Prioridad de Configuración de directiva de auditoría avanzada

El objeto de política de grupo (GPO) que Tenable Identity Exposure crea para habilitar el registro de eventos necesarios está vinculado a los controladores de dominio de la unidad organizativa (OU) con el modo Forzado habilitado.

Esto le otorga al GPO una prioridad alta, pero un GPO forzado configurado en un nivel superior (como un dominio o sitio) tiene prioridad sobre él.

Si el GPO de mayor prioridad que define las opciones de Configuración de directiva de auditoría avanzada entra en conflicto con las necesidades de Tenable Identity Exposure, tiene prioridad y Tenable Identity Exposure omite los eventos necesarios para la detección de ataques.

Dado que Windows fusiona las opciones de Configuración de directiva de auditoría avanzada definidas por los GPO, distintos GPO pueden definir opciones diferentes.

Sin embargo, para cada opción, solo usa el valor definido por el GPO con mayor precedencia. Por ejemplo, Tenable Identity Exposure necesita el valor Correcto y Error para la opción Auditar validación de credenciales. Sin embargo, si un GPO con mayor precedencia solo define Correcto para Auditar validación de credenciales, Windows solo recopila eventos con Correcto y Tenable Identity Exposure omite los eventos con Error necesarios.

  1. En la interfaz de la línea de comandos, ejecute el siguiente comando en un controlador de dominio.

    Genera la Configuración de directiva de auditoría avanzada vigente después de tener en cuenta todos los GPO y la precedencia.

    Copiar 
    auditpol.exe /get /category:*

  2. Compare la salida con los requisitos de las políticas de auditoría avanzada de Tenable Identity Exposure. Para cada opción que Tenable Identity Exposure exija, verifique que la política vigente también la cubra.

    • No es problema si la política vigente es más exhaustiva, como cuando Tenable Identity Exposure necesita “Correcto” o “Error” y la opción es “Correcto y error”.

    • Si la política vigente es insuficiente, se debe a que un GPO con mayor precedencia define opciones en conflicto.

  1. Busque los GPO vinculados a niveles superiores (dominio o sitio) en modo “forzado” que definan la Configuración de directiva de auditoría avanzada.

  2. En la interfaz de la línea de comandos, ejecute el siguiente comando en un controlador de dominio para señalar el GPO ganador:

    Copiar 
    gpresult /scope:computer /h gpo.html

  1. Modifique la opción correspondiente de Configuración de directiva de auditoría avanzada en el GPO para cumplir con los requisitos mínimos de Tenable Identity Exposure. Por ejemplo:

    • Si Tenable Identity Exposure requiere “Correcto” y el GPO de mayor prioridad define “Error”, modifique la opción a “Correcto y error”.

    • Si Tenable Identity Exposure requiere “Correcto y error” y el GPO de mayor prioridad define “Correcto”, modifique la opción a “Correcto y error”.

  1. Después de modificar la opción, puede esperar a que se aplique el GPO actualizado o forzarlo con el comando gpupdate.

  2. Repita el procedimiento “Para comprobar la precedencia de los GPO:” para comprobar la nueva política vigente.