none
GPO Auditoría no se aplica en servidor RRS feed

  • Pregunta

  • Hola,

    Tengo un problemilla a la hora de propagar las GPO de configuración de seguridad, más en concreto para auditoría de archivos.

    Creo las GPO en el DC pero a la hora de aplicarse en los servidores la configuración no se modifica; hay algo que me llama la atención y es que en estas configuraciones el icono aparece con un candado; desconozco si esto es correcto pero las configuraciones que están dentro de estos menús aparentemente protegidos no se aplican.

    Podéis ver la configuración que realizo en las capturas de pantalla posteriores

    He realizado varias pruebas con idéntico resultado:
    - Realizar las configuraciones en una GPO dedicada para esto
    - Realizar las configuraciones en la 'Default Domain Policy'
    - Deshabilitar la directiva 'Auditoría: forzar la configuración de subcategorías de la directiva de auditoría (Win Vista o posterior) para invalidar la configuración de la categoría de directiva de auditoría'

    Os dejo unas capturas de las GPO en el DC y en el servidor en cuestión

    Configuración GPO dedicada 'Auditoría archivos'

    Configuración GPO 'Default Domain Policy'

    GPO en el servidor a auditar

    Aquí podéis ver el resultado de un gpresult /R, he comprobado que en ninguna de las GPO que se aplican haya una configuración que anule esta que estoy intentando hacer

    Alguien le ha sucedido algo similar que pudiera echarme una mano?

    Disculpad el rollo
    Gracias por adelantado por vuestra ayuda

    Un saludo

    jueves, 26 de octubre de 2017 14:19

Respuestas

  • La GPO que habilita la auditoría debe aplicarse a la cuenta de máquina del servidor. No es estrictamente necesario, pero por facilidad es conveniente que sea una separada

    Luego, se debe indicar sobre qué carpetas y/o archivos quieres auditar: a quién, qué acciones, y si son exitosas o fallidas

    Los eventos se pueden ver en el log de seguridad local del servidor

    Cuidado que si audita demasiadas acciones eso se hace a costa de rendimiento

    Por otra parte, las auditorías de seguridad son muy completas, pero complejas de interpretar luego :)

    Busca en la web y descarga un documento donde se puede ver qué significa cada ID de evento (varía en algunas versiones del sistema), búscalo como "Security Events ID". Teniendo luego el número de lo que buscas puedes aplicar filtros

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    lunes, 30 de octubre de 2017 17:24
    Moderador

Todas las respuestas

  • La auditoría de acceso a objetos, es sólo la "llave principal", luego hay que específicamente indicar qué carpetas y/o archivos quieres auditar

    Por otra parte, ten en cuenta que la auditoría de seguridad consume recursos, y cuánto más audites y a más cuentas, mayor será la carga, por lo cual nunca es conveniente hacerlo a nivel de la "Default Domain Policy" porque lo aplicará a todas las máquinas

    Y además las GPOs del Dominio, nunca la verás en la "Local Policy" que es lo que muestras en la captura, si es lo que interpreto bien

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    viernes, 27 de octubre de 2017 22:33
    Moderador
  • Gracias por tu respuesta Guillermo,

    Entonces me queda claro que tengo que crear una GPO dedicada para ello.

    Entiendo que la GPO es la llave y posteriormente debo configurar la auditoría en la carpeta en cuestión a través de sus propiedades-Seguridad-Opciones Avanzadas-Auditoría

    El problema es que esa GPO no se aplica al servidor en cuestión, no se ven modificadas en el equipo cliente las configuraciones de la directiva configurada en el DC

    Un saludo

    lunes, 30 de octubre de 2017 15:29
  • La GPO que habilita la auditoría debe aplicarse a la cuenta de máquina del servidor. No es estrictamente necesario, pero por facilidad es conveniente que sea una separada

    Luego, se debe indicar sobre qué carpetas y/o archivos quieres auditar: a quién, qué acciones, y si son exitosas o fallidas

    Los eventos se pueden ver en el log de seguridad local del servidor

    Cuidado que si audita demasiadas acciones eso se hace a costa de rendimiento

    Por otra parte, las auditorías de seguridad son muy completas, pero complejas de interpretar luego :)

    Busca en la web y descarga un documento donde se puede ver qué significa cada ID de evento (varía en algunas versiones del sistema), búscalo como "Security Events ID". Teniendo luego el número de lo que buscas puedes aplicar filtros

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    lunes, 30 de octubre de 2017 17:24
    Moderador