GPO.
AUDITORIAS.
En esta práctica, realiza los pasos oportunos para auditar: la creación, eliminación, modificación de usuarios (ID 4720, 4722, 4725, 4740) y cambios en grupos de seguridad. Los eventos a comprobar son:
- Auditar Creación/Eliminación de Usuarios (ID 4720, 4726): Habilite "Auditar administración de cuentas de usuario" en las directivas avanzadas para rastrear cuándo se crea o elimina un usuario
- Auditar Bloqueo de Cuentas (ID 4740): Active la auditoría de administración de cuentas para registrar qué usuarios son bloqueados por intentos fallidos, útil para detectar ataques de fuerza bruta.
- Auditar Cambios en Grupos de Seguridad (ID 4728, 4729, 4732): Configure "Auditar administración de grupos de seguridad" para registrar cuándo se añade o elimina un miembro de grupos sensibles (ej. Administradores del Dominio).
- Auditar Restablecimiento de Contraseñas (ID 4724): Permite identificar qué administrador o usuario cambió la contraseña de otra cuenta.
No hay comentarios:
Publicar un comentario