19/12/12 paso a paso de la directiva de auditora de seguridad avanzada Gua

Gua paso a paso de la directiva de auditora de seguridad avanzada

Actualizado: junio de 2011 Se aplica a: Windows Server 2008, Windows Server 2008 R2

Acerca de esta gua

Las mejoras de auditora de seguridad en Windows Server 2008 R2 y Windows 7 permiten que una organizacin pueda auditar el cumplimiento de reglas empresariales y de seguridad importantes mediante un seguimiento de actividades definidas con precisin, como por ejemplo: Un administrador de grupos modific la configuracin o los datos en los servidores que contienen informacin financiera. Un empleado de un grupo definido obtuvo acceso a un archivo importante. La lista de control de acceso del sistema (SACL) correcta se aplica a cada archivo y carpeta o clave del Registro en un recurso compartido de archivo o equipo como una medida de seguridad comprobable frente a accesos no detectados. En Windows 7 y Windows Server 2008 R2, el nmero de opciones de configuracin de auditora para las que se puede realizar un seguimiento de aciertos y errores ha aumentado a 53. Anteriormente, haba nueve opciones de configuracin de auditora bsicas en Configuracin del equipo\Directivas\Configuracin de Windows\Configuracin de seguridad\Directivas locales\Directiva de auditora. Estas 53 opciones nuevas permiten al usuario seleccionar solamente los comportamientos que desee controlar y excluir los resultados de auditora de los comportamientos que no son importantes o que crean un excesivo nmero de entradas en el registro. Adems, debido a que la directiva de auditora de seguridad de Windows 7 y Windows Server 2008 R2 puede aplicarse mediante la directiva de grupo de dominio, las opciones de configuracin de directiva de auditora se pueden modificar, probar e implementar en usuarios y grupos seleccionados con relativa sencillez. Esta gua paso a paso demuestra el proceso de configuracin de una infraestructura avanzada de directivas de auditora de seguridad de Windows 7 y Windows Server 2008 R2 en un entorno de prueba. Tambin sirve de gua en el proceso de configuracin de algunas opciones representativas de directiva de auditora de seguridad avanzada. Cuando complete estas tareas iniciales, se recomienda que use los procedimientos de esta gua para elegir, configurar, aplicar y evaluar opciones adicionales de configuracin de la directiva de auditora de seguridad. Durante este proceso, se crear un dominio de Active Directory, se instalar Windows Server 2008 R2 en un servidor miembro, se instalar Windows 7 en un equipo cliente y se configurarn opciones avanzadas de directiva de auditora de seguridad, incluida la auditora de acceso a objetos global. Adems, en este documento se explicar cmo examinar los nuevos datos de "razn de acceso" disponibles mediante una serie de nuevas opciones de configuracin de directiva de auditora. Una vez finalizado, puede usar este entorno de prueba para aplicar diferentes conjuntos de opciones de configuracin de directiva de auditora de seguridad avanzada de Windows Server 2008 R2 y evaluar la forma en que se pueden usar para mejorar la seguridad en su organizacin. Despus de completar los pasos de esta gua, podr: Crear y aplicar opciones de configuracin de directiva de auditora de seguridad avanzada en un grupo definido de equipos de su organizacin.

1/18

19/12/12 paso a paso de la directiva de auditora de seguridad avanzada Gua

Verificar que las opciones de configuracin de directiva de auditora se han aplicado a un grupo definido de equipos cliente en su organizacin. Usar datos de eventos de seguridad de "razn de acceso" nuevos para identificar los permisos utilizados y determinar si se activ un evento de seguridad concreto. Configurar, aplicar y analizar el impacto de diferentes opciones de configuracin de directiva de auditora para identificar las opciones importantes para su organizacin. Administrar la auditora por usuario en Windows 7 y Windows Server 2008 R2.

Implementacin de opciones de configuracin de directiva de auditora avanzada en un entorno de pru eba

Despus de completar esta gua paso a paso, tendr una infraestructura de auditora de seguridad avanzada. Luego podr probar y obtener ms informacin acerca de otras opciones de configuracin de directiva de auditora de seguridad avanzada. Para ello, inicie sesin en CONTOSO-CLNT y asegrese de que se aplica la directiva de auditora correcta en el equipo. Importante Se recomienda que primero siga los procedimientos indicados en la presente gua en un entorno de laboratorio de pruebas. Las guas paso a paso no se utilizan para implementar caractersticas de Windows sin documentacin ni planeacin adicional de la implementacin.

El entorno de prueba descrito en esta gua incluye tres equipos conectados a una red privada que usan los siguientes sistemas operativos, aplicaciones y servicios:

Nombre Sistema operativo de equipo Windows Server 2008 R2 Nota CONTOSODC Windows Server 2008 o Windows Server 2003 con Service Pack 2 (SP2) tambin se pueden usar en el controlador de dominio.

Aplicaciones y servicios

Servicios de dominio de Active Directory (AD DS) y Sistema de nombres de dominio (DNS)

CONTOSOWindows Server 2008 R2 SRV Windows 7 CONTOSOCLNT Nota Windows Server 2008 R2 tambin se puede usar como el equipo cliente

Consola de administracin de directivas de grupo (GPMC)

technet.microsoft.com/es-es/library/dd408940(d=printer,v=ws.10).aspx

2/18

Nota Para obtener ms informacin acerca de los requisitos y la compatibilidad de sistemas operativos, vea el tema acerca de las Qu versiones de Windows admiten la configuracin de directiva de auditora avanzada?1.

Los equipos forman una intranet privada y se conectan a travs de un concentrador comn o un conmutador de nivel 2. Esta configuracin se puede emular en un entorno de mquina virtual si as lo desea. Esta gua paso a paso usa direcciones privadas para la configuracin del laboratorio de pruebas. Se usa el identificador de red privada 10.0.0.0/24 para la intranet. El controlador de dominio para el dominio llamado contoso.com se llama CONTOSO-DC. La ilustracin siguiente muestra la configuracin del entorno de prueba.

Pasos para la implementacin de directivas de auditora avanzada en un entorno de prueba

Complete los pasos siguientes para implementar la configuracin de directiva de auditora avanzada en un entorno de prueba. Paso 1: Configurar la infraestructura Paso 2: Crear y comprobar una directiva de auditora avanzada Paso 3: Crear y comprobar una directiva de auditora que proporcione la razn de acceso a objetos Paso 4: Crear y comprobar una directiva de acceso a objetos global Paso 5: Crear y comprobar directivas de auditora avanzada adicionales Seccin opcional: Revertir la directiva de auditora de seguridad de directiva de auditora avanzada a directiva de auditora bsica

Paso 1: Configurar la infraestructura

Para preparar el entorno de prueba en el dominio de CONTOSO, debe completar las tareas siguientes: Configure el controlador de dominio (CONTOSO-DC). Configure el servidor miembro (CONTOSO-SRV).
technet.microsoft.com/es-es/library/dd408940(d=printer,v=ws.10).aspx 3/18

19/12/12 paso a paso de la directiva de auditora de seguridad avanzada Gua

Configure el equipo cliente (CONTOSO-CLNT). Use la siguiente tabla como referencia para configurar los nombres de equipo, sistemas operativos y parmetros de red adecuados que son necesarios para completar los pasos de esta gua. Importante Antes de configurar sus equipos con direcciones IP estticas, es recomendable que primero complete dos tareas importantes que requieren conectividad a Internet: completar la activacin del producto Windows y usar Windows Update para obtener e instalar las actualizaciones crticas de seguridad disponibles.

Nombre Requisitos del sistema operativo de equipo

Configuracin IP Configuracin DNS Direccin IP: 10.0.0.1 Mscara de subred: 255.255.255.0 Direccin IP: 10.0.0.2 Mscara de subred: 255.255.255.0 Direccin IP: 10.0.0.3 Mscara de subred: 255.255.255.0 Preferido: 10.0.0.1 Preferido: 10.0.0.1

CONTOSO- Windows Server 2008 R2, Windows Server 2008 o DC Windows Server 2003 con Service Pack 2 (SP2)

Configurado por el rol de servidor DNS

CONTOSOWindows Server 2008 R2 SRV

CONTOSOWindows 7 o Windows Server 2008 R2 CLNT

Configurar el controlador de dominio (CONTOSO-DC)

En funcin del entorno, puede evaluar la configuracin de directiva de auditora avanzada en un dominio de Windows Server 2008 R2, Windows Server 2008 o Windows Server 2003. Para esta gua, se usa un dominio de Windows Server 2008 R2. Nota Para obtener ms informacin acerca de los requisitos del sistema operativo, vea el tema de Novedades de auditora de seguridad de Windows2.

technet.microsoft.com/es-es/library/dd408940(d=printer,v=ws.10).aspx

4/18

19/12/12 paso a paso de la directiva de auditora de seguridad avanzada Gua

Para configurar el controlador de dominio CONTOSO-DC que ejecuta Windows Server 2008 R2, debe realizar lo siguiente: Instalar Windows Server 2008 R2. Configurar las propiedades TCP/IP. Instalar AD DS. Crear una unidad organizativa (OU) de finanzas. En primer lugar, instale Windows Server 2008 R2 en un servidor independiente.

Para instalar Windows Server 2008 R2

1. Inicie el equipo con el CD del producto de Windows Server 2008 R2. 2. Cuando se le pida un nombre de equipo, escriba CONTOSO-DC. 3. Siga el resto de instrucciones que aparecen en la pantalla para finalizar la instalacin. A continuacin, configure las propiedades TCP/IP para que CONTOSO-DC tenga la direccin IP esttica IPv4 10.0.0.1.

Para configurar las propiedades TCP/IP

1. Inicie sesin en CONTOSO-DC con la cuenta CONTOSO-DC\Administrador. 2. Haga clic en Inicio, en Panel de control, en Redes e Internet, en Centro de redes y recursos compartidos, en Cambiar configuracin del adaptador, haga clic con el botn secundario en Conexin de rea local y, a continuacin, haga clic en Propiedades. 3. En la pestaa Funciones de red, haga clic en Protocolo de Internet versin 4 (TCP/IPv4) y, luego, haga clic en Propiedades. 4. Haga clic en Usar la siguiente direccin IP. En el cuadro Direccin IP, escriba 10.0.0.1. En el cuadro Mscara de subred, escriba 255.255.255.0. En el cuadro Puerta de enlace predeterminada, escriba 10.0.0.1. 5. En el cuadro Servidor DNS preferido, escriba 10.0.0.1 y, a continuacin, haga clic en Aceptar. 6. En la pestaa Funciones de red, desactive la casilla Protocolo de Internet versin 6 (TCP/IPv6) y haga clic en Cerrar. A continuacin, configure el equipo como un controlador de dominio que ejecuta Windows Server 2008 R2.

Para configurar CONTOSO-DC como un controlador de dominio que ejecuta Windows Server 2008
1. Haga clic en Inicio y, a continuacin, en Ejecutar. En el cuadro Abrir, escriba dcpromo y, a continuacin, haga clic en Aceptar. 2. En la pgina Asistente para la instalacin de los Servicios de dominio de Active Directory, haga clic en Siguiente y, a continuacin, haga clic en Siguiente de nuevo. 3. Haga clic en Crear un dominio nuevo en un bosque nuevo y luego haga clic en Siguiente. 4. En el cuadro FQDN del dominio raz del bosque, escriba contoso.com y luego haga clic en
technet.microsoft.com/es-es/library/dd408940(d=printer,v=ws.10).aspx 5/18

19/12/12 paso a paso de la directiva de auditora de seguridad avanzada Gua

Siguiente. 5. Deje el valor predeterminado en el cuadro Nombre NetBIOS del dominio y, a continuacin, haga clic en Siguiente. 6. En la lista Nivel funcional del bosque, haga clic en Windows Server 2003 y luego haga clic en Siguiente. 7. En la lista Nivel funcional del dominio, haga clic en Windows Server 2003 y luego haga clic en Siguiente. 8. Asegrese de que la casilla Servidor DNS est activada y haga clic en Siguiente. 9. Haga clic en S para confirmar que desea crear una delegacin para este servidor DNS. 10. En la pgina Ubicacin de la base de datos, los archivos de registro y SYSVOL, haga clic en Siguiente. 11. En los cuadros Contrasea y Confirmar contrasea, escriba una contrasea segura y, a continuacin, haga clic en Siguiente. 12. En la pgina Resumen, haga clic en Siguiente para iniciar la instalacin. 13. Cuando se complete la instalacin, haga clic en Finalizar y, a continuacin, haga clic en Reiniciar ahora. Nota Debe reiniciar el equipo tras completar este procedimiento.

Para crear una OU de finanzas en contoso.com

1. Inicie sesin en CONTOSO-DC con la cuenta CONTOSO-DC\Administrador. 2. Haga clic en Inicio, haga clic en Panel de control, haga doble clic en Herramientas administrativas y, a continuacin, haga doble clic en Usuarios y equipos de Active Directory. 3. En el rbol de consola, haga clic con el botn secundario en contoso.com, seleccione Nuevo y, a continuacin, haga clic en Unidad organizativa. 4. Escriba el nombre de la nueva unidad organizativa, Finanzas y haga clic en Aceptar.

Configurar el servidor miembro de Windows Server 2008 R2 (CONTOSO-SRV)

Para configurar el servidor miembro, CONTOSO-SRV, debe realizar lo siguiente: Instalar Windows Server 2008 R2. Configurar las propiedades TCP/IP. Unir CONTOSO-SRV al dominio contoso.com. Agregar CONTOSO-SRV a la unidad organizativa Finanzas. Instalar GPMC.

technet.microsoft.com/es-es/library/dd408940(d=printer,v=ws.10).aspx

6/18

19/12/12 paso a paso de la directiva de auditora de seguridad avanzada Gua

Primero, instale Windows Server 2008 R2 como servidor independiente.

Para instalar Windows Server 2008 R2

1. Inicie el equipo con el CD del producto de Windows Server 2008 R2. 2. Cuando se le pida un nombre de equipo, escriba CONTOSO-SRV. 3. Siga el resto de instrucciones que aparecen en la pantalla para finalizar la instalacin. A continuacin, configure las propiedades TCP/IP para que CONTOSO-SRV tenga la direccin IP esttica 10.0.0.2. Adems, configure el servidor DNS con la direccin IP de CONTOSO-DC (10.0.0.1).

Para configurar las propiedades TCP/IP

1. Inicie sesin en CONTOSO-SRV con la cuenta CONTOSO-SRV\Administrador o con otra cuenta de usuario en el grupo Administradores local. 2. Haga clic en Inicio, haga clic en Panel de control, haga doble clic en Centro de redes y recursos compartidos, haga clic en Administrar conexiones de red, haga clic con el botn secundario en Conexin de rea local y, a continuacin, haga clic en Propiedades. 3. En la pestaa Funciones de red, haga clic en Protocolo de Internet versin 4 (TCP/IPv4) y, luego, haga clic en Propiedades. 4. Haga clic en Usar la siguiente direccin IP. En el cuadro Direccin IP, escriba 10.0.0.2. En el cuadro Mscara de subred, escriba 255.255.255.0. En el cuadro Puerta de enlace predeterminada, escriba 10.0.0.1. 5. Haga clic en Usar las siguientes direcciones de servidor DNS. En Servidor DNS preferido, escriba 10.0.0.1. 6. Haga clic en Aceptar y, a continuacin, en Cerrar para cerrar el cuadro de dilogo Propiedades de conexin de rea local. A continuacin, una CONTOSO-SRV al dominio contoso.com.

Para unir CONTOSO-SRV al dominio contoso.com

1. Haga clic en Inicio, haga clic con el botn secundario en Equipo y, despus, haga clic en Propiedades. 2. Haga clic en Cambiar la configuracin (a la derecha, bajo Configuracin de nombre, dominio y grupo de trabajo del equipo) y, a continuacin, haga clic en Cambiar. 3. En el cuadro de dilogo Cambios en el dominio o el nombre del equipo, haga clic en Dominio y, a continuacin, escriba contoso.com. 4. Haga clic en Ms y, en el cuadro Sufijo DNS principal de este equipo, escriba contoso.com. 5. Haga clic en Aceptar y, a continuacin, vuelva a hacer clic en Aceptar. 6. Cuando aparezca un cuadro de dilogo Cambios en el dominio o el nombre del equipo que le pide las credenciales administrativas, proporcione las credenciales de CONTOSO\Administrador y, a continuacin, haga clic en Aceptar. 7. Cuando aparezca un cuadro de dilogo Cambios en el dominio o el nombre del equipo que le da la bienvenida al dominio contoso.com, haga clic en Aceptar. 8. Cuando aparezca un cuadro de dilogo Cambios en el dominio o el nombre del equipo que le informa de que es necesario reiniciar el equipo, haga clic en Aceptar y, luego, en Cerrar.
technet.microsoft.com/es-es/library/dd408940(d=printer,v=ws.10).aspx 7/18

19/12/12

9. Haga clic en Reiniciar ahora. Despus de reiniciar el equipo, agregue CONTOSO-SRV a la unidad organizativa Finanzas.

Para agregar un equipo a la unidad organizativa Finanzas

1. Inicie sesin en CONTOSO-DC con la cuenta CONTOSO-DC\Administrador. 2. Haga clic en Inicio, haga clic en Panel de control, haga doble clic en Herramientas administrativas y, a continuacin, haga doble clic en Usuarios y equipos de Active Directory. 3. En el rbol de consola, haga clic con el botn secundario en contoso.com. 4. En el rbol de consola, haga clic con el botn secundario en la unidad organizativa Finanzas, seleccione Nuevo y, a continuacin, haga clic en Grupo. 5. Escriba el nombre del grupo nuevo, Equipos, y luego, en mbito de grupo, haga clic en Dominio local y, en Tipo de grupo, haga clic en Grupo de seguridad. 6. Haga clic con el botn secundario en Equipos y, a continuacin, haga clic en Propiedades. En la pestaa Miembros, haga clic en Agregar. 7. En Escriba los nombres de objeto que desea seleccionar, escriba CONTOSO-SRV y, despus, haga clic en Aceptar. Por ltimo, instale GPMC en CONTOSO-SRV mediante el Administrador del servidor. Se usar para establecer la configuracin de directiva de auditora de seguridad avanzada.

Para instalar GPMC

1. Inicie sesin en CONTOSO-SRV como miembro del grupo Administradores local. 2. Haga clic en Inicio, seleccione Herramientas administrativas y, a continuacin, haga clic en Administrador del servidor. 3. En Resumen de caractersticas, haga clic en Agregar caractersticas. 4. Active la casilla Administracin de directivas de grupo y, a continuacin, haga clic en Instalar. 5. Cierre el Administrador del servidor.

Configurar el equipo cliente (CONTOSO-CLNT)

Para configurar CONTOSO-CLNT, debe realizar lo siguiente: Instalar Windows 7. Configurar las propiedades TCP/IP. Unir CONTOSO-CLNT al dominio contoso.com.

Para instalar Windows 7

1. Inicie el equipo con el CD del producto de Windows 7. 2. Siga las instrucciones que aparecen en pantalla y, cuando se le pida un nombre de equipo, escriba CONTOSO-CLNT. A continuacin, configure las propiedades TCP/IP para que CONTOSO-CLNT tenga la direccin IP esttica 10.0.0.3. Configure tambin el servidor DNS de CONTOSO-DC (10.0.0.1). technet.microsoft.com/es-es/library/dd408940(d=printer,v=ws.10).aspx

19/12/12 paso a paso de la directiva de auditora de seguridad avanzada Gua

esttica 10.0.0.3. Configure tambin el servidor DNS de CONTOSO-DC (10.0.0.1).

Para configurar las propiedades TCP/IP

1. Inicie sesin en CONTOSO-CLNT con la cuenta CONTOSO-CLNT\Administrador o con otra cuenta de usuario en el grupo Administradores local. 2. Haga clic en Inicio, en Panel de control, en Redes e Internet y, por ltimo, en Centro de redes y recursos compartidos. 3. Haga clic en Cambiar configuracin del adaptador, haga clic con el botn secundario en Conexin de rea local y luego haga clic en Propiedades. 4. Si aparece el cuadro de dilogo Control de cuentas de usuario, confirme que la accin que muestra es la que desea y, a continuacin, haga clic en S. 5. En la pestaa Funciones de red, haga clic en Protocolo de Internet versin 4 (TCP/IPv4) y, luego, haga clic en Propiedades. 6. Haga clic en Usar la siguiente direccin IP. En Direccin IP, escriba 10.0.0.3. En Mscara de subred, escriba 255.255.255.0. 7. Haga clic en Usar las siguientes direcciones de servidor DNS. En Servidor DNS preferido, escriba 10.0.0.1. 8. Haga clic en Aceptar y, a continuacin, en Cerrar para cerrar el cuadro de dilogo Propiedades de conexin de rea local. A continuacin, una CONTOSO-CLNT al dominio contoso.com.

Para unir CONTOSO-CLNT al dominio contoso.com

1. Haga clic en Inicio, haga clic con el botn secundario en Equipo y, despus, haga clic en Propiedades. 2. En Configuracin de nombre, dominio y grupo de trabajo del equipo, haga clic en Cambiar la configuracin. 3. Si aparece el cuadro de dilogo Control de cuentas de usuario, confirme que la accin que muestra es la que desea y, a continuacin, haga clic en S. 4. En la pestaa Nombre de equipo, haga clic en Cambiar. 5. En el cuadro de dilogo Cambios en el dominio o el nombre del equipo, haga clic en Dominio y, a continuacin, escriba contoso.com. 6. Haga clic en Ms y, en el cuadro Sufijo DNS principal de este equipo, escriba contoso.com. 7. Haga clic en Aceptar y, a continuacin, vuelva a hacer clic en Aceptar. 8. Cuando aparezca un cuadro de dilogo Cambios en el dominio o el nombre del equipo que le pide credenciales administrativas, proporcione las credenciales y, a continuacin, haga clic en Aceptar. 9. Cuando aparezca un cuadro de dilogo Cambios en el dominio o el nombre del equipo que le da la bienvenida al dominio contoso.com, haga clic en Aceptar. 10. Cuando aparezca un cuadro de dilogo Cambios en el dominio o el nombre del equipo que le informa de que es necesario reiniciar el equipo, haga clic en Aceptar y, luego, en Cerrar. 11. En el cuadro de dilogo Cambio de configuracin del sistema, haga clic en S para reiniciar el equipo. technet.microsoft.com/es-es/library/dd408940(d=printer,v=ws.10).aspx 9/18

19/12/12 paso a paso de la directiva de auditora de seguridad avanzada Gua

el equipo.

Paso 2: Crear y comprobar una directiva de auditora avanzada

Las nueve directivas de auditora bsicas que se encuentran en Configuracin del equipo\Directivas\Configuracin de Windows\Configuracin de seguridad\Directivas locales\Directiva de auditora permiten establecer la configuracin de directivas de auditora de seguridad para conjuntos amplios de comportamientos, algunos de los cuales generan muchos ms eventos de auditora que otros. Un administrador debe revisar todos los eventos que se generen, independientemente de su grado de inters. En Windows Server 2008 R2 y Windows 7, los administradores pueden auditar aspectos ms especficos del comportamiento del cliente en el equipo o la red, de manera que resulta ms sencillo identificar los comportamientos que tienen un mayor inters. Por ejemplo, en Configuracin del equipo\Directivas\Configuracin de Windows\Configuracin de seguridad\Directivas locales\Directiva de auditora, hay una sola configuracin de directiva para eventos de inicio de sesin, Auditar eventos de inicio de sesin. Sin embargo, en Configuracin del equipo\Directivas\Configuracin de Windows\Configuracin de seguridad\Configuracin de directiva de auditora avanzada\Directivas de auditora del sistema, puede elegir entre ocho configuraciones de directiva distintas en la categora Inicio y cierre de sesin. De esta manera, puede controlar mejor cules son los aspectos de inicio y cierre de sesin que puede incluir en el seguimiento Cuando se crea un dominio nuevo, se genera automticamente una directiva de dominio predeterminada. En esta seccin se editar la directiva de dominio predeterminada y se agregar una configuracin de directiva de auditora de seguridad avanzada que audite los inicios de sesin correctos o incorrectos de un usuario en un equipo del dominio CONTOSO. Para configurar, aplicar y validar una configuracin de directiva de auditora de inicio de sesin de dominio avanzada, debe realizar lo siguiente: Establezca una configuracin de directiva de inicio de sesin de dominio avanzada. Asegrese de que no se sobrescribe la Configuracin de directiva de auditora avanzada. Actualice la configuracin de directiva de grupo. Compruebe que la configuracin de directiva de auditora de seguridad de inicio de sesin avanzada se aplic correctamente.

Para establecer una configuracin de directiva de auditora de inicio de sesin de dominio avanzada
1. Inicie sesin en CONTOSO-SRV como miembro del grupo Administradores local. 2. Haga clic en Inicio, seleccione Herramientas administrativas y, a continuacin, haga clic en Administracin de directivas de grupo. 3. En el rbol de consola, haga doble clic en Bosque: contoso.com, haga doble clic en Dominios y, a continuacin, haga doble clic en contoso.com. 4. Haga clic con el botn secundario en Directiva predeterminada de dominio y, a continuacin, haga clic en Editar. 5. Haga doble clic en Configuracin del equipo, haga doble clic en Directivas y, a continuacin, haga doble clic en Configuracin de Windows. 6. Haga doble clic en Configuracin de seguridad, haga doble clic en Configuracin de directiva de auditora avanzada y, a continuacin, haga doble clic en Directivas de auditora del sistema.

technet.microsoft.com/es-es/library/dd408940(d=printer,v=ws.10).aspx

10/18

19/12/12 paso a paso de la directiva de auditora de seguridad avanzada Gua

7. Haga doble clic en Inicio y cierre de sesin y, a continuacin, haga doble clic en Inicio de sesin. 8. Active la casilla Configurar los siguientes eventos de auditora, active la casilla Aciertos, active la casilla Errores y, a continuacin, haga clic en Aceptar. Si usa la Configuracin de directiva de auditora avanzada, deber confirmar que la configuracin de directiva de auditora bsica no la sobrescribe. En el procedimiento siguiente se muestra cmo evitar conflictos bloqueando la aplicacin de cualquier configuracin de directiva de auditora bsica.

Para asegurarse de que no se sobrescribe la Configuracin de directiva de auditora avanzada

1. En CONTOSO-SRV, haga clic en Inicio, seleccione Herramientas administrativas y, a continuacin, haga clic en Administracin de directivas de grupo. 2. En el rbol de consola, haga doble clic en Bosque: contoso.com, haga doble clic en Dominios y, a continuacin, haga doble clic en contoso.com. 3. Haga clic con el botn secundario en Directiva predeterminada de dominio y, a continuacin, haga clic en Editar. 4. Haga doble clic en Configuracin del equipo, haga doble clic en Directivas y, a continuacin, haga doble clic en Configuracin de Windows. 5. Haga doble clic en Configuracin de seguridad y, a continuacin, haga clic en Opciones de seguridad. 6. Haga doble clic en Auditora: forzar la configuracin de subcategoras de la directiva de auditora (Windows Vista o posterior) para invalidar la configuracin de la categora de directiva de auditora y, a continuacin, haga clic en Definir esta configuracin de directiva. 7. Haga clic en Habilitada y, a continuacin, haga clic en Aceptar. Antes de poder comprobar la funcionalidad de la configuracin de directiva de auditora de seguridad avanzada en el dominio contoso.com, debe iniciar sesin en CONTOSO-CLNT como administrador del dominio contoso.com y asegurarse de que se ha aplicado la configuracin de directiva de grupo.

Para actualizar la configuracin de directiva de grupo

1. Inicie sesin en CONTOSO-CLNT como CONTOSO\Administrador. 2. Haga clic en Inicio, seleccione Todos los programas, haga clic en Accesorios, haga clic con el botn secundario en Smbolo del sistema y, a continuacin, haga clic en Ejecutar como administrador. 3. Si aparece el cuadro de dilogo Control de cuentas de usuario, confirme que la accin que muestra es la que desea y, a continuacin, haga clic en S. 4. Escriba gpupdate y presione ENTRAR. Una vez aplicada la configuracin de directiva de grupo, puede comprobar si la configuracin de directiva de auditora se ha aplicado correctamente.

Para comprobar que la configuracin de directiva de auditora de seguridad de inicio de sesin avan zada se aplic correctamente
1. Inicie sesin en CONTOSO-CLNT como CONTOSO\Administrador. 2. Haga clic en Inicio, seleccione Todos los programas, haga clic en Accesorios, haga clic con el botn secundario en Smbolo del sistema y, a continuacin, haga clic en Ejecutar como administrador.
technet.microsoft.com/es-es/library/dd408940(d=printer,v=ws.10).aspx 11/18

19/12/12 paso a paso de la directiva de auditora de seguridad avanzada Gua

3. Si aparece el cuadro de dilogo Control de cuentas de usuario, confirme que la accin que muestra es la que desea y, a continuacin, haga clic en S. 4. Escriba auditpol.exe /get /category:* y presione ENTRAR. 5. Compruebe que aparece Aciertos, Errores o Aciertos y errores a la derecha de Inicio de sesin.

Paso 3: Crear y comprobar una directiva de auditora que proporcione la razn de acceso a objetos
Una de las necesidades de auditora ms habituales es el seguimiento del acceso a un determinado archivo o carpeta. Por ejemplo, quizs necesite identificar una actividad como cuando un usuario escribe en un archivo al que no debera haber tenido acceso. Al habilitar la auditora de "razn de acceso", no solo podr realizar un seguimiento de este tipo de actividad, sino que adems podr identificar la entrada de control de acceso exacta que permiti el acceso no deseado, lo que puede simplificar enormemente la tarea de modificar la configuracin de control de acceso para evitar futuros episodios similares de acceso no deseado a objetos. Para configurar, aplicar y validar una directiva de razn de acceso a objetos, debe realizar lo siguiente: Configure la directiva de auditora del sistema de archivos. Habilite la auditora en un archivo o una carpeta. Habilite la directiva de auditora de manipulacin de identificadores. Asegrese de que no se sobrescribe la Configuracin de directiva de auditora avanzada. Actualice la configuracin de directiva de grupo. Revise y compruebe los datos de auditora de razn de acceso.

Para configurar la directiva de auditora del sistema de archivos

1. Inicie sesin en CONTOSO-SRV como miembro del grupo Administradores local. 2. Haga clic en Inicio, seleccione Herramientas administrativas y, a continuacin, haga clic en Administracin de directivas de grupo. 3. En el rbol de consola, haga doble clic en Bosque: contoso.com, haga doble clic en Dominios y, a continuacin, haga doble clic en contoso.com. 4. Haga clic con el botn secundario en Directiva predeterminada de dominio y, a continuacin, haga clic en Editar. 5. Haga doble clic en Configuracin del equipo, haga doble clic en Directivas y, a continuacin, haga doble clic en Configuracin de Windows. 6. Haga doble clic en Configuracin de seguridad, haga doble clic en Configuracin de directiva de auditora avanzada y, a continuacin, haga doble clic en Directivas de auditora del sistema. 7. Haga doble clic en Acceso a objetos y, a continuacin, haga doble clic en Sistema de archivos. 8. Active la casilla Configurar los siguientes eventos de auditora y, a continuacin, active la casilla Aciertos, active la casilla Errores o active ambas casillas Aciertos y Errores. 9. Haga clic en Aceptar.

La directiva de auditora del sistema de archivos solo se usa para supervisar objetos en los que se hayan configurado SACL de auditora. En el procedimiento siguiente se muestra cmo configurar la auditora en un archivo o una carpeta.

Para habilitar la auditora en un archivo o una carpeta

1. Inicie sesin en CONTOSO-CLNT como miembro del grupo Administradores local. 2. Cree una nueva carpeta o un documento .txt. 3. Haga clic con el botn secundario en el nuevo objeto, haga clic en Propiedades y, a continuacin, haga clic en la pestaa Seguridad. 4. Haga clic en Opciones avanzadas y, a continuacin, haga clic en la pestaa Auditora. 5. Si aparece el cuadro de dilogo Control de cuentas de usuario, confirme que la accin que muestra es la que desea y, a continuacin, haga clic en S. 6. Haga clic en Agregar, escriba un nombre de usuario o nombre de equipo con el formato contoso\usuario1 y, a continuacin, haga clic en Aceptar. 7. En el cuadro de dilogo Entradas de auditora, seleccione los permisos que desee auditar, como Control total o Eliminar. 8. Haga clic en Aceptar cuatro veces para completar la configuracin de la SACL del objeto. En Windows 7 y Windows Server 2008 R2, la razn por la que se concede o deniega el acceso a un usuario se agrega al evento de identificador abierto. De esta manera, el administrador puede entender el motivo por el que un usuario pudo abrir un archivo, una carpeta o un recurso compartido para un acceso especfico. Para habilitar esta funcionalidad, tambin es necesario habilitar la directiva de auditora de manipulacin de identificadores para que los eventos de aciertos registren los intentos de acceso que se permitieron y los eventos de errores registren los intentos de acceso que se denegaron.

Para habilitar la directiva de auditora de manipulacin de identificadores

1. Inicie sesin en CONTOSO-SRV como miembro del grupo Administradores local. 2. Haga clic en Inicio, seleccione Herramientas administrativas y, a continuacin, haga clic en Administracin de directivas de grupo. 3. En el rbol de consola, haga doble clic en Bosque: contoso.com, haga doble clic en Dominios y, a continuacin, haga doble clic en contoso.com. 4. Haga doble clic en la unidad organizativa Finanzas, haga clic con el botn secundario en Directiva de auditora Finanzas y haga clic en Editar. 5. Haga doble clic en Configuracin del equipo, haga doble clic en Directivas y, a continuacin, haga doble clic en Configuracin de Windows. 6. Haga doble clic en Configuracin de seguridad, haga doble clic en Configuracin de directiva de auditora avanzada y, a continuacin, haga doble clic en Directivas de auditora del sistema. 7. Haga doble clic en Acceso a objetos, haga clic con el botn secundario en Manipulacin de identificadores y haga clic en Propiedades. 8. Active la casilla Configurar los siguientes eventos de auditora, active las casillas Aciertos y Errores y, a continuacin, haga clic en Aceptar. Despus de crear esta directiva de auditora, confirme que no se puede sobrescribir esta configuracin de directiva de auditora avanzada. Para obtener ms informacin, vea el procedimiento "Para

19/12/12 paso a paso de la directiva de auditora de seguridad avanzada Gua

asegurarse de que no se sobrescribe la Configuracin de directiva de auditora avanzada" en la seccin Paso 2: Crear y comprobar una directiva de auditora avanzada. A continuacin, aplique las actualizaciones de directiva de grupo siguiendo el procedimiento "Para actualizar la configuracin de directiva de grupo" de la seccin Paso 2: Crear y comprobar una directiva de auditora avanzada. Despus de aplicar la configuracin de directiva de grupo actualizada, asegrese de iniciar y cerrar sesin en CONTOSO-CLNT y complete algunas tareas que generen eventos de razn de acceso a objetos. Cuando haya completado estos pasos, puede revisar los datos de auditora que proporcionan la razn de acceso.

Para revisar los datos de auditora de razn de acceso

1. En CONTOSO-CLNT, haga clic en Inicio, seleccione Herramientas administrativas y, a continuacin, haga clic en Visor de eventos. 2. Haga clic en Registros de Windows y, a continuacin, en Seguridad. 3. En el panel Acciones, haga clic en Vaciar registro. 4. Busque el archivo o la carpeta que configur en el procedimiento de acceso a objetos de dominio y modifique el archivo o la carpeta con los permisos que configur para la cuenta de usuario. 5. Vuelva al Visor de eventos y, en el panel Acciones, haga clic en Actualizar. 6. En la columna Id. de evento, haga clic en el evento o los eventos 4656, desplcese a la seccin Informacin de solicitud de acceso y confirme los permisos que se usaron para realizar la tarea.

Paso 4: Crear y comprobar una directiva de acceso a objetos global

Se puede usar una directiva de auditora de acceso a objetos global para forzar una directiva de auditora de acceso a objetos para un equipo, recurso compartido de archivos o Registro sin tener que configurar y propagar las SACL convencionales. La configuracin y propagacin de las SACL es una tarea administrativa ms compleja y resulta difcil de comprobar, especialmente si es necesario demostrar a un auditor que se est cumpliendo la directiva de seguridad. La directiva de auditora de acceso a objetos global permite aplicar una directiva de seguridad como "Registrar toda la actividad de escritura administrativa en servidores que contengan informacin de Finanzas" y comprobar que los activos crticos estn protegidos. En este caso, se auditarn los cambios realizados en las claves del Registro por miembros de un grupo especificado en lugar de los cambios realizados en los objetos del sistema de archivos. Para configurar, aplicar y validar una directiva de auditora de acceso a objetos global, debe realizar lo siguiente: Configure una directiva de auditora de acceso a objetos global del dominio. Asegrese de que no se sobrescribe la Configuracin de directiva de auditora avanzada. Actualice la configuracin de directiva de grupo. Confirme que se est realizando la auditora de acceso a objetos global.

Para configurar una directiva de auditora de acceso a objetos global del dominio
1. Inicie sesin en CONTOSO-SRV como miembro del grupo Administradores local.
technet.microsoft.com/es-es/library/dd408940(d=printer,v=ws.10).aspx 14/18

19/12/12 paso a paso de la directiva de auditora de seguridad avanzada Gua

2. Haga clic en Inicio, seleccione Herramientas administrativas y, a continuacin, haga clic en Administracin de directivas de grupo. 3. En el rbol de consola, haga doble clic en Bosque: contoso.com, haga doble clic en Dominios y, a continuacin, haga doble clic en contoso.com. 4. Haga clic con el botn secundario en Directiva predeterminada de dominio y, a continuacin, haga clic en Editar. 5. Haga doble clic en Configuracin del equipo, haga doble clic en Directivas y, a continuacin, haga doble clic en Configuracin de Windows. 6. Haga doble clic en Configuracin de seguridad, haga doble clic en Configuracin de directiva de auditora avanzada y, a continuacin, haga doble clic en Directivas de auditora del sistema. 7. Haga doble clic en Acceso a objetos y, a continuacin, haga doble clic en Registro. 8. Active la casilla Configurar los siguientes eventos de auditora, active las casillas Aciertos y Errores y, a continuacin, haga clic en Aceptar. 9. Haga doble clic en Directivas de acceso a objetos global y, a continuacin, haga doble clic en Registro. 10. Active la casilla Definir esta configuracin de directiva y haga clic en Configurar. 11. En el cuadro Configuracin de seguridad avanzada para SACL de Registro global, haga clic en Agregar. 12. Escriba un nombre de usuario o nombre de equipo con el formato contoso\usuario1, usuario1@contoso.com o CONTOSO-CLNT; a continuacin, haga clic en Aceptar. 13. En el cuadro Entrada de auditora para SACL de Registro global, seleccione las actividades Correcta o Incorrecta en las que desea registrar entradas de auditora; por ejemplo, Crear subclave, Eliminar o Leer. 14. Haga clic en Aceptar tres veces para completar la configuracin de directiva de auditora. Despus de crear la directiva de auditora, confirme que no se puede sobrescribir esta configuracin de directiva de auditora avanzada. Para obtener ms informacin, vea el procedimiento "Para asegurarse de que no se sobrescribe la Configuracin de directiva de auditora avanzada" en la seccin Paso 2: Crear y comprobar una directiva de auditora avanzada. A continuacin, aplique las actualizaciones de directiva de grupo siguiendo el procedimiento "Para actualizar la configuracin de directiva de grupo" de la seccin Paso 2: Crear y comprobar una directiva de auditora avanzada. Despus de aplicar la configuracin de directiva de grupo actualizada, inicie y cierre sesin en CONTOSO-CLNT.

Para comprobar la aplicacin de la directiva de acceso a objetos global

1. Abra el Editor del Registro y cree y modifique una o varias opciones de configuracin del Registro. 2. Elimine una o varias opciones de configuracin del Registro que haya creado. 3. Abra el Visor de eventos y confirme que las actividades desencadenaron eventos de auditora, a pesar de que no se configuraron SACL de auditora explcitas en las opciones de configuracin del Registro que cre, modific y elimin.

Paso 5: Crear y comprobar directivas de auditora avanzada adicionales

technet.microsoft.com/es-es/library/dd408940(d=printer,v=ws.10).aspx 15/18

Ahora que ya ha creado, aplicado y validado los tres tipos bsicos de configuracin de directiva de auditora de seguridad avanzada, debe identificar y probar configuraciones de directiva de auditora de seguridad avanzada adicionales siguiendo los procedimientos bsicos descritos en las secciones anteriores. Para identificar configuraciones adicionales que pueden ser de inters para su organizacin, revise la informacin del tema sobre las Novedades de auditora de seguridad de Windows2. Para obtener informacin adicional, vaya a Configuracin del equipo\Directivas\Configuracin de Windows\Configuracin de seguridad\Configuracin de directiva de auditora avanzada\Directivas de auditora del sistema, haga clic con el botn secundario en las opciones de configuracin individuales, haga clic en Propiedades y, a continuacin, haga clic en la pestaa Explicar. A medida que aplica y prueba las configuraciones adicionales, piense en el modo en que los datos de evento de auditora que se generan pueden ayudarle a crear una red ms segura. En concreto, valore lo siguiente: Es til la informacin que proporcionan estos eventos de auditora? Proporcionan suficiente informacin los datos de auditora? Proporcionan demasiada informacin los datos de auditora? Cmo se puede ajustar esta configuracin de directiva de auditora para obtener nicamente la informacin necesaria? La auditora de seguridad es una herramienta crtica y esencial para garantizar que los recursos de red son seguros. Debe invertir todo el tiempo necesario en explorar y entender la nueva configuracin de directiva de auditora de seguridad avanzada en Windows 7 y Windows Server 2008 R2.

Administrar la auditora por usuario en Windows 7 y Windows Server 2008 R2

La configuracin de directiva de auditora de seguridad de Windows 7 y Windows Server 2008 R2 puede configurarse y usarse nicamente por equipo y no por usuario. Sin embargo, existen varias formas de aplicar opciones de configuracin de auditora a usuarios especficos: Si es posible, configure los permisos de seguridad avanzada en el objeto que se est auditando de manera que la directiva de auditora se aplique solamente a un grupo especfico. Por ejemplo, si desea que la configuracin de directiva Acceso a objetos se aplique a un archivo o una carpeta, puede configurar permisos en el archivo o la carpeta de manera que solo se realice el seguimiento del acceso a objetos en los individuos o grupos que especifique. En el procedimiento "Para habilitar la auditora en un archivo o una carpeta" descrito anteriormente en este documento se explica cmo completar esta tarea. Para definir e implementar la configuracin de auditora por usuario, use un archivo de texto de directiva de auditora, un script de inicio de sesin y la herramienta de lnea de comandos Auditpol.exe. Importante La auditora por usuario basada en scripts de inicio de sesin puede aplicarse a usuarios individuales, pero no a grupos. No puede usar scripts de inicio de sesin para excluir subcategoras o categoras de configuracin de directiva de auditora para los administradores.

En el siguiente procedimiento se describe cmo crear un archivo de texto de directiva de auditora que puede implementarse mediante un script de inicio de sesin. Para obtener ms informacin acerca del

19/12/12 paso a paso de la directiva de auditora de seguridad avanzada Gua

puede implementarse mediante un script de inicio de sesin. Para obtener ms informacin acerca del uso de scripts de inicio de sesin para implementar una directiva de auditora, vea el artculo 9214693 de Microsoft Knowledge Base (http://go.microsoft.com/fwlink/?LinkID=82447).

Para crear un archivo de texto de directiva de auditora

1. En el smbolo del sistema, escriba auditpol /set /user:nombreEntidadSeguridad/category:"nombreSubcategora" /include /Aciertos o Errores:enable para agregar una configuracin de auditora por usuario. Repita este paso para cada subcategora de directiva de auditora y usuario o grupo que desee agregar al archivo de texto de directiva de auditora. Nota Para obtener una lista de posibles configuraciones de auditora con formato de informe, abra una ventana del smbolo del sistema, escriba auditpol /list /subcategory:* /r y presione ENTRAR. Para obtener ms informacin acerca del uso de la herramienta Auditpol, vea los temas sobre los comandos Auditpol set 4 y Auditpol list 5.

2. En el smbolo del sistema, escriba auditpol /backup /file: nombreArchivoDirectivaAuditora.txt para exportar la directiva. 3. Para dar formato a la directiva, abra nombreArchivoDirectivaAuditora.txt y quite todas las lneas excepto la primera lnea de texto y las lneas de texto de auditora por usuario. Nota El texto de directiva de auditora por usuario tiene el siguiente formato: nombreEquipo,S-1XXXX,nombreSubcategora,GUID,configuracinInclusinTexto,configuracinExclusinTexto,#. La configuracin del sistema tiene el siguiente formato: nombreEquipo,sistema,nombreSubcategora,GUID,configuracinAuditoraTexto,#. Asegrese adems de quitar las ltimas seis lneas, que contienen la configuracin de opciones de auditora.

4. Cuando haya terminado de crear el archivo, en el men Archivo, haga clic en Guardar como y confirme que la opcin ANSI est seleccionada en la lista Codificacin. Haga clic en OK. 5. En el smbolo del sistema, escriba auditpol /restore /file: nombreArchivoDirectivaAuditora.txt y presione ENTRAR para confirmar que se ha establecido la configuracin de auditora deseada. Escriba auditpol /list /user y presione ENTRAR para obtener una lista de usuarios con configuracin de auditora por usuario. 6. Copie el archivo nombreArchivoDirectivaAuditora.txt al recurso compartido Netlogon del controlador de dominio que tiene el rol de emulador de controlador de dominio principal (PDC) en el dominio. Importante No importe directivas de auditora que contengan configuraciones de auditora por usuario directamente en un objeto de directiva de grupo (GPO). Cuando la configuracin de auditora por usuario se implementa a travs de una directiva de grupo y no a travs de scripts de inicio de sesin, tal y como se describe en este procedimiento, pueden aparecer niveles inesperados de eventos de errores en los registros de auditora de seguridad.
technet.microsoft.com/es-es/library/dd408940(d=printer,v=ws.10).aspx 17/18

Seccin opcional: Revertir la directiva de auditora de seguridad de directiva de auditora avanzada a di rectiva de auditora bsica
La aplicacin de una configuracin de directiva de auditora avanzada sustituye cualquier configuracin de auditora de seguridad bsica comparable. Si despus cambia la configuracin de directiva de auditora avanzada a Sin configurar, tendr que completar los pasos siguientes para restaurar la configuracin de directiva de auditora bsica original: 1. Configure todas las subcategoras de directiva de auditora avanzada a Sin configurar. 2. Elimine todos los archivos audit.csv de la carpeta %SYSVOL% en el controlador de dominio. 3. Vuelva a configurar y aplique la configuracin de directiva de auditora bsica. A menos que complete todos estos pasos, no se restaurar la configuracin de directiva de auditora bsica.

Tabla de vnculos
1http://technet.microsoft.com/es-es/library/dd692792(v=ws.10).aspx 2http://technet.microsoft.com/es-es/library/dd560628(v=ws.10).aspx 3http://go.microsoft.com/fwlink/?LinkID=82447 4http://technet.microsoft.com/es-es/library/cc755264(v=ws.10).aspx 5http://technet.microsoft.com/es-es/library/cc753632(v=ws.10).aspx

Contenido de la comunidad
2012 Microsoft. Reservados todos los derechos.