Cómo habilitar y aplicar la auditoría de seguridad en Windows 2000

Seleccione idioma Seleccione idioma
Id. de artículo: 300549 - Ver los productos a los que se aplica este artículo
Este artículo se publicó anteriormente con el número E300549
Expandir todo | Contraer todo

En esta página

Resumen

En esta guía de instrucciones paso a paso se describe cómo habilitar y aplicar la auditoría de seguridad de Windows.

Habilitar la auditoría de seguridad de Windows

Es importante que proteja los recursos de información y servicios de personas que no deberían tener acceso a ellos; al mismo tiempo, debe permitir que los usuarios autorizados puedan disponer de estos recursos. En este artículo se describe cómo utilizar las características de seguridad de Windows 2000 para auditar el acceso a los recursos.

Puede configurar los registros de seguridad para que registren la información relativa al acceso a directorios y archivos o a los sucesos del servidor. Puede establecer este nivel de auditoría mediante las Directivas de auditoría en Microsoft Management Console (MMC). Estos sucesos se graban en el registro de seguridad de Windows. El registro de seguridad puede grabar sucesos de seguridad, como intentos de inicio de sesión válidos y no válidos, y eventos relacionados con el uso de recursos como crear, abrir o eliminar archivos. Es necesario que inicie sesión como administrador para controlar los sucesos que se auditan y se muestran en el registro de seguridad.

Importante
Antes de que Windows 2000 audite el acceso a los archivos y a las carpetas, debe utilizar el complemento Directiva de grupo para habilitar la configuración Auditar el acceso a objetos en la Directiva de auditoría. Si no lo hace, recibirá un mensaje de error cuando configure la auditoría para archivos y carpetas, y no se auditará ningún archivo ni ninguna carpeta. Cuando habilite la auditoría en Directiva de grupo, examine el registro de seguridad en el Visor de sucesos para ver los intentos satisfactorios o fallidos para obtener acceso a los archivos y carpetas auditados.

Para habilitar la auditoría de seguridad local de Windows:
  1. Inicie sesión en Windows 2000 con una cuenta que tenga derechos de administrador. Si desea conceder a otros usuarios los derechos para establecer auditorías, consulte la sección "Cómo habilitar otra cuenta para configurar auditorías" en la sección "Referencias" de este artículo.
  2. Asegúrese de que el complemento Directiva de grupo está instalado; si no lo está, siga las instrucciones de la sección "Cómo instalar el complemento Directiva de grupo" en la sección "Referencias" de este artículo para instalarlo.
  3. Haga clic en Inicio, seleccione Configuración y haga clic en Panel de control.
  4. Haga doble clic en Herramientas administrativas.
  5. Haga doble clic en Directiva de seguridad local para iniciar el complemento de MMC Configuración de seguridad local.
  6. Haga doble clic en Directivas locales para expandir esta opción y, después, haga doble clic en Directiva de auditoría.
  7. En el panel derecho, haga doble clic en la directiva que desea habilitar o deshabilitar.
  8. Haga clic en las casillas de verificación Correcto (un intento correcto de acceso de seguridad auditado) y Error (un intento fallido de acceso de seguridad auditado) para iniciar sesión y cerrar sesión. Por ejemplo, con esta configuración, un intento satisfactorio del usuario de iniciar sesión en el sistema se registra como un suceso Auditoría de aciertos. Si un usuario intenta tener acceso a una unidad de red y no lo consigue, el intento se registra como un suceso Auditoría de errores.
  9. Si está configurando auditorías para un servidor Web que ejecuta la versión 5.0 de Servicios de Microsoft Internet Information Server (IIS), consulte la sección "Recomendaciones para auditar en servidores Web de IIS 5.0 de Windows 2000" en la sección "Referencias" de este artículo para ver una lista de las auditorías sugeridas.
Nota
Si es miembro de un dominio y hay una directiva de nivel de dominio definida, la configuración de nivel de dominio anulará la configuración de la directiva local.

Si Active Directory está habilitado, los administradores pueden supervisar el acceso a este servicio, lo que provoca que los intentos satisfactorios y fallidos de auditoría se graben en el registro de sucesos del Servicio de directorio. Este registro de sucesos sólo existe en controladores de dominio de Windows 2000.

Para habilitar auditorías de Active Directory:
  1. Inicie sesión en Windows 2000 con una cuenta que tenga derechos de administrador. Si desea conceder a otras personas derechos de auditoría, consulte la sección Referencias más abajo.
  2. Asegúrese de que el complemento Directiva de grupo está instalado. Si no lo está, siga las instrucciones para instalarlo que se muestran más adelante.
  3. Inicie el complemento Usuarios y equipos de Active Directory haciendo clic en Inicio, seleccionando Programas y, a continuación, seleccionando Herramientas administrativas.
  4. En el menú Ver, haga clic en Características avanzadas.
  5. Haga clic con el botón secundario del mouse (ratón) en el contenedor Controladores de dominio y, a continuación, haga clic en Propiedades.
  6. Haga clic en la ficha Directiva de grupo.
  7. Haga clic en Directiva predeterminada de controladores de dominio y, a continuación, haga clic en Modificar.
  8. Haga doble clic en los elementos siguientes para abrirlos: Configuración del equipo, Configuración de Windows, Configuración de seguridad, Directivas locales y Directiva de auditoría.
  9. En el panel derecho, abra Auditar el acceso del servicio de directorio.
  10. Haga clic en las opciones apropiadas: Auditar intentos correctos, Auditar intentos fallidos o ambas.
  11. Si está configurando auditorías para un servidor Web de IIS 5.0, consulte la sección "Recomendaciones para auditar en servidores Web de IIS 5.0 de Windows 2000" en la sección "Referencias" de este artículo para ver una lista de las auditorías sugeridas.
Nota
En Windows 2000, los controladores de dominio sondean cambios en las directivas cada cinco minutos. Otros controladores de dominio de la empresa reciben los cambios en este intervalo más el tiempo de replicación.

Nota
Si las casillas de verificación que hay bajo Acceso en el cuadro de diálogo Entrada de auditoría están sombreadas, o si el botón Quitar no está disponible en el cuadro de diálogo Configuración de control de acceso, la auditoría se ha heredado de la carpeta principal. Puesto que el tamaño del registro de seguridad es limitado, seleccione cuidadosamente los archivos y las carpetas que desea auditar. Asimismo, tenga en cuenta la cantidad de espacio en disco que está dispuesto a asignar al registro de seguridad. El tamaño máximo se define en el Visor de sucesos.

Auditar sucesos en Windows 2000 Server

Establecer, ver, cambiar o quitar auditorías de archivos o carpetas de Windows

Las auditorías se configuran para detectar y registrar sucesos relacionados con la seguridad, como cuando un usuario intenta tener acceso a un archivo o a una carpeta confidencial. Cuando audita un objeto, se escribe una entrada en el registro de seguridad de Windows 2000 siempre que se tiene acceso al objeto de una manera determinada. Usted determina los objetos que se auditarán, las personas cuyas acciones se auditarán y los tipos exactos de acciones que serán objeto de auditoría. Una vez configurada la auditoría, puede hacer un seguimiento de los usuarios que tienen acceso a determinados objetos y analizar las infracciones de seguridad. La pista de auditoría puede mostrar quién realizó las acciones y quién intentó realizar acciones no permitidas.

Para configurar la auditoría:
  1. Abra el Explorador de Windows (haga clic en Inicio, seleccione Programas y Accesorios y, a continuación, haga clic en Explorador de Windows) y busque el archivo o la carpeta que desee auditar.
  2. Haga clic con el botón secundario del mouse en el archivo o en la carpeta, haga clic en Propiedades y, después, haga clic en la ficha Seguridad.
  3. Haga clic en Opciones avanzadas y, después, haga clic en la ficha Auditoría.
  4. Realice una de las siguientes acciones, según corresponda:
    1. Para configurar auditorías para un grupo o usuario nuevo:
      1. Haga clic en Agregar. En el cuadro Nombre, escriba el nombre del usuario que desee auditar.
      2. Haga clic en Aceptar para abrir automáticamente el cuadro de diálogo Entrada de auditoría.
    2. Para ver o cambiar la auditoría para un grupo o un usuario existente, haga clic en el nombre deseado y, después, haga clic en Ver o modificar.
    3. Para quitar la auditoría para un grupo o un usuario existente, haga clic en el nombre deseado y, después, haga clic en Quitar.
  5. En Acceso, haga clic en Correcto, en Error o en Correcto y en Error, dependiendo del tipo de acceso que desee auditar.
  6. Si desea que los archivos y las subcarpetas del árbol no hereden estas entradas de auditoría, haga clic para activar la casilla de verificación Aplicar estos valores de auditoría.

Auditar para detectar accesos no autorizados

Puede detectar intentos de acceso no autorizado en el registro de seguridad de Windows; estos intentos pueden aparecer como una advertencia o un error en las entradas del registro. También puede archivar estos registros para usos posteriores.

Para detectar posibles problemas de seguridad en el registro de seguridad de Windows:
  1. Haga clic en Inicio, seleccione Configuración y haga clic en Panel de control.
  2. Haga doble clic en Herramientas administrativas y, a continuación, haga doble clic en Administración de equipos.
  3. Expanda Herramientas del sistema y, a continuación, expanda Visor de sucesos.
  4. Haga clic en Registro de seguridad.

    Nota
    Si no puede ver el registro de seguridad, la cuenta de usuario que está utilizando no tiene los privilegios necesarios. Este problema ocurre porque las directivas de seguridad de nivel de dominio anulan las directivas de seguridad de nivel de equipo local, lo que significa que puede iniciar sesión como administrador del equipo local, pero carecer de acceso al registro de seguridad del equipo. Para obtener estos permisos, consulte al administrador de red. Para obtener más información acerca de las directivas de seguridad, consulte la documentación de Windows.
  5. Inspeccione los registros para ver si existen sucesos de seguridad sospechosos, incluidos los siguientes:
    • Intentos no válidos de inicio de sesión.
    • Uso incorrecto de privilegios.
    • Intentos fallidos de acceso y modificación de archivos .bat o .cmd.
    • Intentos de alterar los privilegios de seguridad o el registro de auditoría.
    • Intentos de apagar el servidor.

Trabajar con registros de seguridad de Windows

Cómo archivar un registro de seguridad de Windows

Para archivar un registro de seguridad de Windows:
  1. Haga clic en Inicio, seleccione Configuración y haga clic en Panel de control.
  2. Haga doble clic en Herramientas administrativas y, a continuación, haga doble clic en Administración de equipos.
  3. Expanda Herramientas del sistema y, a continuación, expanda Visor de sucesos.
  4. Haga clic en Seguridad.
  5. En el menú Acción, haga clic en Guardar archivo de registro como.
  6. En el cuadro de diálogo Guardar como, haga clic en el directorio en el que desea guardar el archivo y escriba un nombre para el mismo.
Nota
El registro de seguridad puede guardarse como un archivo de sucesos (.evt), un archivo de texto (.txt) o un archivo delimitado por comas (.csv).

Cómo abrir un registro de seguridad de Windows archivado

Para abrir un registro de seguridad de Windows archivado:
  1. Haga clic en Inicio, seleccione Configuración y haga clic en Panel de control.
  2. Haga doble clic en Herramientas administrativas y, a continuación, haga doble clic en Administración de equipos.
  3. Expanda Herramientas del sistema y, a continuación, expanda Visor de sucesos.
  4. En el menú Registro, haga clic en Seguridad.
  5. En el menú Acción, seleccione Abrir archivo de registro.
  6. En el cuadro de diálogo Abrir, haga clic en el registro guardado previamente o cambie a la ubicación de la lista Buscar en y busque el archivo.
  7. En la lista Tipo de registro, haga clic en Seguridad.
  8. Haga clic en Aceptar para abrir el archivo en el visor.

Solucionar problemas

Puesto que el tamaño del registro de seguridad es limitado, seleccione cuidadosamente los archivos y las carpetas que desea auditar. Asimismo, tenga en cuenta la cantidad de espacio en disco que está dispuesto a asignar al registro de seguridad. El tamaño máximo se define en el Visor de sucesos.

Importante
Antes de que Windows 2000 audite el acceso a los archivos y a las carpetas, debe utilizar el complemento Directiva de grupo para habilitar la configuración Auditar el acceso a objetos en la Directiva de auditoría. Si no lo hace, recibirá un mensaje de error cuando configure la auditoría para archivos y carpetas, y no se auditará ningún archivo ni ninguna carpeta. Cuando habilite la auditoría en Directiva de grupo, examine el registro de seguridad en el Visor de sucesos para ver los intentos satisfactorios o fallidos para obtener acceso a los archivos y carpetas auditados.




Referencias

Cómo instalar el complemento Directiva de grupo

Para utilizar las características de auditoría descritas en este artículo, es necesario que instale el complemento Directiva de grupo. Este complemento no se incluye en la consola Administración de equipos y es necesario que cree una nueva consola para el complemento. Para obtener más información acerca de cómo agregar complementos de MMC, consulte la documentación de Windows 2000.

Para crear una nueva consola de MMC y agregar el complemento Directiva de grupo:
  1. Haga clic en Inicio y, a continuación, haga clic en Ejecutar. En el cuadro de diálogo Ejecutar, escriba mmc para iniciar una nueva consola de MMC.
  2. En el menú Consola, haga clic en Agregar o quitar complemento.
  3. En el cuadro de diálogo Agregar o quitar complemento, haga clic en Agregar.
  4. En el cuadro de diálogo Agregar un complemento independiente, haga clic en Directiva de grupo en la lista de complementos disponibles. Haga clic en Agregar.
  5. En el cuadro de diálogo Seleccionar un objeto de directiva de grupo, haga clic en Finalizar para auditar el equipo local o en Examinar para buscar el equipo que desea auditar.
  6. Si ha hecho clic en Examinar, continúe en el paso 7. Si ha hecho clic en Finalizar, vaya al paso 9.
  7. En el cuadro de diálogo Buscar un objeto directiva de grupo, haga clic en la ficha Equipos, haga clic en Otro equipo, busque el equipo que desea auditar y, a continuación, haga clic en Aceptar.
  8. En el cuadro de diálogo Seleccionar un objeto de directiva de grupo, haga clic en Finalizar.
  9. Cierre el cuadro de diálogo Agregar un complemento independiente.
  10. Haga clic en Aceptar.
  11. En el menú Consola, seleccione Guardar para guardar la nueva consola en el disco duro. Ésta es la consola que utilizará para configurar las características de auditoría.

Cómo habilitar otra cuenta para configurar auditorías

De manera predeterminada, sólo los miembros del grupo Administradores tienen los privilegios necesarios para configurar auditorías. Puede delegar la tarea de configuración de auditorías de sucesos de servidor a otra cuenta de usuario si otorga el derecho de administración de auditorías y de registro de seguridad en Directiva de grupo.

Para permitir que la cuenta configure auditorías:
  1. En la consola de Directiva de grupo creada, expanda los siguientes menús en el orden en que se muestra:
    1. Configuración del equipo
    2. Configuración de Windows
    3. Configuración de seguridad
    4. Directivas locales
    5. Asignación de derechos de usuario
  2. Haga clic en Administrar auditoría y registro de seguridad, haga clic en Acción y, a continuación, haga clic en Seguridad.
  3. En el cuadro de diálogo Administrar auditoría y registro de seguridad, haga clic en Agregar.

    Nota
    Si el botón Agregar no está disponible (aparece atenuado), haga clic para desactivar la casilla de verificación Excluir de la directiva local para activar el botón Agregar.
  4. Haga clic en el usuario o en el grupo de usuarios apropiado de la lista y, a continuación, haga clic en Agregar. Haga clic en Aceptar.

Recomendaciones para auditar en servidores Web de IIS 5.0 de Windows 2000

Para realizar auditorías en un equipo basado en Windows 2000 Server que ejecuta IIS 5.0, debe auditar utilizando los siguientes sucesos de Windows. "Auditar intentos correctos" indica que le interesan los sucesos correctos y "Auditar intentos fallidos" indica que le interesan los errores resultantes al realizar ese suceso. "Activo" significa que el suceso se está auditando, mientras que "Inactivo" significa que el suceso no se está auditando.

La siguiente lista proporciona sugerencias para realizar la auditoría de varios sucesos en un equipo basado en Windows 2000 que actúa como servidor Web de IIS:
  • Inicio de sesión de la cuenta
    Auditar intentos correctos: ACTIVO

    Auditar intentos fallidos: ACTIVO
  • Administración de cuentas
    Auditar intentos correctos: Inactivo

    Auditar intentos fallidos: ACTIVO
  • Acceso del servicio de directorio
    Auditar intentos correctos: Inactivo

    Auditar intentos fallidos: ACTIVO
  • Inicio de sesión
    Auditar intentos correctos: ACTIVO

    Auditar intentos fallidos: ACTIVO
  • Acceso de objetos
    Auditar intentos correctos: Inactivo

    Auditar intentos fallidos: INACTIVO
  • Cambio de plan
    Auditar intentos correctos: ACTIVO

    Auditar intentos fallidos: ACTIVO
  • Uso de privilegios
    Auditar intentos correctos: INACTIVO

    Auditar intentos fallidos: ACTIVO
  • Seguimiento de procesos
    Auditar intentos correctos: INACTIVO

    Auditar intentos fallidos: INACTIVO
  • Sistema
    Auditar intentos correctos: INACTIVO

    Auditar intentos fallidos: INACTIVO

Propiedades

Id. de artículo: 300549 - Última revisión: viernes, 24 de marzo de 2006 - Versión: 4.0
La información de este artículo se refiere a:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
Palabras clave: 
kbhowto kbhowtomaster kbperformance KB300549

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com