Compartir a través de

Configuración de directivas de auditoría para registros de eventos de Windows

Las detecciones de Defender for Identity se basan en entradas específicas del registro de eventos de Windows para mejorar las detecciones y proporcionar información adicional sobre los usuarios que realizan acciones específicas, como inicios de sesión NTLM y modificaciones de grupos de seguridad. En este artículo se describe cómo configurar la directiva de auditoría avanzada para evitar brechas en los registros de eventos y cobertura incompleta de Defender for Identity.

Defender for Identity genera alertas de estado cuando detecta configuraciones incorrectas de auditoría de eventos de Windows. Para obtener más información, consulte Microsoft Defender for Identity alertas de estado.

Requisitos previos

Si usa el módulo de PowerShell de Active Directory para configurar un controlador de dominio, asegúrese de descargar el módulo de PowerShell de Defender for Identity.

Nota:

El módulo de PowerShell de Active Directory solo es necesario al configurar Defender for Identity en controladores de dominio. No es necesario en servidores de AD CS que ejecutan el servicio de rol de entidad de certificación.

Generación de un informe de las configuraciones actuales mediante PowerShell

Antes de empezar a crear nuevas directivas de eventos y auditoría, se recomienda ejecutar el siguiente comando de PowerShell para generar un informe de las configuraciones de dominio actuales:

New-MDIConfigurationReport -Path "C:\Reports" -Mode Domain -Identity "DOMAIN\ServiceAccountName" -OpenHtmlReport

Donde:

  • Path especifica la ruta de acceso en la que se guardarán los informes.

  • Mode especifica si desea usar Domain o LocalMachine modo. En Domain el modo , la configuración se recopila de los objetos directiva de grupo (GPO). En LocalMachine el modo , la configuración se recopila de la máquina local.

    El Domain informe de modo solo incluye configuraciones establecidas como directivas de grupo en el dominio. Si tiene la configuración definida localmente en los controladores de dominio, se recomienda ejecutar también el script deTest-MdiReadiness.ps1 .

  • OpenHtmlReport abre el informe HTML después de generar el informe.

Nota:

Al usar -Mode Domain, incluya el -Identity parámetro para evitar una solicitud interactiva. Para obtener más información, vea: New-MDIConfigurationReport.

Por ejemplo, para generar un informe y abrirlo en el explorador predeterminado, ejecute el siguiente comando:

New-MDIConfigurationReport -Path "C:\Reports" -Mode Domain -OpenHtmlReport

Para obtener más información, consulte la referencia de PowerShell de Defender for Identity.

Configuración de la auditoría de eventos de Windows para controladores de dominio

Actualice la configuración de directiva de auditoría avanzada y las configuraciones adicionales para eventos y tipos de eventos específicos, como usuarios, grupos, equipos, etc. Las configuraciones de auditoría de los controladores de dominio incluyen:

Para obtener más información, consulte Preguntas más frecuentes sobre auditoría de seguridad avanzada.

Puede configurar la auditoría en los controladores de dominio en el portal o mediante PowerShell.

Configuración de la directiva de auditoría avanzada en el portal de Defender

En este procedimiento se describe cómo modificar la configuración de directiva de auditoría avanzada del controlador de dominio según sea necesario para Defender for Identity a través de la interfaz de usuario.

  1. Inicie sesión en el servidor como administrador de dominio.

  2. Abra el Editor de administración de directiva de grupo desde Administrador del servidor>Tools>directiva de grupo Management.

  3. Expanda Controladores de dominio Unidades organizativas, haga clic con el botón derecho en Directiva predeterminada de controladores de dominio y, a continuación, seleccione Editar.

    Captura de pantalla del panel para editar la directiva predeterminada para los controladores de dominio.

    Nota:

    Use la directiva Controladores de dominio predeterminados o un GPO dedicado para establecer estas directivas.

  4. En la ventana que se abre, vaya aDirectivas>de configuración> del equipoConfiguración de Windows Configuración>de seguridad. En función de la directiva que quiera habilitar, haga lo siguiente:

    1. Vaya a Directivas de auditoría avanzada directivas de auditoría>Directivas de auditoría.

      Captura de pantalla de las selecciones para abrir directivas de auditoría.

    2. En Directivas de auditoría, edite cada una de las directivas siguientes y seleccione Configurar los siguientes eventos de auditoría para eventos correctos y incorrectos .

      Directiva de auditoría Subcategoría Identificadores de evento de desencadenadores
      Inicio de sesión de la cuenta Auditar validación de credenciales 4776
      Administración de cuentas Auditoría de la administración de cuentas de equipo* 4741, 4743
      Administración de cuentas Auditoría de la administración de grupos de distribución* 4753, 4763
      Administración de cuentas Auditoría de la administración de grupos de seguridad* 4728, 4729, 4730, 4732, 4733, 4756, 4757, 4758
      Administración de cuentas Auditoría de la administración de cuentas de usuario 4726
      Acceso DS Auditar los cambios del servicio de directorio* 5136
      System Auditar la extensión del sistema de seguridad* 7045
      Acceso DS Auditar el acceso al servicio de directorio 4662: para este evento, también debe configurar la auditoría de objetos de dominio.

      Nota:

      * Las subcategorías indicadas no admiten eventos de error. Sin embargo, se recomienda agregarlos con fines de auditoría en caso de que se implementen en el futuro. Para obtener más información, vea Auditar la administración de cuentas de equipo, auditar la administración de grupos de seguridad y auditar la extensión del sistema de seguridad.

      Por ejemplo, para configurar auditar la administración de grupos de seguridad, en Administración de cuentas, haga doble clic en Auditar administración de grupos de seguridad y, a continuación, seleccione Configurar los siguientes eventos de auditoría para eventos correctos y incorrectos .

      Captura de pantalla del cuadro de diálogo Auditar propiedades de administración de grupos de seguridad.

  5. En un símbolo del sistema con privilegios elevados, escriba gpupdate.

  6. Después de aplicar la directiva a través de GPO, confirme que los nuevos eventos aparecen en el Visor de eventos, en Seguridad de registros>de Windows.

    Para probar las directivas de auditoría desde la línea de comandos, ejecute el siguiente comando:

    auditpol.exe /get /category:*

Para obtener más información, consulte la documentación de referencia de auditpol.

Configuración de la directiva de auditoría avanzada mediante PowerShell

Las siguientes acciones describen cómo modificar la configuración de directiva de auditoría avanzada del controlador de dominio según sea necesario para Defender for Identity mediante PowerShell.

El comando siguiente define toda la configuración del dominio, crea objetos de directiva de grupo y los vincula.

Set-MDIConfiguration -Mode Domain -Configuration All

Para configurar los valores, ejecute:

Set-MDIConfiguration [-Mode] <String> [-Configuration] <String[]> [-CreateGpoDisabled] [-SkipGpoLink] [-Force]

Donde:

  • Mode especifica si desea usar Domain o LocalMachine modo. En Domain el modo , la configuración se recopila de los objetos directiva de grupo. En LocalMachine el modo , la configuración se recopila de la máquina local.
  • Configuration especifica qué configuración se va a establecer. Use All para establecer todas las configuraciones.
  • CreateGpoDisabled especifica si los GPO se crean y se mantienen como deshabilitados.
  • SkipGpoLink especifica que no se crean vínculos de GPO.
  • Force especifica que se establece la configuración o que se crean GPO sin validar el estado actual.

Para ver las directivas de auditoría, use el Get-MDIConfiguration comando para mostrar los valores actuales:

Get-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>

Donde:

  • Mode especifica si desea usar Domain o LocalMachine modo. En Domain el modo , la configuración se recopila de los objetos directiva de grupo. En LocalMachine el modo , la configuración se recopila de la máquina local.
  • Configuration especifica qué configuración se va a obtener. Use All para obtener todas las configuraciones.

Para probar las directivas de auditoría, use el Test-MDIConfiguration comando para obtener una true respuesta o false sobre si los valores están configurados correctamente:

Test-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>

Donde:

  • Mode especifica si desea usar Domain o LocalMachine modo. En Domain el modo , la configuración se recopila de los objetos directiva de grupo. En LocalMachine el modo , la configuración se recopila de la máquina local.
  • Configuration especifica qué configuración se va a probar. Use All para probar todas las configuraciones.

Para obtener más información, vea las siguientes referencias de PowerShell de DefenderForIdentity:

Configuración de la auditoría NTLM

Cuando un sensor de Defender for Identity analiza el evento de Windows 8004, las actividades de autenticación NTLM de Defender for Identity se enriquecen con los datos a los que se accede al servidor. En esta sección se describen los pasos de configuración adicionales que necesita para auditar el evento de Windows 8004.

Nota:

  • Las directivas de grupo de dominios para recopilar el evento de Windows 8004 solo se deben aplicar a los controladores de dominio.

Para configurar la auditoría NTLM:

  1. Después de configurar la directiva de auditoría avanzada inicial en el portal de Defender o mediante PowerShell, abra directiva de grupo Management. A continuación, vaya a Opciones de seguridad dedirectivas localesde directivas de >controladores> de dominiopredeterminadas.

  2. Configure las directivas de seguridad especificadas de la siguiente manera:

    Configuración de directiva de seguridad Valor
    Seguridad de red: Restricción de NTLM: tráfico NTLM saliente a servidores remotos Auditar todo
    Seguridad de red: Restricción de NTLM: Auditar la autenticación NTLM en este dominio Habilitar todo
    Seguridad de red: Restringir NTLM: Auditar el tráfico NTLM entrante Habilitación de la auditoría para todas las cuentas

Por ejemplo, para configurar el tráfico NTLM saliente a servidores remotos, en Opciones de seguridad, haga doble clic en Seguridad de red: Restringir NTLM: tráfico NTLM saliente a servidores remotos y, a continuación, seleccione Auditar todo.

Captura de pantalla de la configuración de auditoría para el tráfico NTLM saliente a servidores remotos.

Configuración de la auditoría de objetos de dominio

Para recopilar eventos de cambios de objetos, como para el evento 4662, también debe configurar la auditoría de objetos en el usuario, grupo, equipo y otros objetos. En el procedimiento siguiente se describe cómo habilitar la auditoría en el dominio de Active Directory.

Para asegurarse de que los controladores de dominio están configurados correctamente para registrar los eventos necesarios, revise y audite las directivas en el portal de Defender o use PowerShell antes de habilitar la recopilación de eventos. Si la auditoría está configurada correctamente, tiene un efecto mínimo en el rendimiento del servidor.

Para configurar la auditoría de objetos de dominio:

  1. Vaya a la consola de Usuarios y equipos de Active Directory.

  2. Seleccione el dominio que desea auditar.

  3. Seleccione el menú Ver y, a continuación, seleccione Características avanzadas.

  4. Haga clic con el botón derecho en el dominio y seleccione Propiedades.

    Captura de pantalla de las selecciones para abrir las propiedades del contenedor.

  5. Vaya a la pestaña Seguridad y seleccione Avanzadas.

    Captura de pantalla del cuadro de diálogo para abrir las propiedades de seguridad avanzadas.

  6. En Configuración de seguridad avanzada, seleccione la pestaña Auditoría y, a continuación, seleccione Agregar.

    Captura de pantalla de la pestaña Auditoría en el cuadro de diálogo Configuración de seguridad avanzada.

  7. Elija Seleccionar una entidad de seguridad.

    Captura de pantalla del botón para seleccionar una entidad de seguridad.

  8. En Escriba el nombre del objeto que desea seleccionar, escriba Todos. A continuación, seleccione Comprobar nombres>aceptar.

    Captura de pantalla de la introducción de un nombre de objeto de Todos.

  9. Volver a Entrada de auditoría y realice las siguientes selecciones:

    1. En Tipo, seleccione Correcto.

    2. En Se aplica a, seleccione Objetos de usuario descendiente.

    3. En Permisos, desplácese hacia abajo y seleccione el botón Borrar todo .

      Captura de pantalla del botón para borrar todos los permisos.

    4. Desplácese hacia arriba y seleccione Control total. Se seleccionan todos los permisos.

    5. Borre la selección de los permisos Contenido de lista, Leer todas las propiedades y Permisos de lectura y, a continuación, seleccione Aceptar. En este paso se establece toda la configuración de Propiedades en Escritura.

      Captura de pantalla de la selección de permisos.

      Ahora, todos los cambios pertinentes en los servicios de directorio aparecen como 4.662 eventos cuando se desencadenan.

  10. Repita los pasos de este procedimiento, pero en Se aplica a, seleccione los siguientes tipos de objeto 1.

    • Objetos de grupo descendientes
    • Objetos de equipo descendientes
    • Objetos msDS-GroupManagedServiceAccount descendientes
    • Objetos msDS-ManagedServiceAccount descendientes
    • Objetos msDS-DelegatedManagedServiceAccount descendientes2

Nota:

  • También puede asignar permisos de auditoría en Todos los objetos descendientes, utilizando solo los tipos de objeto detallados en el último paso.
  • La clase msDS-DelegatedManagedServiceAccount solo es relevante para los dominios que ejecutan al menos un controlador de dominio Windows Server 2025.

Configuración de la auditoría en AD FS

Para configurar la auditoría en Servicios de federación de Active Directory (AD FS) (AD FS):

  1. Vaya a la consola de Usuarios y equipos de Active Directory y seleccione el dominio donde desea habilitar los registros.

  2. Vaya a Datos> de programade Microsoft>ADFS.

    Captura de pantalla de un contenedor para Servicios de federación de Active Directory (AD FS).

  3. Haga clic con el botón derecho en ADFS y seleccione Propiedades.

  4. Vaya a la pestaña Seguridad y seleccione Configuración>avanzada de seguridad. A continuación, vaya a la pestaña Auditoría y seleccione Agregar>Seleccione una entidad de seguridad.

  5. En Escriba el nombre del objeto que desea seleccionar, escriba Todos. A continuación, seleccione Comprobar nombres>aceptar.

  6. A continuación, vuelva a La entrada de auditoría. Realice las siguientes selecciones:

    • En Tipo, seleccione Todo.
    • En Se aplica a, seleccione Este objeto y todos los objetos descendientes.
    • En Permisos, desplácese hacia abajo y seleccione Borrar todo. Desplácese hacia arriba y seleccione Leer todas las propiedades y Escribir todas las propiedades.

    Captura de pantalla de la configuración de auditoría de Servicios de federación de Active Directory (AD FS).

  7. Seleccione Aceptar.

Configuración del registro detallado para eventos de AD FS

Los sensores que se ejecutan en servidores de AD FS deben tener el nivel de auditoría establecido en Verbose para los eventos pertinentes. Por ejemplo, use el siguiente comando para configurar el nivel de auditoría en Detallado:

Set-AdfsProperties -AuditLevel Verbose

Configuración de la auditoría en AD CS

Si está trabajando con un servidor dedicado que tiene active Directory Certificate Services (AD CS) configurado, configure la auditoría de la siguiente manera para ver alertas dedicadas e informes de puntuación segura:

  1. Cree una directiva de grupo para aplicarla al servidor de AD CS. Edítelo y configure las siguientes opciones de auditoría:

    1. Vaya a Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Configuración de directiva de auditoría avanzada\Directivas de auditoría\Acceso a objetos\Auditar servicios de certificación.

    2. Seleccione las casillas para configurar eventos de auditoría para correcto y error.

      Captura de pantalla de la configuración de eventos de auditoría para Servicios de certificados de Active Directory en el Editor de administración de directiva de grupo.

  2. Configure la auditoría en la entidad de certificación (CA) mediante uno de los métodos siguientes:

    • Para configurar la auditoría de ca mediante la línea de comandos, ejecute:

      certutil –setreg CA\AuditFilter 127 
net stop certsvc && net start certsvc

    - To configure CA auditing in the Defender portal:

 1. Select **Start** > **Certification Authority (MMC Desktop application)**. Right-click your CA's name and select **Properties**.

    :::image type="content" source="../media/configure-windows-event-collection/certification-authority.png" alt-text="Screenshot of the Certification Authority dialog.":::

 1. Select the **Auditing** tab, select all the events that you want to audit, and then select **Apply**.

    :::image type="content" source="../media/configure-windows-event-collection/auditing.png" alt-text="Screenshot of the Auditing tab for certificate authority properties.":::

Nota:

La configuración de iniciar y detener la auditoría de eventos de Servicios de certificados de Active Directory puede provocar retrasos en el reinicio cuando se trabaja con una base de datos de AD CS grande. Considere la posibilidad de quitar entradas irrelevantes de la base de datos. Como alternativa, evite habilitar este tipo específico de evento.

Configuración de la auditoría en Microsoft Entra Connect

Para configurar la auditoría en servidores de Microsoft Entra Connect:

  • Cree una directiva de grupo para aplicarla a los servidores de Microsoft Entra Connect. Edítelo y configure las siguientes opciones de auditoría:

    1. Vaya a Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Configuración de directiva de auditoría avanzada\Directivas de auditoría\Inicio de sesión/cierre de sesión\Inicio de sesión de auditoría.

    2. Seleccione las casillas para configurar eventos de auditoría para correcto y error.

Captura de pantalla del Editor de administración de directiva de grupo.

Configuración de la auditoría en el contenedor de configuración

La auditoría del contenedor de configuración solo es necesaria para entornos que actualmente tienen o tenían Microsoft Exchange, ya que estos entornos tienen un contenedor de Exchange ubicado dentro de la sección Configuración del dominio.

  1. Abra la herramienta De edición de ADSI. Seleccione Iniciar>ejecución, escriba ADSIEdit.mscy, a continuación, seleccione Aceptar.

  2. En el menú Acción , seleccione Conectar con.

  3. En el cuadro de diálogo Configuración de conexión, en Seleccionar un contexto de nomenclatura conocido, seleccione Aceptar configuración>.

  4. Expanda el contenedor De configuración para mostrar el nodo Configuración , que comienza con "CN=Configuration,DC=...".

    Captura de pantalla de las selecciones para abrir las propiedades del nodo Configuración de CN.

  5. Haga clic con el botón derecho en el nodo Configuración y seleccione Propiedades.

    Captura de pantalla de las selecciones para abrir las propiedades del nodo Configuración.

  6. Seleccione la pestaña Seguridad y, a continuación, seleccione Opciones avanzadas.

  7. En Configuración de seguridad avanzada, seleccione la pestaña Auditoría y, a continuación, seleccione Agregar.

  8. Elija Seleccionar una entidad de seguridad.

  9. En Escriba el nombre del objeto que desea seleccionar, escriba Todos. A continuación, seleccione Comprobar nombres>aceptar.

  10. A continuación, vuelva a La entrada de auditoría. Realice las siguientes selecciones:

    • En Tipo, seleccione Todo.
    • En Se aplica a, seleccione Este objeto y todos los objetos descendientes.
    • En Permisos, desplácese hacia abajo y seleccione Borrar todo. Desplácese hacia arriba y seleccione Escribir todas las propiedades.

    Captura de pantalla de la configuración de auditoría del contenedor de configuración.

  11. Seleccione Aceptar.

Actualización de configuraciones heredadas

Defender for Identity ya no requiere el registro de 1.644 eventos. Si tiene alguna de las siguientes opciones habilitadas, puede quitarlas del Registro.

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics]
"15 Field Engineering"=dword:00000005

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters]
"Expensive Search Results Threshold"=dword:00000001
"Inefficient Search Results Threshold"=dword:00000001
"Search Time Threshold (msecs)"=dword:00000001

Contenido relacionado

Para más información, vea:

Paso siguiente

¿Qué son los roles y permisos de Defender for Identity?

  • Last updated on