Magic Quadrant™ para la gestión de acceso privilegiado 2025: Netwrix reconocida por cuarto año consecutivo. Descarga el informe.

ContáctenosSoporteCommunity
English Español Italiano Français Deutsch Português
Plataforma
Soluciones

Data Security Posture Management

Descubra y clasifique datos en entornos híbridos. Evalúe, priorice y mitigue los riesgos para los datos sensibles.

Directory Management

Simplifique y asegure la administración del directorio reduciendo la complejidad, el riesgo y el esfuerzo manual.

Endpoint Management

Asegure los endpoints y prevenga la pérdida de datos mientras mantiene a los equipos productivos, sin importar dónde trabajen.

Identity Management

Asegure cada identidad, agilice cada proceso y manténgase a la vanguardia del cumplimiento, sin añadir complejidad.

Identity Threat Detection & Response

Manténgase a la vanguardia de las amenazas basadas en identidades: remedie proactivamente los riesgos, bloquee ataques y asegure una recuperación rápida.

Privileged Access Management

Reduzca su superficie de ataque eliminando privilegios permanentes, asegurando credenciales y monitoreando sesiones privilegiadas.
Productos destacados Ver todos los productos
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plataforma Netwrix 1Secure™

Explorar
Netwrix AI Entornos que protegemos Integraciones MSPs Riesgos de seguridad de Active Directory Cumplimiento Precios
Centro de Recursos Ver todo
BlogAttack CatalogCumplimientoHistorias de clientesMarcos de CiberseguridadGlosario de CiberseguridadEventosFreewareGuíasIdeas PortalNoticiasPodcastsPublicacionesAnuncios de ProductosInvestigaciónWebinars
Asset not found

Historia Destacada de un Cliente

DXC Technology permite a los clientes lograr el cumplimiento de PCI DSS y centrarse en iniciativas estratégicas
Socios
Programa de SociosConviértete en un SocioMSPsBuscador de sociosWebinars
Asset not found

Historia Destacada de Cliente

AppRiver mejora el control sobre Active Directory al tiempo que reduce significativamente el tiempo de auditoría
Asset not found

Historia Destacada de un Cliente

MSP ayuda a cliente a recuperarse de un ransomware en 6 horas
¿Por qué Netwrix?
Acerca de nosotrosLiderazgoNetwrix AIHistorias de clientesReconocimientoNoticiasCarreras
Asset not found

Historia Destacada de un Cliente

Horizon Leisure Centres acelera la clasificación de datos para cumplir con el RGPD y ahorra £80,000 al año
Asset not found

Historia Destacada de un Cliente

Samsung R&D Institute protege los datos con uso multiplataforma y despliegue rápido en macOS utilizando Netwrix Endpoint Protector
Centro de recursosGuía
Mejores prácticas de la política de auditoría de Windows

Mejores prácticas de la política de auditoría de Windows

Cómo implementar una política de auditoría

Hay dos métodos para configurar su política de auditoría:

  • La política básica de auditoría de seguridad en Windows (también conocida como configuraciones de seguridad locales de Windows) te permite establecer auditorías por tipo de evento. Las políticas básicas se pueden encontrar en Configuración del equipo -> Configuración de Windows -> Configuración de seguridad -> Directivas locales -> Política de auditoría.
  • Política de auditoría de seguridad avanzada aborda los mismos problemas que las políticas de auditoría básicas, pero te permiten configurar la auditoría de manera granular dentro de cada categoría de evento. Estos ajustes se encuentran en Configuración del equipo -> Directivas -> Configuración de seguridad de Windows -> Configuración de política de auditoría avanzada -> Políticas de auditoría del sistema. Parecen solaparse (no reemplazar) con las políticas de auditoría de seguridad básicas.

Microsoft aconseja a las organizaciones no utilizar tanto la configuración de políticas de auditoría básicas como las configuraciones avanzadas simultáneamente para la misma categoría, porque cuando se configura la política de auditoría avanzada, siempre anulará las políticas de auditoría básicas, lo que como resultado puede causar “resultados inesperados en los informes de auditoría”.

Puede ver el registro de Seguridad con el Visor de Eventos.

Antes de cambiar cualquier configuración, usted debe:

  • Determine qué tipos de eventos desea auditar de la lista a continuación y especifique los ajustes para cada uno. Los ajustes que especifique constituyen su política de auditoría. Tenga en cuenta que algunos tipos de eventos se auditan de manera predeterminada.
  • Decida cómo recopilará, almacenará y analizará los datos. Hay poco valor en acumular grandes volúmenes de datos de auditoría si no hay un plan subyacente para gestionarlos y utilizarlos.
  • Especifique el tamaño máximo y otros atributos del registro de Seguridad utilizando la configuración de políticas de Registro de Eventos. Una consideración importante es la cantidad de espacio de almacenamiento que puede asignar para guardar los datos recopilados por la auditoría. Dependiendo de la configuración que elija, los datos de auditoría pueden llenar rápidamente el espacio disponible en disco.
  • Recuerde que la configuración de auditoría puede afectar el rendimiento del ordenador. Por lo tanto, debe realizar pruebas de rendimiento antes de implementar nuevas configuraciones de auditoría en su entorno de producción.
  • Si desea auditar el acceso al servicio de directorio o el acceso a objetos, configure las configuraciones de política de Audit directory service access y Audit object access.

Tipos de eventos que puedes auditar

Aquí están las categorías básicas de políticas de auditoría de seguridad:

  • Audite eventos de inicio de sesión de cuentas. La auditoría de inicio de sesión de usuarios es la única forma de detectar todos los intentos no autorizados de iniciar sesión en un dominio. Es vital auditar eventos de inicio de sesión —tanto exitosos como fallidos— para detectar intentos de intrusión. Los eventos de cierre de sesión no se rastrean en los controladores de dominio.
  • Auditar la gestión de cuentas. El monitoreo cuidadoso de todos los cambios en las cuentas de usuario ayuda a minimizar el riesgo de interrupción del negocio y la indisponibilidad del sistema.
  • Audite el acceso al servicio de directorio. Monitoree esto solo cuando necesite ver cuándo alguien accede a un objeto de AD que tiene su propia lista de control de acceso del sistema (por ejemplo, una OU).
  • Audite eventos de inicio de sesión. Ver intentos exitosos y fallidos de iniciar o cerrar sesión en una computadora local es útil para la detección de intrusos y la investigación forense posterior a incidentes.
  • Auditar el acceso a objetos. Audite esto solo cuando necesite ver cuándo alguien utilizó privilegios para acceder, copiar, distribuir, modificar o eliminar archivos en servidores de archivos.
  • Cambio en la política de auditoría. Cambios inapropiados en una GPO pueden dañar enormemente la seguridad de su entorno. Monitoree todas las modificaciones de GPO para reducir el riesgo de exposición de datos.
  • Audite el uso de privilegios.Active esta política cuando desee rastrear cada instancia de uso de privilegios de usuario. Se recomienda configurar esta función de manera granular en Uso de Privilegios Sensibles de las políticas de auditoría avanzadas.
  • Seguimiento del proceso de auditoría. Auditar eventos relacionados con procesos, como la creación de procesos, la terminación de procesos, la duplicación de manejadores y el acceso indirecto a objetos, puede ser útil para investigaciones de incidentes.
  • Auditar eventos del sistema. Configurar la política de auditoría del sistema para registrar los arranques, apagados y reinicios del ordenador, y los intentos de un proceso o programa por realizar algo para lo que no tiene permiso, es valioso porque todos estos eventos son muy significativos. Por ejemplo, si un software malicioso intenta cambiar una configuración en tu ordenador sin tu permiso, la auditoría de eventos del sistema registraría esa acción.

Configuraciones recomendadas de auditoría de Windows

Se recomiendan las siguientes configuraciones de políticas de auditoría de seguridad avanzada:

Inicio de sesión de cuenta

  • Auditoría de Validación de Credenciales: Éxito y Fracaso

Gestión de cuentas

  • Auditoría de la gestión de cuentas de computadora: Éxito y Fallo
  • Auditar otros eventos de gestión de cuentas: Éxito y fracaso
  • Auditoría de Security Group Management: Éxito y Fallo
  • Auditoría de User Account Management: Éxito y Fallo

Acceso a DS (Directory Service Access)

  • Auditar el acceso a DirectoryService: Éxito y fallo en DC
  • Auditar cambios en el servicio de directorio: Éxito y fallo en DC

Inicio/Cierre de sesión

  • Auditoría de bloqueo de cuenta: Éxito
  • Auditoría de Cierre de Sesión: Éxito
  • Registro de auditoría: Éxito y Fallo
  • Auditar inicio de sesión especial: Éxito y fracaso

Acceso a objetos

  • Active estos ajustes solo si tiene un uso específico para los datos que se registrarán, ya que pueden causar un gran volumen de entradas en sus registros de Seguridad.

Cambio de política

  • Auditar cambio de política de auditoría: Éxito y fracaso
  • Auditar cambio de política de autenticación: Éxito y fracaso

Uso de Privilegios

  • Active estos ajustes solo si tiene un uso específico para los datos que se registrarán, ya que pueden causar un gran volumen de entradas en sus registros de Seguridad.

Seguimiento de procesos

  • Auditoría de Creación de Procesos: Éxito
    Habilite estos ajustes solo si tiene un uso específico para la información que se registrará, ya que pueden causar un gran volumen de entradas en sus registros de Seguridad.

Sistema

  • Auditar cambio de estado de seguridad: Éxito y fracaso
  • Auditar otros eventos del sistema: Éxito y Fallo
  • Auditoría de la Integridad del Sistema: Éxito y Fallo

¿Qué es la política de auditoría en Windows?


La política de auditoría de Windows define qué tipos de eventos se registran en los logs de Seguridad de sus servidores Windows. Establecer una política de auditoría efectiva le ayuda a identificar posibles problemas de seguridad, asegurar la responsabilidad de los usuarios y proporcionar evidencia en caso de una violación de seguridad.

Las configuraciones de políticas de auditoría recomendadas que se proporcionan aquí están destinadas como una base para los administradores de sistemas que comienzan a definir políticas de auditoría de AD. Debe asegurarse de considerar los riesgos de ciberseguridad y los requisitos de cumplimiento de su organización. Además, pruebe y refine sus políticas antes de implementarlas en su entorno de producción.

Compartir en

Recursos Relacionados

Profundiza con nuestros recursos relacionados

Centro de Recursos
eBook

Facilitando la prevención de pérdida de datos con Netwrix Solutions

Prevención de Pérdida de Datos
eBook

Desplegando software en Windows: Doloroso pero no tiene que serlo

Endpoint Management