La configuración de auditoría de seguridad no se aplica a los equipos basados en Windows Vista y Windows Server 2008 al implementar una directiva basada en dominio

  • Artículo

En este artículo se proporciona ayuda para solucionar un problema por el que la configuración de auditoría de seguridad no se aplica a los equipos cliente de un dominio de Active Directory al implementar una directiva basada en dominio.

Se aplica a: Windows 10 (todas las ediciones), Windows Server 2012 R2
Número de KB original: 921468

Síntomas

Imagina la siguiente situación: Implementa una directiva basada en dominio para configurar las opciones de auditoría de seguridad en equipos basados en Windows Vista o Windows Server 2008 en un dominio de servicio de directorio de Active Directory. Ejecute la herramienta Conjunto resultante de directivas (RSoP) en uno de los equipos basados en Windows Vista o Windows Server 2008. Al hacerlo, la herramienta RSoP indica que se está aplicando la directiva. Sin embargo, la directiva no se aplica realmente a uno o varios equipos basados en Windows Vista o Windows Server 2008.

Causa

Este problema se produce si la configuración de directiva "Forzar la configuración de subcategoría de directiva de auditoría (Windows Vista o posterior) para invalidar la configuración de categoría de directiva de auditoría" está habilitada en Windows Vista o en Windows Server 2008. La configuración de directiva se puede habilitar mediante directiva de grupo o se puede habilitar manualmente modificando el Registro.

Para resolver este problema, utilice uno de los siguientes métodos, según corresponda a su situación.

Resolución 1: Deshabilitar la configuración de directiva mediante directiva de grupo Editor de objetos

Compruebe que la configuración de directiva se ha habilitado mediante directiva de grupo y, a continuación, deshabilite la configuración de directiva mediante directiva de grupo Editor object. Para ello, siga estos pasos:

  1. Compruebe que la configuración de directiva "Forzar la configuración de subcategoría de directiva de auditoría (Windows Vista o posterior) para invalidar la configuración de categoría de directiva de auditoría" se ha habilitado mediante directiva de grupo. Para ello, siga estos pasos:

    1. En el equipo, haga clic en Inicio, seleccione Todos los programas, accesorios, haga clic en Ejecutar, escriba rsop.msc en el cuadro Abrir y, a continuación, haga clic en Aceptar.
    2. Expanda Configuración del equipo, configuración de Windows, configuración de seguridad, directivas localesy, a continuación, haga clic en Opciones de seguridad.
    3. Haga doble clic en Auditar: forzar la configuración de subcategoría de directiva de auditoría (Windows Vista o posterior) para invalidar la configuración de la categoría de directiva de auditoría.
    4. Compruebe que la configuración de directiva está establecida en Habilitado y, a continuación, anote el objeto directiva de grupo (GPO).

  2. Deshabilite la opción de directiva "Forzar la configuración de subcategoría de directiva de auditoría (Windows Vista o posterior) para invalidar la configuración de categoría de directiva de auditoría" en el GPO. Para ello, siga estos pasos:

    1. En directiva de grupo object Editor, abra el GPO.
    2. Expanda Configuración del equipo, configuración de Windows, configuración de seguridad, directivas localesy, a continuación, haga clic en Opciones de seguridad.
    3. Haga doble clic en Auditar: forzar la configuración de subcategoría de directiva de auditoría (Windows Vista o posterior) para invalidar la configuración de la categoría de directiva de auditoría.
    4. Haga clic en Deshabilitadoy, a continuación, haga clic en Aceptar.

  3. Reinicie el equipo o los equipos.

Resolución 2: Deshabilitar la configuración de directiva mediante el registro Editor

Importante

Esta sección, método o tarea contiene pasos que le indican cómo modificar el Registro. No obstante, pueden producirse problemas graves si modifica el registro de manera incorrecta. En consecuencia, asegúrese de seguir estos pasos cuidadosamente. Para mayor protección, cree una copia de seguridad del registro antes de modificarlo. Después, puede restaurar el registro si se produce un problema. Para obtener más información sobre cómo hacer una copia de seguridad del Registro y cómo restaurarlo, consulte Cómo realizar una copia de seguridad del Registro y restaurarlo en Windows.

Para deshabilitar manualmente la configuración de directiva mediante Editor del Registro, siga estos pasos:

  1. Inicie sesión en Windows Vista o Windows Server 2008 como un usuario que sea miembro del grupo Administradores.
  2. Haga clic en Inicio, seleccione Todos los programas, haga clic en Accesorios, haga clic en Ejecutar, escriba regedit en el cuadro Abrir y, a continuación, haga clic en Aceptar. Si el cuadro de diálogo Control de cuentas de usuario se muestra en la pantalla y le pide que eleve el token de administrador, haga clic en Continuar.
  3. Busque la siguiente subclave del Registro y haga clic en ella: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA.
  4. Haga clic con el botón derecho en SCENoApplyLegacyAuditPolicy y, a continuación, haga clic en Modificar.
  5. Escriba 0 en el cuadro Datos de valor y, a continuación, haga clic en Aceptar.
  6. Salga del Editor del Registro.
  7. Reinicie el equipo.

Nota:

Si la directiva es una directiva basada en dominio y no es una directiva basada localmente, es posible que tenga que esperar a que la replicación de Active Directory y la replicación SYSVOL se completen antes de que la configuración de la directiva surta efecto en los equipos.

Más información

Windows Vista y versiones posteriores de Windows permiten administrar las directivas de auditoría de forma más precisa mediante subcategorías de directivas de auditoría. Si configura directivas de auditoría en el nivel de categoría, invalidará las subcategorías de directivas de auditoría.

Si desea administrar directivas de auditoría mediante subcategorías de directivas de auditoría y no desea usar directiva de grupo, puede configurar la entrada del Registro SCENoApplyLegacyAuditPolicy. Al configurar la entrada del registro SCENoApplyLegacyAuditPolicy, se impide que se apliquen directivas de auditoría de nivel de categoría configuradas mediante directiva de grupo o la herramienta Directiva de seguridad local.

Sin embargo, tenga en cuenta que es posible que la configuración de directiva no se aplique si se configura una directiva diferente para invalidar la directiva de auditoría de nivel de categoría.