La supervisión del acceso a los recursos controlados y de los cambios en una directiva de autorización permite hacer un seguimiento de los posibles problemas de seguridad, ayuda a garantizar la responsabilidad del usuario y proporciona pruebas en caso de producirse una infracción de seguridad.

Tipos de auditoría

Con Administrador de autorización, puede utilizar dos tipos de auditoría: auditoría en tiempo de ejecución y auditoría de cambios del almacén de autorización.

Auditoría en tiempo de ejecución

Deben considerarse dos aspectos en la auditoría en tiempo de ejecución:

  • La auditoría de inicialización de aplicaciones en tiempo de ejecución, que genera auditorías cuando se abre una aplicación.

  • La auditoría de comprobación de acceso y contexto de cliente en tiempo de ejecución, que genera auditorías cuando se crea un contexto de cliente y cada vez que el cliente solicita una comprobación de acceso. Las comprobaciones de acceso se basan en el método AccessCheck descrito en la sección Autorización del SDK de la plataforma. Para obtener más información acerca de las interfaces de programación de aplicaciones (API) relacionadas con la autorización, vea la página sobre autorización (puede estar en inglés) (https://go.microsoft.com/fwlink/?linkid=64031).

Puede configurar la auditoría en tiempo de ejecución para registrar aciertos, errores o ambos elementos.

Auditoría de cambio del almacén de autorización

Cuando se activa la auditoría de cambio del almacén de autorización, se generan auditorías cada vez que se modifica dicho almacén. La auditoría registra todos los eventos, aciertos y errores.

En la auditoría de cambios del almacén de autorización, el Administrador de autorización es compatible con el sistema de archivos NTFS (para almacenes de autorización basados en XML), Servicios de dominio de Active Directory (AD DS), Active Directory Lightweight Directory Services (AD LDS) y Microsoft SQL Server.

Búsqueda de eventos de auditoría

Para saber qué eventos de auditoría genera el Administrador de autorización, vea los registros de eventos en el equipo correspondiente:

  • Los eventos de auditoría en tiempo de ejecución se encuentran en el registro de seguridad del equipo cliente en el que se ejecuta la aplicación.

  • Los eventos de auditoría de cambios del almacén de autorización se encuentran en el registro de seguridad del equipo en el que reside el almacén.

    • En el caso de un almacén de autorización basado en XML, los registros de auditoría se encuentran en el visor de eventos del equipo en el que está almacenado el archivo XML.

    • En el caso de un almacén de autorización que use AD DS o AD LDS, los registros de auditoría se encuentran en el visor de eventos del controlador de dominio o el servidor AD LDS al que se tiene acceso.

    • En el caso de un almacén de autorización basado en SQL Server, los registros de auditoría se encuentran en el visor de eventos del equipo que hospeda SQL Server.

Disponibilidad de auditoría

La disponibilidad de auditoría depende de lo siguiente:

  • Si el almacén de autorización se basa en AD DS, AD LDS, XML o SQL.

  • Si la auditoría está configurada en el nivel de almacén de autorización, en el nivel de aplicación o en el nivel de ámbito.

En la tabla siguiente se describe la disponibilidad de los dos tipos de auditoría.

Nivel La auditoría en tiempo de ejecución está disponible en La auditoría en tiempo de ejecución puede configurarse en este nivel en La auditoría de cambio del almacén de autorización está disponible en

Almacén de autorización
  • XML

  • AD DS y AD LDS

  • SQL Server
  • XML

  • AD DS y AD LDS

  • SQL Server
  • XML

  • AD DS y AD LDS

  • SQL Server

Aplicación
  • XML

  • AD DS y AD LDS

  • SQL Server
  • XML

  • AD DS y AD LDS

  • SQL Server
  • AD DS y AD LDS

  • SQL Server

Ámbito
  • XML

  • AD DS y AD LDS

  • SQL Server

No disponible (configurada en el nivel de aplicación)
  • AD DS y AD LDS

  • SQL Server

Para usar la auditoría, debe activar la casilla adecuada en la ficha Auditoría. Para habilitar la auditoría en tiempo de ejecución, active la casilla Auditoría de inicialización de aplicaciones en tiempo de ejecución. Para habilitar la auditoría de cambios del almacén de autorización, active la casilla Contexto de cliente en tiempo de ejecución y auditoría de comprobación de acceso.

Configuración del sistema para permitir la auditoría

Antes de implementar una auditoría, debe decidirse por una directiva de auditoría. Una directiva de auditoría especifica las categorías de eventos relacionados con la seguridad que desea auditar. De manera predeterminada, cuando se instala Windows por primera vez, todas las categorías de auditoría están deshabilitadas.

Para configurar la aplicación y los ámbitos que se van a auditar, debe tener el privilegio Administrar registro de seguridad y auditoría en el equipo en el que reside el almacén de autorización. Para ello, normalmente deberá iniciar sesión como miembro del grupo Administradores integrado o proporcionar una contraseña de administrador cuando se le pida.

Si el almacén de autorización está basado en XML, tiene que especificar la auditoría de acceso a objetos. Si el almacén de autorización se basa en AD DS o en AD LDS, tiene que especificar la auditoría de acceso a servicios de directorio.

Para poder generar auditorías de comprobación de acceso y contexto de cliente en tiempo de ejecución, se debe conceder el privilegio Generar auditorías de seguridad a los usuarios de aplicaciones que usan el Administrador de autorización. Si usuarios de la aplicación no tienen este privilegio, no se registrará ningún evento de auditoría.

Habilitación de la auditoría de acceso a objetos

De manera predeterminada, la auditoría de acceso a objetos está desactivada. Para activarla, debe utilizar la directiva de grupo en el dominio, el controlador de dominio o cualquier otro nivel de unidad organizativa aplicable de AD DS o AD LDS. También puede utilizar la directiva de seguridad local.

Si el almacén de autorización basado en XML se encuentra en un controlador de dominio, el objeto de directiva de grupo (GPO) Directiva predeterminada de controladores de dominio es el lugar más adecuado para activar la auditoría de acceso a objetos. Si el almacén de autorización basado en XML se encuentra en un servidor miembro o estación de trabajo, puede editar el objeto de directiva de grupo local del equipo para activar la directiva de seguridad local, pero dicha configuración sólo se aplicará hasta la siguiente actualización de la configuración de seguridad de la directiva de grupo. Esto puede resultar útil si sólo va a generar las auditorías una vez. Pero si va a generar auditorías de seguridad de forma regular, debe editar otro objeto de directiva de grupo que se aplique al equipo a través de AD DS.

Para habilitar la auditoría de acceso a objetos, configure los siguientes objetos:

  • Para el equipo local

    1. Abra el Editor de directivas de grupo local.

    2. En el árbol de consola, haga doble clic en Configuración del equipo, Configuración de Windows, Configuración de seguridad, Directivas locales y Directiva de auditoría.

    3. Haga clic en Auditar el acceso a objetos.

    4. En el panel de detalles, active la casilla Definir esta configuración de directiva, active la casilla Correcto y, a continuación, la casilla Error.

  • Sólo para controladores de dominio

    1. Haga clic en Inicio, en Todos los programas, en Herramientas administrativas y, a continuación, haga doble clic en Directiva de seguridad del controlador de dominio.

    2. En el árbol de consola, haga doble clic en Configuración del equipo, Configuración de Windows, Configuración de seguridad, Directivas locales y Directiva de auditoría.

    3. Haga clic en Auditar el acceso a objetos.

    4. En el panel de detalles, active la casilla Definir esta configuración de directiva, la casilla Correcto y, a continuación, la casilla Error.

  • Para un dominio o unidad organizativa

    1. Abra la Consola de administración de directivas de grupo (GPMC).

    2. Haga clic con el botón secundario en el objeto de directiva de grupo que desea auditar y, a continuación, haga clic en Editar.

    3. En el árbol de consola, haga doble clic en Configuración del equipo, Directivas, Configuración de seguridad, Directivas locales y Directiva de auditoría,

    4. Haga clic en Auditar el acceso a objetos.

    5. En el panel de detalles, active la casilla Definir esta configuración de directiva, la casilla Correcto y, a continuación, la casilla Error.

Consideraciones adicionales

  • Debe instalar la consola GPMC para editar la configuración de directivas basada en dominios. La consola GPMC es una característica adicional de Windows Server 2008 que puede instalar mediante el Administrador del servidor.

  • Si está editando el objeto de directiva de grupo local, la casilla Definir esta configuración de directiva no aparece en el Editor de directivas de grupo local. Sólo aparece si está editando objetos de directiva de grupo almacenados en AD DS.

  • Si las casillas de auditoría Correcto y Error no están disponibles, es probable que la casilla Definir esta configuración de directiva se haya activado a través de una directiva de seguridad que está actuando en un nivel superior en la estructura de AD DS. En este caso, debe averiguar si la casilla Definir esta configuración de directiva está activada y desactivarla. Para encontrar esta opción, busque en los objetos de directiva de grupo que afecten a este equipo.

Habilitación de la auditoría de acceso a directorios

De manera predeterminada, la auditoría de acceso a servicios de directorio está desactivada. Para activarla, debe usar la directiva de grupo en el dominio, el controlador de dominio o cualquier otro nivel de unidad organizativa aplicable de AD DS.

Para habilitar la auditoría de acceso a objetos, expanda los siguientes nodos: Configuración del equipo, Configuración de Windows, Configuración de seguridad, Directivas locales y Directiva de auditoría; a continuación, haga doble clic en Auditar el acceso del servicio de directorio.

Active la casilla Definir esta configuración de directiva, active la casilla Correcto y, a continuación, active también la casilla Erróneo.

Consideraciones adicionales

  • Si las casillas de auditoría Correcto y Error no están disponibles, es probable que la casilla Definir esta configuración de directiva se haya activado a través de una directiva de seguridad que está actuando en un nivel superior en AD DS. En este caso, debe averiguar si la casilla Definir esta configuración de directiva está activada y desactivarla. Para encontrar esta opción, busque en los objetos de directiva de grupo que afecten al controlador de dominio.

  • Una vez editados los objetos de directiva de grupo, ejecute el comando gpupdate para asegurarse de que los cambios surtan efecto inmediatamente.

Auditoría que se habilita por herencia

Una auditoría obtenida por herencia tiene lugar independientemente de la configuración local. Por ejemplo, en el caso de un almacén de autorización guardado en AD DS, la directiva de auditoría se puede heredar desde una unidad organizativa primaria de AD DS. En el caso de un almacén de autorización basado en XML, se puede aplicar la directiva de auditoría de la carpeta que contiene el archivo XML.

Tabla de contenido