Mejoras en Active Directory en Windows Server 2008: Política de auditoría

En Windows Server 2008, ahora puede establecer la auditoría de AD DS utilizando nuevas subclases de políticas de auditoría (cambios en el servicio de directorio) para registrar valores de atributos nuevos y antiguos cuando Cuando los objetos de Active Directory y sus propiedades cambian.

Los cambios en las políticas de auditoría también se pueden aplicar a los Servicios de directorio ligero de Active Directory (AD LDS)

¿Qué pueden hacer las auditorías de AD DS?

Política global de auditoría Audita el control de acceso a los servicios de directorio, independientemente de si la auditoría de eventos del servicio de directorio está habilitada o deshabilitada. Esta configuración de seguridad determina que los eventos se registrarán en el registro de seguridad cuando ciertas operaciones se apliquen al objeto de directorio. Puede controlar qué operaciones se auditan modificando la Lista de control de acceso del sistema (SACL) en un objeto. Esta política está habilitada de forma predeterminada en Windows Server 2008.

Puede definir esta configuración de directiva (modificando la política de seguridad predeterminada del controlador de dominio), puede especificar el evento de auditoría exitosa, eventos fallidos o nada. Puede configurar la lista de control de acceso al sistema en la pestaña Seguridad del cuadro de diálogo Propiedades del objeto AD DS. Lo mismo es cierto para la auditoría de servicios de directorio. Pero solo funciona con objetos de AD DS en lugar de objetos de archivo u objetos de registro.

¿Qué pasó con las características existentes?

Windows Server 2008 agrega un registro de la política de auditoría de AD DS a los valores antiguos y nuevos de una propiedad cuando se produce un cambio exitoso en el atributo. Las políticas de auditoría de AD DS anteriores solo registraron los nombres de atributos que cambiaron, no los valores de atributos anteriores y actuales.

Auditoría de acceso a AD DS

En Windows 2000 Server y Windows Server 2003, solo hay una política de auditoría (Auditoría de acceso al servicio de directorio) que se usa para controlar si los eventos del servicio de directorio de auditoría están habilitados o deshabilitados. En Windows Server 2008, esta política se divide en cuatro subclases:

Acceso al servicio de directorio

Cambios en el servicio de directorio

Servicios de directorio Replicación del servicio de directorio

Replicación detallada del servicio de directorio

Debido a la nueva subclase de auditoría (cambio del servicio de directorio), los cambios en las propiedades del objeto AD DS pueden ser Revisión Los tipos de cambios que puede revisar son creados, modificados, movidos y recuperados. Estos eventos se registrarán en el registro de seguridad.

La nueva subclase de la política de auditoría (Cambio del servicio de directorio) en AD DS agrega la siguiente funcionalidad:

Cuando la modificación del atributo al objeto es exitosa, AD DS registra el atributo anterior. El valor y el valor de atributo actual. Si el atributo contiene más de un valor, solo se registrará el valor que cambió como resultado de la operación de modificación.

Si se crea un nuevo objeto, se registrará el tiempo asignado al atributo y se registrará el valor del atributo. En la mayoría de los escenarios, AD DS asigna atributos predeterminados a los atributos del sistema, como sAMAccountName. Los valores de propiedad del sistema no serán registrados.

Si un objeto se mueve al mismo dominio, las ubicaciones anterior y nueva (en forma de nombre distinguido [como cn = anna, ou = prueba, dc = contoso, dc = com]) Grabado Cuando un objeto se mueve a un dominio diferente, se generará un evento de creación en el controlador de dominio del dominio de destino.

Si un objeto se recupera, se registrará la ubicación a la que se movió el objeto. Además, si los atributos se agregan, modifican o eliminan en la operación de eliminación, los valores de estos atributos también se registran.

Nota: Si se elimina un objeto, no se generarán eventos de auditoría. Sin embargo, si la subclase de auditoría de Acceso al servicio de directorio está habilitada, se creará un evento de auditoría.

Cuando Directory Service Changes está habilitado, AD DS registra los eventos en el registro de seguridad cuando los cambios morfológicos del objeto cumplen con los criterios de auditoría especificados por el administrador. La siguiente tabla describe estos eventos.

Número de evento Tipo de evento

Descripción de evento

5136 Modifique este evento como resultado de un atributo de objeto de directorio modificado exitosamente

5137 Cree este evento desde el nuevo El objeto de directorio se crea

5138 Recuperar Este evento se genera cuando el objeto de directorio no se ha recuperado

5139 El movimiento de este evento ocurre cuando el objeto se mueve dentro del mismo dominio

Establecimiento de una política de auditoría Pasos

Esta sección cubrirá los siguientes dos pasos:

Paso 1: habilitar la política de auditoría

Paso 2: Usar usuarios y computadoras de Active Directory para explicar cómo pasar objetos SACL para habilitar la auditoria de objetos.

Paso 1: habilitar la política de auditoría

Este paso implica el uso de la interfaz gráfica y la línea de comandos para habilitar la auditoría.

De forma predeterminada, la Administración de directivas de grupo no está instalada. Puede instalarla a través de Agregar características en Administración de servidores. Puede habilitar subproyectos independientes utilizando la herramienta de línea de comandos Auditpol.

Habilitando la Política de auditoría global a través de la Interfaz gráfica

1. Haga clic en el botón Inicio, seleccione Herramientas administrativas y luego seleccione Administración de políticas de grupo.

2. En el árbol de la consola, haga doble clic en el nombre del bosque, haga doble clic en el dominio, haga doble clic en su nombre de dominio, haga doble clic en el controlador de dominio, haga clic con el botón derecho en la política del controlador de dominio predeterminado y haga clic en Editar.

3. En Configuración del equipo, haga doble clic en Configuración de Windows, haga doble clic en Configuración de seguridad, haga doble clic en Políticas locales y, a continuación, haga doble clic en Política de auditoría.

4. En la Política de auditoría, haga clic con el botón derecho en Acceso al servicio de directorio de auditoría. Luego, haga clic en Propiedades

5. Seleccione las casillas de verificación que definen estas políticas

6. Seleccione la casilla de verificación Correcto y haga clic en Aceptar.

Habilite la auditoría con la herramienta de línea de comandos Auditpol Policy

1. Haga clic en el botón Inicio, haga clic con el botón derecho en Símbolo del sistema y, a continuación, haga clic en Ejecutar como administrador

2. Ingrese el siguiente comando y presione Entrar

auditpol /Establecer /subcategoría: "cambios en el servicio de directorio" /éxito: habilitar

Paso 2: crear una política de auditoría en la lista de SACL de objetos
1. Haga clic en el botón Inicio, seleccione Herramientas administrativas y, a continuación, haga clic en Usuarios de Active Directory. Con la computadora
2. Haga clic con el botón derecho en la unidad organizativa de auditoría (OU) u otro objeto que desee habilitar, luego en el atributo de precio unitario
3. Pestaña Seguridad del precio unitario, haga clic en Avanzado, luego haga clic en la pestaña Auditoría
4 Haga clic en Agregar para seleccionar el par en el nombre del objeto de entrada Cuadro, escriba Usuarios autenticados (u otra entidad de seguridad), y luego haga clic en OK.
5. Seleccione los objetos de usuario descendente u otros objetos en el cuadro desplegable Aplicar a.
6. Marque la casilla de verificación "Escribir todos los atributos" en "Acceso"
7 Haga clic en Aceptar hasta que la página de propiedades del objeto esté completamente cerrada.