Hacer una auditora al Directorio

Activo en Windows Server 2016

Controla todo lo que ocurre en los ordenadores que administras, a travs de una auditora al Active
Directory en tu Windows Server 2016.

Cuando estamos involucrados en el rea de sistemas o de IT en general suele suceder que en

muchas oportunidades debemos generar reportes de seguimiento y comportamiento de los
usuarios a nivel de sistemas ya que, por polticas de la organizacin, en muchas
oportunidades se restringe a los usuarios (http://www.solvetic.com/tutoriales/article/3083-
como-crear-politica-de-contrasena-granular-windows-server/) el acceso a algunas unidades, la
instalacin de software no autorizado (http://www.solvetic.com/tutoriales/article/3070-como-
crear-reglas-firewall-windows-server-2016/) por la empresa, crear ciertos elementos dentro de
su equipo, etc, y esto no es con el fin de ser verdugos con el usuario sino con el fin de
mantener un ptimo rendimiento (http://www.solvetic.com/tutoriales/article/3078-como-
optimizar-gratis-windows-10-8-7-con-vmware/) y seguridad de toda la estructura jerrquica.

Mantener niveles de auditora al directorio activo nos da la posibilidad de llevar un control

centralizado (http://www.solvetic.com/tutoriales/article/2989-como-establecer-horas-de-inicio-
de-sesion-en-windows-server/) sobre el comportamiento de cada unidad organizativa
(http://www.solvetic.com/tutoriales/article/2968-como-crear-grupos-en-directorio-activo-usando-
powershell/), cada usuario, cada equipo, cada poltica de
grupo (http://www.solvetic.com/tutoriales/article/2416-uso-de-gpos-group-policy-object-en-
windows-server/) y as prevenir fallosen el futuro e implementar mejoras en el presente.

Recordemos que cuando aplicamos una poltica de grupo con algn tipo de
restriccin (http://www.solvetic.com/tutoriales/article/3002-restringir-numero-de-inicios-de-
sesion-en-windows-server-2016/) es muy difcil que un usuario comn pueda ejecutar cierta
tarea, pero si sabemos que a algunos usuarios se les aporta un privilegio de
administradores y ellos pueden realizar tareas especficas que afectan el perfil de un usuario.
Esta auditora que vamos a ver es realmente til ya que si , por ejemplo, alguien borra o
resetea una contrasea (http://www.solvetic.com/tutoriales/article/3086-ver-quien-resetea-
password-usuario-windows-server/) podremos saber quin ha sido.
En este tutorial veremos cmo podemos realizar una auditora al directorio
activo en Windows Server 2016.

1. Cmo realizar auditora a Active Directory en Windows Server

Paso 1

Para poder acceder a un control centralizado de auditora debemos habilitar una poltica
especfica en el servidor y para ello abriremos el editor de directivas de grupo usando alguno
de los siguientes mtodos:

Desde el comando Ejecutar (Combinacin de teclas + R) e ingresar el

trmino gpedit.msc
Desde el men Inicio > Herramientas administrativas > Administracin de
directivas de grupo.

Paso 2
Veremos que se despliega la siguiente ventana donde debemos seleccionar nuestro dominio,
y dar clic derecho en la opcin Default Domain Policy y seleccionar la opcin Editar.

AMPLIAR

Paso 3

Una vez pulsemos Editar en la ventana desplegada debemos ir a la siguiente ruta:

Configuracin del equipo

Directivas
Configuracin de Windows
Configuracin de seguridad
Directivas locales
Directiva de auditora
AMPLIAR

Paso 4

En la ventana desplegada podemos ver en el costado derecho diversas polticas que, por
defecto, no estn configuradas. Para realizar la auditora al Directorio Activo debemos
habilitar las siguientes polticas:

Auditar la administracin de cuentas

Esta poltica nos permite auditar todos los eventos que suceden con las cuentas de los
usuarios en el directorio activo, para habilitarla damos doble clic sobre ella y veremos lo
siguiente.
All debemos habilitar la casilla Definir esta configuracin de directiva y seleccionaremos
las casillasCorrecto y Error para que el sistema registre todos los eventos tanto satisfactorios
como equivocados de algn usuario dentro del directorio activo. Guardamos los cambios
pulsando el botn Aplicar y posteriormenteAceptar.
Auditar el acceso al servicio de directorios

Esta poltica nos permite registrar todos los eventos que registran cualquier intento de
modificacin, haya sido procesado o no, a algn objeto del directorio activo, tal como usuarios,
equipo, etc.Pulsamos doble clic sobre ella y activamos la casilla Definir esta configuracin
de directiva y marcamos las casillas Correcto y Error.
Pulsamos Aplicar y luego Aceptar para guardar los cambios. Podemos ver nuestras dos
polticas configuradas.
Paso 5

A continuacin, abriremos la herramienta Usuarios y equipos de Active Directory para

aplicar las polticas recin creadas, para ello vamos al administrador del servidor,
men Herramientas y seleccionamos Usuarios y equipos de Active Directory Se abre la
siguiente ventana.
Paso 6

La poltica la aplicaremos a la unidad organizativa llamada Usuarios Solvetic y para ello

daremos clic derecho sobre ella y seleccionamos Propiedades y en la ventana desplegada
iremos a la pestaa Seguridad:
Nota

En caso que no veamos la pestaa Seguridad disponible debemos ir al

men Ver en Usuarios y equipos de Active Directory y seleccionamos la
opcin Caractersticas avanzadas.

Paso 7

Una vez estemos en la pestaa Seguridad pulsaremos el botn Opciones avanzadas y all
iremos a la pestaaAuditora.
Paso 8

All pulsaremos el botn Agregar para definir a que usuarios hemos de aplicar la poltica de
auditora. Veremos la siguiente ventana donde debemos seleccionar la lnea Seleccionar una
entidad de seguridad.
Paso 9

En la ventana desplegada ingresaremos el usuario que vamos a adicionar o las iniciales de los
mismos.
Paso 10

Pulsamos Comprobar nombres y veremos las diferentes opciones.

Paso 11
All seleccionamos los usuarios o los grupos a asignar, algo recomendable es agregar el
grupo Administradoresdebido a que todos los usuarios que cuentan con privilegios para
ejecutar tareas sobre el directorio activo estn incluidos en este grupo y as todos ellos sern
auditados. Podemos definir qu tipo de permisos se han de auditar activando las casillas
correspondientes y una vez definidos pulsaremos Aceptar.

Paso 12

Una vez pulsemos Aceptar podremos ver que se ha adicionado nuestro usuario de forma
correcta. Pulsamos Aplicary posteriormente Aceptar.
AMPLIAR

2. Validar el proceso de autora en Windows Server 2016

Paso 1

Una vez definidas estas polticas vamos a abrir el visor de eventos usando alguna de las
siguientes formas:

Dando clic derecho en el men Inicio y en la lista desplegada elegimos Visor de

eventos.
Accediendo desde el men Herramientas en el Administrador del servidor y
seleccionando la opcin Visor de eventos.

Paso 2
En la ventana desplegada debemos ir a la opcin Registro de Windows > Seguridad.

AMPLIAR

Paso 3

All podremos ver todos los eventos que suceden cuando alguno de los usuarios del grupo
Administradores realiza cualquier cambio en el directorio activo. En este ejemplo
hemos modificado la contrasea del usuario Solvetic 1.
Podemos ver que el evento ha quedado registrado indicndonos fecha, hora, usuario que
efectu el cambio y usuario afectado. De la misma manera podemos filtrar los eventos por ID
de suceso para facilitar la bsqueda.
Nota

Recordemos que la habilitacin de estas polticas va a generar mucha ms informacin en el

visor de eventos lo cual implica mucha mayor cantidad de espacio.

Como hemos visto de esta manera podemos realizar una auditora completa bien sea a un
grupo especfico a un usuario en especial y de esta manera supervisar y controlar todas las
actividades que son realizadas a diario en el Directorio Activo con Windows Server 2016.

Como ves el Directorio Activo proporciona herramientas necesarias para la gestin de los
equipos y es fundamental como administradores, conocerlas y aprender a implementarlas. Las
polticas de grupo son vitales para ello y por eso tambin hay que tenerlas en cuenta. Si
quieres saber ms sobre qu puedes hacer en el Directorio Activo deWindows Server
2016 echa un vistazo a este tutorial.

http://www.solvetic.com/tutoriales/article/3114-hacer-una-auditoria-al-active-
directory-en-windows-server-2016/