¿Qué es AuditPol en Windows 10/8/7 y cómo habilitarlo?
Windows 10/8/7, Windows Vista, Windows Server 2008, Windows Server 2008 R2 incluyen una herramienta de línea de comandos llamada Programa de Política de Auditoría, AuditPol.exe, ubicado en la carpeta System32 que le permite administrar y auditar la configuración de subcategorías de políticas de una manera más precisa.
La configuración de la política de auditoría en el nivel de categoría anulará la nueva característica de la política de auditoría de subcategorías. Un nuevo valor de registro introducido en Windows Vista, SCENoApplyLegacyAuditPolicy, permite que la política de auditoría se administre mediante el uso de subcategorías sin requerir un cambio a la Política de grupo. Este valor de registro se puede configurar para evitar la aplicación de la directiva de auditoría de nivel de categoría de la directiva de grupo y de la herramienta administrativa de la directiva de seguridad local.
AuditPol en Windows
Si desea habilitar esta opción, abra Política de seguridad local> Políticas locales> Opciones de seguridad.
Ahora en el panel derecho, haga doble clic en Auditoría: forzar la configuración de subcategorías de la política de auditoría (Windows Vista o posterior) para anular la configuración de la categoría de la política de auditoría. Seleccione Activado> Aplicar / Aceptar.
AuditPol tiene varios interruptores que le permiten mostrar, configurar, borrar, respaldar y restaurar configuraciones.
Especialmente, se puede utilizar para:
- Establecer y consultar una política de auditoría del sistema..
- Establecer y consultar una política de auditoría por usuario..
- Configurar y consultar opciones de auditoria..
- Configure y consulte el descriptor de seguridad utilizado para delegar el acceso a una política de auditoría.
- Informe o realice una copia de seguridad de una política de auditoría en un archivo de texto de valores separados por comas (CSV).
- Cargar una política de auditoría desde un archivo de texto CSV.
- Configurar SACLs de recursos globales.
Si abre un símbolo del sistema como administrador, puede usar AuditPol para ver la configuración de auditoría definida ejecutando:
auditpol / get / category: *
Un punto que se debe tener en cuenta es que, al ver la configuración de la directiva de auditoría con AuditPol y la Política de seguridad local a través de secpol.msc, la configuración puede mostrar resultados diferentes. KB2573113 explica la razón de esto:
Para más detalles visite AuditPol en TechNet.AuditPol llama directamente a las API de autorización para implementar los cambios en la política de auditoría granular. Secpol.msc manipula el objeto de directiva de grupo local, lo que resulta en la escritura de los cambios a system32 \ GroupPolicy \ Machine \ Microsoft \ Windows NT \ Audit \ Audit.csv. Las configuraciones guardadas en el archivo .csv no se aplican directamente al sistema en el momento de la modificación, sino que se escriben en el archivo y se leen más tarde por la extensión del lado del cliente (CSE). En el siguiente ciclo de actualización de la política de grupo, el CSE aplica las modificaciones que están presentes en el archivo .csv. Secpol.msc muestra lo que está configurado en el GPO local. No hay una vista de "configuración efectiva" en secpol.msc que fusionará la configuración granular de AuditPol y lo que se define localmente como se ve con secpol.msc.