Cómo auditar los cambios en Group Policy utilizando el Security Event Log

Netwrix Auditor para Active Directory

1. Ejecute Netwrix Auditor → Vaya a “Informes” → Despliegue la sección “Active Directory” → Acceda a “Cambios en la Política de Grupo” → Seleccione “Todos los Cambios en la Política de Grupo” → Haga clic en “Ver”.
2. Si desea recibir este informe por correo electrónico de manera regular, simplemente seleccione la opción "Suscribirse" y defina el horario y los destinatarios.

Aprende más sobre Netwrix Auditor for Active Directory

Auditoría Nativa

1. Para auditar los cambios en la Directiva de Grupo, primero debe habilitar la auditoría: Ejecute gpedit.msc bajo la cuenta de administrador → Cree un nuevo objeto de Directiva de Grupo (GPO) → Edítelo → Vaya a "Configuración del equipo" | Directivas | Configuración de Windows | Configuración de seguridad | Configuración avanzada de políticas de auditoría | Políticas de auditoría/DS Access → Haga clic en “Auditar cambios del servicio de directorio” → Haga clic en “Definir” → Elija “Éxito”.
2. Vincule la nueva GPO a una OU: Vaya a "Group Policy Management" → Haga clic derecho en la OU → Elija "Link an Existing GPO" → Seleccione la GPO que creó.
3. Aplique su cambio forzando una actualización de la Directiva de Grupo: Vaya a "Administración de Directivas de Grupo" → Haga clic derecho en la OU → Haga clic en "Actualización de la Directiva de Grupo".
4. Abra ADSI Edit → Conéctese al contexto de nomenclatura predeterminado → Navegue a CN=Policies,CN=System,DC=dominio → Abra el objeto “Propiedades de Policies” → Vaya a la pestaña de Seguridad → Haga clic en el botón Avanzado → Vaya a la pestaña de Auditoría → Agregue el Principio "Todos" → Elija el Tipo "Éxito" → Para Aplica a, haga clic en "Este objeto y objetos descendientes" → En Permisos, seleccione las siguientes casillas: “Crear objetos groupPolicyContainer”, “Eliminar”, “Modificar permisos” y “Escribir versionNumber” → Haga clic en "Aceptar".
5. Para revisar los cambios en la Directiva de grupo, abra el Visor de eventos y busque en el registro de Seguridad el ID de evento 5136 (la categoría de Cambios en el Servicio de directorio).

Auditar cambios en GPO para rastrear actividad aberrante

Los eventos relacionados con la Directiva de Grupo se registran en el log de seguridad en el controlador de dominio de Microsoft Windows Server. Al revisar estos logs, los administradores de TI pueden auditar los cambios en la Directiva de Grupo. Sin embargo, aunque las herramientas de auditoría nativas muestran cuándo y dónde ocurrió cada cambio, no proporcionan detalles críticos, como el nombre de la Directiva de Grupo que se cambió y el tipo de acción que se realizó. Para asegurarse de que ninguna actividad anómala pase desapercibida en su radar, necesita software adicional que proporcione más información sobre los cambios en la configuración de su Directiva de Grupo.

Netwrix Auditor for Active Directory ofrece una visibilidad completa de lo que está sucediendo en su Active Directory, incluyendo informes de auditoría detallados sobre los cambios en la Directiva de Grupo. La aplicación proporciona no solo la información básica disponible mediante herramientas de auditoría nativas, sino también detalles críticos como el nombre de la Directiva de Grupo que se cambió, el tipo de cambio realizado, qué usuario hizo el cambio y los valores antes y después. Tener esta información permite a los administradores de TI comprender completamente las modificaciones de la Directiva de Grupo para que puedan mitigar el riesgo de mal uso de datos sensibles y asegurar el cumplimiento.