Auditoría de AD DS en Windows 2008 R2

Buenas noches!

En toda organización llega un día que hay un servidor o un equipo de comunicaciones que está configurado de una manera distinta a la que debería estar; para solucionar esto o para por lo menos poder señalar al culpable (filosofía occidental) o usar esta información para deshacer el mal (filosofía oriental) tenemos herramientas como los logs del sistema.
Pero… ¿Que pasa si falta un objeto en el AD o simplemente ese objeto o esa OU está fuera de sitio y todo el mundo dice no saber nada?
Pues bien, hasta ahora no nos quedaba otra que aguantarnos e intentar reconstruir la información lo mejor posible y echar un rapapolvo generalizado de esos que le da igual al culpable porque se ve a salvo y cabrea a los que no tienen nada que ver.
Pero ahora, gracias al sistema de auditoría que tienen el ADDS (Activer Directory Directory Services) ya podemos señalar al culpable y reproducir todos los pasos uno a uno.
¿Como podemos lograrlo?
Pues es bien sencillo, solo tenemos que activar el servicio de auditoría, tal como veremos en este mismo artículo y desde ese momento, cualquier movimiento dentro del ADDS quedará registrado.
Lo primero que haremos es acceder a “Administración de directivas de grupo”.

Accedemos a “Administración de directivas de grupo > Bosque > Dominios > Default Domain Policy” y seleccionamos “Editar”.

Seleccionamos “Directiva de auditoría”.

 Aquí tendremos los valores que nos interesan.

Seleccionamos propiedades de la directiva “Auditar el acceso al servicio de directorio”.

 Seleccionamos “Definir esta configuración de directiva” y clicamos “Correcto” y “Error”.

Observamos que los cambios han quedado guardados y se reflejan en “Configuración de directiva”.

 
A continuación vamos a hacer lo mismo con “Auditar la administración de cuentas” y así tendremos constancia de cualquier cambio sobre las cuentas de usuario (Ejem: Cambio de password).

Seleccionamos el valor de directiva “Auditar la administración de cuentas” y hacemos clic en propiedades.
 Ahora seleccionamos “Definir esta configuración de directiva” y clicamos “Correcto” y “Error”.

Confirmamos que los cambios han tomado efecto.

Ahora accedemos a “Usuarios y equipos de Active Directory” para lo que vamos a “Inicio > Herramientas administrativas > Usuarios y equipos de Active Directory”.
Accedemos a la OU que queremos auditar y seleccionamos “Propiedades”.

 

Accedemos a la pestaña de “Seguridad” y seleccionamos “Opciones avanzadas”.
 Seleccionamos la pestaña “Auditoría” y hacemos clic en “Agregar…”.

Seleccionamos un grupo de usuarios sobre los que queremos crear la auditoría y hacemos clic en “Comprobar nombres” para evitar fallos.

Una vez hecho esto aceptamos y se nos muestra una ventana en la que seleccionamos el campo “Aplicar estos valores de auditoría sólo a objetos y/o contenedores dentro de este contenedor” y aceptamos.

Aceptamos y Aplicamos.

Hacemos la prueba de cambiar la password de un usuario de esta OU.

Vemos que se registran tanto los intentos de administración.

Como los cambios reales.

Con esto damos por terminada nuestro pequeño laboratorio.
Podéis encontrar información sobre esto en:

Agradeceré que me mandéis sugerencias o modificaciones

Un saludo!

Did you enjoy this post? Why not leave a comment below and continue the conversation, or subscribe to my feed and get articles like this delivered automatically to your feed reader.

Comments

Gracias, excelente articulo, voy a poner en practica, tal vez si en un futuro colocas un articulo acerca de como interpretar los log.

Gracias.

Leave a comment

(required)

(required)