. Audit account logon events proporciona una manera de rastrear eventos de autenticación, como la autenticación NTLM y Kerberos. No debe confundirse con Audit logon events, que define la auditoría de cada intento de usuario de iniciar o cerrar sesión en una computadora, como se explica a continuación.

Aquí están las configuraciones recomendadas para la política avanzada de Audit account logon events :

  • Auditoría de Validación de Credenciales: Fallo
  • Auditar el Servicio de Autenticación Kerberos: Éxito, Fallo
  • Auditar operaciones de ticket de servicio Kerberos: Fallo
  • Auditar otros eventos de inicio de sesión de cuenta: Éxito, Fracaso

Tenga en cuenta que los eventos de cierre de sesión no se rastrean en los controladores de dominio a menos que realmente esté iniciando sesión en ese DC específico.

Auditar eventos de inicio de sesión

Esta política puede registrar todos los intentos exitosos y fallidos de iniciar o cerrar sesión en una computadora local, ya sea por una cuenta de dominio o una cuenta local. Esta información es útil para la detección de intrusos y la investigación posterior a incidentes. Microsoft proporciona descripciones de los various event IDs que se pueden registrar.

Los ajustes avanzados mínimos recomendados son:

  • Auditoría de bloqueo de cuenta: Éxito, Fallo
  • Audit Group Membership: Success
  • Auditoría de Cierre de Sesión: Éxito, Fallo
  • Auditoría de inicio de sesión: Éxito, Fallo
  • Auditoría de inicio de sesión especial: Éxito, Fallo

Gestión de cuentas

Monitorear cuidadosamente todos los cambios en las cuentas de usuario ayuda a minimizar el riesgo de interrupción del negocio y la indisponibilidad del sistema.

Como mínimo, se recomienda configurar la política básica de Audit account Management en “Éxito”. Si está utilizando políticas de auditoría avanzadas, utilice las siguientes configuraciones:

  • Auditoría de la gestión de grupos de aplicaciones: Éxito, Fallo
  • Auditoría de gestión de cuentas de computadora: Éxito
  • Auditoría de Distribution Group Management: Éxito
  • Auditar otros eventos de gestión de cuentas: Éxito
  • Auditoría de la gestión de grupos de seguridad: Éxito
  • Auditoría de User Account Management: Éxito, Fallo

Contenido relacionado seleccionado

Acceso al servicio de directorio

Monitoree esto solo si necesita ver cuándo alguien accede a un objeto de AD que tiene su propia lista de control de acceso del sistema, como una OU. En ese caso, se recomienda configurar los siguientes ajustes:

  • Auditar el acceso al servicio de directorio: Éxito, Fallo
  • Auditar cambios en el servicio de directorio: Éxito, Fallo

Acceso a objetos

Audite esto solo si necesita ver cuándo alguien utilizó privilegios para acceder, copiar, distribuir, modificar o eliminar archivos en servidores de archivos. Habilitar esta configuración puede generar un gran volumen de entradas en el registro de Seguridad, así que úsela solo si tiene un uso específico para esos datos. Los ajustes avanzados recomendados son:

  • Auditoría Detallada de Compartición de Archivos: Fallo
  • Auditoría de File Share: Éxito, Fallo
  • Auditar otros eventos de acceso a objetos: Éxito, Fallo
  • Auditar almacenamiento extraíble: Éxito, Fallo

Cambio de política

Cambios inapropiados en un objeto de Directiva de Grupo (GPO) pueden llevar a incidentes de seguridad y violaciones de mandatos de data privacy. Para reducir su riesgo, configure las siguientes configuraciones avanzadas:

  • Cambio de Política de Auditoría: Éxito, Fallo
  • Auditar cambio de política de autenticación: Éxito, Fallo
  • Auditar cambio de política a nivel de regla MPSSVC: Éxito, Fracaso
  • Auditar otros eventos de cambio de política: Fallo

Uso de privilegios

Active esto solo si desea rastrear cada instancia de uso de privilegios de usuario. Habilitar esta política puede generar un gran volumen de entradas en sus registros de Seguridad, así que hágalo solo si tiene un uso específico para esos datos. Para habilitar esta política, configure lo siguiente:

  • Auditar el Uso de Privilegios Sensibles: Éxito, Fallo

Seguimiento de procesos (a veces llamado Seguimiento detallado)

Disponible solo en la política de auditoría avanzada, esta configuración se centra en eventos de auditoría relacionados con procesos, como la creación de procesos, la terminación de procesos, la duplicación de manejadores y el acceso indirecto a objetos. Puede ser útil para investigaciones de incidentes, pero puede generar un gran volumen de entradas en sus registros de Seguridad, así que habilítelo solo si tiene un uso específico para los datos. Las configuraciones recomendadas son:

  • Auditar actividad PNP: Éxito
  • Auditoría de Creación de Procesos: Éxito

Sistema

Es prudente registrar todos los intentos de iniciar, apagar o reiniciar un ordenador, así como todos los intentos de un proceso o programa por realizar algo para lo que no tiene permisos, como software malicioso intentando cambiar configuraciones en tu ordenador. Los ajustes avanzados recomendados son:

  • Auditar cambio de estado de seguridad: Éxito, Fallo
  • Auditar otros eventos del sistema: Éxito, Fallo
  • Auditoría de la Integridad del Sistema: Éxito, Fallo
  • Extensión del Sistema de Seguridad de Auditoría: Éxito

Contenido relacionado seleccionado

Prácticas recomendadas de auditoría de ADTop of Form

Al auditar Active Directory, puede reducir los riesgos de seguridad identificando y remediando condiciones tóxicas como grupos profundamente anidados y permisos asignados directamente que los atacantes pueden explotar para obtener acceso a los recursos de su red. Las siguientes mejores prácticas pueden ayudar a que su auditoría de AD sea más efectiva:

Obtenga un conocimiento profundo de su entorno AD.

Comience obteniendo respuestas a las siguientes preguntas:

  • ¿Cuántas cuentas y grupos tiene?
  • ¿Qué GPOS y otros objetos críticos de Active Directory tiene?
  • ¿Quién tiene permisos para tus DCs y OUs?

Priorice sus esfuerzos.

Tres lugares por los que las organizaciones suelen empezar son:

  • Privileged AD access — Examine objetos críticos como GPOs.
  • Grupos grandes — Evalúe el acceso de grupos grandes como Domain Users y Everyone.
  • Acceso de usuario privilegiado — Determine qué usuarios tienen acceso elevado, ya sea a través de la membresía en grupos poderosos como Domain Admins o mediante métodos más indirectos como la membresía de grupos anidados.

Involucre a los stakeholders adecuados.

Determine qué usuarios de negocio entienden quién debe tener acceso a qué. Por ejemplo, es probable que el gerente de un departamento en particular sepa a qué recursos de TI necesitan acceso los miembros de su equipo para realizar sus trabajos, y por qué se han establecido permisos de una manera determinada.

Revise regularmente la membresía del grupo.

Primero, asegúrese de que solo los usuarios correctos sean miembros de Domain Admins y Enterprise Admins. Limitar estrictamente la membresía en estos grupos reducirá el riesgo de que un administrador deshonesto abuse de su Privileged Access. Igualmente importante, minimiza la cantidad de cuentas que un adversario podría comprometer para obtener control instantáneo del dominio.

En segundo lugar, haga que los propietarios de negocios validen que los miembros correctos estén en sus grupos — y que el grupo tenga acceso solo a los recursos que necesita.

Repita estas revisiones de manera regular.

Siga mejorando su proceso de auditoría de AD

Una vez que implemente sus principales prioridades para la auditoría de AD, pase a las siguientes áreas. Por ejemplo, una vez que haya establecido revisiones regulares de la membresía de grupos, comience a auditar los cambios en las contraseñas de AD.

Próximos pasos

Configurar las políticas de auditoría correctas es un gran comienzo, pero es solo la mitad de la batalla. También necesitas poder analizar los datos que recopilas. Desafortunadamente, los entornos de TI modernos son tan complejos y activos que los registros a menudo se vuelven demasiado grandes para examinarlos de manera efectiva, y el registro de auditoría incluso puede sobrescribirse. Las herramientas de software de propósito único pueden ayudar con tareas particulares, pero un conjunto de soluciones no puede proporcionar la visibilidad integral que necesitas para la Data Security.

Con la Netwrix Active Directory Security Solution, puede asegurar su Active Directory de principio a fin. Esto le permitirá:

  • Descubra riesgos de seguridad en Active Directory y priorice sus esfuerzos de mitigación.
  • Refuerce las configuraciones de seguridad en toda su infraestructura de TI.
  • Detecte y contenga rápidamente amenazas avanzadas, como DCSync , extracción de NTDS.dit y ataques de Golden Ticket.
  • Responda a amenazas conocidas al instante con opciones de alertas automatizadas.
  • Minimice las interrupciones del negocio con una rápida recuperación de Active Directory.

FAQ

¿Cómo puedo habilitar la auditoría de objetos AD?

Para habilitar la auditoría de objetos de Active Directory, puede:

  • Configure una política de auditoría en los controladores de dominio para registrar los eventos especificados para todos los usuarios.
  • Configure una ACL de auditoría (SACL) en objetos específicos para monitorear cambios específicos en ellos.

¿Cómo configuro una configuración de política de auditoría para un controlador de dominio?

  1. Abra la Consola de Administración de Directivas de Grupo.
  2. Haga clic derecho en la Directiva de Controladores de Dominio Predeterminada y seleccione Editar.
  3. Navegue a Configuración del equipo > Políticas > Configuración de Windows > Configuración de seguridad > Configuración de políticas de auditoría avanzada > Políticas de auditoría.
  4. Especifique los ajustes de auditoría para cada categoría de evento que desee monitorear y guarde sus cambios.
  5. Espere a que la política se actualice automáticamente o ejecute gpupdate en el DC usted mismo para actualizar la política inmediatamente.

Utilice el Visor de Eventos de Windows para ver los eventos capturados.

¿Cómo configuro la auditoría para objetos AD específicos?

  1. Abra Active Directory Users and Computers.
  2. Navegue hasta el objeto que desea monitorear y ábralo.
  3. Ve a la pestaña de Seguridad.
  4. Haga clic en el botón Advanced.
  5. Ve a la pestaña de Auditing.
  6. Haga clic en Agregar.
  7. Seleccione las propiedades que desea monitorear.
  8. Haga clic en OK para cerrar cada ventana hasta que vuelva a la pantalla principal de ADUC.

Compartir en

Aprende más

Acerca del autor

Asset Not Found

Jeff Melnick

Director de Ingeniería de Sistemas

Jeff es un ex Director de Ingeniería de Soluciones Globales en Netwrix. Es un bloguero, orador y presentador de Netwrix desde hace mucho tiempo. En el blog de Netwrix, Jeff comparte lifehacks, consejos y trucos que pueden mejorar drásticamente tu experiencia en la administración de sistemas.

Aprende más sobre este tema

Leyes de Privacidad de Datos por Estado: Diferentes Enfoques para la Protección de la Privacidad

Ejemplo de Análisis de Riesgos: Cómo Evaluar los Riesgos

El Triángulo de la CIA y su Aplicación en el Mundo Real

¿Qué es la gestión de registros electrónicos?

Análisis Cuantitativo de Riesgo: Expectativa de Pérdida Anual

Últimos blogs

Los próximos cinco minutos de cumplimiento: construyendo seguridad de datos basada en la identidad a través de APAC

Gestión de configuración para el control seguro de Endpoint

Clasificación de datos y DLP: Prevenga la pérdida de datos, demuestre el cumplimiento

Cumplimiento de CMMC y el papel crítico del control de USB estilo MDM en la protección de CUI

DSPM, ASM y ITDR: Construyendo una estrategia de seguridad consciente de la exposición y basada en datos

De ruido a acción: convirtiendo el riesgo de datos en resultados medibles

IA en el trabajo: Velocidad, riesgo y por qué la simplicidad triunfa

Leyes de Privacidad de Datos por Estado: Diferentes Enfoques para la Protección de la Privacidad

Ejemplo de Análisis de Riesgos: Cómo Evaluar los Riesgos

El Triángulo de la CIA y su Aplicación en el Mundo Real

Nuestros artículos más destacados

Tipos comunes de dispositivos de red y sus funciones

Cómo ejecutar un script de PowerShell desde el Programador de tareas

Cómo instalar y usar Active Directory Users and Computers (ADUC)?

Descargue e instale PowerShell 7

Los ataques cibernéticos más grandes y notorios de la historia

Comandos esenciales de PowerShell: Una guía rápida para principiantes

Una visión general del ciberataque MGM

Extracción de hashes de contraseñas del archivo Ntds.dit

Guía para montar comparticiones Unix con un cliente NFS de Windows

Cómo los puertos abiertos inseguros y vulnerables representan serios riesgos de seguridad