2. Auditar sucesos de inicio de sesión de cuenta
Esta configuración de seguridad determina si hay que
auditar cada instancia de inicio o cierre de sesión de usuario
en otro equipo distinto del que se utiliza para validar la
cuenta. Los sucesos de inicio de sesión de cuenta se
generan cuando una cuenta de usuario de dominio se
autentica en un controlador de dominio.
3. Sucesos
Descripción
672
Se ha emitido y validado satisfactoriamente un vale del servicio de autenticación
(AS).
673
Se ha concedido un vale del servicio de concesión de vales (TGS, Ticket Granting
Service).
674
Una entidad principal de seguridad ha renovado un vale de AS o de TGS.
675
La autenticación previa ha dado error. Este suceso se genera en un Centro de
distribución de claves (KDC, Key Distribution Center) cuando un usuario escribe
una contraseña incorrecta.
676
Error en la solicitud de vale de autenticación. Este suceso no se genera en
Windows XP ni en la familia Windows Server 2003.
677
No se ha concedido un vale de TGS. Este suceso no se genera en Windows XP ni
en la familia Windows Server 2003.
678
Una cuenta se ha asignado satisfactoriamente a una cuenta de dominio.
681
Error de inicio de sesión. Se ha intentado un inicio de sesión de cuenta de dominio.
Este suceso no se genera en Windows XP ni en la familia Windows Server 2003.
682
Un usuario se ha vuelto a conectar a una sesión de Terminal Server desconectada.
683
Un usuario se ha desconectado de una sesión de Terminal Server sin cerrarla.
4. Auditar la administración de cuentas
La configuración de seguridad determina si hay que auditar
cada suceso de la administración de cuentas en un equipo.
Algunos ejemplos de sucesos de la administración de
cuentas son:
Se crea, cambia o elimina una cuenta de usuario o un grupo.
Se cambia el nombre, se deshabilita o se habilita una cuenta
de usuario.
Se establece o se cambia una contraseña.
5. Sucesos
Descripción
624
Se ha creado una cuenta de usuario.
627
Se ha modificado una contraseña de usuario.
628
Se ha establecido una contraseña de usuario.
630
Se ha eliminado una cuenta de usuario.
631
Se ha creado un grupo global.
632
Se ha agregado un miembro a un grupo global.
633
Se ha eliminado un miembro de un grupo global.
634
Se ha eliminado un grupo global.
635
Se ha creado un nuevo grupo local.
636
Se ha agregado un miembro a un grupo local.
637
Se ha quitado un miembro de un grupo local.
638
Se ha eliminado un grupo local.
639
Se ha modificado una cuenta de un grupo local.
6. Sucesos
Descripción
641
Se ha modificado una cuenta de un grupo global.
642
Se ha modificado una cuenta de usuario.
643
Se ha modificado una directiva de dominio.
644
Se ha bloqueado automáticamente una cuenta de usuario.
645
Se ha creado una cuenta de equipo.
646
Se ha cambiado una cuenta de equipo.
647
Se ha eliminado una cuenta de equipo.
648
Se ha creado un grupo de seguridad local con la seguridad deshabilitada.
Nota
•SECURITY_DISABLED significa formalmente que ese grupo no puede utilizarse para
conceder permisos en comprobaciones de acceso.
649
Se ha modificado un grupo de seguridad local con la seguridad deshabilitada.
650
Se ha agregado un miembro a un grupo de seguridad local con la seguridad
deshabilitada.
651
Se ha quitado un miembro de un grupo de seguridad local con la seguridad deshabilitada.
7. Sucesos
Descripción
653
Se ha creado un grupo global con la seguridad deshabilitada.
654
Se ha modificado un grupo global con la seguridad deshabilitada.
655
Se ha agregado un miembro a un grupo global con la seguridad deshabilitada.
656
Se ha quitado un miembro de un grupo global con la seguridad deshabilitada.
657
Se ha eliminado un grupo global con la seguridad deshabilitada.
658
Se ha creado un grupo universal con la seguridad habilitada.
659
Se ha modificado un grupo universal con la seguridad habilitada.
660
Se ha agregado un miembro a un grupo universal con la seguridad habilitada.
661
Se ha quitado un miembro de un grupo universal con la seguridad habilitada.
662
Se ha eliminado un grupo universal con la seguridad habilitada.
663
Se ha creado un grupo universal con la seguridad deshabilitada.
664
Se ha modificado un grupo universal con la seguridad deshabilitada.
8. Sucesos
Descripción
665
Se ha agregado un miembro a un grupo universal con la seguridad
deshabilitada.
666
Se ha quitado un miembro de un grupo universal con la seguridad
deshabilitada.
667
Se ha eliminado un grupo universal con la seguridad deshabilitada.
668
Se ha modificado un tipo de grupo.
684
Defina el descriptor de seguridad de los miembros de grupos administrativos.
Nota
•en un controlador de dominio, un subproceso en segundo plano examina
cada 60 minutos todos los miembros de los grupos administrativos (como
administradores de dominio, empresariales y de esquema) y les aplica un
descriptor de seguridad fijo. Este suceso se registra.
685
Se ha modificado el nombre de una cuenta.
9. Auditar el acceso del servicio de directorio
Esta configuración de seguridad determina si hay que auditar el suceso
de un usuario que obtiene acceso a un objeto de Active Directory que
tiene especificada su propia lista de control de acceso al sistema (SACL,
System Access Control List).
De manera predeterminada, este valor se establece como sin auditar en
el objeto Controlador predeterminado de dominio de Directiva de grupo
(GPO) y queda sin definir en estaciones de trabajo y servidores donde no
tiene sentido.
Sucesos
Descripción
566
Se ha producido una operación de objeto genérica.
10. Auditar sucesos de inicio de sesión
Esta configuración de seguridad determina si se audita cada instancia de
un inicio o cierre de sesión de usuario en un equipo.
Los sucesos de inicio de sesión de cuenta se generan en los
controladores de dominio para la actividad de cuentas de dominio y en
los equipos locales para la actividad de cuentas locales. Si están
habilitadas ambas categorías de directiva (inicio de sesión de cuentas y
auditoría de inicio de sesión), los inicios de sesión que utilizan una
cuenta de dominio generan un suceso de inicio o cierre de sesión en la
estación de trabajo o servidor, y generan un suceso de inicio de sesión
de cuenta en el controlador de dominio.
11. Sucesos
Descripción
528
Un usuario ha iniciado sesión en un equipo satisfactoriamente. Para obtener información acerca
del tipo de inicio de sesión, vea Tabla de tipos de inicio de sesión.
529
Error de inicio de sesión. Se intentó iniciar sesión con un nombre de usuario desconocido o un
nombre de usuario conocido con una contraseña no válida.
530
Error de inicio de sesión. Se intentó iniciar sesión; la cuenta ha intentado iniciar una sesión fuera
del intervalo permitido.
531
Error de inicio de sesión. Se intentó iniciar sesión con una cuenta deshabilitada.
532
Error de inicio de sesión. Se intentó iniciar sesión con una cuenta caducada.
533
Error de inicio de sesión. Un usuario que no tiene permiso para iniciar una sesión en este equipo
intentó iniciar sesión.
534
Error de inicio de sesión. El usuario ha intentado iniciar sesión con un tipo no permitido.
535
Error de inicio de sesión. Ha caducado la contraseña para la cuenta especificada.
536
Error de inicio de sesión. El servicio Inicio de sesión de red no está activado.
537
Error de inicio de sesión. El error en el intento de inicio de sesión se debe a otros motivos.
Nota
•En algunos casos se desconoce el motivo del error de inicio de sesión.
12. Sucesos
Descripción
538
Se ha completado el proceso de cierre de sesión de un usuario.
539
Error de inicio de sesión. La cuenta estaba bloqueada en el momento en que se intentó el inicio
de sesión.
540
Un usuario ha iniciado sesión en una red satisfactoriamente.
541
La autenticación de Intercambio de claves de Internet (IKE, <i>Internet Key Exchange</i>) en
modo principal se ha completado entre el equipo local y la identidad del interlocutor
enumerado (estableciendo una asociación de seguridad), o el modo rápido ha establecido un
canal de datos.
542
Un canal de datos ha finalizado.
543
El modo principal ha finalizado.
Nota
•Esto puede deberse a que se ha superado el límite de tiempo en la asociación de seguridad (el
valor predeterminado es de ocho horas), a cambios en la directiva o a la finalización del
interlocutor.
544
Error en la autenticación de modo principal debido a que el interlocutor no ha proporcionado
un certificado válido o la firma no se ha validado.
545
Error en la autenticación de modo principal debido a un error de Kerberos o a una contraseña
que no es válida.
546
Error al establecer la asociación de seguridad de IKE porque el interlocutor envió una propuesta
no válida. Se ha recibido un paquete que contenía datos no válidos.
13. Sucesos
Descripción
538
Se ha completado el proceso de cierre de sesión de un usuario.
539
Error de inicio de sesión. La cuenta estaba bloqueada en el momento en que se intentó el inicio de
sesión.
540
Un usuario ha iniciado sesión en una red satisfactoriamente.
541
La autenticación de Intercambio de claves de Internet (IKE, <i>Internet Key Exchange</i>) en
modo principal se ha completado entre el equipo local y la identidad del interlocutor enumerado
(estableciendo una asociación de seguridad), o el modo rápido ha establecido un canal de datos.
542
Un canal de datos ha finalizado.
543
El modo principal ha finalizado.
Nota
•Esto puede deberse a que se ha superado el límite de tiempo en la asociación de seguridad (el
valor predeterminado es de ocho horas), a cambios en la directiva o a la finalización del
interlocutor.
544
Error en la autenticación de modo principal debido a que el interlocutor no ha proporcionado un
certificado válido o la firma no se ha validado.
545
Error en la autenticación de modo principal debido a un error de Kerberos o a una contraseña que
no es válida.
546
Error al establecer la asociación de seguridad de IKE porque el interlocutor envió una propuesta
no válida. Se ha recibido un paquete que contenía datos no válidos.
14. Sucesos
Descripción
547
Error durante un protocolo de enlace de IKE.
548
Error de inicio de sesión. El Id. de seguridad (SID) de un dominio de confianza no coincide con el SID
del dominio de cuenta del cliente.
549
Error de inicio de sesión. Todos los SID que corresponden a espacios de nombres en los que no se
confía se filtraron durante una autenticación entre bosques.
550
Mensaje de notificación que podría indicar un posible ataque de denegación de servicio.
551
Un usuario ha iniciado el proceso de cierre de sesión.
552
Un usuario ha iniciado sesión satisfactoriamente en un equipo mediante credenciales explícitas
mientras todavía estaba registrado como un usuario diferente.
682
Un usuario se ha vuelto a conectar a una sesión de Terminal Server desconectada.
683
Un usuario se ha desconectado de una sesión de Terminal Server sin cerrar la sesión.
Nota
•Este suceso se genera cuando un usuario se conecta a una sesión de Terminal Server a través de la
red. Aparece en el servidor Terminal Server.
15. Auditar el acceso a objetos
Esta configuración de seguridad determina si se debe
auditar el suceso de un usuario que obtiene acceso a un
objeto (por ejemplo, un archivo, carpeta, clave del
Registro, impresora, etc.) que tiene especificada su
propia lista de control de acceso al sistema (SACL).
16. Sucesos
Descripción
560
Se ha concedido acceso a un objeto ya existente.
562
Se ha cerrado un identificador de objeto.
563
Se intentó abrir un objeto con la intención de eliminarlo.
Nota
•los sistemas de archivos utilizan este suceso cuando el indicador FILE_DELETE_ON_CLOSE se
especifica en CreateFile().
564
Se ha eliminado un objeto protegido.
565
Se ha concedido acceso a un tipo de objeto ya existente.
567
Se ha utilizado un permiso asociado a un identificador.
Nota
•un identificador se crea con determinados permisos concedidos (Lectura, Escritura, etc.). Cuando
se emplea el identificador, se genera hasta una auditoría para cada uno de los permisos utilizados.
568
Se intentó crear un vínculo físico a un archivo que se está auditando.
569
El administrador de recursos del Administrador de autorización intentó crear un contexto de
cliente.
570
Un cliente ha intentado tener acceso a un objeto.
Nota
•se generará un suceso para cada operación que se haya intentado en el objeto.
17. Sucesos
Descripción
571
El contexto de cliente fue eliminado por la aplicación Administrador de autorización.
572
El administrador de administradores ha inicializado la aplicación.
772
El administrador de certificados denegó una solicitud de certificado pendiente.
773
Servicios de Certificate Server recibió una solicitud de certificado reenviada.
774
Servicios de Certificate Server revocó un certificado.
775
Servicios de Certificate Server recibió una solicitud para publicar la lista de revocación de certificados
(CRL).
776
Servicios de Certificate Server publicó la lista de revocación de certificados (CRL).
777
Se ha realizado una extensión de solicitud de certificados.
778
Se modificaron uno o más atributos de solicitud de certificados.
779
Servicios de Certificate Server recibió una solicitud para cerrar.
780
La copia de seguridad de Servicios de Certificate Server se ha iniciado.
781
La copia de seguridad de Servicios de Certificate Server ha finalizado.
782
La restauración de Servicios de Certificate Server ha comenzado.
783
La restauración de Servicios de Certificate Server ha finalizado.
18. Sucesos
Descripción
784
Servicios de Certificate Server iniciados.
785
Servicios de Certificate Server detenidos.
786
Los permisos de seguridad para Servicios de Certificate Server han cambiado.
787
Servicios de Certificate Server ha recuperado una clave archivada.
788
Servicios de Certificate Server ha importado un certificado en su base de datos.
789
El filtro de auditoría para Servicios de Certificate Server ha cambiado.
790
Servicios de Certificate Server ha recibido una solicitud de certificado.
791
Servicios de Certificate Server ha aprobado certificado solicitado y ha emitido un certificado.
792
Servicios de Certificate Server ha denegado una petición de certificado.
793
Servicios de Certificate Server estableció el estado de una solicitud de certificado como pendiente.
794
La configuración del administrador de certificados para Servicios de Certificate Server ha cambiado.
795
Una entrada de configuración en Servicios de Certificate Server ha cambiado.
796
Una propiedad de Servicios de Certificate Server ha cambiado.
19. Sucesos
Descripción
797
Servicios de Certificate Server archivó una clave.
798
Servicios de Certificate Server importó y archivó una clave.
799
Servicios de Certificate Server publicó un certificado.
800
Una o más filas se han eliminado de la base de datos de certificados.
801
Separación de funciones habilitada.
20. Auditar el cambio de directivas
Esta configuración de seguridad determina si se deben
auditar todas las incidencias de los cambios en las directivas
de asignación de derechos de usuario, las directivas de
auditoría o las directivas de confianza.
21. Sucesos
Descripción
608
Se ha asignado un derecho de usuario.
609
Se ha quitado un derecho de usuario.
610
Se ha creado una relación de confianza con otro dominio.
611
Se ha quitado una relación de confianza con otro dominio.
612
Se ha modificado una directiva de auditoría.
613
Se ha iniciado un agente de directiva de Seguridad de Protocolo Internet (IPSec).
614
Se ha deshabilitado un agente de directiva IPSec.
615
Se ha modificado un agente de directiva IPSec.
616
Un agente de directiva IPSec ha detectado un error potencialmente grave.
617
Directiva Kerberos modificada.
618
Directiva de recuperación de datos cifrada modificada.
620
Se ha modificado una relación de confianza con otro dominio.
621
Se ha concedido acceso al sistema a una cuenta.
622
Se ha quitado el acceso al sistema de una cuenta.
22. Sucesos
Descripción
623
La directiva de auditoría por usuario se estableció para un usuario.
Para obtener información acerca de la auditoría selectiva por usuario.
625
La directiva de auditoría por usuario se ha actualizado.
768
Se ha detectado una colisión entre un elemento de espacio de nombres en un bosque y un elemento de
espacio de nombres en otro bosque.
Nota
•Cuando un elemento de espacio de nombres de un bosque se superpone a un elemento de espacio de
nombres de otro bosque, puede provocar ambigüedad a la hora de resolver un nombre perteneciente a
uno de los elementos de espacio de nombres. Esta superposición también se denomina colisión. No
todos los parámetros son válidos para cada tipo de entrada.
769
Se ha agregado información del bosque de confianza.
Nota
•Este mensaje de suceso se genera cuando la información de confianza del bosque se actualiza y se
agrega una o más entradas. Se genera un mensaje de suceso por cada entrada agregada, eliminada o
modificada. Si se agregan, eliminan o modifican múltiples entradas en una actualización única de la
información de confianza del bosque, todos los mensajes de sucesos generados tienen un identificador
único y exclusivo denominado Id. de operación.
770
Se ha eliminado información del bosque de confianza.
Nota
•Vea la nota del suceso 769.
771
Se ha modificado información del bosque de confianza.
Nota
•Vea la nota del suceso 769.
805
El servicio de registro de sucesos lee la configuración del registro de seguridad para una sesión.
23. Auditar el uso de privilegios
Esta configuración de seguridad determina si se debe
auditar cada instancia de un usuario que utiliza un derecho
de usuario.
Sucesos
Descripción
576
Los privilegios especificados se agregaron a un símbolo de acceso del usuario.
Nota
•este suceso se genera cuando el usuario inicia sesión.
577
Un usuario intentó realizar una operación de servicio del sistema con privilegios.
578
Los privilegios se han utilizando en un identificador ya abierto de un objeto protegido.
24. Auditar el seguimiento de procesos
Esta configuración de seguridad determina si se debe
auditar de modo detallado la información relacionada con el
seguimiento de sucesos, como la activación de programas,
salida de procesos, duplicación de identificadores y acceso
indirecto a objetos.
25. Sucesos
Descripción
592
Se ha creado un nuevo proceso.
593
Ha terminado un proceso.
594
Un identificador de objeto ha sido duplicado.
595
Se ha obtenido un acceso indirecto a un objeto.
596
Se ha realizado una copia de seguridad de una clave maestra de protección de datos.
Nota
•La clave maestra se utiliza en las rutinas CryptProtectData y CryptUnprotectData y el Sistema de
cifrado de archivos (EFS). Se realiza una copia de seguridad de la clave maestra cada vez que se crea
una nueva. (El valor predeterminado es 90 días.) La copia de seguridad de la clave suele realizarse en
un controlador de dominio.
597
Se recuperó una clave maestra de protección de datos desde un servidor de recuperación.
598
Los datos auditables estaban protegidos.
599
Los datos auditables no estaban protegidos.
600
Un proceso asignó un símbolo principal.
601
Un usuario intentó instalar un servicio.
602
Se ha creado un trabajo de programador.
26. Auditar el suceso del sistema
Esta configuración de seguridad determina si se debe
auditar cuándo un usuario reinicia o apaga el equipo, o
si se produce un suceso que afecta a la seguridad del
sistema o al registro de seguridad.
27. Sucesos
Descripción
512
Windows se está iniciando.
513
Windows se está cerrando.
514
La Autoridad de seguridad local ha cargado un paquete de autenticación.
515
La Autoridad de seguridad local ha registrado un proceso de inicio de sesión por confianza.
516
Los recursos internos asignados para la cola de mensajes de sucesos de seguridad se han agotado, lo
que ha provocado la pérdida de algunos mensajes de sucesos de seguridad.
517
Se ha borrado el registro de auditoría.
518
El Administrador de cuentas de seguridad ha cargado un paquete de notificación.
519
Un proceso está utilizando un puerto de llamada a procedimiento local (LPC) no válido en un intento
de suplantar a un cliente y responder o leer o escribir en un espacio de direcciones del cliente.
520
Se cambió la hora del sistema.
Nota
•Esta auditoría suele aparecer dos veces.