CSP de directiva: auditoría
AccountLogon_AuditCredentialValidation
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 1803 con KB4516045 [10.0.17134.1039] y versiones posteriores ✅ Windows 10, versión 1809 con KB4516077 [10.0.17763.774] y versiones posteriores ✅ Windows 10, versión 1903 con KB4512941 [10.0.18362.329] y versiones posteriores ✅ Windows 10, versión 2004 [10.0.19041] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogon_AuditCredentialValidation
Esta configuración de directiva permite auditar los eventos generados por las pruebas de validación en las credenciales de inicio de sesión de la cuenta de usuario. Los eventos de esta subcategoría solo se producen en el equipo que es autoritativo para esas credenciales. En el caso de las cuentas de dominio, el controlador de dominio es autoritativo. En el caso de las cuentas locales, el equipo local es autoritativo.
Volumen: alto en controladores de dominio.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 0 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 (Predeterminado) | Desactivado/Ninguno. |
| 1 | Éxito. |
| 2 | Fracaso. |
| 3 | Correcto+Error. |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Auditar validación de credenciales |
| Ruta de acceso | Configuración de > seguridad de Windows Configuración > avanzada Configuración > de directiva de auditoría Sistema Directivas > de auditoría Inicio de sesión de la cuenta |
AccountLogon_AuditKerberosAuthenticationService
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 1803 con KB4516045 [10.0.17134.1039] y versiones posteriores ✅ Windows 10, versión 1809 con KB4516077 [10.0.17763.774] y versiones posteriores ✅ Windows 10, versión 1903 con KB4512941 [10.0.18362.329] y versiones posteriores ✅ Windows 10, versión 2004 [10.0.19041] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogon_AuditKerberosAuthenticationService
Esta configuración de directiva permite auditar los eventos generados por las solicitudes de vales de concesión de vales de autenticación Kerberos (TGT).
Si configura esta configuración de directiva, se genera un evento de auditoría después de una solicitud TGT de autenticación Kerberos. Las auditorías correctas registran solicitudes correctas y las auditorías de errores registran solicitudes incorrectas.
Si no configura esta configuración de directiva, no se genera ningún evento de auditoría después de una solicitud TGT de autenticación Kerberos.
Volumen: alto en servidores del Centro de distribución de claves Kerberos.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 0 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 (Predeterminado) | Desactivado/Ninguno. |
| 1 | Éxito. |
| 2 | Fracaso. |
| 3 | Correcto+Error. |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Auditar servicio de autenticación Kerberos |
| Ruta de acceso | Configuración de > seguridad de Windows Configuración > avanzada Configuración > de directiva de auditoría Sistema Directivas > de auditoría Inicio de sesión de la cuenta |
AccountLogon_AuditKerberosServiceTicketOperations
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 1803 con KB4516045 [10.0.17134.1039] y versiones posteriores ✅ Windows 10, versión 1809 con KB4516077 [10.0.17763.774] y versiones posteriores ✅ Windows 10, versión 1903 con KB4512941 [10.0.18362.329] y versiones posteriores ✅ Windows 10, versión 2004 [10.0.19041] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogon_AuditKerberosServiceTicketOperations
Esta configuración de directiva permite auditar los eventos generados por las solicitudes de vales de concesión de vales de autenticación Kerberos (TGT) enviadas para las cuentas de usuario.
Si configura esta configuración de directiva, se genera un evento de auditoría después de solicitar un TGT de autenticación Kerberos para una cuenta de usuario. Las auditorías correctas registran solicitudes correctas y las auditorías de errores registran solicitudes incorrectas.
Si no configura esta configuración de directiva, no se genera ningún evento de auditoría después de solicitar un TGT de autenticación Kerberos para una cuenta de usuario.
Volumen: bajo.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 0 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 (Predeterminado) | Desactivado/Ninguno. |
| 1 | Éxito. |
| 2 | Fracaso. |
| 3 | Correcto+Error. |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Auditar operaciones de vales de servicio Kerberos |
| Ruta de acceso | Configuración de > seguridad de Windows Configuración > avanzada Configuración > de directiva de auditoría Sistema Directivas > de auditoría Inicio de sesión de la cuenta |
AccountLogon_AuditOtherAccountLogonEvents
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 1803 con KB4516045 [10.0.17134.1039] y versiones posteriores ✅ Windows 10, versión 1809 con KB4516077 [10.0.17763.774] y versiones posteriores ✅ Windows 10, versión 1903 con KB4512941 [10.0.18362.329] y versiones posteriores ✅ Windows 10, versión 2004 [10.0.19041] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogon_AuditOtherAccountLogonEvents
Esta configuración de directiva permite auditar eventos generados por respuestas a solicitudes de credenciales enviadas para un inicio de sesión de cuenta de usuario que no son vales de Kerberos ni validación de credenciales. Actualmente, no hay ningún evento en esta subcategoría.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 0 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 (Predeterminado) | Desactivado/Ninguno. |
| 1 | Éxito. |
| 2 | Fracaso. |
| 3 | Correcto+Error. |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Auditar otros eventos de inicio de sesión de cuentas |
| Ruta de acceso | Configuración de > seguridad de Windows Configuración > avanzada Configuración > de directiva de auditoría Sistema Directivas > de auditoría Inicio de sesión de la cuenta |
AccountLogonLogoff_AuditAccountLockout
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 1803 con KB4516045 [10.0.17134.1039] y versiones posteriores ✅ Windows 10, versión 1809 con KB4516077 [10.0.17763.774] y versiones posteriores ✅ Windows 10, versión 1903 con KB4512941 [10.0.18362.329] y versiones posteriores ✅ Windows 10, versión 2004 [10.0.19041] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditAccountLockout
Esta configuración de directiva permite auditar los eventos generados por un intento fallido de iniciar sesión en una cuenta bloqueada. Si configura esta configuración de directiva, se genera un evento de auditoría cuando una cuenta no puede iniciar sesión en un equipo porque la cuenta está bloqueada. Las auditorías correctas registran los intentos correctos y las auditorías de errores registran intentos incorrectos. Los eventos de inicio de sesión son esenciales para comprender la actividad del usuario y detectar posibles ataques.
Volumen: bajo.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 1 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 | Desactivado/Ninguno. |
| 1 (valor predeterminado) | Éxito. |
| 2 | Fracaso. |
| 3 | Correcto+Error. |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Auditar bloqueo de cuentas |
| Ruta de acceso | Configuración de > windows Configuración de seguridad Configuración > avanzada de directiva de > auditoría Directivas de auditoría Sistema Directivas > de auditoría Inicio de sesión/Cierre de sesión |
AccountLogonLogoff_AuditGroupMembership
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 1803 con KB4516045 [10.0.17134.1039] y versiones posteriores ✅ Windows 10, versión 1809 con KB4516077 [10.0.17763.774] y versiones posteriores ✅ Windows 10, versión 1903 con KB4512941 [10.0.18362.329] y versiones posteriores ✅ Windows 10, versión 2004 [10.0.19041] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditGroupMembership
Esta directiva le permite auditar la información de pertenencia a grupos en el token de inicio de sesión del usuario. Los eventos de esta subcategoría se generan en el equipo en el que se crea una sesión de inicio de sesión. Para un inicio de sesión interactivo, el evento de auditoría de seguridad se genera en el equipo en el que el usuario inició sesión. Para un inicio de sesión de red, como el acceso a una carpeta compartida en la red, el evento de auditoría de seguridad se genera en el equipo que hospeda el recurso. Cuando esta opción está configurada, se generan uno o más eventos de auditoría de seguridad para cada inicio de sesión correcto. También debe habilitar la configuración Audit Logon en Configuración de directiva de auditoría avanzada\Directivas de auditoría del sistema\Inicio de sesión/Cierre de sesión. Se generan varios eventos si la información de pertenencia a grupos no cabe en un único evento de auditoría de seguridad.
Volumen: bajo en un equipo cliente. Medio en un controlador de dominio o un servidor de red.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 0 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 (Predeterminado) | Desactivado/Ninguno. |
| 1 | Éxito. |
| 2 | Fracaso. |
| 3 | Correcto+Error. |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Auditar pertenencia a grupos |
| Ruta de acceso | Configuración de > windows Configuración de seguridad Configuración > avanzada de directiva de > auditoría Directivas de auditoría Sistema Directivas > de auditoría Inicio de sesión/Cierre de sesión |
AccountLogonLogoff_AuditIPsecExtendedMode
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 1803 con KB4516045 [10.0.17134.1039] y versiones posteriores ✅ Windows 10, versión 1809 con KB4516077 [10.0.17763.774] y versiones posteriores ✅ Windows 10, versión 1903 con KB4512941 [10.0.18362.329] y versiones posteriores ✅ Windows 10, versión 2004 [10.0.19041] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditIPsecExtendedMode
Esta configuración de directiva permite auditar los eventos generados por el protocolo de intercambio de claves de Internet (IKE) y el protocolo de Internet autenticado (AuthIP) durante las negociaciones del modo extendido.
Si configura esta configuración de directiva, se genera un evento de auditoría durante una negociación del modo extendido de IPsec. Las auditorías correctas registran los intentos correctos y las auditorías de errores registran intentos incorrectos.
Si no configura esta configuración de directiva, no se genera ningún evento de auditoría durante una negociación del modo extendido de IPsec.
Volumen: Alto.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 0 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 (Predeterminado) | Desactivado/Ninguno. |
| 1 | Éxito. |
| 2 | Fracaso. |
| 3 | Correcto+Error. |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Auditar modo extendido de IPsec |
| Ruta de acceso | Configuración de > windows Configuración de seguridad Configuración > avanzada de directiva de > auditoría Directivas de auditoría Sistema Directivas > de auditoría Inicio de sesión/Cierre de sesión |
AccountLogonLogoff_AuditIPsecMainMode
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 1803 con KB4516045 [10.0.17134.1039] y versiones posteriores ✅ Windows 10, versión 1809 con KB4516077 [10.0.17763.774] y versiones posteriores ✅ Windows 10, versión 1903 con KB4512941 [10.0.18362.329] y versiones posteriores ✅ Windows 10, versión 2004 [10.0.19041] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditIPsecMainMode
Esta configuración de directiva permite auditar los eventos generados por el protocolo de intercambio de claves de Internet (IKE) y el protocolo de Internet autenticado (AuthIP) durante las negociaciones del modo principal.
Si configura esta configuración de directiva, se genera un evento de auditoría durante una negociación del modo principal de IPsec. Las auditorías correctas registran los intentos correctos y las auditorías de errores registran intentos incorrectos.
Si no configura esta configuración de directiva, no se genera ningún evento de auditoría durante una negociación del modo principal de IPsec.
Volumen: Alto.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 0 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 (Predeterminado) | Desactivado/Ninguno. |
| 1 | Éxito. |
| 2 | Fracaso. |
| 3 | Correcto+Error. |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Auditar modo principal de IPsec |
| Ruta de acceso | Configuración de > windows Configuración de seguridad Configuración > avanzada de directiva de > auditoría Directivas de auditoría Sistema Directivas > de auditoría Inicio de sesión/Cierre de sesión |
AccountLogonLogoff_AuditIPsecQuickMode
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 1803 con KB4516045 [10.0.17134.1039] y versiones posteriores ✅ Windows 10, versión 1809 con KB4516077 [10.0.17763.774] y versiones posteriores ✅ Windows 10, versión 1903 con KB4512941 [10.0.18362.329] y versiones posteriores ✅ Windows 10, versión 2004 [10.0.19041] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditIPsecQuickMode
Esta configuración de directiva permite auditar los eventos generados por el protocolo de intercambio de claves de Internet (IKE) y el protocolo de Internet autenticado (AuthIP) durante las negociaciones del modo rápido. Si configura esta configuración de directiva, se genera un evento de auditoría durante una negociación del modo rápido de IPsec. Las auditorías correctas registran los intentos correctos y las auditorías de errores registran intentos incorrectos. Si no configura esta configuración de directiva, no se genera ningún evento de auditoría durante una negociación del modo rápido de IPsec.
Volumen: Alto.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 0 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 (Predeterminado) | Desactivado/Ninguno. |
| 1 | Éxito. |
| 2 | Fracaso. |
| 3 | Correcto+Error. |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Auditar modo rápido de IPsec |
| Ruta de acceso | Configuración de > windows Configuración de seguridad Configuración > avanzada de directiva de > auditoría Directivas de auditoría Sistema Directivas > de auditoría Inicio de sesión/Cierre de sesión |
AccountLogonLogoff_AuditLogoff
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 1803 con KB4516045 [10.0.17134.1039] y versiones posteriores ✅ Windows 10, versión 1809 con KB4516077 [10.0.17763.774] y versiones posteriores ✅ Windows 10, versión 1903 con KB4512941 [10.0.18362.329] y versiones posteriores ✅ Windows 10, versión 2004 [10.0.19041] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditLogoff
Esta configuración de directiva permite auditar los eventos generados por el cierre de una sesión de inicio de sesión. Estos eventos se producen en el equipo al que se ha accedido. Para un cierre de sesión interactivo, el evento de auditoría de seguridad se genera en el equipo en el que la cuenta de usuario inició sesión.
Si configura esta configuración de directiva, se genera un evento de auditoría cuando se cierra una sesión de inicio de sesión. Las auditorías correctas registran intentos correctos de cerrar sesiones y las auditorías de errores registran intentos fallidos de cerrar sesiones.
Si no configura esta configuración de directiva, no se genera ningún evento de auditoría cuando se cierra una sesión de inicio de sesión.
Volumen: bajo.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 1 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 | Desactivado/Ninguno. |
| 1 (valor predeterminado) | Éxito. |
| 2 | Fracaso. |
| 3 | Correcto+Error. |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Auditar cierre de sesión |
| Ruta de acceso | Configuración de > windows Configuración de seguridad Configuración > avanzada de directiva de > auditoría Directivas de auditoría Sistema Directivas > de auditoría Inicio de sesión/Cierre de sesión |
AccountLogonLogoff_AuditLogon
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 1803 con KB4516045 [10.0.17134.1039] y versiones posteriores ✅ Windows 10, versión 1809 con KB4516077 [10.0.17763.774] y versiones posteriores ✅ Windows 10, versión 1903 con KB4512941 [10.0.18362.329] y versiones posteriores ✅ Windows 10, versión 2004 [10.0.19041] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditLogon
Esta configuración de directiva permite auditar los eventos generados por los intentos de inicio de sesión de la cuenta de usuario en el equipo. Los eventos de esta subcategoría están relacionados con la creación de sesiones de inicio de sesión y se producen en el equipo al que se ha accedido. Para un inicio de sesión interactivo, el evento de auditoría de seguridad se genera en el equipo en el que la cuenta de usuario inició sesión. Para un inicio de sesión de red, como el acceso a una carpeta compartida en la red, el evento de auditoría de seguridad se genera en el equipo que hospeda el recurso. Se incluyen los siguientes eventos: Intentos de inicio de sesión correctos. Intentos de inicio de sesión erróneos. Los intentos de inicio de sesión usan credenciales explícitas. Este evento se genera cuando un proceso intenta iniciar sesión en una cuenta especificando explícitamente las credenciales de esa cuenta. Esto suele ocurrir en configuraciones de inicio de sesión por lotes, como tareas programadas o cuando se usa el comando RUNAS. Los identificadores de seguridad (SID) se filtraron y no se les permitió iniciar sesión.
Volumen: bajo en un equipo cliente. Medio en un controlador de dominio o un servidor de red.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 1 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 | Desactivado/Ninguno. |
| 1 (valor predeterminado) | Éxito. |
| 2 | Fracaso. |
| 3 | Correcto+Error. |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Auditar inicio de sesión |
| Ruta de acceso | Configuración de > windows Configuración de seguridad Configuración > avanzada de directiva de > auditoría Directivas de auditoría Sistema Directivas > de auditoría Inicio de sesión/Cierre de sesión |
AccountLogonLogoff_AuditNetworkPolicyServer
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 1803 con KB4516045 [10.0.17134.1039] y versiones posteriores ✅ Windows 10, versión 1809 con KB4516077 [10.0.17763.774] y versiones posteriores ✅ Windows 10, versión 1903 con KB4512941 [10.0.18362.329] y versiones posteriores ✅ Windows 10, versión 2004 [10.0.19041] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditNetworkPolicyServer
Esta configuración de directiva permite auditar eventos generados por solicitudes de acceso de usuario radius (IAS) y protección de acceso a redes (NAP). Estas solicitudes pueden ser Concesión, Denegación, Descarte, Cuarentena, Bloqueo y Desbloqueo.
Si configura esta configuración de directiva, se genera un evento de auditoría para cada solicitud de acceso de usuario de IAS y NAP. Las auditorías correctas registran solicitudes de acceso de usuario correctas y las auditorías de errores registran intentos incorrectos.
Si no configura esta configuración de directiva, las solicitudes de acceso de usuario de IAS y NAP no se auditan.
Volumen: medio o alto en servidor NPS e IAS. No hay volumen en otros equipos.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 3 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 | Desactivado/Ninguno. |
| 1 | Éxito. |
| 2 | Fracaso. |
| 3 (valor predeterminado) | Correcto+Error. |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Auditar Servidor de directivas de redes |
| Ruta de acceso | Configuración de > windows Configuración de seguridad Configuración > avanzada de directiva de > auditoría Directivas de auditoría Sistema Directivas > de auditoría Inicio de sesión/Cierre de sesión |
AccountLogonLogoff_AuditOtherLogonLogoffEvents
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 1803 con KB4516045 [10.0.17134.1039] y versiones posteriores ✅ Windows 10, versión 1809 con KB4516077 [10.0.17763.774] y versiones posteriores ✅ Windows 10, versión 1903 con KB4512941 [10.0.18362.329] y versiones posteriores ✅ Windows 10, versión 2004 [10.0.19041] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditOtherLogonLogoffEvents
Esta configuración de directiva le permite auditar otros eventos relacionados con el inicio de sesión o cierre de sesión que no se tratan en la configuración de directiva "Inicio de sesión o cierre de sesión", como las siguientes: Desconexiones de sesión de Terminal Services. Nuevas sesiones de Terminal Services. Bloqueo y desbloqueo de una estación de trabajo. Invocar un protector de pantalla. Despido de un protector de pantalla. Detección de un ataque de reproducción de Kerberos, en el que se recibió dos veces una solicitud Kerberos con información idéntica. Esta condición podría deberse a una configuración incorrecta de la red. Acceso a una red inalámbrica concedida a un usuario o cuenta de equipo. Acceso a una red 802.1x cableada concedida a una cuenta de usuario o equipo.
Volumen: bajo.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 0 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 (Predeterminado) | Desactivado/Ninguno. |
| 1 | Éxito. |
| 2 | Fracaso. |
| 3 | Correcto+Error. |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Auditar otros eventos de cierre de sesión |
| Ruta de acceso | Configuración de > windows Configuración de seguridad Configuración > avanzada de directiva de > auditoría Directivas de auditoría Sistema Directivas > de auditoría Inicio de sesión/Cierre de sesión |
AccountLogonLogoff_AuditSpecialLogon
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 1803 con KB4516045 [10.0.17134.1039] y versiones posteriores ✅ Windows 10, versión 1809 con KB4516077 [10.0.17763.774] y versiones posteriores ✅ Windows 10, versión 1903 con KB4512941 [10.0.18362.329] y versiones posteriores ✅ Windows 10, versión 2004 [10.0.19041] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditSpecialLogon
Esta configuración de directiva permite auditar eventos generados por inicios de sesión especiales, como el siguiente: El uso de un inicio de sesión especial, que es un inicio de sesión que tiene privilegios equivalentes a los de administrador y se puede usar para elevar un proceso a un nivel superior. Inicio de sesión por parte de un miembro de un grupo especial. Los grupos especiales permiten auditar los eventos generados cuando un miembro de un grupo determinado ha iniciado sesión en la red. Puede configurar una lista de identificadores de seguridad de grupo (SID) en el Registro. Si alguno de esos SID se agrega a un token durante el inicio de sesión y la subcategoría está habilitada, se registra un evento. Para obtener más información sobre esta característica, consulte el artículo 947223 en Microsoft Knowledge Base.
Volumen: bajo.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 1 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 | Desactivado/Ninguno. |
| 1 (valor predeterminado) | Éxito. |
| 2 | Fracaso. |
| 3 | Correcto+Error. |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Auditar inicio de sesión especial |
| Ruta de acceso | Configuración de > windows Configuración de seguridad Configuración > avanzada de directiva de > auditoría Directivas de auditoría Sistema Directivas > de auditoría Inicio de sesión/Cierre de sesión |
AccountLogonLogoff_AuditUserDeviceClaims
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 1803 con KB4516045 [10.0.17134.1039] y versiones posteriores ✅ Windows 10, versión 1809 con KB4516077 [10.0.17763.774] y versiones posteriores ✅ Windows 10, versión 1903 con KB4512941 [10.0.18362.329] y versiones posteriores ✅ Windows 10, versión 2004 [10.0.19041] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditUserDeviceClaims
Esta directiva le permite auditar la información de notificaciones de usuario y dispositivo en el token de inicio de sesión del usuario. Los eventos de esta subcategoría se generan en el equipo en el que se crea una sesión de inicio de sesión. Para un inicio de sesión interactivo, el evento de auditoría de seguridad se genera en el equipo en el que el usuario inició sesión. Para un inicio de sesión de red, como el acceso a una carpeta compartida en la red, el evento de auditoría de seguridad se genera en el equipo que hospeda el recurso. Las notificaciones de usuario se agregan a un token de inicio de sesión cuando las notificaciones se incluyen con los atributos de cuenta de un usuario en Active Directory. Las notificaciones de dispositivo se agregan al token de inicio de sesión cuando las notificaciones se incluyen con los atributos de la cuenta de equipo de un dispositivo en Active Directory. Además, la identidad compuesta debe estar habilitada para el dominio y en el equipo donde el usuario inició sesión. Cuando esta opción está configurada, se generan uno o más eventos de auditoría de seguridad para cada inicio de sesión correcto. También debe habilitar la configuración Audit Logon en Configuración de directiva de auditoría avanzada\Directivas de auditoría del sistema\Inicio de sesión/Cierre de sesión. Se generan varios eventos si la información de notificaciones de usuario y dispositivo no cabe en un único evento de auditoría de seguridad.
Volumen: bajo en un equipo cliente. Medio en un controlador de dominio o un servidor de red.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 0 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 (Predeterminado) | Desactivado/Ninguno. |
| 1 | Éxito. |
| 2 | Fracaso. |
| 3 | Correcto+Error. |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Auditar notificaciones de dispositivo de usuario |
| Ruta de acceso | Configuración de > windows Configuración de seguridad Configuración > avanzada de directiva de > auditoría Directivas de auditoría Sistema Directivas > de auditoría Inicio de sesión/Cierre de sesión |
AccountManagement_AuditApplicationGroupManagement
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 1803 con KB4516045 [10.0.17134.1039] y versiones posteriores ✅ Windows 10, versión 1809 con KB4516077 [10.0.17763.774] y versiones posteriores ✅ Windows 10, versión 1903 con KB4512941 [10.0.18362.329] y versiones posteriores ✅ Windows 10, versión 2004 [10.0.19041] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountManagement_AuditApplicationGroupManagement
Esta configuración de directiva permite auditar los eventos generados por los cambios en los grupos de aplicaciones, como los siguientes: Se crea, cambia o elimina el grupo de aplicaciones. El miembro se agrega o quita de un grupo de aplicaciones.
Si configura esta configuración de directiva, se genera un evento de auditoría cuando se intenta cambiar un grupo de aplicaciones. Las auditorías correctas registran los intentos correctos y las auditorías de errores registran intentos incorrectos.
Si no configura esta configuración de directiva, no se genera ningún evento de auditoría cuando cambia un grupo de aplicaciones.
Volumen: bajo.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 0 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 (Predeterminado) | Desactivado/Ninguno. |
| 1 | Éxito. |
| 2 | Fracaso. |
| 3 | Correcto+Error. |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Auditar administración de grupos de aplicaciones |
| Ruta de acceso | Configuración de > seguridad de Configuración de Windows Configuración > avanzada de > directivas de auditoría Administración de cuentas de directivas > de auditoría del sistema |
AccountManagement_AuditComputerAccountManagement
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 1803 con KB4516045 [10.0.17134.1039] y versiones posteriores ✅ Windows 10, versión 1809 con KB4516077 [10.0.17763.774] y versiones posteriores ✅ Windows 10, versión 1903 con KB4512941 [10.0.18362.329] y versiones posteriores ✅ Windows 10, versión 2004 [10.0.19041] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountManagement_AuditComputerAccountManagement
Esta configuración de directiva permite auditar los eventos generados por los cambios en las cuentas de equipo, como cuando se crea, cambia o elimina una cuenta de equipo.
Si configura esta configuración de directiva, se genera un evento de auditoría cuando se intenta cambiar una cuenta de equipo. Las auditorías correctas registran los intentos correctos y las auditorías de errores registran intentos incorrectos.
Si no configura esta configuración de directiva, no se genera ningún evento de auditoría cuando cambia una cuenta de equipo.
Volumen: bajo.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 0 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 (Predeterminado) | Desactivado/Ninguno. |
| 1 | Éxito. |
| 2 | Fracaso. |
| 3 | Correcto+Error. |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Auditar administración de cuentas de equipo |
| Ruta de acceso | Configuración de > seguridad de Configuración de Windows Configuración > avanzada de > directivas de auditoría Administración de cuentas de directivas > de auditoría del sistema |
AccountManagement_AuditDistributionGroupManagement
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 1803 con KB4516045 [10.0.17134.1039] y versiones posteriores ✅ Windows 10, versión 1809 con KB4516077 [10.0.17763.774] y versiones posteriores ✅ Windows 10, versión 1903 con KB4512941 [10.0.18362.329] y versiones posteriores ✅ Windows 10, versión 2004 [10.0.19041] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountManagement_AuditDistributionGroupManagement
Esta configuración de directiva permite auditar los eventos generados por los cambios en los grupos de distribución, como los siguientes: Se crea, cambia o elimina el grupo de distribución. El miembro se agrega o quita de un grupo de distribución. Se cambia el tipo de grupo de distribución.
Si configura esta configuración de directiva, se genera un evento de auditoría cuando se intenta cambiar un grupo de distribución. Las auditorías correctas registran los intentos correctos y las auditorías de errores registran intentos incorrectos.
Si no configura esta configuración de directiva, no se genera ningún evento de auditoría cuando cambia un grupo de distribución.
Nota
Los eventos de esta subcategoría solo se registran en controladores de dominio.
Volumen: bajo.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 0 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 (Predeterminado) | Desactivado/Ninguno. |
| 1 | Éxito. |
| 2 | Fracaso. |
| 3 | Correcto+Error. |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Auditar administración de grupos de distribución |
| Ruta de acceso | Configuración de > seguridad de Configuración de Windows Configuración > avanzada de > directivas de auditoría Administración de cuentas de directivas > de auditoría del sistema |
AccountManagement_AuditOtherAccountManagementEvents
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 1803 con KB4516045 [10.0.17134.1039] y versiones posteriores ✅ Windows 10, versión 1809 con KB4516077 [10.0.17763.774] y versiones posteriores ✅ Windows 10, versión 1903 con KB4512941 [10.0.18362.329] y versiones posteriores ✅ Windows 10, versión 2004 [10.0.19041] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountManagement_AuditOtherAccountManagementEvents
Esta configuración de directiva permite auditar los eventos generados por otros cambios de cuenta de usuario que no están cubiertos en esta categoría, como el siguiente: Se ha accedido al hash de contraseña de una cuenta de usuario. Esto suele ocurrir durante una migración de contraseña de la herramienta de administración de Active Directory. Se llamó a la API de comprobación de directivas de contraseña. Las llamadas a esta función pueden formar parte de un ataque cuando una aplicación malintencionada prueba la directiva para reducir el número de intentos durante un ataque de diccionario de contraseñas. Cambios en la directiva de grupo de dominio predeterminada en las siguientes rutas de acceso de directiva de grupo: Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas de cuenta\Configuración del equipo de directiva de contraseña\Configuración de Windows\Configuración de seguridad\Directivas de cuenta\Directiva de bloqueo de cuenta.
Volumen: bajo.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 0 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 (Predeterminado) | Desactivado/Ninguno. |
| 1 | Éxito. |
| 2 | Fracaso. |
| 3 | Correcto+Error. |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Auditar otros eventos de administración de cuentas |
| Ruta de acceso | Configuración de > seguridad de Configuración de Windows Configuración > avanzada de > directivas de auditoría Administración de cuentas de directivas > de auditoría del sistema |
AccountManagement_AuditSecurityGroupManagement
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 1803 con KB4516045 [10.0.17134.1039] y versiones posteriores ✅ Windows 10, versión 1809 con KB4516077 [10.0.17763.774] y versiones posteriores ✅ Windows 10, versión 1903 con KB4512941 [10.0.18362.329] y versiones posteriores ✅ Windows 10, versión 2004 [10.0.19041] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountManagement_AuditSecurityGroupManagement
Esta configuración de directiva permite auditar los eventos generados por los cambios en los grupos de seguridad, como los siguientes: Se crea, cambia o elimina el grupo de seguridad. El miembro se agrega o quita de un grupo de seguridad. Se cambia el tipo de grupo.
Si configura esta configuración de directiva, se genera un evento de auditoría cuando se intenta cambiar un grupo de seguridad. Las auditorías correctas registran los intentos correctos y las auditorías de errores registran intentos incorrectos.
Si no configura esta configuración de directiva, no se genera ningún evento de auditoría cuando cambia un grupo de seguridad.
Volumen: bajo.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 1 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 | Desactivado/Ninguno. |
| 1 (valor predeterminado) | Éxito. |
| 2 | Fracaso. |
| 3 | Correcto+Error. |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Auditar administración de grupos de seguridad |
| Ruta de acceso | Configuración de > seguridad de Configuración de Windows Configuración > avanzada de > directivas de auditoría Administración de cuentas de directivas > de auditoría del sistema |
AccountManagement_AuditUserAccountManagement
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 1803 con KB4516045 [10.0.17134.1039] y versiones posteriores ✅ Windows 10, versión 1809 con KB4516077 [10.0.17763.774] y versiones posteriores ✅ Windows 10, versión 1903 con KB4512941 [10.0.18362.329] y versiones posteriores ✅ Windows 10, versión 2004 [10.0.19041] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountManagement_AuditUserAccountManagement
Esta configuración de directiva le permite auditar los cambios en las cuentas de usuario. Los eventos incluyen lo siguiente: se crea, cambia y elimina una cuenta de usuario; cambiado de nombre, deshabilitado, habilitado, bloqueado o desbloqueado. Se establece o cambia la contraseña de una cuenta de usuario. Se agrega un identificador de seguridad (SID) al historial de SID de una cuenta de usuario. La contraseña del modo de restauración de servicios de directorio está configurada. Se cambian los permisos de las cuentas de usuario administrativas. Se hace una copia de seguridad o se restauran las credenciales del Administrador de credenciales.
Si configura esta configuración de directiva, se genera un evento de auditoría cuando se intenta cambiar una cuenta de usuario. Las auditorías correctas registran los intentos correctos y las auditorías de errores registran intentos incorrectos.
Si no configura esta configuración de directiva, no se genera ningún evento de auditoría cuando cambia una cuenta de usuario.
Volumen: bajo.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 1 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 | Desactivado/Ninguno. |
| 1 (valor predeterminado) | Éxito. |
| 2 | Fracaso. |
| 3 | Correcto+Error. |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Auditar administración de cuentas de usuario |
| Ruta de acceso | Configuración de > seguridad de Configuración de Windows Configuración > avanzada de > directivas de auditoría Administración de cuentas de directivas > de auditoría del sistema |
DetailedTracking_AuditDPAPIActivity
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 1803 con KB4516045 [10.0.17134.1039] y versiones posteriores ✅ Windows 10, versión 1809 con KB4516077 [10.0.17763.774] y versiones posteriores ✅ Windows 10, versión 1903 con KB4512941 [10.0.18362.329] y versiones posteriores ✅ Windows 10, versión 2004 [10.0.19041] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Audit/DetailedTracking_AuditDPAPIActivity
Esta configuración de directiva permite auditar los eventos generados cuando se realizan solicitudes de cifrado o descifrado a la interfaz de aplicación de protección de datos (DPAPI). DPAPI se usa para proteger la información secreta, como la contraseña almacenada y la información de clave. Para obtener más información sobre DPAPI, consulte Uso de la protección de datos.
Si configura esta configuración de directiva, se genera un evento de auditoría cuando se realiza una solicitud de cifrado o descifrado a DPAPI. Las auditorías correctas registran solicitudes correctas y las auditorías de errores registran solicitudes incorrectas.
Si no configura esta configuración de directiva, no se genera ningún evento de auditoría cuando se realiza una solicitud de cifrado o descifrado a DPAPI.
Volumen: bajo.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 0 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 (Predeterminado) | Desactivado/Ninguno. |
| 1 | Éxito. |
| 2 | Fracaso. |
| 3 | Correcto+Error. |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Auditar actividad DPAPI |
| Ruta de acceso | Configuración de > seguridad de Windows Configuración > avanzada Directiva de auditoría Directivas > de auditoría Sistema De seguimiento > detallado |
DetailedTracking_AuditPNPActivity
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 1803 con KB4516045 [10.0.17134.1039] y versiones posteriores ✅ Windows 10, versión 1809 con KB4516077 [10.0.17763.774] y versiones posteriores ✅ Windows 10, versión 1903 con KB4512941 [10.0.18362.329] y versiones posteriores ✅ Windows 10, versión 2004 [10.0.19041] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Audit/DetailedTracking_AuditPNPActivity
Esta configuración de directiva le permite auditar cuando plug and play detecta un dispositivo externo.
Si configura esta configuración de directiva, se genera un evento de auditoría cada vez que plug and play detecta un dispositivo externo. En esta categoría, solo se registran las auditorías de aciertos.
Si no configura esta configuración de directiva, no se genera ningún evento de auditoría cuando plug and play detecta un dispositivo externo.
Volumen: bajo.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 0 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 (Predeterminado) | Desactivado/Ninguno. |
| 1 | Éxito. |
| 2 | Fracaso. |
| 3 | Correcto+Error. |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Auditar actividad PNP |
| Ruta de acceso | Configuración de > seguridad de Windows Configuración > avanzada Directiva de auditoría Directivas > de auditoría Sistema De seguimiento > detallado |
DetailedTracking_AuditProcessCreation
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 1803 con KB4516045 [10.0.17134.1039] y versiones posteriores ✅ Windows 10, versión 1809 con KB4516077 [10.0.17763.774] y versiones posteriores ✅ Windows 10, versión 1903 con KB4512941 [10.0.18362.329] y versiones posteriores ✅ Windows 10, versión 2004 [10.0.19041] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Audit/DetailedTracking_AuditProcessCreation
Esta configuración de directiva permite auditar los eventos generados cuando se crea o se inicia un proceso. También se audita el nombre de la aplicación o usuario que creó el proceso.
Si configura esta configuración de directiva, se genera un evento de auditoría cuando se crea un proceso. Las auditorías correctas registran los intentos correctos y las auditorías de errores registran intentos incorrectos.
Si no configura esta configuración de directiva, no se genera ningún evento de auditoría cuando se crea un proceso.
Volumen: depende de cómo se use el equipo.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 0 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 (Predeterminado) | Desactivado/Ninguno. |
| 1 | Éxito. |
| 2 | Fracaso. |
| 3 | Correcto+Error. |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Auditar creación de procesos |
| Ruta de acceso | Configuración de > seguridad de Windows Configuración > avanzada Directiva de auditoría Directivas > de auditoría Sistema De seguimiento > detallado |
DetailedTracking_AuditProcessTermination
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 1803 con KB4516045 [10.0.17134.1039] y versiones posteriores ✅ Windows 10, versión 1809 con KB4516077 [10.0.17763.774] y versiones posteriores ✅ Windows 10, versión 1903 con KB4512941 [10.0.18362.329] y versiones posteriores ✅ Windows 10, versión 2004 [10.0.19041] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Audit/DetailedTracking_AuditProcessTermination
Esta configuración de directiva permite auditar los eventos generados cuando finaliza un proceso.
Si configura esta configuración de directiva, se genera un evento de auditoría cuando finaliza un proceso. Las auditorías correctas registran los intentos correctos y las auditorías de errores registran intentos incorrectos.
Si no configura esta configuración de directiva, no se genera ningún evento de auditoría cuando finaliza un proceso.
Volumen: depende de cómo se use el equipo.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 0 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 (Predeterminado) | Desactivado/Ninguno. |
| 1 | Éxito. |
| 2 | Fracaso. |
| 3 | Correcto+Error. |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Auditar finalización de procesos |
| Ruta de acceso | Configuración de > seguridad de Windows Configuración > avanzada Directiva de auditoría Directivas > de auditoría Sistema De seguimiento > detallado |
DetailedTracking_AuditRPCEvents
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 1803 con KB4516045 [10.0.17134.1039] y versiones posteriores ✅ Windows 10, versión 1809 con KB4516077 [10.0.17763.774] y versiones posteriores ✅ Windows 10, versión 1903 con KB4512941 [10.0.18362.329] y versiones posteriores ✅ Windows 10, versión 2004 [10.0.19041] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Audit/DetailedTracking_AuditRPCEvents
Esta configuración de directiva permite auditar las conexiones de llamada a procedimiento remoto (RPC) entrantes.
Si configura esta configuración de directiva, se genera un evento de auditoría cuando se intenta una conexión RPC remota. Las auditorías correctas registran los intentos correctos y las auditorías de errores registran intentos incorrectos.
Si no configura esta configuración de directiva, no se genera ningún evento de auditoría cuando se intenta una conexión RPC remota.
Volumen: alto en servidores RPC.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 0 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 (Predeterminado) | Desactivado/Ninguno. |
| 1 | Éxito. |
| 2 | Fracaso. |
| 3 | Correcto+Error. |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Auditar eventos de RPC |
| Ruta de acceso | Configuración de > seguridad de Windows Configuración > avanzada Directiva de auditoría Directivas > de auditoría Sistema De seguimiento > detallado |
DetailedTracking_AuditTokenRightAdjusted
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 1803 con KB4516045 [10.0.17134.1039] y versiones posteriores ✅ Windows 10, versión 1809 con KB4516077 [10.0.17763.774] y versiones posteriores ✅ Windows 10, versión 1903 con KB4512941 [10.0.18362.329] y versiones posteriores ✅ Windows 10, versión 2004 [10.0.19041] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Audit/DetailedTracking_AuditTokenRightAdjusted
Esta configuración de directiva permite auditar los eventos generados mediante el ajuste de los privilegios de un token.
Volumen: Alto.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 0 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 (Predeterminado) | Desactivado/Ninguno. |
| 1 | Éxito. |
| 2 | Fracaso. |
| 3 | Correcto+Error. |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Auditar el token adecuado ajustado |
| Ruta de acceso | Configuración de > seguridad de Windows Configuración > avanzada Directiva de auditoría Directivas > de auditoría Sistema De seguimiento > detallado |
DSAccess_AuditDetailedDirectoryServiceReplication
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 1803 con KB4516045 [10.0.17134.1039] y versiones posteriores ✅ Windows 10, versión 1809 con KB4516077 [10.0.17763.774] y versiones posteriores ✅ Windows 10, versión 1903 con KB4512941 [10.0.18362.329] y versiones posteriores ✅ Windows 10, versión 2004 [10.0.19041] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Audit/DSAccess_AuditDetailedDirectoryServiceReplication
Esta configuración de directiva permite auditar los eventos generados por la replicación detallada de Active Directory Domain Services (AD DS) entre controladores de dominio.
Volumen: Alto.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 0 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 (Predeterminado) | Desactivado/Ninguno. |
| 1 | Éxito. |
| 2 | Fracaso. |
| 3 | Correcto+Error. |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Auditar replicación de servicio de directorio detallada |
| Ruta de acceso | Configuración de > seguridad de Windows Configuración > avanzada De > directiva de auditoría Sistema De auditoría Directivas > de auditoría DS Access |
DSAccess_AuditDirectoryServiceAccess
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 1803 con KB4516045 [10.0.17134.1039] y versiones posteriores ✅ Windows 10, versión 1809 con KB4516077 [10.0.17763.774] y versiones posteriores ✅ Windows 10, versión 1903 con KB4512941 [10.0.18362.329] y versiones posteriores ✅ Windows 10, versión 2004 [10.0.19041] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Audit/DSAccess_AuditDirectoryServiceAccess
Esta configuración de directiva permite auditar los eventos generados cuando se accede a un objeto de Active Directory Domain Services (AD DS). Solo se registran los objetos de AD DS con una lista de control de acceso del sistema (SACL) coincidente. Los eventos de esta subcategoría son similares a los eventos de acceso al servicio de directorio disponibles en versiones anteriores de Windows.
Volumen: alto en controladores de dominio. Ninguno en los equipos cliente.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 0 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 (Predeterminado) | Desactivado/Ninguno. |
| 1 | Éxito. |
| 2 | Fracaso. |
| 3 | Correcto+Error. |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Auditar el acceso del servicio de directorio |
| Ruta de acceso | Configuración de > seguridad de Windows Configuración > avanzada De > directiva de auditoría Sistema De auditoría Directivas > de auditoría DS Access |
DSAccess_AuditDirectoryServiceChanges
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 1803 con KB4516045 [10.0.17134.1039] y versiones posteriores ✅ Windows 10, versión 1809 con KB4516077 [10.0.17763.774] y versiones posteriores ✅ Windows 10, versión 1903 con KB4512941 [10.0.18362.329] y versiones posteriores ✅ Windows 10, versión 2004 [10.0.19041] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Audit/DSAccess_AuditDirectoryServiceChanges
Esta configuración de directiva permite auditar los eventos generados por los cambios en los objetos de Active Directory Domain Services (AD DS). Los eventos se registran cuando se crea, elimina, modifica, mueve o recupera un objeto. Cuando sea posible, los eventos registrados en esta subcategoría indican los valores antiguos y nuevos de las propiedades del objeto. Los eventos de esta subcategoría solo se registran en controladores de dominio y solo se registran los objetos de AD DS con una lista de control de acceso del sistema (SACL) coincidente.
Nota
Las acciones en algunos objetos y propiedades no hacen que se generen eventos de auditoría debido a la configuración de la clase de objeto en el esquema.
Si configura esta configuración de directiva, se genera un evento de auditoría cuando se intenta cambiar un objeto en AD DS. Las auditorías correctas registran los intentos correctos, pero no se registran.
Si no configura esta configuración de directiva, no se genera ningún evento de auditoría cuando se intenta cambiar un objeto en el objeto de AD DS.
Volumen: alta solo en controladores de dominio.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 0 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 (Predeterminado) | Desactivado/Ninguno. |
| 1 | Éxito. |
| 2 | Fracaso. |
| 3 | Correcto+Error. |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Auditar cambios de servicio de directorio |
| Ruta de acceso | Configuración de > seguridad de Windows Configuración > avanzada De > directiva de auditoría Sistema De auditoría Directivas > de auditoría DS Access |
DSAccess_AuditDirectoryServiceReplication
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 1803 con KB4516045 [10.0.17134.1039] y versiones posteriores ✅ Windows 10, versión 1809 con KB4516077 [10.0.17763.774] y versiones posteriores ✅ Windows 10, versión 1903 con KB4512941 [10.0.18362.329] y versiones posteriores ✅ Windows 10, versión 2004 [10.0.19041] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Audit/DSAccess_AuditDirectoryServiceReplication
Esta configuración de directiva permite auditar la replicación entre dos controladores de dominio de Active Directory Domain Services (AD DS).
Si configura esta configuración de directiva, se genera un evento de auditoría durante la replicación de AD DS. Las auditorías correctas registran la replicación correcta y las auditorías de errores registran la replicación incorrecta.
Si no configura esta configuración de directiva, no se genera ningún evento de auditoría durante la replicación de AD DS.
Volumen: medio en controladores de dominio. Ninguno en los equipos cliente.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 0 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 (Predeterminado) | Desactivado/Ninguno. |
| 1 | Éxito. |
| 2 | Fracaso. |
| 3 | Correcto+Error. |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Auditar replicación de servicio de directorio |
| Ruta de acceso | Configuración de > seguridad de Windows Configuración > avanzada De > directiva de auditoría Sistema De auditoría Directivas > de auditoría DS Access |
ObjectAccess_AuditApplicationGenerated
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 1803 con KB4516045 [10.0.17134.1039] y versiones posteriores ✅ Windows 10, versión 1809 con KB4516077 [10.0.17763.774] y versiones posteriores ✅ Windows 10, versión 1903 con KB4512941 [10.0.18362.329] y versiones posteriores ✅ Windows 10, versión 2004 [10.0.19041] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditApplicationGenerated
Esta configuración de directiva permite auditar las aplicaciones que generan eventos mediante las interfaces de programación de aplicaciones (API) de Auditoría de Windows. Las aplicaciones diseñadas para usar la API de auditoría de Windows usan esta subcategoría para registrar eventos de auditoría relacionados con su función. Los eventos de esta subcategoría incluyen: Creación de un contexto de cliente de aplicación. Eliminación de un contexto de cliente de aplicación. Inicialización de un contexto de cliente de aplicación. Otras operaciones de aplicación mediante las API de auditoría de Windows.
Volumen: depende de las aplicaciones que las generan.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 0 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 (Predeterminado) | Desactivado/Ninguno. |
| 1 | Éxito. |
| 2 | Fracaso. |
| 3 | Correcto+Error. |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Auditar aplicación generada |
| Ruta de acceso | Configuración de > seguridad de Windows Configuración > avanzada Configuración > de directiva de auditoría Sistema De auditoría Directivas > de auditoría Acceso a objetos |
ObjectAccess_AuditCentralAccessPolicyStaging
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 1803 con KB4516045 [10.0.17134.1039] y versiones posteriores ✅ Windows 10, versión 1809 con KB4516077 [10.0.17763.774] y versiones posteriores ✅ Windows 10, versión 1903 con KB4512941 [10.0.18362.329] y versiones posteriores ✅ Windows 10, versión 2004 [10.0.19041] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditCentralAccessPolicyStaging
Esta configuración de directiva permite auditar las solicitudes de acceso en las que el permiso concedido o denegado por una directiva propuesta difiere de la directiva de acceso central actual en un objeto. Si configura esta configuración de directiva, se genera un evento de auditoría cada vez que un usuario accede a un objeto y el permiso concedido por la directiva de acceso central actual en el objeto difiere del concedido por la directiva propuesta. El evento de auditoría resultante se generará de la siguiente manera: 1) Las auditorías correctas, cuando se configuran, registran los intentos de acceso cuando la directiva de acceso central actual concede acceso, pero la directiva propuesta deniega el acceso. 2) Auditorías de errores cuando el acceso de registros configurados intenta: a) La directiva de acceso central actual no concede acceso, pero la directiva propuesta concede acceso. b) Una entidad de seguridad solicita los derechos de acceso máximos que se les permiten y los derechos de acceso concedidos por la directiva de acceso central actual son diferentes de los derechos de acceso concedidos por la directiva propuesta. Volumen: potencialmente alto en un servidor de archivos cuando la directiva propuesta difiere significativamente de la directiva de acceso central actual.
Volumen: potencialmente alto en un servidor de archivos cuando la directiva propuesta difiere significativamente de la directiva de acceso central actual.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 0 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 (Predeterminado) | Desactivado/Ninguno. |
| 1 | Éxito. |
| 2 | Fracaso. |
| 3 | Correcto+Error. |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Auditar almacenamiento provisional de directiva de acceso central |
| Ruta de acceso | Configuración de > seguridad de Windows Configuración > avanzada Configuración > de directiva de auditoría Sistema De auditoría Directivas > de auditoría Acceso a objetos |
ObjectAccess_AuditCertificationServices
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 1803 con KB4516045 [10.0.17134.1039] y versiones posteriores ✅ Windows 10, versión 1809 con KB4516077 [10.0.17763.774] y versiones posteriores ✅ Windows 10, versión 1903 con KB4512941 [10.0.18362.329] y versiones posteriores ✅ Windows 10, versión 2004 [10.0.19041] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditCertificationServices
Esta configuración de directiva permite auditar las operaciones de Servicios de certificados de Active Directory (AD CS). Las operaciones de AD CS incluyen lo siguiente: inicio, apagado, copia de seguridad y restauración de AD CS. Cambios en la lista de revocación de certificados (CRL). Nuevas solicitudes de certificado. Emisión de un certificado. Revocación de un certificado. Cambios en la configuración del Administrador de certificados para AD CS. Cambios en la configuración de AD CS. Cambios en una plantilla de Certificate Services. Importación de un certificado. La publicación de un certificado de entidad de certificación se realiza en Active Directory Domain Services. Cambios en los permisos de seguridad de AD CS. Archivo de una clave. Importación de una clave. Recuperación de una clave. Inicio del servicio de respondedor del Protocolo de estado de certificado en línea (OCSP). Detener el servicio de respondedor del Protocolo de estado de certificado en línea (OCSP).
Volumen: medio o bajo en equipos que ejecutan Servicios de certificados de Active Directory.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 0 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 (Predeterminado) | Desactivado/Ninguno. |
| 1 | Éxito. |
| 2 | Fracaso. |
| 3 | Correcto+Error. |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Auditar servicios de certificación |
| Ruta de acceso | Configuración de > seguridad de Windows Configuración > avanzada Configuración > de directiva de auditoría Sistema De auditoría Directivas > de auditoría Acceso a objetos |
ObjectAccess_AuditDetailedFileShare
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 1803 con KB4516045 [10.0.17134.1039] y versiones posteriores ✅ Windows 10, versión 1809 con KB4516077 [10.0.17763.774] y versiones posteriores ✅ Windows 10, versión 1903 con KB4512941 [10.0.18362.329] y versiones posteriores ✅ Windows 10, versión 2004 [10.0.19041] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditDetailedFileShare
Esta configuración de directiva permite auditar los intentos de acceso a archivos y carpetas en una carpeta compartida. La configuración del recurso compartido de archivos detallado registra un evento cada vez que se accede a un archivo o carpeta, mientras que la configuración del recurso compartido de archivos solo registra un evento para cualquier conexión establecida entre un cliente y un recurso compartido de archivos. Los eventos de auditoría detallados del recurso compartido de archivos incluyen información detallada sobre los permisos u otros criterios que se usan para conceder o denegar el acceso.
- Si configura esta configuración de directiva, se genera un evento de auditoría cuando se intenta acceder a un archivo o carpeta de un recurso compartido. El administrador puede especificar si auditar solo los éxitos, solo los errores o los éxitos y los errores.
Nota
No hay listas de control de acceso del sistema (SACL) para carpetas compartidas.
- Si esta configuración de directiva está habilitada, se audita el acceso a todos los archivos y carpetas compartidos del sistema.
Volumen: alto en un servidor de archivos o controlador de dominio debido al acceso de red SYSVOL requerido por la directiva de grupo.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 0 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 (Predeterminado) | Desactivado/Ninguno. |
| 1 | Éxito. |
| 2 | Fracaso. |
| 3 | Correcto+Error. |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Auditar recurso compartido de archivos detallado |
| Ruta de acceso | Configuración de > seguridad de Windows Configuración > avanzada Configuración > de directiva de auditoría Sistema De auditoría Directivas > de auditoría Acceso a objetos |
ObjectAccess_AuditFileShare
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 1803 con KB4516045 [10.0.17134.1039] y versiones posteriores ✅ Windows 10, versión 1809 con KB4516077 [10.0.17763.774] y versiones posteriores ✅ Windows 10, versión 1903 con KB4512941 [10.0.18362.329] y versiones posteriores ✅ Windows 10, versión 2004 [10.0.19041] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditFileShare
Esta configuración de directiva permite auditar los intentos de acceso a una carpeta compartida.
Si configura esta configuración de directiva, se genera un evento de auditoría cuando se intenta acceder a una carpeta compartida.
Si se define esta configuración de directiva, el administrador puede especificar si auditar solo los éxitos, solo los errores o los éxitos y los errores.
Nota
No hay listas de control de acceso del sistema (SACL) para carpetas compartidas.
- Si esta configuración de directiva está habilitada, se audita el acceso a todas las carpetas compartidas del sistema.
Volumen: alto en un servidor de archivos o controlador de dominio debido al acceso de red SYSVOL requerido por la directiva de grupo.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 0 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 (Predeterminado) | Desactivado/Ninguno. |
| 1 | Éxito. |
| 2 | Fracaso. |
| 3 | Correcto+Error. |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Auditar recurso compartido de archivos |
| Ruta de acceso | Configuración de > seguridad de Windows Configuración > avanzada Configuración > de directiva de auditoría Sistema De auditoría Directivas > de auditoría Acceso a objetos |
ObjectAccess_AuditFileSystem
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 1803 con KB4516045 [10.0.17134.1039] y versiones posteriores ✅ Windows 10, versión 1809 con KB4516077 [10.0.17763.774] y versiones posteriores ✅ Windows 10, versión 1903 con KB4512941 [10.0.18362.329] y versiones posteriores ✅ Windows 10, versión 2004 [10.0.19041] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditFileSystem
Esta configuración de directiva permite auditar los intentos de los usuarios de acceder a objetos del sistema de archivos. Solo se genera un evento de auditoría de seguridad para los objetos que tienen listas de control de acceso del sistema (SACL) especificadas, y solo si el tipo de acceso solicitado, como Escritura, Lectura o Modificación, y la cuenta que realiza la solicitud coinciden con la configuración de SACL. Para obtener más información sobre cómo habilitar la auditoría de acceso a objetos, consulte<https://go.microsoft.com/fwlink/?LinkId=122083> .
Si configura esta configuración de directiva, se genera un evento de auditoría cada vez que una cuenta accede a un objeto de sistema de archivos con una SACL coincidente. Las auditorías correctas registran los intentos correctos y las auditorías de errores registran intentos incorrectos.
Si no configura esta configuración de directiva, no se genera ningún evento de auditoría cuando una cuenta accede a un objeto de sistema de archivos con una SACL coincidente.
Nota
Puede establecer una SACL en un objeto del sistema de archivos mediante la pestaña Seguridad del cuadro de diálogo Propiedades de ese objeto.
Volumen: depende de cómo se configuren las SACL del sistema de archivos.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 0 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 (Predeterminado) | Desactivado/Ninguno. |
| 1 | Éxito. |
| 2 | Fracaso. |
| 3 | Correcto+Error. |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Auditar sistema de archivos |
| Ruta de acceso | Configuración de > seguridad de Windows Configuración > avanzada Configuración > de directiva de auditoría Sistema De auditoría Directivas > de auditoría Acceso a objetos |
ObjectAccess_AuditFilteringPlatformConnection
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 1803 con KB4516045 [10.0.17134.1039] y versiones posteriores ✅ Windows 10, versión 1809 con KB4516077 [10.0.17763.774] y versiones posteriores ✅ Windows 10, versión 1903 con KB4512941 [10.0.18362.329] y versiones posteriores ✅ Windows 10, versión 2004 [10.0.19041] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditFilteringPlatformConnection
Esta configuración de directiva permite auditar las conexiones permitidas o bloqueadas por la Plataforma de filtrado de Windows (WFP). Se incluyen los siguientes eventos: el servicio firewall de Windows impide que una aplicación acepte conexiones entrantes en la red. El WFP permite una conexión. El WFP bloquea una conexión. El WFP permite un enlace a un puerto local. El WFP bloquea un enlace a un puerto local. El WFP permite una conexión. El WFP bloquea una conexión. El WFP permite que una aplicación o servicio escuche en un puerto las conexiones entrantes. El WFP bloquea una aplicación o servicio para escuchar en un puerto las conexiones entrantes.
Si configura esta configuración de directiva, se genera un evento de auditoría cuando el WFP permite o bloquea las conexiones. Las auditorías correctas registran los eventos generados cuando se permiten las conexiones y los eventos de registro de auditorías de errores generados cuando se bloquean las conexiones.
Si no configura esta configuración de directiva, no se genera ningún evento de auditoría cuando el WFP permite o bloquea la conexión.
Volumen: Alto.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 0 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 (Predeterminado) | Desactivado/Ninguno. |
| 1 | Éxito. |
| 2 | Fracaso. |
| 3 | Correcto+Error. |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Auditar conexión de Plataforma de filtrado |
| Ruta de acceso | Configuración de > seguridad de Windows Configuración > avanzada Configuración > de directiva de auditoría Sistema De auditoría Directivas > de auditoría Acceso a objetos |
ObjectAccess_AuditFilteringPlatformPacketDrop
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 1803 con KB4516045 [10.0.17134.1039] y versiones posteriores ✅ Windows 10, versión 1809 con KB4516077 [10.0.17763.774] y versiones posteriores ✅ Windows 10, versión 1903 con KB4512941 [10.0.18362.329] y versiones posteriores ✅ Windows 10, versión 2004 [10.0.19041] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditFilteringPlatformPacketDrop
Esta configuración de directiva le permite auditar los paquetes eliminados por la Plataforma de filtrado de Windows (WFP).
Volumen: Alto.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 0 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 (Predeterminado) | Desactivado/Ninguno. |
| 1 | Éxito. |
| 2 | Fracaso. |
| 3 | Correcto+Error. |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Auditar colocación de paquetes de la Plataforma de filtrado |
| Ruta de acceso | Configuración de > seguridad de Windows Configuración > avanzada Configuración > de directiva de auditoría Sistema De auditoría Directivas > de auditoría Acceso a objetos |
ObjectAccess_AuditHandleManipulation
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 1803 con KB4516045 [10.0.17134.1039] y versiones posteriores ✅ Windows 10, versión 1809 con KB4516077 [10.0.17763.774] y versiones posteriores ✅ Windows 10, versión 1903 con KB4512941 [10.0.18362.329] y versiones posteriores ✅ Windows 10, versión 2004 [10.0.19041] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditHandleManipulation
Esta configuración de directiva permite auditar los eventos generados cuando se abre o cierra un identificador de un objeto. Solo los objetos con una lista de control de acceso del sistema (SACL) coincidente generan eventos de auditoría de seguridad.
Si configura esta configuración de directiva, se genera un evento de auditoría cuando se manipula un identificador. Las auditorías correctas registran los intentos correctos y las auditorías de errores registran intentos incorrectos.
Si no configura esta configuración de directiva, no se genera ningún evento de auditoría cuando se manipula un identificador.
Nota
Los eventos de esta subcategoría generan eventos solo para los tipos de objeto donde está habilitada la subcategoría de acceso a objetos correspondiente. Por ejemplo, si el acceso a objetos del sistema de archivos está habilitado, se generan eventos de auditoría de seguridad de manipulación. Si el acceso a objetos del Registro no está habilitado, no se generarán eventos de auditoría de seguridad de manipulación.
Volumen: depende de cómo se configuren las SACL.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 0 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 (Predeterminado) | Desactivado/Ninguno. |
| 1 | Éxito. |
| 2 | Fracaso. |
| 3 | Correcto+Error. |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Auditar manipulación de identificadores |
| Ruta de acceso | Configuración de > seguridad de Windows Configuración > avanzada Configuración > de directiva de auditoría Sistema De auditoría Directivas > de auditoría Acceso a objetos |
ObjectAccess_AuditKernelObject
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 1803 con KB4516045 [10.0.17134.1039] y versiones posteriores ✅ Windows 10, versión 1809 con KB4516077 [10.0.17763.774] y versiones posteriores ✅ Windows 10, versión 1903 con KB4512941 [10.0.18362.329] y versiones posteriores ✅ Windows 10, versión 2004 [10.0.19041] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditKernelObject
Esta configuración de directiva permite auditar los intentos de acceso al kernel, que incluyen exclusión mutua y semáforos. Solo los objetos de kernel con una lista de control de acceso del sistema (SACL) coincidente generan eventos de auditoría de seguridad.
Nota
La configuración de directiva Audit: Auditar el acceso de objetos del sistema global controla el SACL predeterminado de los objetos de kernel.
Volumen: alto si está habilitada la auditoría del acceso de los objetos del sistema global.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 0 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 (Predeterminado) | Desactivado/Ninguno. |
| 1 | Éxito. |
| 2 | Fracaso. |
| 3 | Correcto+Error. |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Auditar objeto de kernel |
| Ruta de acceso | Configuración de > seguridad de Windows Configuración > avanzada Configuración > de directiva de auditoría Sistema De auditoría Directivas > de auditoría Acceso a objetos |
ObjectAccess_AuditOtherObjectAccessEvents
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 1803 con KB4516045 [10.0.17134.1039] y versiones posteriores ✅ Windows 10, versión 1809 con KB4516077 [10.0.17763.774] y versiones posteriores ✅ Windows 10, versión 1903 con KB4512941 [10.0.18362.329] y versiones posteriores ✅ Windows 10, versión 2004 [10.0.19041] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditOtherObjectAccessEvents
Esta configuración de directiva permite auditar los eventos generados por la administración de trabajos del programador de tareas u objetos COM+. En el caso de los trabajos del programador, se auditan los siguientes: Trabajo creado. Trabajo eliminado. Trabajo habilitado. Trabajo deshabilitado. Trabajo actualizado. En el caso de los objetos COM+, se auditan los siguientes elementos: objeto Catalog agregado. Objeto de catálogo actualizado. Objeto de catálogo eliminado.
Volumen: bajo.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 0 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 (Predeterminado) | Desactivado/Ninguno. |
| 1 | Éxito. |
| 2 | Fracaso. |
| 3 | Correcto+Error. |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Auditar otros eventos de acceso a objetos |
| Ruta de acceso | Configuración de > seguridad de Windows Configuración > avanzada Configuración > de directiva de auditoría Sistema De auditoría Directivas > de auditoría Acceso a objetos |
ObjectAccess_AuditRegistry
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 1803 con KB4516045 [10.0.17134.1039] y versiones posteriores ✅ Windows 10, versión 1809 con KB4516077 [10.0.17763.774] y versiones posteriores ✅ Windows 10, versión 1903 con KB4512941 [10.0.18362.329] y versiones posteriores ✅ Windows 10, versión 2004 [10.0.19041] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditRegistry
Esta configuración de directiva permite auditar los intentos de acceso a objetos del Registro. Solo se genera un evento de auditoría de seguridad para los objetos que tienen listas de control de acceso del sistema (SACL) especificadas y solo si el tipo de acceso solicitado, como Lectura, Escritura o Modificación, y la cuenta que realiza la solicitud coinciden con la configuración de sacl.
Si configura esta configuración de directiva, se genera un evento de auditoría cada vez que una cuenta accede a un objeto del Registro con una SACL coincidente. Las auditorías correctas registran los intentos correctos y las auditorías de errores registran intentos incorrectos.
Si no configura esta configuración de directiva, no se genera ningún evento de auditoría cuando una cuenta accede a un objeto del Registro con una SACL coincidente.
Nota
Puede establecer una SACL en un objeto del Registro mediante el cuadro de diálogo Permisos.
Volumen: depende de cómo se configuren las SACL del Registro.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 0 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 (Predeterminado) | Desactivado/Ninguno. |
| 1 | Éxito. |
| 2 | Fracaso. |
| 3 | Correcto+Error. |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Auditar Registro |
| Ruta de acceso | Configuración de > seguridad de Windows Configuración > avanzada Configuración > de directiva de auditoría Sistema De auditoría Directivas > de auditoría Acceso a objetos |
ObjectAccess_AuditRemovableStorage
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 1803 con KB4516045 [10.0.17134.1039] y versiones posteriores ✅ Windows 10, versión 1809 con KB4516077 [10.0.17763.774] y versiones posteriores ✅ Windows 10, versión 1903 con KB4512941 [10.0.18362.329] y versiones posteriores ✅ Windows 10, versión 2004 [10.0.19041] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditRemovableStorage
Esta configuración de directiva permite auditar los intentos de los usuarios de acceder a objetos del sistema de archivos en un dispositivo de almacenamiento extraíble. Solo se genera un evento de auditoría de seguridad para todos los objetos para todos los tipos de acceso solicitados.
Si configura esta configuración de directiva, se genera un evento de auditoría cada vez que una cuenta accede a un objeto de sistema de archivos en un almacenamiento extraíble. Las auditorías correctas registran los intentos correctos y las auditorías de errores registran intentos incorrectos.
Si no configura esta configuración de directiva, no se genera ningún evento de auditoría cuando una cuenta accede a un objeto de sistema de archivos en un almacenamiento extraíble.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 0 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 (Predeterminado) | Desactivado/Ninguno. |
| 1 | Éxito. |
| 2 | Fracaso. |
| 3 | Correcto+Error. |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Auditar almacenamiento extraíble |
| Ruta de acceso | Configuración de > seguridad de Windows Configuración > avanzada Configuración > de directiva de auditoría Sistema De auditoría Directivas > de auditoría Acceso a objetos |
ObjectAccess_AuditSAM
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 1803 con KB4516045 [10.0.17134.1039] y versiones posteriores ✅ Windows 10, versión 1809 con KB4516077 [10.0.17763.774] y versiones posteriores ✅ Windows 10, versión 1903 con KB4512941 [10.0.18362.329] y versiones posteriores ✅ Windows 10, versión 2004 [10.0.19041] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditSAM
Esta configuración de directiva permite auditar eventos generados por intentos de acceso a objetos del Administrador de cuentas de seguridad (SAM). Los objetos SAM incluyen lo siguiente: SAM_ALIAS: un grupo local. SAM_GROUP: un grupo que no es un grupo local. SAM_USER: una cuenta de usuario. SAM_DOMAIN: un dominio. SAM_SERVER: una cuenta de equipo.
Si configura esta configuración de directiva, se genera un evento de auditoría cuando se intenta acceder a un objeto de kernel. Las auditorías correctas registran los intentos correctos y las auditorías de errores registran intentos incorrectos.
Si no configura esta configuración de directiva, no se genera ningún evento de auditoría cuando se intenta acceder a un objeto kernel.
Nota
Solo se puede modificar la lista de control de acceso del sistema (SACL) para SAM_SERVER. Volumen: alto en controladores de dominio.
Volumen: alto en controladores de dominio. Para obtener más información sobre cómo reducir el número de eventos generados mediante la auditoría del acceso de objetos del sistema global, vea Auditar el acceso de objetos del sistema global.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 0 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 (Predeterminado) | Desactivado/Ninguno. |
| 1 | Éxito. |
| 2 | Fracaso. |
| 3 | Correcto+Error. |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Auditar SAM |
| Ruta de acceso | Configuración de > seguridad de Windows Configuración > avanzada Configuración > de directiva de auditoría Sistema De auditoría Directivas > de auditoría Acceso a objetos |
PolicyChange_AuditAuthenticationPolicyChange
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 1803 con KB4516045 [10.0.17134.1039] y versiones posteriores ✅ Windows 10, versión 1809 con KB4516077 [10.0.17763.774] y versiones posteriores ✅ Windows 10, versión 1903 con KB4512941 [10.0.18362.329] y versiones posteriores ✅ Windows 10, versión 2004 [10.0.19041] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Audit/PolicyChange_AuditAuthenticationPolicyChange
Esta configuración de directiva permite auditar los eventos generados por los cambios en la directiva de autenticación, como los siguientes: Creación de confianzas de bosque y dominio. Modificación de las confianzas de bosque y dominio. Eliminación de las confianzas de bosque y dominio. Cambios en la directiva kerberos en Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas de cuenta\Directiva kerberos. Concesión de cualquiera de los siguientes derechos de usuario a un usuario o grupo: Acceso a este equipo desde la red. Permitir inicio de sesión localmente. Permitir el inicio de sesión a través de Terminal Services. Inicie sesión como un trabajo de Batch. Inicie sesión en un servicio. Namespace colisión. Por ejemplo, cuando una nueva confianza tiene el mismo nombre que un nombre de espacio de nombres existente.
Si configura esta configuración de directiva, se genera un evento de auditoría cuando se intenta cambiar la directiva de autenticación. Las auditorías correctas registran los intentos correctos y las auditorías de errores registran intentos incorrectos.
Si no configura esta configuración de directiva, no se genera ningún evento de auditoría cuando se cambia la directiva de autenticación.
Nota
El evento de auditoría de seguridad se registra cuando se aplica la directiva de grupo. No se produce en el momento en que se modifica la configuración.
Volumen: bajo.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 1 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 | Desactivado/Ninguno. |
| 1 (valor predeterminado) | Éxito. |
| 2 | Fracaso. |
| 3 | Correcto+Error. |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Auditar cambio de directiva de autenticación |
| Ruta de acceso | Configuración de > seguridad de Windows Configuración > avanzada Configuración > de directiva de auditoría Cambio de directivas > de auditoría del sistema |
PolicyChange_AuditAuthorizationPolicyChange
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 1803 con KB4516045 [10.0.17134.1039] y versiones posteriores ✅ Windows 10, versión 1809 con KB4516077 [10.0.17763.774] y versiones posteriores ✅ Windows 10, versión 1903 con KB4512941 [10.0.18362.329] y versiones posteriores ✅ Windows 10, versión 2004 [10.0.19041] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Audit/PolicyChange_AuditAuthorizationPolicyChange
Esta configuración de directiva permite auditar los eventos generados por los cambios en la directiva de autorización, como los siguientes: Asignación de derechos de usuario (privilegios), como SeCreateTokenPrivilege, que no se auditan mediante la subcategoría "Cambio de directiva de autenticación". Eliminación de derechos de usuario (privilegios), como SeCreateTokenPrivilege, que no se auditan mediante la subcategoría "Cambio de directiva de autenticación". Cambios en la directiva del sistema de archivos cifrado (EFS). Cambios en los atributos Resource de un objeto. Cambios en la directiva de acceso central (CAP) aplicada a un objeto.
Si configura esta configuración de directiva, se genera un evento de auditoría cuando se intenta cambiar la directiva de autorización. Las auditorías correctas registran los intentos correctos y las auditorías de errores registran intentos incorrectos.
Si no configura esta configuración de directiva, no se genera ningún evento de auditoría cuando cambia la directiva de autorización.
Volumen: bajo.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 0 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 (Predeterminado) | Desactivado/Ninguno. |
| 1 | Éxito. |
| 2 | Fracaso. |
| 3 | Correcto+Error. |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Auditar cambio de directiva de autorización |
| Ruta de acceso | Configuración de > seguridad de Windows Configuración > avanzada Configuración > de directiva de auditoría Cambio de directivas > de auditoría del sistema |
PolicyChange_AuditFilteringPlatformPolicyChange
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 1803 con KB4516045 [10.0.17134.1039] y versiones posteriores ✅ Windows 10, versión 1809 con KB4516077 [10.0.17763.774] y versiones posteriores ✅ Windows 10, versión 1903 con KB4512941 [10.0.18362.329] y versiones posteriores ✅ Windows 10, versión 2004 [10.0.19041] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Audit/PolicyChange_AuditFilteringPlatformPolicyChange
Esta configuración de directiva permite auditar eventos generados por cambios en la Plataforma de filtrado de Windows (WFP), como los siguientes: Estado de los servicios IPsec. Cambios en la configuración de la directiva de IPsec. Cambios en la configuración de la directiva de Firewall de Windows. Cambios en los proveedores y el motor de WFP.
Si configura esta configuración de directiva, se genera un evento de auditoría cuando se intenta realizar un cambio en el WFP. Las auditorías correctas registran los intentos correctos y las auditorías de errores registran intentos incorrectos.
Si no configura esta configuración de directiva, no se genera ningún evento de auditoría cuando se produce un cambio en el WFP.
Volumen: bajo.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 0 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 (Predeterminado) | Desactivado/Ninguno. |
| 1 | Éxito. |
| 2 | Fracaso. |
| 3 | Correcto+Error. |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Auditar cambio de directiva de la Plataforma de filtrado |
| Ruta de acceso | Configuración de > seguridad de Windows Configuración > avanzada Configuración > de directiva de auditoría Cambio de directivas > de auditoría del sistema |
PolicyChange_AuditMPSSVCRuleLevelPolicyChange
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 1803 con KB4516045 [10.0.17134.1039] y versiones posteriores ✅ Windows 10, versión 1809 con KB4516077 [10.0.17763.774] y versiones posteriores ✅ Windows 10, versión 1903 con KB4512941 [10.0.18362.329] y versiones posteriores ✅ Windows 10, versión 2004 [10.0.19041] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Audit/PolicyChange_AuditMPSSVCRuleLevelPolicyChange
Esta configuración de directiva permite auditar los eventos generados por los cambios en las reglas de directivas que usa Microsoft Protection Service (MPSSVC). Este servicio lo usa Firewall de Windows. Los eventos incluyen lo siguiente: Generación de informes de directivas activas cuando se inicia el servicio Firewall de Windows. Cambios en las reglas de Firewall de Windows. Cambios en la lista de excepciones de Firewall de Windows. Cambios en la configuración de Firewall de Windows. Reglas ignoradas o no aplicadas por el servicio firewall de Windows. Cambios en la configuración de la directiva de grupo de Firewall de Windows.
Si configura esta configuración de directiva, se genera un evento de auditoría al intentar cambiar las reglas de directiva usadas por MPSSVC. Las auditorías correctas registran los intentos correctos y las auditorías de errores registran intentos incorrectos.
Si no configura esta configuración de directiva, no se genera ningún evento de auditoría por los cambios en las reglas de directiva usadas por MPSSVC.
Volumen: bajo.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 0 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 (Predeterminado) | Desactivado/Ninguno. |
| 1 | Éxito. |
| 2 | Fracaso. |
| 3 | Correcto+Error. |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Auditar el cambio de directiva de nivel de regla de MPSSVC |
| Ruta de acceso | Configuración de > seguridad de Windows Configuración > avanzada Configuración > de directiva de auditoría Cambio de directivas > de auditoría del sistema |
PolicyChange_AuditOtherPolicyChangeEvents
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 1803 con KB4516045 [10.0.17134.1039] y versiones posteriores ✅ Windows 10, versión 1809 con KB4516077 [10.0.17763.774] y versiones posteriores ✅ Windows 10, versión 1903 con KB4512941 [10.0.18362.329] y versiones posteriores ✅ Windows 10, versión 2004 [10.0.19041] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Audit/PolicyChange_AuditOtherPolicyChangeEvents
Esta configuración de directiva permite auditar eventos generados por otros cambios de directiva de seguridad que no se auditan en la categoría de cambio de directiva, como los siguientes: Cambios de configuración del Módulo de plataforma segura (TPM). Autoevaluaciones criptográficas en modo kernel. Operaciones del proveedor criptográfico. Operaciones o modificaciones de contexto criptográfico. Cambios en las directivas de acceso central (CAP) aplicadas. Modificaciones de datos de configuración de arranque (BCD).
Volumen: bajo.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 0 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 (Predeterminado) | Desactivado/Ninguno. |
| 1 | Éxito. |
| 2 | Fracaso. |
| 3 | Correcto+Error. |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Auditar otros eventos de cambio de directiva |
| Ruta de acceso | Configuración de > seguridad de Windows Configuración > avanzada Configuración > de directiva de auditoría Cambio de directivas > de auditoría del sistema |
PolicyChange_AuditPolicyChange
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 1803 con KB4516045 [10.0.17134.1039] y versiones posteriores ✅ Windows 10, versión 1809 con KB4516077 [10.0.17763.774] y versiones posteriores ✅ Windows 10, versión 1903 con KB4512941 [10.0.18362.329] y versiones posteriores ✅ Windows 10, versión 2004 [10.0.19041] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Audit/PolicyChange_AuditPolicyChange
Esta configuración de directiva permite auditar los cambios en la configuración de la directiva de auditoría de seguridad, como los siguientes: Permisos de configuración y configuración de auditoría en el objeto Audit Policy. Cambios en la directiva de auditoría del sistema. Registro de orígenes de eventos de seguridad. Anulación del registro de orígenes de eventos de seguridad. Cambios en la configuración de auditoría por usuario. Cambios en el valor de CrashOnAuditFail. Cambios en la lista de control de acceso del sistema en un sistema de archivos o un objeto del Registro. Cambios en la lista Grupos especiales.
Nota
La auditoría de cambios de la lista de control de acceso del sistema (SACL) se realiza cuando cambia una SACL de un objeto y la categoría de cambio de directiva está habilitada. La lista de control de acceso discrecional (DACL) y los cambios de propiedad se auditan cuando la auditoría de acceso a objetos está habilitada y la SACL del objeto está configurada para auditar el cambio de DACL/Propietario.
Volumen: bajo.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 1 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 | Desactivado/Ninguno. |
| 1 (valor predeterminado) | Éxito. |
| 2 | Fracaso. |
| 3 | Correcto+Error. |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Cambio de directiva de auditoría |
| Ruta de acceso | Configuración de > seguridad de Windows Configuración > avanzada Configuración > de directiva de auditoría Cambio de directivas > de auditoría del sistema |
PrivilegeUse_AuditNonSensitivePrivilegeUse
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 1803 con KB4516045 [10.0.17134.1039] y versiones posteriores ✅ Windows 10, versión 1809 con KB4516077 [10.0.17763.774] y versiones posteriores ✅ Windows 10, versión 1903 con KB4512941 [10.0.18362.329] y versiones posteriores ✅ Windows 10, versión 2004 [10.0.19041] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Audit/PrivilegeUse_AuditNonSensitivePrivilegeUse
Esta configuración de directiva permite auditar eventos generados por el uso de privilegios no confidenciales (derechos de usuario). Los siguientes privilegios no son confidenciales: Access Credential Manager como llamador de confianza. Acceda a este equipo desde la red. Agregar estaciones de trabajo al dominio. Ajuste las cuotas de memoria para un proceso. Permitir el inicio de sesión localmente. Permitir el inicio de sesión a través de Terminal Services. Omita la comprobación de recorrido. Cambie la hora del sistema. Cree un archivo de página. Crear objetos globales. Cree objetos compartidos permanentes. Cree vínculos simbólicos. Denegar el acceso a este equipo desde la red. Denegar el inicio de sesión como un trabajo por lotes. Denegar el inicio de sesión como servicio. Denegar el inicio de sesión localmente. Denegar el inicio de sesión a través de Terminal Services. Forzar el apagado desde un sistema remoto. Aumentar un conjunto de trabajo de procesos. Aumentar la prioridad de programación. Bloquear páginas en la memoria. Inicie sesión como un trabajo por lotes. Inicie sesión como servicio. Modifique una etiqueta de objeto. Realice tareas de mantenimiento del volumen. Perfil de proceso único. Perfilar el rendimiento del sistema. Quite el equipo de la estación de acoplamiento. Apague el sistema. Sincronice los datos del servicio de directorio.
Si configura esta configuración de directiva, se genera un evento de auditoría cuando se llama a un privilegio no confidencial. Las auditorías correctas registran llamadas correctas y las auditorías de errores registran llamadas incorrectas.
Si no configura esta configuración de directiva, no se genera ningún evento de auditoría cuando se llama a un privilegio no confidencial.
Volumen: Muy alto.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 0 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 (Predeterminado) | Desactivado/Ninguno. |
| 1 | Éxito. |
| 2 | Fracaso. |
| 3 | Correcto+Error. |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Auditar uso de privilegios no confidenciales |
| Ruta de acceso | Configuración de > windows Configuración de seguridad Configuración > avanzada de > directiva de auditoría Sistema De auditoría Directivas > de auditoría uso de privilegios |
PrivilegeUse_AuditOtherPrivilegeUseEvents
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 1803 con KB4516045 [10.0.17134.1039] y versiones posteriores ✅ Windows 10, versión 1809 con KB4516077 [10.0.17763.774] y versiones posteriores ✅ Windows 10, versión 1903 con KB4512941 [10.0.18362.329] y versiones posteriores ✅ Windows 10, versión 2004 [10.0.19041] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Audit/PrivilegeUse_AuditOtherPrivilegeUseEvents
No se usa.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 0 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 (Predeterminado) | Desactivado/Ninguno. |
| 1 | Éxito. |
| 2 | Fracaso. |
| 3 | Correcto+Error. |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Auditar otros eventos de uso de privilegios |
| Ruta de acceso | Configuración de > windows Configuración de seguridad Configuración > avanzada de > directiva de auditoría Sistema De auditoría Directivas > de auditoría uso de privilegios |
PrivilegeUse_AuditSensitivePrivilegeUse
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 1803 con KB4516045 [10.0.17134.1039] y versiones posteriores ✅ Windows 10, versión 1809 con KB4516077 [10.0.17763.774] y versiones posteriores ✅ Windows 10, versión 1903 con KB4512941 [10.0.18362.329] y versiones posteriores ✅ Windows 10, versión 2004 [10.0.19041] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Audit/PrivilegeUse_AuditSensitivePrivilegeUse
Esta configuración de directiva permite auditar los eventos generados cuando se usan privilegios confidenciales (derechos de usuario), como el siguiente: Se llama a un servicio con privilegios. Se llama a uno de los siguientes privilegios: Actuar como parte del sistema operativo. Copia de seguridad de archivos y directorios. Cree un objeto de token. Depurar programas. Permitir que las cuentas de usuario y de equipo sean de confianza para la delegación. Generar auditorías de seguridad. Suplantar un cliente después de la autenticación. Carga y descarga de controladores de dispositivos. Administrar la auditoría y el registro de seguridad. Modifique los valores del entorno de firmware. Reemplace un token de nivel de proceso. Restaurar archivos y directorios. Tome la propiedad de archivos u otros objetos.
Si configura esta configuración de directiva, se genera un evento de auditoría cuando se realizan solicitudes de privilegios confidenciales. Las auditorías correctas registran solicitudes correctas y las auditorías de errores registran solicitudes incorrectas.
Si no configura esta configuración de directiva, no se genera ningún evento de auditoría cuando se realizan solicitudes de privilegios confidenciales.
Volumen: Alto.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 0 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 (Predeterminado) | Desactivado/Ninguno. |
| 1 | Éxito. |
| 2 | Fracaso. |
| 3 | Correcto+Error. |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Auditar uso de privilegios confidenciales |
| Ruta de acceso | Configuración de > windows Configuración de seguridad Configuración > avanzada de > directiva de auditoría Sistema De auditoría Directivas > de auditoría uso de privilegios |
System_AuditIPsecDriver
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 1803 con KB4516045 [10.0.17134.1039] y versiones posteriores ✅ Windows 10, versión 1809 con KB4516077 [10.0.17763.774] y versiones posteriores ✅ Windows 10, versión 1903 con KB4512941 [10.0.18362.329] y versiones posteriores ✅ Windows 10, versión 2004 [10.0.19041] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Audit/System_AuditIPsecDriver
Esta configuración de directiva permite auditar eventos generados por el controlador de filtro IPsec, como los siguientes: Inicio y cierre de los servicios IPsec. Paquetes de red descartados debido a un error de comprobación de integridad. Paquetes de red descartados debido a un error de comprobación de reproducción. Paquetes de red descartados debido a estar en texto no cifrado. Paquetes de red recibidos con un índice de parámetros de seguridad (SPI) incorrecto. Esto puede indicar que la tarjeta de red no funciona correctamente o que el controlador debe actualizarse. Incapacidad para procesar filtros IPsec.
Si configura esta configuración de directiva, se genera un evento de auditoría en una operación de controlador de filtro IPsec. Las auditorías correctas registran los intentos correctos y las auditorías de errores registran intentos incorrectos.
Si no configura esta configuración de directiva, no se genera ningún evento de auditoría en una operación de controlador de filtro IPSec.
Volumen: bajo.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 0 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 (Predeterminado) | Desactivado/Ninguno. |
| 1 | Éxito. |
| 2 | Fracaso. |
| 3 | Correcto+Error. |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Auditar controlador IPsec |
| Ruta de acceso | Configuración de > seguridad Configuración de > Windows Sistema de directivas de auditoría > avanzada Sistema de directivas > de auditoría |
System_AuditOtherSystemEvents
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 1803 con KB4516045 [10.0.17134.1039] y versiones posteriores ✅ Windows 10, versión 1809 con KB4516077 [10.0.17763.774] y versiones posteriores ✅ Windows 10, versión 1903 con KB4512941 [10.0.18362.329] y versiones posteriores ✅ Windows 10, versión 2004 [10.0.19041] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Audit/System_AuditOtherSystemEvents
Esta configuración de directiva le permite auditar cualquiera de los siguientes eventos: inicio y apagado del controlador y el servicio firewall de Windows. Procesamiento de directivas de seguridad por parte del servicio Firewall de Windows. Operaciones de migración y archivo de clave criptográfica.
Volumen: bajo.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 3 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 | Desactivado/Ninguno. |
| 1 | Éxito. |
| 2 | Fracaso. |
| 3 (valor predeterminado) | Correcto+Error. |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Auditar otros eventos del sistema |
| Ruta de acceso | Configuración de > seguridad Configuración de > Windows Sistema de directivas de auditoría > avanzada Sistema de directivas > de auditoría |
System_AuditSecurityStateChange
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 1803 con KB4516045 [10.0.17134.1039] y versiones posteriores ✅ Windows 10, versión 1809 con KB4516077 [10.0.17763.774] y versiones posteriores ✅ Windows 10, versión 1903 con KB4512941 [10.0.18362.329] y versiones posteriores ✅ Windows 10, versión 2004 [10.0.19041] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Audit/System_AuditSecurityStateChange
Esta configuración de directiva permite auditar los eventos generados por los cambios en el estado de seguridad del equipo, como los siguientes eventos: inicio y apagado del equipo. Cambio de la hora del sistema. Recuperación del sistema desde CrashOnAuditFail, que se registra después de que se reinicie un sistema cuando el registro de eventos de seguridad esté lleno y se configure la entrada del Registro CrashOnAuditFail.
Volumen: bajo.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 1 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 | Desactivado/Ninguno. |
| 1 (valor predeterminado) | Éxito. |
| 2 | Fracaso. |
| 3 | Correcto+Error. |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Auditar cambio de estado de seguridad |
| Ruta de acceso | Configuración de > seguridad Configuración de > Windows Sistema de directivas de auditoría > avanzada Sistema de directivas > de auditoría |
System_AuditSecuritySystemExtension
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 1803 con KB4516045 [10.0.17134.1039] y versiones posteriores ✅ Windows 10, versión 1809 con KB4516077 [10.0.17763.774] y versiones posteriores ✅ Windows 10, versión 1903 con KB4512941 [10.0.18362.329] y versiones posteriores ✅ Windows 10, versión 2004 [10.0.19041] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Audit/System_AuditSecuritySystemExtension
Esta configuración de directiva permite auditar eventos relacionados con extensiones o servicios del sistema de seguridad, como los siguientes: se carga una extensión del sistema de seguridad, como una autenticación, una notificación o un paquete de seguridad, y se registra en la entidad de seguridad local (LSA). Se usa para autenticar intentos de inicio de sesión, enviar solicitudes de inicio de sesión y cualquier cambio de cuenta o contraseña. Algunos ejemplos de extensiones del sistema de seguridad son Kerberos y NTLM. Un servicio se instala y registra con el Administrador de control de servicios. El registro de auditoría contiene información sobre el nombre del servicio, el binario, el tipo, el tipo de inicio y la cuenta de servicio.
Si configura esta configuración de directiva, se genera un evento de auditoría cuando se intenta cargar una extensión del sistema de seguridad. Las auditorías correctas registran los intentos correctos y las auditorías de errores registran intentos incorrectos.
Si no configura esta configuración de directiva, no se genera ningún evento de auditoría cuando se intenta cargar una extensión del sistema de seguridad.
Volumen: bajo. Los eventos de extensión del sistema de seguridad se generan con más frecuencia en un controlador de dominio que en equipos cliente o servidores miembros.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 0 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 (Predeterminado) | Desactivado/Ninguno. |
| 1 | Éxito. |
| 2 | Fracaso. |
| 3 | Correcto+Error. |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Auditar extensión del sistema de seguridad |
| Ruta de acceso | Configuración de > seguridad Configuración de > Windows Sistema de directivas de auditoría > avanzada Sistema de directivas > de auditoría |
System_AuditSystemIntegrity
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 1803 con KB4516045 [10.0.17134.1039] y versiones posteriores ✅ Windows 10, versión 1809 con KB4516077 [10.0.17763.774] y versiones posteriores ✅ Windows 10, versión 1903 con KB4512941 [10.0.18362.329] y versiones posteriores ✅ Windows 10, versión 2004 [10.0.19041] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Audit/System_AuditSystemIntegrity
Esta configuración de directiva permite auditar eventos que infringen la integridad del subsistema de seguridad, como los siguientes: Eventos que no se pudieron escribir en el registro de eventos debido a un problema con el sistema de auditoría. Proceso que usa un puerto de llamada a procedimiento local (LPC) que no es válido en un intento de suplantar a un cliente respondiendo, leyendo o escribiendo hacia o desde un espacio de direcciones de cliente. La detección de una llamada a procedimiento remoto (RPC) que pone en peligro la integridad del sistema. La detección de un valor hash de un archivo ejecutable que no es válido según lo determinado por integridad de código. Operaciones criptográficas que ponen en peligro la integridad del sistema.
Volumen: bajo.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 3 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 | Desactivado/Ninguno. |
| 1 | Éxito. |
| 2 | Fracaso. |
| 3 (valor predeterminado) | Correcto+Error. |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Auditar integridad del sistema |
| Ruta de acceso | Configuración de > seguridad Configuración de > Windows Sistema de directivas de auditoría > avanzada Sistema de directivas > de auditoría |