Saltar al contenido 
Introducción
La seguridad de las infraestructuras no es posible sin un control transparente. Una de las funciones más importantes que permite dicho control en un entorno Windows es la política de supervisión. Al activar la política de supervisión de Windows, puede realizar un seguimiento de los intentos de conexión, el acceso a los archivos, los cambios en los permisos, los inicios de procesos y otros eventos importantes.
En un entorno empresarial, especialmente para cumplir los requisitos de las normas ISO/IEC 27001, PCI DSS o SOC, la supervisión de la seguridad de Windows no es solo una función adicional, sino un elemento obligatorio. En este artículo, explicaremos cómo configurar y utilizar eficazmente la estrategia de supervisión de Windows con ejemplos, listas y recomendaciones.
¿Qué es la estrategia de supervisión de Windows?
La estrategia de supervisión es un mecanismo integrado en Windows que le permite registrar las acciones importantes de los usuarios y los procesos en el registro del sistema (registro de eventos). Estos registros se pueden utilizar para:
- investigar incidentes de seguridad,
- supervisar el acceso a datos confidenciales,
- detectar intentos de piratería
- y cumplir los requisitos de control y auditoría internos.
Ejemplos de eventos que se pueden registrar:
- Intentos de conexión correctos y fallidos
- Acceso a archivos y carpetas
- Cambios realizados en los grupos de usuarios
¿Por qué activar la estrategia de supervisión de Windows?
Guion | Ventajas de un control |
Investigación sobre la filtración de datos | Indica quién ha accedido a qué archivo y en qué momento. |
Control de las acciones de los administradores | Registra los cambios realizados en los permisos y la ejecución de scripts. |
Cumplimiento de los requisitos de auditoría (SOC, ISO) | Registro completo de eventos con indicación de la hora y referencias de usuario. |
Protección contra amenazas internas | Detecta actividades inusuales y accesos no autorizados. |
Cómo activar y configurar la estrategia de supervisión de Windows: guía completa
La estrategia de supervisión de Windows le permite registrar eventos importantes, como conexiones, accesos a archivos, cambios en los permisos, inicio de procesos y mucho más. Puede configurarla localmente (en un solo servidor o en una sola estación de trabajo) o a través de directivas de grupo (GPO) en un dominio.
Opción 1: configuración local en un servidor o estación de trabajo
Adecuado para
- VPS/servidores independientes
- Ordenadores fuera del dominio
- Ordenadores de prueba
Paso 1: abra el complemento «Política de seguridad local»
Presione Win + R, escriba secpol.msc y presione Intro.
Vaya a la sección: Política de seguridad local → Políticas locales → Política de supervisión
Paso 2: active las categorías de supervisión necesarias
Tiene acceso a 9 categorías principales:
Categoría | Lo que se registra |
Control del acceso a los objetos | Acceso a archivos, carpetas y registro |
Verificación de conexión al sistema | Intente conectarse a la estación de trabajo (RDP, interactivo). |
Control de acceso a la red | Acceso a través de recursos de red (por ejemplo, unidades compartidas) |
Verificación de movimientos de cuenta | Crear, eliminar y modificar usuarios |
Control del uso de autorizaciones | Aplicación de medidas administrativas |
Auditoría de eventos del sistema | Reinicio, apagado, error de servicio |
Revisión de las modificaciones introducidas en las directrices | Intentos de modificación de las directrices de seguridad |
control del proceso | Iniciar/cerrar aplicaciones |
Verificación de servicios de directorio | Solo en los dominios de Active Directory. |
Ejemplo de integración:
Abra la política «Supervisión de conexiones» y marque las siguientes casillas:
- Intentos correctos
- Intentos fallidos
Repita esta operación para las demás políticas necesarias.
Paso 3: Aplicar y reiniciar
Los cambios surten efecto:
- Después de reiniciar
O después de la ejecución:
gpupdate /force Opción 2: configuración mediante directivas de grupo (GPO) en el dominio
Adecuado para:
- Entornos Active Directory
- Gestión masiva de servidores y equipos
Paso 1: abra la consola de administración de directivas de grupo
En el controlador de dominio, pulse Win + R y escriba:
gpmc.msc Paso 2: Crear o modificar la directiva
Cree un nuevo objeto GPO (por ejemplo: Audit Policy Servers)
Vaya a: Configuración del equipo → Políticas → Configuración de Windows → Configuración de seguridad → Políticas locales → Política de auditoría
Paso 3: Active los parámetros necesarios
Active lo mismo que en los parámetros locales:
- Controlar el acceso a los objetos
- Controlar los eventos de conexión
- Controlar los cambios en la política, etc.
Indique los eventos que se deben registrar: Éxito, Fallo o ambos.
Paso 4: asocie la directiva a la unidad organizativa
Aplique el GPO al contenedor deseado (unidad organizativa) con servidores o estaciones de trabajo.
Paso 5: aplique la directiva
Realice las siguientes operaciones en los equipos cliente:
gpupdate /force o espere a que el GPO se actualice automáticamente.
Configuración avanzada: configuración avanzada de las directivas de supervisión
A partir de Windows Server 2008 R2 y Windows 7, se ha introducido un sistema más flexible:
- 53 subcategorías de supervisión en lugar de 9
- Configuración de eventos ajustados con precisión (por ejemplo, conexión RDP, inicio de procesos, modificaciones de ACL)
Para activar esta función:
- Abra gpedit.msc (o gpmc.msc para dominios).
- Vaya a
- pgsql
- Configuración del equipo → Directivas → Configuración de Windows → Configuración de seguridad → Configuración avanzada de directivas de supervisión → Directivas de supervisión
Active las subcategorías deseadas. Estas son algunas de las más útiles
Subcategoría | Descripción |
Inscripción | Entradas correctas y incorrectas |
Acceso a los objetos | Intentos de acceso a objetos protegidos |
Registro en la cuenta | Autenticación de usuarios a través de la red |
Modificación de las directrices | Intentos de modificación de las directrices de seguridad |
Uso preferente | Uso de los derechos de administrador |
Creación de procesos | Introducción de nuevos procesos |
Para evitar cualquier conflicto entre las estrategias avanzadas y las estrategias estándar, se recomienda desactivar la sección estándar:
Supervisión: configuración de la subcategoría «Aplicar la estrategia de supervisión» (Windows Vista o posterior) para sustituir la configuración de la categoría de estrategia de supervisión = Activado
Mostrar y modificar con PowerShell:
Comprobar:
auditpol /get /category:* Active, por ejemplo, la supervisión de la conexión:
auditpol /set /subcategory:"Logon" /success:enable /failure:enable
¿Dónde se pueden ver los resultados de las comprobaciones?
Todos los eventos se registran en el registro de seguridad de Windows:
- Abra eventvwr.msc.
- Vaya a:
- Registros de Windows → Seguridad
Utilice el ID de evento:
ID | Evento |
4624 | Registro completado |
4625 | Error de registro |
4663 | Intento de acceso a un objeto |
4719 | Modificación de los parámetros de auditoría |
4688 | Iniciar el proceso |
4670 | Modificación de permisos (ACL) |
Al filtrar según estos identificadores, puede encontrar rápidamente los eventos que necesita.
Consejos de configuración
- Active solo las categorías necesarias, de lo contrario, el sistema se sobrecargará con registros innecesarios.
- Exporte y archive los registros con regularidad.
- Configure las notificaciones a través de PowerShell o SIEM.
- Limite el acceso a los registros: solo los administradores deben tener derechos de lectura.
Consejos para una supervisión eficaz
- Conserve los registros durante al menos 90 días, especialmente si está sujeto a requisitos de cumplimiento normativo.
- Utilice un sistema SIEM (por ejemplo, Wazuh, Splunk, ELK) para analizar los registros de forma centralizada.
- No active todas las opciones, ya que esto provocaría redundancias y sobrecargaría el sistema.
- Designe a una persona responsable de verificar y controlar los registros.
Conclusión
La activación de las estrategias de supervisión de Windows es un paso fundamental para garantizar la seguridad de cualquier infraestructura informática empresarial. Una supervisión correctamente configurada le permite identificar amenazas, realizar un seguimiento del acceso a los datos y cumplir con las normas de seguridad de la información. Tanto si utiliza un servidor dedicado como un VPS Windows, la activación y el control de las estrategias de supervisión son una inversión inteligente para la estabilidad y la seguridad de su entorno.
