Cómo detectar quién eliminó un Group Policy Object

Los Objetos de Directiva de Grupo (GPOs) pueden proporcionar configuraciones para el acceso a recursos compartidos y dispositivos, habilitar funcionalidades críticas o establecer entornos seguros. Si se eliminan algunos de los GPOs, los usuarios podrían no ser capaces de acceder a Internet, modificar sus datos, utilizar periféricos o incluso iniciar sesión en sus sistemas. Eliminar GPOs que tratan sobre control de acceso, autenticación y otras políticas de seguridad puede aumentar la vulnerabilidad de los sistemas y permitir el acceso no autorizado.

Cómo detectar quién eliminó un GPO utilizando herramientas de auditoría nativas?

1. Ejecute GPMC.msc > abra “Política de Dominio Predeterminada” > Configuración del Equipo > Políticas > Configuración de Windows > Configuración de Seguridad:

• Configuración avanzada de Audit Policy > Políticas de auditoría > Acceso a objetos > Auditoría del sistema de archivos > Definir > Éxitos y fallos
• Configuración de Política de Auditoría Avanzada > Políticas de Auditoría > Acceso a Objetos > Auditoría de Manipulación de Identificadores > Definir > Éxitos y Fallos
• Políticas locales > Política de auditoría > Auditoría de acceso al servicio de directorio > Definir > Éxitos y fallos
• Registro de eventos > Definir > Tamaño máximo del registro de seguridad en 1gb y Método de retención del registro de seguridad en Sobrescribir eventos según sea necesario.

2. Abra ADSI Edit > Conéctese al contexto de nomenclatura predeterminado > DC=nombre de dominio > CN=Sistema > haga clic derecho en “CN=Políticas” > Propiedades > Seguridad (Pestaña) > Avanzado > Auditoría (Pestaña) > Haga clic en “Agregar” > Elija las siguientes configuraciones:

• Principal: Todos; Tipo: Éxito; Aplica a: Este objeto y todos los objetos descendientes; Permisos: Eliminar objetos del contenedor de directivas de grupo > Haga clic en “OK”.

3. Navegue hasta \domainnamesysvoldomainfqdn > haga clic derecho en la carpeta “Policies” y seleccione “Propiedades”.

4. Seleccione la pestaña “Seguridad” > botón “Avanzado” > pestaña “Auditoría” > Haga clic en “Agregar”.

5. Seleccione Principal: “Todos”; Seleccione “Tipo: Todos”; Seleccione “Se aplica a: Esta carpeta, subcarpetas y archivos”; Seleccione los siguientes “Permisos avanzados”: Escribir atributos; Escribir atributos extendidos; Eliminar; Eliminar subcarpetas y archivos; Haga clic en “Aceptar” tres veces.

6. Para definir qué política de grupo fue eliminada, filtre el Registro de Eventos de Seguridad para Event ID 4663 (Categoría de Tarea – “File System” o “Removable Storage”) y busque la cadena “Object Name:”, donde puede encontrar la ruta y GUID de la política eliminada y el campo “account name” contiene información sobre quién la eliminó.

Ahora aprenda cómo descubrir quién eliminó un objeto de Directiva de Grupo en 2 pasos >>