Auditoría

La auditoría en un dominio Active Directory o un grupo de trabajo permite seguir las acciones realizadas por los usuarios y sus equipos. En función de la información registrada, el administrador podrá visualizar y corregir un problema, pero también detectar una intrusión y, de este modo, anticipar un nuevo tipo de ataque.

Generalmente, los eventos de error son más instructivos que aquellos vinculados al éxito. No todo debe ser auditado, ya que el uso de esta funcionalidad conlleva un carga adicional (CPU, RAM, espacio en disco) en los puestos de trabajo, servidores y controladores de dominio.

Un atacante con privilegios de administrador podrá eliminar sus huellas y, por tanto, los registros en los que se inscriben sus acciones malintencionadas: puede ser interesante separar los roles, otorgando a una cuenta de servicio, por ejemplo, el derecho de generar los eventos en un servidor remoto dedicado al almacenamiento, pero no concediendo a esa cuenta los permisos para eliminarlos o modificarlos. Una cuenta de auditoría tendrá acceso de lectura al registro con el fin de evaluarlo. Estas acciones pueden realizarse mediante los eventos reenviados (consulte el capítulo Protección y recuperación del sistema - Reparación del sistema).

La directiva de auditoría se ha ampliado con Windows Server 2012 y Windows 10. Recibe el nombre de Configuración de directiva de auditoría avanzada. Ya no son 9 categorías de eventos que pueden ...