SlideShare une entreprise Scribd logo

Descripción de los eventos de Auditoría y Terminal Services

Télécharger en tant que PPTX, PDF
Larry Ruiz Barcayola
Larry Ruiz Barcayola
1  sur  27
Larry Ruiz Barcayola
Auditar sucesos de inicio de sesión de cuenta  Esta configuración de seguridad determina si hay que auditar cada instancia de inicio o cierre de sesión de usuario en otro equipo distinto del que se utiliza para validar la cuenta. Los sucesos de inicio de sesión de cuenta se generan cuando una cuenta de usuario de dominio se autentica en un controlador de dominio.
Sucesos Descripción 672 Se ha emitido y validado satisfactoriamente un vale del servicio de autenticación (AS). 673 Se ha concedido un vale del servicio de concesión de vales (TGS, Ticket Granting Service). 674 Una entidad principal de seguridad ha renovado un vale de AS o de TGS. 675 La autenticación previa ha dado error. Este suceso se genera en un Centro de distribución de claves (KDC, Key Distribution Center) cuando un usuario escribe una contraseña incorrecta. 676 Error en la solicitud de vale de autenticación. Este suceso no se genera en Windows XP ni en la familia Windows Server 2003. 677 No se ha concedido un vale de TGS. Este suceso no se genera en Windows XP ni en la familia Windows Server 2003. 678 Una cuenta se ha asignado satisfactoriamente a una cuenta de dominio. 681 Error de inicio de sesión. Se ha intentado un inicio de sesión de cuenta de dominio. Este suceso no se genera en Windows XP ni en la familia Windows Server 2003. 682 Un usuario se ha vuelto a conectar a una sesión de Terminal Server desconectada. 683 Un usuario se ha desconectado de una sesión de Terminal Server sin cerrarla.
Auditar la administración de cuentas  La configuración de seguridad determina si hay que auditar cada suceso de la administración de cuentas en un equipo. Algunos ejemplos de sucesos de la administración de cuentas son:  Se crea, cambia o elimina una cuenta de usuario o un grupo.  Se cambia el nombre, se deshabilita o se habilita una cuenta de usuario.  Se establece o se cambia una contraseña.
Sucesos Descripción 624 Se ha creado una cuenta de usuario. 627 Se ha modificado una contraseña de usuario. 628 Se ha establecido una contraseña de usuario. 630 Se ha eliminado una cuenta de usuario. 631 Se ha creado un grupo global. 632 Se ha agregado un miembro a un grupo global. 633 Se ha eliminado un miembro de un grupo global. 634 Se ha eliminado un grupo global. 635 Se ha creado un nuevo grupo local. 636 Se ha agregado un miembro a un grupo local. 637 Se ha quitado un miembro de un grupo local. 638 Se ha eliminado un grupo local. 639 Se ha modificado una cuenta de un grupo local.
Sucesos Descripción 641 Se ha modificado una cuenta de un grupo global. 642 Se ha modificado una cuenta de usuario. 643 Se ha modificado una directiva de dominio. 644 Se ha bloqueado automáticamente una cuenta de usuario. 645 Se ha creado una cuenta de equipo. 646 Se ha cambiado una cuenta de equipo. 647 Se ha eliminado una cuenta de equipo. 648 Se ha creado un grupo de seguridad local con la seguridad deshabilitada. Nota •SECURITY_DISABLED significa formalmente que ese grupo no puede utilizarse para conceder permisos en comprobaciones de acceso. 649 Se ha modificado un grupo de seguridad local con la seguridad deshabilitada. 650 Se ha agregado un miembro a un grupo de seguridad local con la seguridad deshabilitada. 651 Se ha quitado un miembro de un grupo de seguridad local con la seguridad deshabilitada.
Sucesos Descripción 653 Se ha creado un grupo global con la seguridad deshabilitada. 654 Se ha modificado un grupo global con la seguridad deshabilitada. 655 Se ha agregado un miembro a un grupo global con la seguridad deshabilitada. 656 Se ha quitado un miembro de un grupo global con la seguridad deshabilitada. 657 Se ha eliminado un grupo global con la seguridad deshabilitada. 658 Se ha creado un grupo universal con la seguridad habilitada. 659 Se ha modificado un grupo universal con la seguridad habilitada. 660 Se ha agregado un miembro a un grupo universal con la seguridad habilitada. 661 Se ha quitado un miembro de un grupo universal con la seguridad habilitada. 662 Se ha eliminado un grupo universal con la seguridad habilitada. 663 Se ha creado un grupo universal con la seguridad deshabilitada. 664 Se ha modificado un grupo universal con la seguridad deshabilitada.
Sucesos Descripción 665 Se ha agregado un miembro a un grupo universal con la seguridad deshabilitada. 666 Se ha quitado un miembro de un grupo universal con la seguridad deshabilitada. 667 Se ha eliminado un grupo universal con la seguridad deshabilitada. 668 Se ha modificado un tipo de grupo. 684 Defina el descriptor de seguridad de los miembros de grupos administrativos. Nota •en un controlador de dominio, un subproceso en segundo plano examina cada 60 minutos todos los miembros de los grupos administrativos (como administradores de dominio, empresariales y de esquema) y les aplica un descriptor de seguridad fijo. Este suceso se registra. 685 Se ha modificado el nombre de una cuenta.
Auditar el acceso del servicio de directorio  Esta configuración de seguridad determina si hay que auditar el suceso de un usuario que obtiene acceso a un objeto de Active Directory que tiene especificada su propia lista de control de acceso al sistema (SACL, System Access Control List).  De manera predeterminada, este valor se establece como sin auditar en el objeto Controlador predeterminado de dominio de Directiva de grupo (GPO) y queda sin definir en estaciones de trabajo y servidores donde no tiene sentido. Sucesos Descripción 566 Se ha producido una operación de objeto genérica.
Auditar sucesos de inicio de sesión  Esta configuración de seguridad determina si se audita cada instancia de un inicio o cierre de sesión de usuario en un equipo.  Los sucesos de inicio de sesión de cuenta se generan en los controladores de dominio para la actividad de cuentas de dominio y en los equipos locales para la actividad de cuentas locales. Si están habilitadas ambas categorías de directiva (inicio de sesión de cuentas y auditoría de inicio de sesión), los inicios de sesión que utilizan una cuenta de dominio generan un suceso de inicio o cierre de sesión en la estación de trabajo o servidor, y generan un suceso de inicio de sesión de cuenta en el controlador de dominio.
Sucesos Descripción 528 Un usuario ha iniciado sesión en un equipo satisfactoriamente. Para obtener información acerca del tipo de inicio de sesión, vea Tabla de tipos de inicio de sesión. 529 Error de inicio de sesión. Se intentó iniciar sesión con un nombre de usuario desconocido o un nombre de usuario conocido con una contraseña no válida. 530 Error de inicio de sesión. Se intentó iniciar sesión; la cuenta ha intentado iniciar una sesión fuera del intervalo permitido. 531 Error de inicio de sesión. Se intentó iniciar sesión con una cuenta deshabilitada. 532 Error de inicio de sesión. Se intentó iniciar sesión con una cuenta caducada. 533 Error de inicio de sesión. Un usuario que no tiene permiso para iniciar una sesión en este equipo intentó iniciar sesión. 534 Error de inicio de sesión. El usuario ha intentado iniciar sesión con un tipo no permitido. 535 Error de inicio de sesión. Ha caducado la contraseña para la cuenta especificada. 536 Error de inicio de sesión. El servicio Inicio de sesión de red no está activado. 537 Error de inicio de sesión. El error en el intento de inicio de sesión se debe a otros motivos. Nota •En algunos casos se desconoce el motivo del error de inicio de sesión.
Sucesos Descripción 538 Se ha completado el proceso de cierre de sesión de un usuario. 539 Error de inicio de sesión. La cuenta estaba bloqueada en el momento en que se intentó el inicio de sesión. 540 Un usuario ha iniciado sesión en una red satisfactoriamente. 541 La autenticación de Intercambio de claves de Internet (IKE, <i>Internet Key Exchange</i>) en modo principal se ha completado entre el equipo local y la identidad del interlocutor enumerado (estableciendo una asociación de seguridad), o el modo rápido ha establecido un canal de datos. 542 Un canal de datos ha finalizado. 543 El modo principal ha finalizado. Nota •Esto puede deberse a que se ha superado el límite de tiempo en la asociación de seguridad (el valor predeterminado es de ocho horas), a cambios en la directiva o a la finalización del interlocutor. 544 Error en la autenticación de modo principal debido a que el interlocutor no ha proporcionado un certificado válido o la firma no se ha validado. 545 Error en la autenticación de modo principal debido a un error de Kerberos o a una contraseña que no es válida. 546 Error al establecer la asociación de seguridad de IKE porque el interlocutor envió una propuesta no válida. Se ha recibido un paquete que contenía datos no válidos.
Sucesos Descripción 538 Se ha completado el proceso de cierre de sesión de un usuario. 539 Error de inicio de sesión. La cuenta estaba bloqueada en el momento en que se intentó el inicio de sesión. 540 Un usuario ha iniciado sesión en una red satisfactoriamente. 541 La autenticación de Intercambio de claves de Internet (IKE, <i>Internet Key Exchange</i>) en modo principal se ha completado entre el equipo local y la identidad del interlocutor enumerado (estableciendo una asociación de seguridad), o el modo rápido ha establecido un canal de datos. 542 Un canal de datos ha finalizado. 543 El modo principal ha finalizado. Nota •Esto puede deberse a que se ha superado el límite de tiempo en la asociación de seguridad (el valor predeterminado es de ocho horas), a cambios en la directiva o a la finalización del interlocutor. 544 Error en la autenticación de modo principal debido a que el interlocutor no ha proporcionado un certificado válido o la firma no se ha validado. 545 Error en la autenticación de modo principal debido a un error de Kerberos o a una contraseña que no es válida. 546 Error al establecer la asociación de seguridad de IKE porque el interlocutor envió una propuesta no válida. Se ha recibido un paquete que contenía datos no válidos.
Sucesos Descripción 547 Error durante un protocolo de enlace de IKE. 548 Error de inicio de sesión. El Id. de seguridad (SID) de un dominio de confianza no coincide con el SID del dominio de cuenta del cliente. 549 Error de inicio de sesión. Todos los SID que corresponden a espacios de nombres en los que no se confía se filtraron durante una autenticación entre bosques. 550 Mensaje de notificación que podría indicar un posible ataque de denegación de servicio. 551 Un usuario ha iniciado el proceso de cierre de sesión. 552 Un usuario ha iniciado sesión satisfactoriamente en un equipo mediante credenciales explícitas mientras todavía estaba registrado como un usuario diferente. 682 Un usuario se ha vuelto a conectar a una sesión de Terminal Server desconectada. 683 Un usuario se ha desconectado de una sesión de Terminal Server sin cerrar la sesión. Nota •Este suceso se genera cuando un usuario se conecta a una sesión de Terminal Server a través de la red. Aparece en el servidor Terminal Server.
Auditar el acceso a objetos  Esta configuración de seguridad determina si se debe auditar el suceso de un usuario que obtiene acceso a un objeto (por ejemplo, un archivo, carpeta, clave del Registro, impresora, etc.) que tiene especificada su propia lista de control de acceso al sistema (SACL).
Sucesos Descripción 560 Se ha concedido acceso a un objeto ya existente. 562 Se ha cerrado un identificador de objeto. 563 Se intentó abrir un objeto con la intención de eliminarlo. Nota •los sistemas de archivos utilizan este suceso cuando el indicador FILE_DELETE_ON_CLOSE se especifica en CreateFile(). 564 Se ha eliminado un objeto protegido. 565 Se ha concedido acceso a un tipo de objeto ya existente. 567 Se ha utilizado un permiso asociado a un identificador. Nota •un identificador se crea con determinados permisos concedidos (Lectura, Escritura, etc.). Cuando se emplea el identificador, se genera hasta una auditoría para cada uno de los permisos utilizados. 568 Se intentó crear un vínculo físico a un archivo que se está auditando. 569 El administrador de recursos del Administrador de autorización intentó crear un contexto de cliente. 570 Un cliente ha intentado tener acceso a un objeto. Nota •se generará un suceso para cada operación que se haya intentado en el objeto.
Sucesos Descripción 571 El contexto de cliente fue eliminado por la aplicación Administrador de autorización. 572 El administrador de administradores ha inicializado la aplicación. 772 El administrador de certificados denegó una solicitud de certificado pendiente. 773 Servicios de Certificate Server recibió una solicitud de certificado reenviada. 774 Servicios de Certificate Server revocó un certificado. 775 Servicios de Certificate Server recibió una solicitud para publicar la lista de revocación de certificados (CRL). 776 Servicios de Certificate Server publicó la lista de revocación de certificados (CRL). 777 Se ha realizado una extensión de solicitud de certificados. 778 Se modificaron uno o más atributos de solicitud de certificados. 779 Servicios de Certificate Server recibió una solicitud para cerrar. 780 La copia de seguridad de Servicios de Certificate Server se ha iniciado. 781 La copia de seguridad de Servicios de Certificate Server ha finalizado. 782 La restauración de Servicios de Certificate Server ha comenzado. 783 La restauración de Servicios de Certificate Server ha finalizado.
Sucesos Descripción 784 Servicios de Certificate Server iniciados. 785 Servicios de Certificate Server detenidos. 786 Los permisos de seguridad para Servicios de Certificate Server han cambiado. 787 Servicios de Certificate Server ha recuperado una clave archivada. 788 Servicios de Certificate Server ha importado un certificado en su base de datos. 789 El filtro de auditoría para Servicios de Certificate Server ha cambiado. 790 Servicios de Certificate Server ha recibido una solicitud de certificado. 791 Servicios de Certificate Server ha aprobado certificado solicitado y ha emitido un certificado. 792 Servicios de Certificate Server ha denegado una petición de certificado. 793 Servicios de Certificate Server estableció el estado de una solicitud de certificado como pendiente. 794 La configuración del administrador de certificados para Servicios de Certificate Server ha cambiado. 795 Una entrada de configuración en Servicios de Certificate Server ha cambiado. 796 Una propiedad de Servicios de Certificate Server ha cambiado.
Sucesos Descripción 797 Servicios de Certificate Server archivó una clave. 798 Servicios de Certificate Server importó y archivó una clave. 799 Servicios de Certificate Server publicó un certificado. 800 Una o más filas se han eliminado de la base de datos de certificados. 801 Separación de funciones habilitada.
Auditar el cambio de directivas  Esta configuración de seguridad determina si se deben auditar todas las incidencias de los cambios en las directivas de asignación de derechos de usuario, las directivas de auditoría o las directivas de confianza.
Sucesos Descripción 608 Se ha asignado un derecho de usuario. 609 Se ha quitado un derecho de usuario. 610 Se ha creado una relación de confianza con otro dominio. 611 Se ha quitado una relación de confianza con otro dominio. 612 Se ha modificado una directiva de auditoría. 613 Se ha iniciado un agente de directiva de Seguridad de Protocolo Internet (IPSec). 614 Se ha deshabilitado un agente de directiva IPSec. 615 Se ha modificado un agente de directiva IPSec. 616 Un agente de directiva IPSec ha detectado un error potencialmente grave. 617 Directiva Kerberos modificada. 618 Directiva de recuperación de datos cifrada modificada. 620 Se ha modificado una relación de confianza con otro dominio. 621 Se ha concedido acceso al sistema a una cuenta. 622 Se ha quitado el acceso al sistema de una cuenta.
Sucesos Descripción 623 La directiva de auditoría por usuario se estableció para un usuario. Para obtener información acerca de la auditoría selectiva por usuario. 625 La directiva de auditoría por usuario se ha actualizado. 768 Se ha detectado una colisión entre un elemento de espacio de nombres en un bosque y un elemento de espacio de nombres en otro bosque. Nota •Cuando un elemento de espacio de nombres de un bosque se superpone a un elemento de espacio de nombres de otro bosque, puede provocar ambigüedad a la hora de resolver un nombre perteneciente a uno de los elementos de espacio de nombres. Esta superposición también se denomina colisión. No todos los parámetros son válidos para cada tipo de entrada. 769 Se ha agregado información del bosque de confianza. Nota •Este mensaje de suceso se genera cuando la información de confianza del bosque se actualiza y se agrega una o más entradas. Se genera un mensaje de suceso por cada entrada agregada, eliminada o modificada. Si se agregan, eliminan o modifican múltiples entradas en una actualización única de la información de confianza del bosque, todos los mensajes de sucesos generados tienen un identificador único y exclusivo denominado Id. de operación. 770 Se ha eliminado información del bosque de confianza. Nota •Vea la nota del suceso 769. 771 Se ha modificado información del bosque de confianza. Nota •Vea la nota del suceso 769. 805 El servicio de registro de sucesos lee la configuración del registro de seguridad para una sesión.
Auditar el uso de privilegios  Esta configuración de seguridad determina si se debe auditar cada instancia de un usuario que utiliza un derecho de usuario. Sucesos Descripción 576 Los privilegios especificados se agregaron a un símbolo de acceso del usuario. Nota •este suceso se genera cuando el usuario inicia sesión. 577 Un usuario intentó realizar una operación de servicio del sistema con privilegios. 578 Los privilegios se han utilizando en un identificador ya abierto de un objeto protegido.
Auditar el seguimiento de procesos  Esta configuración de seguridad determina si se debe auditar de modo detallado la información relacionada con el seguimiento de sucesos, como la activación de programas, salida de procesos, duplicación de identificadores y acceso indirecto a objetos.
Sucesos Descripción 592 Se ha creado un nuevo proceso. 593 Ha terminado un proceso. 594 Un identificador de objeto ha sido duplicado. 595 Se ha obtenido un acceso indirecto a un objeto. 596 Se ha realizado una copia de seguridad de una clave maestra de protección de datos. Nota •La clave maestra se utiliza en las rutinas CryptProtectData y CryptUnprotectData y el Sistema de cifrado de archivos (EFS). Se realiza una copia de seguridad de la clave maestra cada vez que se crea una nueva. (El valor predeterminado es 90 días.) La copia de seguridad de la clave suele realizarse en un controlador de dominio. 597 Se recuperó una clave maestra de protección de datos desde un servidor de recuperación. 598 Los datos auditables estaban protegidos. 599 Los datos auditables no estaban protegidos. 600 Un proceso asignó un símbolo principal. 601 Un usuario intentó instalar un servicio. 602 Se ha creado un trabajo de programador.
Auditar el suceso del sistema  Esta configuración de seguridad determina si se debe auditar cuándo un usuario reinicia o apaga el equipo, o si se produce un suceso que afecta a la seguridad del sistema o al registro de seguridad.
Sucesos Descripción 512 Windows se está iniciando. 513 Windows se está cerrando. 514 La Autoridad de seguridad local ha cargado un paquete de autenticación. 515 La Autoridad de seguridad local ha registrado un proceso de inicio de sesión por confianza. 516 Los recursos internos asignados para la cola de mensajes de sucesos de seguridad se han agotado, lo que ha provocado la pérdida de algunos mensajes de sucesos de seguridad. 517 Se ha borrado el registro de auditoría. 518 El Administrador de cuentas de seguridad ha cargado un paquete de notificación. 519 Un proceso está utilizando un puerto de llamada a procedimiento local (LPC) no válido en un intento de suplantar a un cliente y responder o leer o escribir en un espacio de direcciones del cliente. 520 Se cambió la hora del sistema. Nota •Esta auditoría suele aparecer dos veces.

Recommandé

Ch4
Ch4Ch4
Ch4
Larry Ruiz Barcayola
 
Procesos de Seguridad Automatizados
Procesos de Seguridad AutomatizadosProcesos de Seguridad Automatizados
Procesos de Seguridad Automatizados
Edutiva
 
EVENTOS DE AUDITORIA
EVENTOS DE AUDITORIAEVENTOS DE AUDITORIA
EVENTOS DE AUDITORIA
Saul Curitomay
 
Auditoria en la RED
Auditoria en la REDAuditoria en la RED
Auditoria en la RED
Hugo Rios
 
Auditoria en windows server final
Auditoria en windows server finalAuditoria en windows server final
Auditoria en windows server final
Rodrigo Sánchez Matos
 
Id de eventos de auditorias
Id de eventos de auditoriasId de eventos de auditorias
Id de eventos de auditorias
Percy Quintanilla
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
4057
 
Colombia Bootcamp Azure Key Vault.pptx
Colombia Bootcamp Azure Key Vault.pptxColombia Bootcamp Azure Key Vault.pptx
Colombia Bootcamp Azure Key Vault.pptx
Luis Beltran
 

Recommandé

Ch4
Ch4Ch4
Ch4
Larry Ruiz Barcayola
 
Procesos de Seguridad Automatizados
Procesos de Seguridad AutomatizadosProcesos de Seguridad Automatizados
Procesos de Seguridad Automatizados
Edutiva
 
EVENTOS DE AUDITORIA
EVENTOS DE AUDITORIAEVENTOS DE AUDITORIA
EVENTOS DE AUDITORIA
Saul Curitomay
 
Auditoria en la RED
Auditoria en la REDAuditoria en la RED
Auditoria en la RED
Hugo Rios
 
Auditoria en windows server final
Auditoria en windows server finalAuditoria en windows server final
Auditoria en windows server final
Rodrigo Sánchez Matos
 
Id de eventos de auditorias
Id de eventos de auditoriasId de eventos de auditorias
Id de eventos de auditorias
Percy Quintanilla
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
4057
 
Colombia Bootcamp Azure Key Vault.pptx
Colombia Bootcamp Azure Key Vault.pptxColombia Bootcamp Azure Key Vault.pptx
Colombia Bootcamp Azure Key Vault.pptx
Luis Beltran
 
ID DE EVENTO-AUDITORIA EXPOSICIÓN
ID DE EVENTO-AUDITORIA EXPOSICIÓNID DE EVENTO-AUDITORIA EXPOSICIÓN
ID DE EVENTO-AUDITORIA EXPOSICIÓN
JordyArce Vilchez T
 
2. administracion de la seguridad
2. administracion de la seguridad2. administracion de la seguridad
2. administracion de la seguridad
Nestor Lopez
 
Administración de configuraciones de seguridad en windows server con group po...
Administración de configuraciones de seguridad en windows server con group po...Administración de configuraciones de seguridad en windows server con group po...
Administración de configuraciones de seguridad en windows server con group po...
Miguel de la Cruz
 
Protegiendo los secretos de tus aplicaciones con Azure Key Vault
Protegiendo los secretos de tus aplicaciones con Azure Key VaultProtegiendo los secretos de tus aplicaciones con Azure Key Vault
Protegiendo los secretos de tus aplicaciones con Azure Key Vault
Luis Beltran
 
Seguridad sql server
Seguridad sql serverSeguridad sql server
Seguridad sql server
Efra Paredes
 
Auditoria en windows server 2008
Auditoria en windows server 2008Auditoria en windows server 2008
Auditoria en windows server 2008
Luis Mario Pastrana Torres
 
Script de paso a paso de configuración de Secure Enclaves
Script de paso a paso de configuración de Secure EnclavesScript de paso a paso de configuración de Secure Enclaves
Script de paso a paso de configuración de Secure Enclaves
Eduardo Castro
 
Azure tip administrar usuarios de bases de datos sql azure desde código
Azure tip administrar usuarios de bases de datos sql azure desde códigoAzure tip administrar usuarios de bases de datos sql azure desde código
Azure tip administrar usuarios de bases de datos sql azure desde código
Víctor Moreno
 
24 HOP edición Español - Sql server 2014 como crear soluciones de bases de da...
24 HOP edición Español - Sql server 2014 como crear soluciones de bases de da...24 HOP edición Español - Sql server 2014 como crear soluciones de bases de da...
24 HOP edición Español - Sql server 2014 como crear soluciones de bases de da...
SpanishPASSVC
 
Seguridad sql server
Seguridad sql serverSeguridad sql server
Seguridad sql server
Jorge Luis Becerra Urquiza
 
Gestión de Base de Datos en Azure
Gestión de Base de Datos en AzureGestión de Base de Datos en Azure
Gestión de Base de Datos en Azure
Raul Martin Sarachaga Diaz
 
sql 2008
sql 2008sql 2008
sql 2008
MARILUMENDOZA
 
Temastericos 141123220639-conversion-gate02
Temastericos 141123220639-conversion-gate02Temastericos 141123220639-conversion-gate02
Temastericos 141123220639-conversion-gate02
chichaco
 
0150 como desarrollar_aplicaciones_seguras_con_gene_xus
0150 como desarrollar_aplicaciones_seguras_con_gene_xus0150 como desarrollar_aplicaciones_seguras_con_gene_xus
0150 como desarrollar_aplicaciones_seguras_con_gene_xus
GeneXus
 
Argentesting 2018 - Incorporando seguridad a las tareas de testing
Argentesting 2018 - Incorporando seguridad a las tareas de testingArgentesting 2018 - Incorporando seguridad a las tareas de testing
Argentesting 2018 - Incorporando seguridad a las tareas de testing
Argentesting
 
Auditoria juan carlos
Auditoria juan carlosAuditoria juan carlos
Auditoria juan carlos
Juancito Rock
 
Asegurando tus APIs Explorando el OWASP Top 10 de Seguridad en APIs.pdf
Asegurando tus APIs Explorando el OWASP Top 10 de Seguridad en APIs.pdfAsegurando tus APIs Explorando el OWASP Top 10 de Seguridad en APIs.pdf
Asegurando tus APIs Explorando el OWASP Top 10 de Seguridad en APIs.pdf
Jose Manuel Ortega Candel
 
3.1.1.5 lab create and store strong passwords
3.1.1.5 lab create and store strong passwords3.1.1.5 lab create and store strong passwords
3.1.1.5 lab create and store strong passwords
Colegio Santa Rosa
 
Azure SQL Database para DBAs
Azure SQL Database para DBAsAzure SQL Database para DBAs
Azure SQL Database para DBAs
Raul Martin Sarachaga Diaz
 
Temas teóricos
Temas teóricosTemas teóricos
Temas teóricos
L1a2u3
 
Microsoft Exchange 2013
Microsoft Exchange 2013Microsoft Exchange 2013
Microsoft Exchange 2013
Larry Ruiz Barcayola
 
Servidor WEB y FTP
Servidor WEB y FTPServidor WEB y FTP
Servidor WEB y FTP
Larry Ruiz Barcayola
 

Contenu connexe

Similaire à Descripción de los eventos de Auditoría y Terminal Services

2. administracion de la seguridad
2. administracion de la seguridad2. administracion de la seguridad
2. administracion de la seguridad
Nestor Lopez
 
Administración de configuraciones de seguridad en windows server con group po...
Administración de configuraciones de seguridad en windows server con group po...Administración de configuraciones de seguridad en windows server con group po...
Administración de configuraciones de seguridad en windows server con group po...
Miguel de la Cruz
 
24 HOP edición Español - Sql server 2014 como crear soluciones de bases de da...
24 HOP edición Español - Sql server 2014 como crear soluciones de bases de da...24 HOP edición Español - Sql server 2014 como crear soluciones de bases de da...
24 HOP edición Español - Sql server 2014 como crear soluciones de bases de da...
SpanishPASSVC
 
0150 como desarrollar_aplicaciones_seguras_con_gene_xus
0150 como desarrollar_aplicaciones_seguras_con_gene_xus0150 como desarrollar_aplicaciones_seguras_con_gene_xus
0150 como desarrollar_aplicaciones_seguras_con_gene_xus
GeneXus
 
Argentesting 2018 - Incorporando seguridad a las tareas de testing
Argentesting 2018 - Incorporando seguridad a las tareas de testingArgentesting 2018 - Incorporando seguridad a las tareas de testing
Argentesting 2018 - Incorporando seguridad a las tareas de testing
Argentesting
 
Auditoria juan carlos
Auditoria juan carlosAuditoria juan carlos
Auditoria juan carlos
Juancito Rock
 
Asegurando tus APIs Explorando el OWASP Top 10 de Seguridad en APIs.pdf
Asegurando tus APIs Explorando el OWASP Top 10 de Seguridad en APIs.pdfAsegurando tus APIs Explorando el OWASP Top 10 de Seguridad en APIs.pdf
Asegurando tus APIs Explorando el OWASP Top 10 de Seguridad en APIs.pdf
Jose Manuel Ortega Candel
 

Similaire à Descripción de los eventos de Auditoría y Terminal Services (20)

ID DE EVENTO-AUDITORIA EXPOSICIÓN
ID DE EVENTO-AUDITORIA EXPOSICIÓNID DE EVENTO-AUDITORIA EXPOSICIÓN
ID DE EVENTO-AUDITORIA EXPOSICIÓN
 
2. administracion de la seguridad
2. administracion de la seguridad2. administracion de la seguridad
2. administracion de la seguridad
 
Administración de configuraciones de seguridad en windows server con group po...
Administración de configuraciones de seguridad en windows server con group po...Administración de configuraciones de seguridad en windows server con group po...
Administración de configuraciones de seguridad en windows server con group po...
 
Protegiendo los secretos de tus aplicaciones con Azure Key Vault
Protegiendo los secretos de tus aplicaciones con Azure Key VaultProtegiendo los secretos de tus aplicaciones con Azure Key Vault
Protegiendo los secretos de tus aplicaciones con Azure Key Vault
 
Seguridad sql server
Seguridad sql serverSeguridad sql server
Seguridad sql server
 
Auditoria en windows server 2008
Auditoria en windows server 2008Auditoria en windows server 2008
Auditoria en windows server 2008
 
Script de paso a paso de configuración de Secure Enclaves
Script de paso a paso de configuración de Secure EnclavesScript de paso a paso de configuración de Secure Enclaves
Script de paso a paso de configuración de Secure Enclaves
 
Azure tip administrar usuarios de bases de datos sql azure desde código
Azure tip administrar usuarios de bases de datos sql azure desde códigoAzure tip administrar usuarios de bases de datos sql azure desde código
Azure tip administrar usuarios de bases de datos sql azure desde código
 
24 HOP edición Español - Sql server 2014 como crear soluciones de bases de da...
24 HOP edición Español - Sql server 2014 como crear soluciones de bases de da...24 HOP edición Español - Sql server 2014 como crear soluciones de bases de da...
24 HOP edición Español - Sql server 2014 como crear soluciones de bases de da...
 
Seguridad sql server
Seguridad sql serverSeguridad sql server
Seguridad sql server
 
Gestión de Base de Datos en Azure
Gestión de Base de Datos en AzureGestión de Base de Datos en Azure
Gestión de Base de Datos en Azure
 
sql 2008
sql 2008sql 2008
sql 2008
 
Temastericos 141123220639-conversion-gate02
Temastericos 141123220639-conversion-gate02Temastericos 141123220639-conversion-gate02
Temastericos 141123220639-conversion-gate02
 
0150 como desarrollar_aplicaciones_seguras_con_gene_xus
0150 como desarrollar_aplicaciones_seguras_con_gene_xus0150 como desarrollar_aplicaciones_seguras_con_gene_xus
0150 como desarrollar_aplicaciones_seguras_con_gene_xus
 
Argentesting 2018 - Incorporando seguridad a las tareas de testing
Argentesting 2018 - Incorporando seguridad a las tareas de testingArgentesting 2018 - Incorporando seguridad a las tareas de testing
Argentesting 2018 - Incorporando seguridad a las tareas de testing
 
Auditoria juan carlos
Auditoria juan carlosAuditoria juan carlos
Auditoria juan carlos
 
Asegurando tus APIs Explorando el OWASP Top 10 de Seguridad en APIs.pdf
Asegurando tus APIs Explorando el OWASP Top 10 de Seguridad en APIs.pdfAsegurando tus APIs Explorando el OWASP Top 10 de Seguridad en APIs.pdf
Asegurando tus APIs Explorando el OWASP Top 10 de Seguridad en APIs.pdf
 
3.1.1.5 lab create and store strong passwords
3.1.1.5 lab create and store strong passwords3.1.1.5 lab create and store strong passwords
3.1.1.5 lab create and store strong passwords
 
Azure SQL Database para DBAs
Azure SQL Database para DBAsAzure SQL Database para DBAs
Azure SQL Database para DBAs
 
Temas teóricos
Temas teóricosTemas teóricos
Temas teóricos
 

Plus de Larry Ruiz Barcayola

Forefront threat management gateway(TMG 2010)
Forefront threat management gateway(TMG 2010)Forefront threat management gateway(TMG 2010)
Forefront threat management gateway(TMG 2010)
Larry Ruiz Barcayola
 
Instalación de la antena y analisis
Instalación de la antena y analisisInstalación de la antena y analisis
Instalación de la antena y analisis
Larry Ruiz Barcayola
 
Topologías inalámbricas gran tarea
Topologías inalámbricas gran tareaTopologías inalámbricas gran tarea
Topologías inalámbricas gran tarea
Larry Ruiz Barcayola
 
Topologías inalámbricas gran tarea
Topologías inalámbricas gran tareaTopologías inalámbricas gran tarea
Topologías inalámbricas gran tarea
Larry Ruiz Barcayola
 

Plus de Larry Ruiz Barcayola (20)

Microsoft Exchange 2013
Microsoft Exchange 2013Microsoft Exchange 2013
Microsoft Exchange 2013
 
Servidor WEB y FTP
Servidor WEB y FTPServidor WEB y FTP
Servidor WEB y FTP
 
Forefront threat management gateway(TMG 2010)
Forefront threat management gateway(TMG 2010)Forefront threat management gateway(TMG 2010)
Forefront threat management gateway(TMG 2010)
 
Auditoría en windows server 2008
Auditoría en windows server 2008Auditoría en windows server 2008
Auditoría en windows server 2008
 
Cuentas de usuarios, grupos y unidades organizativas
Cuentas de usuarios, grupos y unidades organizativasCuentas de usuarios, grupos y unidades organizativas
Cuentas de usuarios, grupos y unidades organizativas
 
Bridge inalámbrico
Bridge inalámbricoBridge inalámbrico
Bridge inalámbrico
 
Componenes de una red Wireless
Componenes de una red WirelessComponenes de una red Wireless
Componenes de una red Wireless
 
Access point(puntos de acceso)
Access point(puntos de acceso)Access point(puntos de acceso)
Access point(puntos de acceso)
 
Topologías inalámbricas
Topologías inalámbricas Topologías inalámbricas
Topologías inalámbricas
 
Instalación de la antena y analisis
Instalación de la antena y analisisInstalación de la antena y analisis
Instalación de la antena y analisis
 
Sise Roaming
Sise RoamingSise Roaming
Sise Roaming
 
Larry roamming en sise
Larry roamming en siseLarry roamming en sise
Larry roamming en sise
 
Instalación de antenas
Instalación de antenasInstalación de antenas
Instalación de antenas
 
Análisis del medio
Análisis del medioAnálisis del medio
Análisis del medio
 
Topologías inalámbricas gran tarea
Topologías inalámbricas gran tareaTopologías inalámbricas gran tarea
Topologías inalámbricas gran tarea
 
Topologías inalámbricas gran tarea
Topologías inalámbricas gran tareaTopologías inalámbricas gran tarea
Topologías inalámbricas gran tarea
 
IPsec y Certificaciones
IPsec y CertificacionesIPsec y Certificaciones
IPsec y Certificaciones
 
Protocolos de capa de red (características,
Protocolos de capa de red (características,Protocolos de capa de red (características,
Protocolos de capa de red (características,
 
Protocolo arp
Protocolo arpProtocolo arp
Protocolo arp
 
Protocolos de la capa de transportes
Protocolos de la capa de transportesProtocolos de la capa de transportes
Protocolos de la capa de transportes
 

Descripción de los eventos de Auditoría y Terminal Services

  • 2. Auditar sucesos de inicio de sesión de cuenta  Esta configuración de seguridad determina si hay que auditar cada instancia de inicio o cierre de sesión de usuario en otro equipo distinto del que se utiliza para validar la cuenta. Los sucesos de inicio de sesión de cuenta se generan cuando una cuenta de usuario de dominio se autentica en un controlador de dominio.
  • 3. Sucesos Descripción 672 Se ha emitido y validado satisfactoriamente un vale del servicio de autenticación (AS). 673 Se ha concedido un vale del servicio de concesión de vales (TGS, Ticket Granting Service). 674 Una entidad principal de seguridad ha renovado un vale de AS o de TGS. 675 La autenticación previa ha dado error. Este suceso se genera en un Centro de distribución de claves (KDC, Key Distribution Center) cuando un usuario escribe una contraseña incorrecta. 676 Error en la solicitud de vale de autenticación. Este suceso no se genera en Windows XP ni en la familia Windows Server 2003. 677 No se ha concedido un vale de TGS. Este suceso no se genera en Windows XP ni en la familia Windows Server 2003. 678 Una cuenta se ha asignado satisfactoriamente a una cuenta de dominio. 681 Error de inicio de sesión. Se ha intentado un inicio de sesión de cuenta de dominio. Este suceso no se genera en Windows XP ni en la familia Windows Server 2003. 682 Un usuario se ha vuelto a conectar a una sesión de Terminal Server desconectada. 683 Un usuario se ha desconectado de una sesión de Terminal Server sin cerrarla.
  • 4. Auditar la administración de cuentas  La configuración de seguridad determina si hay que auditar cada suceso de la administración de cuentas en un equipo. Algunos ejemplos de sucesos de la administración de cuentas son:  Se crea, cambia o elimina una cuenta de usuario o un grupo.  Se cambia el nombre, se deshabilita o se habilita una cuenta de usuario.  Se establece o se cambia una contraseña.
  • 5. Sucesos Descripción 624 Se ha creado una cuenta de usuario. 627 Se ha modificado una contraseña de usuario. 628 Se ha establecido una contraseña de usuario. 630 Se ha eliminado una cuenta de usuario. 631 Se ha creado un grupo global. 632 Se ha agregado un miembro a un grupo global. 633 Se ha eliminado un miembro de un grupo global. 634 Se ha eliminado un grupo global. 635 Se ha creado un nuevo grupo local. 636 Se ha agregado un miembro a un grupo local. 637 Se ha quitado un miembro de un grupo local. 638 Se ha eliminado un grupo local. 639 Se ha modificado una cuenta de un grupo local.
  • 6. Sucesos Descripción 641 Se ha modificado una cuenta de un grupo global. 642 Se ha modificado una cuenta de usuario. 643 Se ha modificado una directiva de dominio. 644 Se ha bloqueado automáticamente una cuenta de usuario. 645 Se ha creado una cuenta de equipo. 646 Se ha cambiado una cuenta de equipo. 647 Se ha eliminado una cuenta de equipo. 648 Se ha creado un grupo de seguridad local con la seguridad deshabilitada. Nota •SECURITY_DISABLED significa formalmente que ese grupo no puede utilizarse para conceder permisos en comprobaciones de acceso. 649 Se ha modificado un grupo de seguridad local con la seguridad deshabilitada. 650 Se ha agregado un miembro a un grupo de seguridad local con la seguridad deshabilitada. 651 Se ha quitado un miembro de un grupo de seguridad local con la seguridad deshabilitada.
  • 7. Sucesos Descripción 653 Se ha creado un grupo global con la seguridad deshabilitada. 654 Se ha modificado un grupo global con la seguridad deshabilitada. 655 Se ha agregado un miembro a un grupo global con la seguridad deshabilitada. 656 Se ha quitado un miembro de un grupo global con la seguridad deshabilitada. 657 Se ha eliminado un grupo global con la seguridad deshabilitada. 658 Se ha creado un grupo universal con la seguridad habilitada. 659 Se ha modificado un grupo universal con la seguridad habilitada. 660 Se ha agregado un miembro a un grupo universal con la seguridad habilitada. 661 Se ha quitado un miembro de un grupo universal con la seguridad habilitada. 662 Se ha eliminado un grupo universal con la seguridad habilitada. 663 Se ha creado un grupo universal con la seguridad deshabilitada. 664 Se ha modificado un grupo universal con la seguridad deshabilitada.
  • 8. Sucesos Descripción 665 Se ha agregado un miembro a un grupo universal con la seguridad deshabilitada. 666 Se ha quitado un miembro de un grupo universal con la seguridad deshabilitada. 667 Se ha eliminado un grupo universal con la seguridad deshabilitada. 668 Se ha modificado un tipo de grupo. 684 Defina el descriptor de seguridad de los miembros de grupos administrativos. Nota •en un controlador de dominio, un subproceso en segundo plano examina cada 60 minutos todos los miembros de los grupos administrativos (como administradores de dominio, empresariales y de esquema) y les aplica un descriptor de seguridad fijo. Este suceso se registra. 685 Se ha modificado el nombre de una cuenta.
  • 9. Auditar el acceso del servicio de directorio  Esta configuración de seguridad determina si hay que auditar el suceso de un usuario que obtiene acceso a un objeto de Active Directory que tiene especificada su propia lista de control de acceso al sistema (SACL, System Access Control List).  De manera predeterminada, este valor se establece como sin auditar en el objeto Controlador predeterminado de dominio de Directiva de grupo (GPO) y queda sin definir en estaciones de trabajo y servidores donde no tiene sentido. Sucesos Descripción 566 Se ha producido una operación de objeto genérica.
  • 10. Auditar sucesos de inicio de sesión  Esta configuración de seguridad determina si se audita cada instancia de un inicio o cierre de sesión de usuario en un equipo.  Los sucesos de inicio de sesión de cuenta se generan en los controladores de dominio para la actividad de cuentas de dominio y en los equipos locales para la actividad de cuentas locales. Si están habilitadas ambas categorías de directiva (inicio de sesión de cuentas y auditoría de inicio de sesión), los inicios de sesión que utilizan una cuenta de dominio generan un suceso de inicio o cierre de sesión en la estación de trabajo o servidor, y generan un suceso de inicio de sesión de cuenta en el controlador de dominio.
  • 11. Sucesos Descripción 528 Un usuario ha iniciado sesión en un equipo satisfactoriamente. Para obtener información acerca del tipo de inicio de sesión, vea Tabla de tipos de inicio de sesión. 529 Error de inicio de sesión. Se intentó iniciar sesión con un nombre de usuario desconocido o un nombre de usuario conocido con una contraseña no válida. 530 Error de inicio de sesión. Se intentó iniciar sesión; la cuenta ha intentado iniciar una sesión fuera del intervalo permitido. 531 Error de inicio de sesión. Se intentó iniciar sesión con una cuenta deshabilitada. 532 Error de inicio de sesión. Se intentó iniciar sesión con una cuenta caducada. 533 Error de inicio de sesión. Un usuario que no tiene permiso para iniciar una sesión en este equipo intentó iniciar sesión. 534 Error de inicio de sesión. El usuario ha intentado iniciar sesión con un tipo no permitido. 535 Error de inicio de sesión. Ha caducado la contraseña para la cuenta especificada. 536 Error de inicio de sesión. El servicio Inicio de sesión de red no está activado. 537 Error de inicio de sesión. El error en el intento de inicio de sesión se debe a otros motivos. Nota •En algunos casos se desconoce el motivo del error de inicio de sesión.
  • 12. Sucesos Descripción 538 Se ha completado el proceso de cierre de sesión de un usuario. 539 Error de inicio de sesión. La cuenta estaba bloqueada en el momento en que se intentó el inicio de sesión. 540 Un usuario ha iniciado sesión en una red satisfactoriamente. 541 La autenticación de Intercambio de claves de Internet (IKE, <i>Internet Key Exchange</i>) en modo principal se ha completado entre el equipo local y la identidad del interlocutor enumerado (estableciendo una asociación de seguridad), o el modo rápido ha establecido un canal de datos. 542 Un canal de datos ha finalizado. 543 El modo principal ha finalizado. Nota •Esto puede deberse a que se ha superado el límite de tiempo en la asociación de seguridad (el valor predeterminado es de ocho horas), a cambios en la directiva o a la finalización del interlocutor. 544 Error en la autenticación de modo principal debido a que el interlocutor no ha proporcionado un certificado válido o la firma no se ha validado. 545 Error en la autenticación de modo principal debido a un error de Kerberos o a una contraseña que no es válida. 546 Error al establecer la asociación de seguridad de IKE porque el interlocutor envió una propuesta no válida. Se ha recibido un paquete que contenía datos no válidos.
  • 13. Sucesos Descripción 538 Se ha completado el proceso de cierre de sesión de un usuario. 539 Error de inicio de sesión. La cuenta estaba bloqueada en el momento en que se intentó el inicio de sesión. 540 Un usuario ha iniciado sesión en una red satisfactoriamente. 541 La autenticación de Intercambio de claves de Internet (IKE, <i>Internet Key Exchange</i>) en modo principal se ha completado entre el equipo local y la identidad del interlocutor enumerado (estableciendo una asociación de seguridad), o el modo rápido ha establecido un canal de datos. 542 Un canal de datos ha finalizado. 543 El modo principal ha finalizado. Nota •Esto puede deberse a que se ha superado el límite de tiempo en la asociación de seguridad (el valor predeterminado es de ocho horas), a cambios en la directiva o a la finalización del interlocutor. 544 Error en la autenticación de modo principal debido a que el interlocutor no ha proporcionado un certificado válido o la firma no se ha validado. 545 Error en la autenticación de modo principal debido a un error de Kerberos o a una contraseña que no es válida. 546 Error al establecer la asociación de seguridad de IKE porque el interlocutor envió una propuesta no válida. Se ha recibido un paquete que contenía datos no válidos.
  • 14. Sucesos Descripción 547 Error durante un protocolo de enlace de IKE. 548 Error de inicio de sesión. El Id. de seguridad (SID) de un dominio de confianza no coincide con el SID del dominio de cuenta del cliente. 549 Error de inicio de sesión. Todos los SID que corresponden a espacios de nombres en los que no se confía se filtraron durante una autenticación entre bosques. 550 Mensaje de notificación que podría indicar un posible ataque de denegación de servicio. 551 Un usuario ha iniciado el proceso de cierre de sesión. 552 Un usuario ha iniciado sesión satisfactoriamente en un equipo mediante credenciales explícitas mientras todavía estaba registrado como un usuario diferente. 682 Un usuario se ha vuelto a conectar a una sesión de Terminal Server desconectada. 683 Un usuario se ha desconectado de una sesión de Terminal Server sin cerrar la sesión. Nota •Este suceso se genera cuando un usuario se conecta a una sesión de Terminal Server a través de la red. Aparece en el servidor Terminal Server.
  • 15. Auditar el acceso a objetos  Esta configuración de seguridad determina si se debe auditar el suceso de un usuario que obtiene acceso a un objeto (por ejemplo, un archivo, carpeta, clave del Registro, impresora, etc.) que tiene especificada su propia lista de control de acceso al sistema (SACL).
  • 16. Sucesos Descripción 560 Se ha concedido acceso a un objeto ya existente. 562 Se ha cerrado un identificador de objeto. 563 Se intentó abrir un objeto con la intención de eliminarlo. Nota •los sistemas de archivos utilizan este suceso cuando el indicador FILE_DELETE_ON_CLOSE se especifica en CreateFile(). 564 Se ha eliminado un objeto protegido. 565 Se ha concedido acceso a un tipo de objeto ya existente. 567 Se ha utilizado un permiso asociado a un identificador. Nota •un identificador se crea con determinados permisos concedidos (Lectura, Escritura, etc.). Cuando se emplea el identificador, se genera hasta una auditoría para cada uno de los permisos utilizados. 568 Se intentó crear un vínculo físico a un archivo que se está auditando. 569 El administrador de recursos del Administrador de autorización intentó crear un contexto de cliente. 570 Un cliente ha intentado tener acceso a un objeto. Nota •se generará un suceso para cada operación que se haya intentado en el objeto.
  • 17. Sucesos Descripción 571 El contexto de cliente fue eliminado por la aplicación Administrador de autorización. 572 El administrador de administradores ha inicializado la aplicación. 772 El administrador de certificados denegó una solicitud de certificado pendiente. 773 Servicios de Certificate Server recibió una solicitud de certificado reenviada. 774 Servicios de Certificate Server revocó un certificado. 775 Servicios de Certificate Server recibió una solicitud para publicar la lista de revocación de certificados (CRL). 776 Servicios de Certificate Server publicó la lista de revocación de certificados (CRL). 777 Se ha realizado una extensión de solicitud de certificados. 778 Se modificaron uno o más atributos de solicitud de certificados. 779 Servicios de Certificate Server recibió una solicitud para cerrar. 780 La copia de seguridad de Servicios de Certificate Server se ha iniciado. 781 La copia de seguridad de Servicios de Certificate Server ha finalizado. 782 La restauración de Servicios de Certificate Server ha comenzado. 783 La restauración de Servicios de Certificate Server ha finalizado.
  • 18. Sucesos Descripción 784 Servicios de Certificate Server iniciados. 785 Servicios de Certificate Server detenidos. 786 Los permisos de seguridad para Servicios de Certificate Server han cambiado. 787 Servicios de Certificate Server ha recuperado una clave archivada. 788 Servicios de Certificate Server ha importado un certificado en su base de datos. 789 El filtro de auditoría para Servicios de Certificate Server ha cambiado. 790 Servicios de Certificate Server ha recibido una solicitud de certificado. 791 Servicios de Certificate Server ha aprobado certificado solicitado y ha emitido un certificado. 792 Servicios de Certificate Server ha denegado una petición de certificado. 793 Servicios de Certificate Server estableció el estado de una solicitud de certificado como pendiente. 794 La configuración del administrador de certificados para Servicios de Certificate Server ha cambiado. 795 Una entrada de configuración en Servicios de Certificate Server ha cambiado. 796 Una propiedad de Servicios de Certificate Server ha cambiado.
  • 19. Sucesos Descripción 797 Servicios de Certificate Server archivó una clave. 798 Servicios de Certificate Server importó y archivó una clave. 799 Servicios de Certificate Server publicó un certificado. 800 Una o más filas se han eliminado de la base de datos de certificados. 801 Separación de funciones habilitada.
  • 20. Auditar el cambio de directivas  Esta configuración de seguridad determina si se deben auditar todas las incidencias de los cambios en las directivas de asignación de derechos de usuario, las directivas de auditoría o las directivas de confianza.
  • 21. Sucesos Descripción 608 Se ha asignado un derecho de usuario. 609 Se ha quitado un derecho de usuario. 610 Se ha creado una relación de confianza con otro dominio. 611 Se ha quitado una relación de confianza con otro dominio. 612 Se ha modificado una directiva de auditoría. 613 Se ha iniciado un agente de directiva de Seguridad de Protocolo Internet (IPSec). 614 Se ha deshabilitado un agente de directiva IPSec. 615 Se ha modificado un agente de directiva IPSec. 616 Un agente de directiva IPSec ha detectado un error potencialmente grave. 617 Directiva Kerberos modificada. 618 Directiva de recuperación de datos cifrada modificada. 620 Se ha modificado una relación de confianza con otro dominio. 621 Se ha concedido acceso al sistema a una cuenta. 622 Se ha quitado el acceso al sistema de una cuenta.
  • 22. Sucesos Descripción 623 La directiva de auditoría por usuario se estableció para un usuario. Para obtener información acerca de la auditoría selectiva por usuario. 625 La directiva de auditoría por usuario se ha actualizado. 768 Se ha detectado una colisión entre un elemento de espacio de nombres en un bosque y un elemento de espacio de nombres en otro bosque. Nota •Cuando un elemento de espacio de nombres de un bosque se superpone a un elemento de espacio de nombres de otro bosque, puede provocar ambigüedad a la hora de resolver un nombre perteneciente a uno de los elementos de espacio de nombres. Esta superposición también se denomina colisión. No todos los parámetros son válidos para cada tipo de entrada. 769 Se ha agregado información del bosque de confianza. Nota •Este mensaje de suceso se genera cuando la información de confianza del bosque se actualiza y se agrega una o más entradas. Se genera un mensaje de suceso por cada entrada agregada, eliminada o modificada. Si se agregan, eliminan o modifican múltiples entradas en una actualización única de la información de confianza del bosque, todos los mensajes de sucesos generados tienen un identificador único y exclusivo denominado Id. de operación. 770 Se ha eliminado información del bosque de confianza. Nota •Vea la nota del suceso 769. 771 Se ha modificado información del bosque de confianza. Nota •Vea la nota del suceso 769. 805 El servicio de registro de sucesos lee la configuración del registro de seguridad para una sesión.
  • 23. Auditar el uso de privilegios  Esta configuración de seguridad determina si se debe auditar cada instancia de un usuario que utiliza un derecho de usuario. Sucesos Descripción 576 Los privilegios especificados se agregaron a un símbolo de acceso del usuario. Nota •este suceso se genera cuando el usuario inicia sesión. 577 Un usuario intentó realizar una operación de servicio del sistema con privilegios. 578 Los privilegios se han utilizando en un identificador ya abierto de un objeto protegido.
  • 24. Auditar el seguimiento de procesos  Esta configuración de seguridad determina si se debe auditar de modo detallado la información relacionada con el seguimiento de sucesos, como la activación de programas, salida de procesos, duplicación de identificadores y acceso indirecto a objetos.
  • 25. Sucesos Descripción 592 Se ha creado un nuevo proceso. 593 Ha terminado un proceso. 594 Un identificador de objeto ha sido duplicado. 595 Se ha obtenido un acceso indirecto a un objeto. 596 Se ha realizado una copia de seguridad de una clave maestra de protección de datos. Nota •La clave maestra se utiliza en las rutinas CryptProtectData y CryptUnprotectData y el Sistema de cifrado de archivos (EFS). Se realiza una copia de seguridad de la clave maestra cada vez que se crea una nueva. (El valor predeterminado es 90 días.) La copia de seguridad de la clave suele realizarse en un controlador de dominio. 597 Se recuperó una clave maestra de protección de datos desde un servidor de recuperación. 598 Los datos auditables estaban protegidos. 599 Los datos auditables no estaban protegidos. 600 Un proceso asignó un símbolo principal. 601 Un usuario intentó instalar un servicio. 602 Se ha creado un trabajo de programador.
  • 26. Auditar el suceso del sistema  Esta configuración de seguridad determina si se debe auditar cuándo un usuario reinicia o apaga el equipo, o si se produce un suceso que afecta a la seguridad del sistema o al registro de seguridad.
  • 27. Sucesos Descripción 512 Windows se está iniciando. 513 Windows se está cerrando. 514 La Autoridad de seguridad local ha cargado un paquete de autenticación. 515 La Autoridad de seguridad local ha registrado un proceso de inicio de sesión por confianza. 516 Los recursos internos asignados para la cola de mensajes de sucesos de seguridad se han agotado, lo que ha provocado la pérdida de algunos mensajes de sucesos de seguridad. 517 Se ha borrado el registro de auditoría. 518 El Administrador de cuentas de seguridad ha cargado un paquete de notificación. 519 Un proceso está utilizando un puerto de llamada a procedimiento local (LPC) no válido en un intento de suplantar a un cliente y responder o leer o escribir en un espacio de direcciones del cliente. 520 Se cambió la hora del sistema. Nota •Esta auditoría suele aparecer dos veces.