Cómo utilizar Directiva de grupo para auditar claves del Registro en Windows Server 2003

IMPORTANTE: Este artículo contiene información acerca de cómo modificar el Registro. Antes de modificar el Registro, asegúrese de hacer una copia de seguridad del mismo y de que sabe cómo restaurarlo si ocurre algún problema. Para obtener información acerca de cómo realizar una copia de seguridad, restaurar y modificar el Registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
256986 Definición del Registro de Microsoft Windows

Resumen

En este artículo se describe cómo utilizar Directiva de grupo para configurar la auditoría de claves del Registro de Windows.


Crear un objeto de directiva de grupo

Para crear un objeto de directiva de grupo (GPO) que pueda utilizar para activar la auditoría en un dominio, siga estos pasos:
  1. Haga clic en Inicio, seleccione Herramientas administrativas y haga clic en Usuarios y equipos de Active Directory.
  2. Haga clic con el botón secundario en su dominio y, a continuación, haga clic en Propiedades.
  3. Haga clic en Directiva de grupo y, después, haga clic en Nueva.
  4. Escriba el nombre que desee utilizar para esta directiva (por ejemplo, Habilitar directiva de auditoría) y presione ENTRAR.
  5. Haga clic en Propiedades y, después, haga clic en la ficha Seguridad.
  6. Haga clic para desactivar la casilla de verificación Permitir situada junto a Aplicar directiva de grupos para los grupos de seguridad a los que no desee que se aplique esta directiva.
  7. Haga clic para activar la casilla de verificación Permitir situada junto a Aplicar directiva de grupos para los grupos a los que desee que se aplique esta directiva y, a continuación, haga clic en Aceptar.
  8. Haga clic en Aceptar, vuelva a hacer clic en Aceptar, y salga de Usuarios y equipos de Active Directory.

Activar la auditoría en Directiva de grupo

Si la auditoría aún no está activada, debe activarla. En un dominio, active la auditoría en un GPO vinculado al dominio. En un servidor o en una estación de trabajo que no sea miembro del dominio, active la auditoría en un GPO local.

Activar la auditoría en un controlador de dominio

  1. Haga clic en Inicio, seleccione Herramientas administrativas y haga clic en Usuarios y equipos de Active Directory.
  2. Haga clic con el botón secundario en su dominio y, a continuación, haga clic en Propiedades.
  3. Haga clic en la ficha Directiva de grupo, haga clic en el objeto de directiva de grupo que desee utilizar y, a continuación, haga clic en Modificar.
  4. Bajo Configuración del equipo, expanda Configuración de Windows, Configuración de seguridad y Directivas locales y, después, haga clic en Directiva de auditoría.
  5. En el panel derecho, haga doble clic en Auditar el acceso a objetos.
  6. Haga clic para activar las casillas de verificación
    Definir esta configuración de directiva, Correcto y Error, y haga clic en Aceptar.

    NOTA: La configuración de directiva Auditar acceso a objetos es suficiente para activar la auditoría para el Registro de Windows.
  7. Salga del complemento Editor de objetos de directiva de grupo y haga clic en Cerrar.

Activar la auditoría en un equipo que no es miembro de un dominio

  1. Haga clic en Inicio y, a continuación, haga clic en Ejecutar.
  2. En el cuadro Abrir, escriba gpedit.msc y haga clic en Aceptar.
  3. Bajo Configuración del equipo, expanda Configuración de Windows, Configuración de seguridad y Directivas locales y, después, haga clic en Directiva de auditoría.
  4. En el panel derecho, haga doble clic en Auditar el acceso a objetos.
  5. Haga clic para activar las casillas de verificación Correcto y Error y, a continuación, haga clic en Aceptar.

    NOTA: la directiva Auditar el acceso a objetos es suficiente para activar la auditoría para el Registro de Windows.
  6. Salga del complemento Editor de objetos de directiva de grupo.

Auditar una clave del Registro

ADVERTENCIA: si utiliza incorrectamente el Editor del Registro puede tener serios problemas que tal vez requieran volver a instalar el sistema operativo. Microsoft no garantiza que pueda solucionar los problemas derivados del uso incorrecto del Editor del Registro. Utilice el Editor del Registro bajo su responsabilidad.
  1. Haga clic en Inicio y, a continuación, haga clic en Ejecutar.
  2. En el cuadro Abrir, escriba regedit y haga clic en Aceptar.
  3. Busque y haga clic en la clave del Registro que desee auditar; por ejemplo:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  4. En el menú Edición, haga clic en Permisos.
  5. Haga clic en Opciones avanzadas, haga clic en la ficha Auditoría y, después, haga clic en Agregar.
  6. Escriba la cuenta de usuario o el grupo cuyo acceso a esta clave del Registro desea auditar, haga clic en Comprobar nombres para comprobar el nombre y, a continuación, haga clic en Aceptar.
  7. En el cuadro Aplicar a, haga clic en la opción que desee.
  8. Haga clic para activar las casillas de verificación Correcto y Error situadas junto a los tipos de acceso siguientes:

    Establecer valor
    Crear subclave
  9. Haga clic en Aceptar y, después, vuelva a hacer clic en Aceptar.

    Es posible que aparezca el mensaje siguiente:

    El plan de auditoría actual de este equipo no tiene activada la auditoría. Si este equipo obtiene el plan de auditoría del dominio, pida al administrador del dominio que active la auditoría usando el Editor de directivas de grupo. De lo contrario, use el Editor de directivas de equipo local para configurar el plan de auditoría localmente en este equipo.


    Si la auditoría no está activada, debe activarla siguiendo los pasos que se describen en la sección Activar la auditoría en Directiva de grupo de este artículo.
  10. Haga clic en Aceptar.
  11. Salga del Editor del Registro.
Los sucesos de auditoría se muestran en el registro de seguridad del Visor de sucesos.

Utilizar una plantilla de seguridad para auditar claves del Registro

También puede utilizar una plantilla de seguridad para auditar claves del Registro. Para configurar la directiva de auditoría, cree una plantilla de seguridad personalizada o modifique una existente y utilice después Directiva de grupo para aplicar esta plantilla a varios equipos de un dominio o de una unidad organizativa.

Crear una plantilla de seguridad

Para crear una plantilla de seguridad nueva o modificar una plantilla existente, siga estos pasos:
  1. Haga clic en Inicio y, a continuación, haga clic en Ejecutar.
  2. En el cuadro Abrir, escriba mmc y haga clic en Aceptar.
  3. En el menú Archivo, haga clic en Agregar o quitar complemento.
  4. Haga clic sucesivamente en Agregar, Plantillas de seguridad, Agregar, Cerrar y Aceptar.
  5. En el árbol de consola, expanda Plantillas de seguridad y, a continuación, expanda unidad :\WINDOWS\Security\Templates, donde unidad es la unidad en la que se ha instalado Windows.
  6. Realice una de las operaciones siguientes:
    • Si desea modificar una plantilla existente, expanda la plantilla que desee utilizar; por ejemplo, hisecws (plantilla para estaciones de trabajo de alta seguridad).
    • Si desea crear una plantilla de seguridad nueva, siga estos pasos:
      1. Haga clic con el botón secundario en unidad:\WINDOWS\Security\Templates y, a continuación, haga clic en Nueva plantilla.
      2. Escriba un nombre para la plantilla en el cuadro
        Nombre de plantilla y haga clic en Aceptar.
      3. Expanda la nueva plantilla que creó.
  7. Haga clic con el botón secundario en Registro y, después, haga clic en Agregar clave.
  8. En la lista Registro, haga clic en la clave del Registro que desee utilizar y, a continuación, haga clic en Aceptar. Por ejemplo:

    MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  9. Haga clic en Opciones avanzadas, haga clic en la ficha Auditoría y, después, haga clic en Agregar.
  10. Escriba la cuenta de usuario o el grupo cuyo acceso a esta clave del Registro desea auditar, haga clic en Comprobar nombres para comprobar el nombre y, a continuación, haga clic en Aceptar.
  11. En el cuadro Aplicar a, haga clic en la opción que desee.
  12. Haga clic para activar las casillas de verificación Correcto y Error situadas junto al tipo de acceso que desea auditar para el usuario o el grupo de seguridad seleccionado y, a continuación, haga clic en Aceptar.

    Por ejemplo, haga clic para activar las casillas de verificación Correcto y Error situadas junto a Establecer valor.
  13. Haga clic en Aceptar.

    Si aparece el mensaje siguiente, haga clic en Aceptar:

    El plan de auditoría actual de este equipo no tiene activada la auditoría. Si este equipo obtiene el plan de auditoría del dominio, pida al administrador del dominio que active la auditoría usando el Editor de directivas de grupo. De lo contrario, use el Editor de directivas de equipo local para configurar el plan de auditoría localmente en este equipo.
  14. Haga clic en Aceptar y, después, vuelva a hacer clic en Aceptar.
  15. Expanda Directivas locales y haga clic en Directiva de auditoría.
  16. En el panel derecho, haga doble clic en Auditar el acceso a objetos.
  17. Haga clic para seleccionar Definir esta configuración de directiva en la casilla de verificación
    Plantilla, active las casillas de verificación Correcto y Error, y haga clic en Aceptar.

    NOTA: la configuración de directiva Auditar el acceso a objetos es suficiente para activar la auditoría para el Registro de Windows.
  18. Salga del complemento Plantillas de seguridad.
  19. Si aparece un cuadro de diálogo Guardar las plantillas de seguridad, haga clic en para guardar la plantilla de seguridad personalizada que creó.

Aplicar la plantilla de seguridad

Utilice Directiva de grupo para aplicar la plantilla de seguridad que contiene la directiva de auditoría que configuró. Para ello, siga estos pasos:
  1. Haga clic en Inicio, seleccione Herramientas administrativas y haga clic en Usuarios y equipos de Active Directory.
  2. Realice una de las acciones siguientes:
    • Si desea aplicar la plantilla de seguridad a todo el dominio, haga clic con el botón secundario en el dominio y, a continuación, haga clic en Propiedades.

      O bien
    • Si desea aplicar las plantillas de seguridad a una unidad organizativa, expanda el dominio, haga clic con el botón secundario en la unidad organizativa y, a continuación, haga clic en Propiedades.
  3. Cree un GPO para aplicar la plantilla de seguridad. Para ello:
    1. Haga clic en la ficha Directiva de grupo.
    2. Haga clic en Nuevo.
    3. Escriba un nombre para el GPO en el cuadro
      Nuevo objeto directiva de grupo (por ejemplo,
      Aplicar plantilla de seguridad de directiva de auditoría) y presione ENTRAR.
  4. Haga clic en Modificar.
  5. Bajo Configuración del equipo, expanda Configuración de Windows, haga clic con el botón secundario en Configuración de seguridad y, después, haga clic en Importar directiva.
  6. Haga clic en la plantilla de seguridad que creó, active la casilla de verificación Limpiar esta base de datos antes de importarla y haga clic en Abrir.

    NOTA: cuando la casilla de verificación Limpiar esta base de datos antes de importarla está activada, todas las configuraciones de seguridad del GPO se reemplazan por las de la plantilla de seguridad que importe.
  7. Salga del complemento Editor de objetos de directiva de grupo y haga clic en Cerrar.
  8. Cierre Usuarios y equipos de Active Directory.

Solucionar problemas

Después de configurar la auditoría, es posible que el servicio no funcione. Esto puede ocurrir por alguno de los motivos siguientes:
  • La configuración de directiva de un sitio, un dominio o una unidad organizativa invalida la directiva de auditoría que configuró. Para solucionar este problema, siga estos pasos:
    1. Haga clic en Inicio y, a continuación, haga clic en Ejecutar.
    2. En el cuadro Abrir, escriba gpedit.msc y haga clic en Aceptar.
    3. Bajo Configuración del equipo, expanda Configuración de Windows, Configuración de seguridad y Directivas locales y, después, haga clic en Directiva de auditoría.
    4. En el panel derecho, vea el elemento en la columna Configuración de seguridad de la directiva que desee utilizar.

      Si la configuración de seguridad de la directiva es Sin auditoría, un objeto de directiva de grupo de nivel superior puede estar reemplazando la configuración de directiva de auditoria que configuró. Para confirmar este comportamiento, vea los elementos de GPO de nivel superior vinculados a la unidad organizativa o al dominio para comprobar si existe algún conflicto.
    5. Haga clic para activar las casillas de verificación
      Auditar estos intentos, Correcto y Error, y haga clic en Aceptar.

      NOTA: la configuración de directiva Auditar el acceso a objetos es suficiente para activar la auditoría para el Registro de Windows.
    6. Salga del complemento Editor de objetos de directiva de grupo.
  • Un GPO que invalida la configuración de la directiva de auditoría tiene mayor prioridad. Para solucionar este problema, siga estos pasos:
    1. Haga clic en Inicio, seleccione Herramientas administrativas y haga clic en Usuarios y equipos de Active Directory.
    2. En el árbol de consola, haga clic con el botón secundario en su dominio y, a continuación, haga clic en Propiedades.
    3. Haga clic en la ficha Directiva de grupo. Vea la lista Vínculos de los objetos de directiva de grupo.

      Los elementos que aparecen más arriba en la lista reemplazan a los de nivel inferior.
    4. Si el GPO que contiene la configuración de la directiva de auditoría aparece debajo de un GPO con mayor prioridad que desactiva la auditoría, realice uno de los pasos siguientes:
      • Haga clic en el GPO que contenga la configuración de la directiva de auditoría que desee utilizar y, después, haga clic en Subir para moverlo encima del elemento con mayor prioridad de la lista.

        ADVERTENCIA: asegúrese de que otras configuraciones del GPO no entran en conflicto con las de los GPO que aparecen debajo.

        O bien
      • Modifique los GPO que aparecen encima del GPO que contiene la configuración de la directiva de auditoría para quitar configuraciones de directiva que entran en conflicto.

        NOTA: quizás desee combinar la configuración de auditoría de un GPO con la de un GPO de nivel superior para resolver el conflicto y reducir el número de GPO.
    5. Cuando haya terminado, haga clic en Aceptar y, a continuación, haga clic en Salir en el menú Archivo.
  • La configuración de directiva del sitio, el dominio o la unidad organizativa que contiene la configuración de la directiva de auditoría no se ha replicado a otros equipos. Para resolver este problema, emplee la utilidad Secedit.exe de la línea de comandos para forzar la actualización de Directiva de grupo.

Referencias

Para obtener más información acerca de cómo utilizar Directiva de grupo, haga clic en los números de artículo siguientes para verlos en Microsoft Knowledge Base:
214752 Cómo agregar la configuración personalizada del Registro al Editor de configuración de seguridad

Propiedades

Id. de artículo: 324739 - Última revisión: 10 ene. 2008 - Revisión: 1

Comentarios