Auditoría
La auditoría en un dominio Active
Directory o un grupo de trabajo permite seguir las acciones realizadas por
los usuarios y sus equipos. En función de la información
registrada, el administrador podrá visualizar y corregir
un problema, pero también detectar una intrusión
y, de este modo, anticipar un nuevo tipo de ataque.
Generalmente, los eventos de error son más
instructivos que aquellos vinculados al éxito. No todo
debe ser auditado, ya que el uso de esta funcionalidad conlleva
un carga adicional (CPU, RAM, espacio en disco) en los puestos de
trabajo, servidores y controladores de dominio.
Un atacante con privilegios de administrador
podrá eliminar sus huellas y, por tanto, los registros
en los que se inscriben sus acciones malintencionadas: puede ser
interesante separar los roles, otorgando a una cuenta de servicio,
por ejemplo, el derecho de generar los eventos en un servidor remoto
dedicado al almacenamiento, pero no concediendo a esa cuenta los
permisos para eliminarlos o modificarlos. Una cuenta de auditoría
tendrá acceso de lectura al registro con el fin de evaluarlo.
Estas acciones pueden realizarse mediante los eventos reenviados
(consulte el capítulo Protección y recuperación
del sistema - Reparación del sistema).
La directiva de auditoría se ha ampliado
con Windows Server 2012 y Windows 10. Recibe el nombre de Configuración de directiva de auditoría avanzada. Ya no son 9 categorías de eventos que pueden ...