Una Política de Auditoría de Windows determina qué eventos se registran en los registros de seguridad de los servidores Windows, permitiendo una continua seguridad del Active Directory, observando los requisitos necesarios para el cumplimiento normativo, además de proporcionar información forense en caso de una infracción de seguridad.
Antes de implementar estas políticas, es crucial evaluar los riesgos de ciberseguridad y las obligaciones de cumplimiento mientras se prueban y refinan las mismas.
Hay dos métodos disponibles para implementar una directiva de auditoría de Windows: la auditoría basada en tipos de eventos y la auditoría de seguridad avanzada, que permite una auditoría más detallada dentro de cada categoría de eventos. Se puede acceder a ambos a través de los ajustes de configuración del equipo.
Procedimientos recomendados de Política de Auditoría de Windows
A continuación, comparto algunas recomendaciones de cara al despliegue de la Política de Auditoría Windows:
- Utiliza la Configuración avanzada de directivas de auditoría siempre que sea posible.
Es importante tener en cuenta que las políticas avanzadas no anulan las políticas básicas, sino que las complementan. Aunque no es buena idea utilizar simultáneamente ambas políticas, la configuración de Políticas de Auditoría con la “Configuración avanzada” proporciona más control y evita acumular cantidades ingentes de datos.
- Determina qué tipos de eventos deseas auditar.
Antes de realizar cualquier cambio, es importante establecer los tipos de eventos que se desean auditar y establecer la configuración adecuada para cada uno. También es importante tener un plan para decidir qué recopilar, almacenar y, posteriormente, analizar. Acumular grandes cantidades de datos sin un plan previo nos impedirá obtener información realmente significativa desde los datos obtenidos.
A continuación, comparto los tipos de eventos más destacados al auditar tu entorno Windows:
- Account Logon: Auditoría de validación de credenciales.
- Account Management: Auditoría de las Cuentas accedidas en la máquina, otros eventos de Administración de Cuentas, Políticas del Grupo de Seguridad y de Cuentas de Usuario.
- Administración de cuentas: auditar la administración de cuentas
- DS Access (Directory Service Access): auditoría del acceso al Directory Service y cambios en el Directory Service, acierto o error en los Domain Controllers (DCs)
- Logon/Logoff:Auditoría de Account Lockout, Audit Logoff, Audit Logon, and Audit Special Logon.
- Acceso a objetos: habilita esta opción de forma selectiva para evitar generar un gran volumen de entradas en los registros de seguridad
- Cambios en Políticas:Auditar cambios en Audit Policy y cambios en Authentication Policy.
- Privilege Use: habilita esta configuración de forma selectiva para evitar generar un gran volumen de entradas en los registros de seguridad.
- Process Tracking: Auditoría de los procesos de creación, aunque de modo selectivo para evitar un gran volumen de logs.
- System: Auditoría de Security State Change, Other System Events, y System Integrity, para detectar acierto o error.
- Especifica el tamaño máximo del registro de auditoría
Debes especificar el tamaño máximo y otros atributos del registro de seguridad mediante la configuración de directiva Registro de eventos. Esto es importante porque la cantidad de espacio de almacenamiento asignado al almacenamiento de los datos de auditoría puede llenarse rápidamente.
- Realizar pruebas de rendimiento
Es importante tener en cuenta que cambiar la Política de Auditoría puede afectar al rendimiento del equipo. Por lo tanto, es recomendable realizar pruebas de rendimiento antes de implementar nuevas configuraciones de auditoría en un entorno de producción.
- Selecciona la configuración relevante de auditoría de Windows
A continuación, se muestran las configuraciones de auditoría de Windows recomendadas más relevantes:
- Inicio de sesión de cuenta: Auditoría de validación de credenciales.
- Account Management / Administración de cuentas: Auditoría de acierto / error de: Audit Computer Account Management, Other Account Management Events, Security Group Management, y User Account Management.
- DS Access (Acceso al Directorio de Servicio): Auditoría acierto/error en el Domain Controller de Directory Service Access y Audit Directory Service Changes.
- Logon/Logoff: Audioría de Inicio/cierre de sesión, bloqueo de cuenta, sesión y sesión especial.
- Object Access: Enable these settings selectively to avoid generating a large volume of entries in Security logs
- Acceso a objetos: en este caso es recomendable habilitar esta configuración de forma selectiva para evitar un gran volumen de logs.
- Cambio de Politicas: Auditaría de los “Policy Change” y “Authentication Policy Change”
- Privilege Use: Habilita esta configuración de forma selectiva para evitar un gran volumen de logs.
- Process Tracking: también conviene habilitar selectivamente esta configuración.
- System: Auditoría de Security State Change, Other System Events, y System Integrity.
Cómo podemos ayudarte desde MICROMOUSE en tu auditoría de Windows
Desde MICROMOUSE te proponemos nuestra plataforma de auditoría que te ayuda a establecer y aplicar una Política de auditoría de Windows al proporcionar supervisión necesaria, alertas e informes sobre las actividades críticas dentro de tu entorno Windows.
Algunas de las formas más notables en las que nuestra solución puede ayudar a proteger tu entorno Windows.
Auditoría de cambios de configuración:
Nuestra solución puede realizar un seguimiento de los cambios realizados en Active Directory, como las modificaciones en las cuentas de usuario, los grupos, los permisos y las unidades organizativas. También proporciona alertas en tiempo real sobre cambios críticos e informes personalizados que se pueden generar con un simple clic.
Monitorización de inicio de sesión y bloqueo de cuenta:
Nuestra plataforma puede rastrear las actividades de inicio de sesión del usuario, incluidos los intentos de inicio de sesión permitidos y fallidos. También monitoriza los bloqueos de cuentas, ayudando a los administradores a detectar actividades de inicio de sesión potencialmente maliciosas y solucionar problemas con cuentas bloqueadas.
Auditoría de cambios de directiva de grupo:
Nuestra solución puede supervisar y auditar los cambios en los objetos en las Policy Group (GPO) en tu entorno Windows. Garantiza que se registren todas las modificaciones en los GPO, lo que permite a los Administradores responder a los cambios de Políticas no autorizados de manera oportuna.
Auditoría de cambios en unidades organizativas:
Las unidades organizativas (OU) se usan para estructurar y administrar objetos de Active Directory. Te podemos ayudar a monitorizar los cambios en las unidades organizativas, incluidas creaciones, eliminaciones y modificaciones.
Auditoría de cambios de pertenencia a grupos:
La detección de cambios en las pertenencias a grupos es importante para la seguridad y el control de acceso. Nuestra solución realiza un seguimiento de los cambios, a nivel de añadir o quitar usuarios o grupos, de grupos de seguridad o distribución, lo que garantiza que solo se conceda el acceso autorizado.
Auditoría de cambios de DNS:
La resolución de nombres a través de los sistemas DNS juega un papel vital en la conectividad y seguridad de la red. Nuestra solución puede realizar un seguimiento de los cambios en los registros DNS, como altas, bajas o modificaciones. Esto permite a las organizaciones identificar cualquier cambio no autorizado y garantizar la integridad de las configuraciones DNS.
Supervisión de usuarios privilegiados
Nuestra solución puede auditar las acciones realizadas por este tipo de usuarios, lo que ayuda a prevenir amenazas internas y el acceso no autorizado a datos o sistemas confidenciales.
¿Seguimos hablando?