Cómo usar Directiva de grupo para configurar las opciones detalladas de auditoría de seguridad de los equipos cliente Windows Vista en un dominio de Windows Server 2003 o de Windows 2000

Seleccione idioma Seleccione idioma
Id. de artículo: 921469 - Ver los productos a los que se aplica este artículo
Información de la versión beta
No hay soporte técnico disponible para la versión Beta de este producto. Si desea información acerca de cómo obtener soporte técnico para una versión Beta, consulte la documentación incluida con los archivos del producto o busque en el sitio Web desde el que descargó la versión.
Expandir todo | Contraer todo

En esta página

Resumen

En este artículo se describe cómo usar Directiva de grupo para configurar las opciones detalladas de auditoría de seguridad de los equipos cliente Microsoft Windows Vista en un dominio de Windows Server 2003 o de Windows 2000. Windows Vista permite administrar directivas de auditoría en un nivel más detallado con subcategorías de directivas de auditoría. En este artículo se describe un procedimiento que los administradores pueden usar para implementar una directiva de auditoría personalizada que aplique una configuración de auditoría de seguridad detallada en los equipos cliente Windows Vista.

INTRODUCCIÓN

En este artículo se explica cómo usar Directiva de grupo para configurar las opciones detalladas de auditoría de seguridad de los equipos cliente Windows Vista en un dominio de Windows Server 2003 o de Windows 2000. En Windows Vista, tiene más control sobre las subcategorías de directivas de auditoría individuales que en las versiones anteriores de los sistemas operativos Windows. Las subcategorías de directivas de auditoría individuales disponibles en Windows Vista no se exponen en la interfaz de las herramientas de Directiva de grupo. Los administradores pueden usar el procedimiento que se describe en este artículo para implementar una directiva de auditoría personalizada que aplique opciones de auditoría de seguridad detalladas en los equipos cliente Microsoft Windows Vista en un dominio de Windows Server 2003 o de Windows 2000.

Más información

Consideraciones

A continuación se enumeran cuestiones que hay que considerar antes de realizar el procedimiento que se describe en este artículo:
  • El procedimiento usa código de ejemplo. El código de ejemplo usa el recurso compartido Netlogon. Además, utiliza la carpeta %SystemRoot%\Temp como caché.
  • El procedimiento usa el dominio de ejemplo Contoso.com.
  • En el procedimiento se supone que se cumplen las condiciones siguientes:
    • Está familiarizado con las siguientes tecnologías y herramientas:
      • Scripts de inicio de Directiva de grupo
      • Consola de administración de directiva de grupo
      • Herramienta de la línea de comandos Auditpol.exe
    • Tiene conocimientos básicos del procesamiento de archivos de lotes.
    • Cómo usar Directiva de grupo para configurar las opciones detalladas de auditoría de los equipos cliente Windows Vista en un dominio de Windows Server 2003 o de Windows 2000 La directiva de auditoría está asignada a la directiva predeterminada de dominio.
  • Conoce los scripts que el procedimiento usa para anular la configuración de directivas de auditoría basadas en dominios antiguas con la configuración detallada que está disponible en Windows Vista. Si no desea configurar las opciones de directivas de auditoría detalladas disponibles en Windows Vista, no use el procedimiento que se explica en este artículo.

Usar Directiva de grupo para configurar las opciones detalladas de auditoría de seguridad de los equipos cliente Windows Vista en un dominio de Windows Server 2003 o de Windows 2000

Para usar Directiva de grupo para configurar las opciones detalladas de auditoría de seguridad de los equipos cliente Windows Vista en un dominio de Windows Server 2003 o de Windows 2000, siga estos pasos.

Paso 1: determine la configuración de auditoría de seguridad que desea implementar en los equipos cliente Windows Vista

  1. Inicie sesión en un equipo en el que se ejecute Windows Vista como un usuario con credenciales administrativas.
  2. Haga clic en Inicio, seleccione Todos los programas, haga clic en Accesorios, haga clic con el botón secundario del mouse en Símbolo del sistema y haga clic en Ejecutar como administrador.
  3. En el cuadro de diálogo Control de cuentas de usuario, haga clic en Continuar.
  4. Vacíe la configuración de directiva de auditoría predeterminada. Para ello, escriba la línea siguiente en el símbolo de sistema y, a continuación, presione ENTRAR:
    auditpol /clear
  5. Utilice la herramienta de línea de comandos Auditpol.exe para configurar los valores de la directiva de auditoría personalizada que desee.

    Por ejemplo, escriba las líneas siguientes en un símbolo del sistema. Presione ENTRAR después de cada línea.
    auditpol /set /subcategory:"user account management" /success:enable /failure:enable
    auditpol /set /subcategory:"logon" /success:enable /failure:enable
    auditpol /set /subcategory:"IPSEC Main Mode" /failure:enable
    Nota
    Para ver todas las categorías y subcategorías posibles, escriba la línea siguiente en el símbolo del sistema y presione Entrar:
    auditpol /list /subcategory:*
  6. Escriba la línea siguiente en el símbolo del sistema y presione Entrar:
    auditpol /backup /file:auditpolicy.txt
  7. Copie el archivo Auditpolicy.txt en el recurso compartido Netlogon del controlador de dominio que tenga la función de emulador de controlador de dominio principal (PDC) en el dominio.

    El archivo Auditpolicy.txt contiene todos los valores de la directiva de auditoría que configuró. El script de inicio usa este archivo para volver a aplicar la directiva. Cuando aplique correctamente el script de inicio una vez, no tendrá que reiniciar el equipo para actualizar la configuración de la directiva de auditoría. Para actualizar la configuración de la directiva de auditoría, sobrescriba la versión anterior del archivo Auditpolicy.txt que copió en el recurso compartido Netlogon. Para ello, cree un nuevo archivo Auditpolicy.txt y cópielo en el recurso compartido Netlogon.

Paso 2: impida que la directiva de auditoría de dominio anterior sobrescriba la directiva de auditoría de los equipos cliente Windows Vista

Para impedir que la directiva de dominio anterior sobrescriba la directiva de auditoría, debe habilitar la configuración de directiva Hacer que la configuración de las subcategorías de la directiva de auditoría (Windows Vista o posterior) anule la configuración de las categorías. Esto impide que la directiva de auditoría basada en el dominio sobrescriba la configuración de la directiva de auditoría más detallada de los equipos cliente Windows Vista. Para ello, siga estos pasos:
  1. En un equipo cliente Windows Vista que esté unido al dominio, abra la directiva de dominio predeterminada.
  2. Expanda Configuración del equipo, Configuración de Windows, Configuración de seguridad, Directivas locales y, después, haga clic en Opciones de seguridad.
  3. Haga doble clic en Auditar: Hacer que la configuración de las subcategorías de la directiva de auditoría (Windows Vista o posterior) anule la configuración de las categorías.
  4. Haga clic en Habilitado y después en Aceptar.

Paso 3: cree los scripts y agréguelos al recurso compartido Netlogon

Microsoft proporciona ejemplos de programación con fines ilustrativos únicamente, sin ninguna garantía tanto expresa como implícita. Esto incluye, entre otras, las garantías implícitas de comerciabilidad e idoneidad para un fin determinado. En este artículo se da por supuesto que ya conoce el lenguaje de programación que se muestra, así como las herramientas empleadas para crear y depurar procedimientos. Los ingenieros de soporte técnico de Microsoft pueden explicarle la funcionalidad de un determinado procedimiento, pero no modificarán estos ejemplos para ofrecer mayor funcionalidad ni crearán procedimientos adaptados a sus necesidades específicas.
  1. Cree el script AuditPolicy.cmd. Para ello, siga estos pasos:
    1. Inicie el Bloc de notas y abra un documento en blanco.
    2. Pegue el código siguiente en el documento del Bloc de notas:
      @echo off
      
      REM AuditPolicy.cmd
      REM (c) 2006 Microsoft Corporation.  All rights reserved.
      REM Sample Audit Script to deploy Windows Vista
      REM Granular Audit Policy settings.
      
      REM Should be run as a startup script from Group Policy
      
      REM ###################################################
      REM Declare Variables so that we only need to edit file
      REM names/paths in one location in script
      REM ###################################################
      
      set AuditPolicyLog=%systemroot%\temp\auditpolicy.log
      set OSVersionSwap=%systemroot%\temp\osversionwap.txt
      set OsVersionTxt=%systemroot%\temp\osversion.txt
      set MachineDomainTxt=%systemroot%\temp\machinedomain.txt
      set MachineDomainSwap=%systemroot%\temp\machinedomainSwap.txt
      set ApplyAuditPolicyCMD=applyauditpolicy.cmd
      set AuditPolicyTxt=auditpolicy.txt
      
      REM ###################################################
      REM Clear Log & start fresh
      REM ###################################################
      
      if exist %AuditPolicyLog% del %AuditPolicyLog% /q /f
      date /t > %AuditPolicyLog% & time /t >> %AuditPolicyLog%
      echo.
      
      REM ###################################################
      REM Check OS Version
      REM ###################################################
      
      ver | findstr "[" > %OSVersionSwap%
      for /f "tokens=2 delims=[" %%i in (%OSVersionSwap%) do echo %%i > %OsVersionTxt%
      for /f "tokens=2 delims=] " %%i in (%OsVersionTxt%) do set osversion=%%i
      echo OS Version=%osversion% >> %AuditPolicyLog%
      
      REM ###################################################
      REM Skip Pre-Vista
      REM ###################################################
      
      if "%osversion%" LSS "6.0" exit /b 1
      
      REM ###################################################
      REM Get Domain Name
      REM ###################################################
      
      WMIC /namespace:\\root\cimv2 path Win32_ComputerSystem get domain /format:list > %MachineDomainSwap%
      find /i "Domain=" %MachineDomainSwap% > %MachineDomainTxt%
      for /f "Tokens=2 Delims==" %%i in (%MachineDomainTxt%) do set machinedomain=%%i
      echo Machine domain=%machinedomain% >> %AuditPolicyLog%
      
      REM ###################################################
      REM Copy Script & Policy to Local Directory or Terminate
      REM ###################################################
      
      xcopy \\%machinedomain%\netlogon\%ApplyAuditPolicyCMD% %systemroot%\temp\*.* /r /h /v /y
      if %ERRORLEVEL% NEQ 0 (
          echo Could not read \\%machinedomain%\netlogon\%ApplyAuditPolicyCMD% >> %AuditPolicyLog%
          exit /b 1
      ) else (
          echo Copied \\%machinedomain%\netlogon\%ApplyAuditPolicyCMD% to %systemroot%\temp >> %AuditPolicyLog%
      )
      
      xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt% %systemroot%\temp\*.* /r /h /v /y
      if %ERRORLEVEL% NEQ 0 (
          echo Could not read \\%machinedomain%\netlogon\%AuditPolicyTxt% >> %AuditPolicyLog%
          exit /b 1
      ) else (
          echo Copied \\%machinedomain%\netlogon\%AuditPolicyTxt% to %systemroot%\temp >> %AuditPolicyLog%
      )
      
      REM ###################################################
      REM Create Named Scheduled Task to Apply Policy
      REM ###################################################
      
      %systemroot%\system32\schtasks.exe /create /ru System /tn audit /sc hourly /mo 1 /f /rl highest /tr "%systemroot%\temp\%ApplyAuditPolicyCMD%"
      if %ERRORLEVEL% NEQ 0 (
          echo Failed to create scheduled task for Audit >> %AuditPolicyLog%
          exit /b 1
      ) else (
          echo Created scheduled task for Audit >> %AuditPolicyLog%
      )
      
      REM ###################################################
      REM Start Named Scheduled Task to Apply Policy
      REM ###################################################
      
      %systemroot%\system32\schtasks.exe /run /tn audit
      if %ERRORLEVEL% NEQ 0 (
          Failed to execute scheduled task for Audit >> %AuditPolicyLog%
      ) else (
          echo Executed scheduled task for Audit >> %AuditPolicyLog%
      )
    3. En el menú Archivo, haga clic en Guardar.
    4. En el cuadro Guardar como tipo, seleccione Todos los archivos, escriba AuditPolicy.cmd en el cuadro Nombre de archivo y, a continuación, haga clic en Guardar.
  2. Cree el script AuditPolicy.cmd. Para ello, siga estos pasos:
    1. Inicie el Bloc de notas y abra un documento en blanco.
    2. Pegue el código siguiente en el documento del Bloc de notas:
      @echo off
      
      REM ApplyAuditPolicy.cmd
      REM (c) 2006 Microsoft Corporation.  All rights reserved.
      REM Sample Audit Script to deploy Windows Vista
      REM Granular Audit Policy settings.
      
      
      REM ###################################################
      REM Declare Variables so that we only need to edit file
      REM names/paths in one location in script
      REM ###################################################
      
      set DeleteAudit=DeleteAudit.txt
      set AuditPolicyLog=%systemroot%\temp\AuditPolicy.log
      set ApplyAuditPolicyLog=%systemroot%\temp\ApplyAuditPolicy.log
      set OSVersionSwap=%systemroot%\temp\osversionwap.txt
      set OsVersionTxt=%systemroot%\temp\osversion.txt
      set MachineDomainTxt=%systemroot%\temp\machinedomain.txt
      set MachineDomainSwap=%systemroot%\temp\machinedomainSwap.txt
      set ApplyAuditPolicyCMD=ApplyAuditpolicy.cmd
      set AuditPolicyTxt=AuditPolicy.txt
      
      REM ###################################################
      REM Clear Log & start fresh
      REM ###################################################
      
      if exist %ApplyAuditPolicyLog% del %ApplyAuditPolicyLog% /q /f
      date /t > %ApplyAuditPolicyLog% & time /t >> %ApplyAuditPolicyLog%
      echo.
      
      REM ###################################################
      REM Check OS Version
      REM ###################################################
      
      ver | findstr "[" > %OSVersionSwap%
      for /f "tokens=2 delims=[" %%i in (%OSVersionSwap%) do echo %%i > %OsVersionTxt%
      for /f "tokens=2 delims=] " %%i in (%OsVersionTxt%) do set osversion=%%i
      echo OS Version=%osversion% >> %ApplyAuditPolicyLog%
      
      REM ###################################################
      REM Skip Pre-Vista
      REM ###################################################
      
      if "%osversion%" LSS "6.0" exit /b 1
      
      REM ###################################################
      REM Get Domain Name
      REM ###################################################
      
      WMIC /namespace:\\root\cimv2 path Win32_ComputerSystem get domain /format:list > %MachineDomainSwap%
      find /i "Domain=" %MachineDomainSwap% > %MachineDomainTxt%
      for /f "Tokens=2 Delims==" %%i in (%MachineDomainTxt%) do set machinedomain=%%i
      echo Machine domain=%machinedomain% >> %ApplyAuditPolicyLog%
      
      REM ###################################################
      REM Delete Audit Task
      REM Should only be used to remove the pseudo-policy from
      REM client machines (designed for future Vista revisions
      REM where this script will no longer be necessary, and this
      REM script needs to be backed out).
      
      REM to use, simply create a file in NETLOGON with a name
      REM that matches the contents of DeleteAudit variable (above)
      REM ###################################################
      
      if exist \\%machinedomain%\netlogon\%DeleteAudit% (
          %systemroot%\system32\schtasks.exe /delete /tn "Audit" /F
          DEL %AuditPolicyLog%
          DEL %ApplyAuditPolicyLog%
          DEL %OSVersionSwap%
          DEL %OsVersionTxt%
          DEL %MachineDomainTxt%
          DEL %MachineDomainSwap%
          DEL %systemroot%\temp\%ApplyAuditPolicyCMD%
          DEL %systemroot%\temp\%AuditPolicyTxt%
          exit /b 1
      ) 
      
      REM ###################################################
      REM Copy Audit Policy to Local Directory
      REM This is tolerant of failures since the copy is just
      REM a "cache refresh".
      REM ###################################################
      
      xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt% %systemroot%\temp\*.* /r /h /v /y
      if %ERRORLEVEL% NEQ 0 (
          echo Could not read \\%machinedomain%\netlogon\%AuditPolicyTxt% so using previous cached copy>> %ApplyAuditPolicyLog%
      ) else (
          echo Copied \\%machinedomain%\netlogon\%AuditPolicyTxt% to %systemroot%\temp >> %ApplyAuditPolicyLog%
      )
      
      REM ###################################################
      REM Apply Policy
      REM ###################################################
      
      %systemroot%\system32\auditpol.exe /restore /file:%systemroot%\temp\%AuditPolicyTxt%
      if %ERRORLEVEL% NEQ 0 (
          Failed to apply audit settings >> %ApplyAuditPolicyLog%
      ) else (
          echo Successfully applied audit settings >> %ApplyAuditPolicyLog%
      )
    3. En el menú Archivo, haga clic en Guardar.
    4. En el cuadro Guardar como tipo, seleccione Todos los archivos, escriba ApplyAuditPolicy.cmd en el cuadro Nombre de archivo y, a continuación, haga clic en Guardar.
  3. Copie los scripts Auditpolicy.cmd y ApplyAuditPolicy.cmd en el recurso compartido Netlogon del controlador de dominio que tenga la función de emulador de PDC en el dominio.
  4. Espere hasta que se produzca la replicación de Active Directory. Además, espere hasta que los archivos y carpetas de la carpeta del recurso compartido del volumen del sistema (SYSVOL) se repliquen en los controladores de dominio del dominio.
  5. Agregue el script de inicio a la directiva de dominio predeterminada. Para ello, siga estos pasos:
    1. Inicie la herramienta Usuarios y equipos de Active Directory.
    2. Haga clic con el botón secundario del mouse en nombreDeDominio y, a continuación, en Propiedades.
    3. Haga clic en la ficha Directiva de grupo, en Directiva de dominio predeterminada y, después, en Modificar. Se inicia la herramienta Editor de objetos de directiva de grupo.
    4. Expanda Configuración del equipo, Configuración de Windows y, a continuación, haga clic en Scripts (inicio/apagado).
    5. Haga doble clic en Inicio y, después, haga clic en Agregar.
    6. En el cuadro Nombre de script, escriba la ruta del archivo AuditPolicy.cmd que se encuentra en el recurso compartido Netlogon de acuerdo con la Convención de nomenclatura universal (UNC). Utilice el formato siguiente:
      \\nombreCompletoDeDominio\Netlogon\AuditPolicy.cmd
      Por ejemplo, escriba \\contoso.com\netlogon\auditpolicy.cmd.
    7. Haga clic dos veces en Aceptar.

Paso 4: compruebe que la configuración de auditoría de seguridad se aplica correctamente

  1. Espere hasta que se produzca la replicación de Active Directory. Además, espere hasta que los archivos y carpetas de la carpeta del recurso compartido del volumen del sistema (SYSVOL) se repliquen en los controladores de dominio del dominio.
  2. Reinicie un equipo cliente Windows Vista que esté unido al dominio. Después, inicie sesión en el equipo como un usuario que tenga credenciales de administrador local.
  3. Haga clic en Inicio, seleccione Todos los programas y haga clic en Accesorios.
  4. Haga clic con el botón secundario del mouse en Símbolo del sistema y, a continuación, haga clic en Ejecutar como administrador.
  5. En el cuadro de diálogo Control de cuentas de usuario, haga clic en Continuar.
  6. Escriba la línea siguiente en el símbolo del sistema y presione Entrar:
    auditpol /get /category:*
  7. Compruebe que la configuración de auditoría de seguridad que se muestra en el símbolo del sistema coincide con la configuración del archivo AuditPolicy.txt que creó en "Paso 1: determine la configuración de auditoría de seguridad que desea implementar en los equipos cliente Windows Vista.".

    Si la configuración de auditoría de seguridad no coincide, examine los archivos de registro que genera el script de inicio en la carpeta %SystemRoot%\Temp. Si no hay ningún archivo en la carpeta %SystemRoot%\Temp, examine el equipo cliente Windows Vista para averiguar por qué no se aplicó la directiva de grupo.

Referencias

Para obtener más información acerca de cómo configurar scripts de inicio en Active Directory, visite los siguientes sitios web de Microsoft:
http://technet2.microsoft.com/WindowsServer/en/Library/dcaa775e-0012-4e43-8e68-a31b32b4241f1033.mspx?mfr=true
http://technet2.microsoft.com/WindowsServer/en/Library/65aa4e48-8b1f-42bc-b20f-64f67367dadc1033.mspx?mfr=true
Para obtener más información acerca de la Consola de administración de directivas de grupo, visite el siguiente sitio web de Microsoft:
http://technet2.microsoft.com/WindowsServer/en/Library/7a0aaa61-5152-4489-86c9-b083b22b21731033.mspx?mfr=true
Para obtener más información acerca de las herramientas de línea de comandos Auditpol.exe y Schtasks.exe, vea Ayuda y soporte técnico de Windows Vista.

Propiedades

Id. de artículo: 921469 - Última revisión: lunes, 20 de noviembre de 2006 - Versión: 2.1
La información de este artículo se refiere a:
  • Windows Vista Ultimate
  • Windows Vista Business
  • Windows Vista Enterprise
Palabras clave: 
kbhowto kbinfo kbexpertiseinter KB921469

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com