Descripción de los eventos de Auditoría y Terminal Services

Descripción de los eventos de Auditoría y Terminal Server

Larry Ruiz Barcayola

Auditar sucesos de inicio de sesión de cuenta

Esta configuración de seguridad determina si hay que auditar cada instancia de inicio o cierre de sesión de usuario en otro equipo distinto del que se utiliza para validar la cuenta. Los sucesos de inicio de sesión de cuenta se generan cuando una cuenta de usuario de dominio se autentica en un controlador de dominio.

Sucesos Descripción

672 Se ha emitido y validado satisfactoriamente un vale del servicio de autenticación (AS).

673 Se ha concedido un vale del servicio de concesión de vales (TGS, Ticket Granting Service).

674 Una entidad principal de seguridad ha renovado un vale de AS o de TGS.

675 La autenticación previa ha dado error. Este suceso se genera en un Centro de distribución de claves (KDC, Key Distribution Center) cuando un usuario escribe una contraseña incorrecta.

676 Error en la solicitud de vale de autenticación. Este suceso no se genera en Windows XP ni en la familia Windows Server 2003.

677 No se ha concedido un vale de TGS. Este suceso no se genera en Windows XP ni en la familia Windows Server 2003.

678 Una cuenta se ha asignado satisfactoriamente a una cuenta de dominio.

681 Error de inicio de sesión. Se ha intentado un inicio de sesión de cuenta de dominio. Este suceso no se genera en Windows XP ni en la familia Windows Server 2003.

682 Un usuario se ha vuelto a conectar a una sesión de Terminal Server desconectada.

683 Un usuario se ha desconectado de una sesión de Terminal Server sin cerrarla.

Auditar la administración de cuentas

La configuración de seguridad determina si hay que auditar cada suceso de la administración de cuentas en un equipo. Algunos ejemplos de sucesos de la administración de cuentas son:

Se crea, cambia o elimina una cuenta de usuario o un grupo.

Se cambia el nombre, se deshabilita o se habilita una cuenta de usuario.

Se establece o se cambia una contraseña.


624 Se ha creado una cuenta de usuario.

627 Se ha modificado una contraseña de usuario.

628 Se ha establecido una contraseña de usuario.

630 Se ha eliminado una cuenta de usuario.

631 Se ha creado un grupo global.

632 Se ha agregado un miembro a un grupo global.

633 Se ha eliminado un miembro de un grupo global.

634 Se ha eliminado un grupo global.

635 Se ha creado un nuevo grupo local.

636 Se ha agregado un miembro a un grupo local.

637 Se ha quitado un miembro de un grupo local.

638 Se ha eliminado un grupo local.

639 Se ha modificado una cuenta de un grupo local.


641 Se ha modificado una cuenta de un grupo global.

642 Se ha modificado una cuenta de usuario.

643 Se ha modificado una directiva de dominio.

644 Se ha bloqueado automáticamente una cuenta de usuario.

645 Se ha creado una cuenta de equipo.

646 Se ha cambiado una cuenta de equipo.

647 Se ha eliminado una cuenta de equipo.

648 Se ha creado un grupo de seguridad local con la seguridad deshabilitada.Nota•SECURITY_DISABLED significa formalmente que ese grupo no puede utilizarse para conceder permisos en comprobaciones de acceso.

649 Se ha modificado un grupo de seguridad local con la seguridad deshabilitada.

650 Se ha agregado un miembro a un grupo de seguridad local con la seguridad deshabilitada.

651 Se ha quitado un miembro de un grupo de seguridad local con la seguridad deshabilitada.


653 Se ha creado un grupo global con la seguridad deshabilitada.

654 Se ha modificado un grupo global con la seguridad deshabilitada.

655 Se ha agregado un miembro a un grupo global con la seguridad deshabilitada.

656 Se ha quitado un miembro de un grupo global con la seguridad deshabilitada.

657 Se ha eliminado un grupo global con la seguridad deshabilitada.

658 Se ha creado un grupo universal con la seguridad habilitada.

659 Se ha modificado un grupo universal con la seguridad habilitada.

660 Se ha agregado un miembro a un grupo universal con la seguridad habilitada.

661 Se ha quitado un miembro de un grupo universal con la seguridad habilitada.

662 Se ha eliminado un grupo universal con la seguridad habilitada.

663 Se ha creado un grupo universal con la seguridad deshabilitada.

664 Se ha modificado un grupo universal con la seguridad deshabilitada.


665 Se ha agregado un miembro a un grupo universal con la seguridad deshabilitada.

666 Se ha quitado un miembro de un grupo universal con la seguridad deshabilitada.

667 Se ha eliminado un grupo universal con la seguridad deshabilitada.

668 Se ha modificado un tipo de grupo.

684 Defina el descriptor de seguridad de los miembros de grupos administrativos.Nota•en un controlador de dominio, un subproceso en segundo plano examina cada 60 minutos todos los miembros de los grupos administrativos (como administradores de dominio, empresariales y de esquema) y les aplica un descriptor de seguridad fijo. Este suceso se registra.

685 Se ha modificado el nombre de una cuenta.

Auditar el acceso del servicio de directorioEsta configuración de seguridad determina si hay que

auditar el suceso de un usuario que obtiene acceso a un objeto de Active Directory que tiene especificada su propia lista de control de acceso al sistema (SACL, System Access Control List).

De manera predeterminada, este valor se establece como sin auditar en el objeto Controlador predeterminado de dominio de Directiva de grupo (GPO) y queda sin definir en estaciones de trabajo y servidores donde no tiene sentido.


566 Se ha producido una operación de objeto genérica.

Auditar sucesos de inicio de sesiónEsta configuración de seguridad determina si se audita cada

instancia de un inicio o cierre de sesión de usuario en un equipo.

Los sucesos de inicio de sesión de cuenta se generan en los controladores de dominio para la actividad de cuentas de dominio y en los equipos locales para la actividad de cuentas locales. Si están habilitadas ambas categorías de directiva (inicio de sesión de cuentas y auditoría de inicio de sesión), los inicios de sesión que utilizan una cuenta de dominio generan un suceso de inicio o cierre de sesión en la estación de trabajo o servidor, y generan un suceso de inicio de sesión de cuenta en el controlador de dominio.


528 Un usuario ha iniciado sesión en un equipo satisfactoriamente. Para obtener información acerca del tipo de inicio de sesión, vea Tabla de tipos de inicio de sesión.

529 Error de inicio de sesión. Se intentó iniciar sesión con un nombre de usuario desconocido o un nombre de usuario conocido con una contraseña no válida.

530 Error de inicio de sesión. Se intentó iniciar sesión; la cuenta ha intentado iniciar una sesión fuera del intervalo permitido.

531 Error de inicio de sesión. Se intentó iniciar sesión con una cuenta deshabilitada.

532 Error de inicio de sesión. Se intentó iniciar sesión con una cuenta caducada.

533 Error de inicio de sesión. Un usuario que no tiene permiso para iniciar una sesión en este equipo intentó iniciar sesión.

534 Error de inicio de sesión. El usuario ha intentado iniciar sesión con un tipo no permitido.

535 Error de inicio de sesión. Ha caducado la contraseña para la cuenta especificada.

536 Error de inicio de sesión. El servicio Inicio de sesión de red no está activado.

537 Error de inicio de sesión. El error en el intento de inicio de sesión se debe a otros motivos.Nota•En algunos casos se desconoce el motivo del error de inicio de sesión.


538 Se ha completado el proceso de cierre de sesión de un usuario.

539 Error de inicio de sesión. La cuenta estaba bloqueada en el momento en que se intentó el inicio de sesión.

540 Un usuario ha iniciado sesión en una red satisfactoriamente.

541 La autenticación de Intercambio de claves de Internet (IKE, <i>Internet Key Exchange</i>) en modo principal se ha completado entre el equipo local y la identidad del interlocutor enumerado (estableciendo una asociación de seguridad), o el modo rápido ha establecido un canal de datos.

542 Un canal de datos ha finalizado.

543 El modo principal ha finalizado.Nota•Esto puede deberse a que se ha superado el límite de tiempo en la asociación de seguridad (el valor predeterminado es de ocho horas), a cambios en la directiva o a la finalización del interlocutor.

544 Error en la autenticación de modo principal debido a que el interlocutor no ha proporcionado un certificado válido o la firma no se ha validado.

545 Error en la autenticación de modo principal debido a un error de Kerberos o a una contraseña que no es válida.

546 Error al establecer la asociación de seguridad de IKE porque el interlocutor envió una propuesta no válida. Se ha recibido un paquete que contenía datos no válidos.


547 Error durante un protocolo de enlace de IKE.

548 Error de inicio de sesión. El Id. de seguridad (SID) de un dominio de confianza no coincide con el SID del dominio de cuenta del cliente.

549 Error de inicio de sesión. Todos los SID que corresponden a espacios de nombres en los que no se confía se filtraron durante una autenticación entre bosques.

550 Mensaje de notificación que podría indicar un posible ataque de denegación de servicio.

551 Un usuario ha iniciado el proceso de cierre de sesión.

552 Un usuario ha iniciado sesión satisfactoriamente en un equipo mediante credenciales explícitas mientras todavía estaba registrado como un usuario diferente.

682 Un usuario se ha vuelto a conectar a una sesión de Terminal Server desconectada.

683 Un usuario se ha desconectado de una sesión de Terminal Server sin cerrar la sesión.Nota•Este suceso se genera cuando un usuario se conecta a una sesión de Terminal Server a través de la red. Aparece en el servidor Terminal Server.

Auditar el acceso a objetosEsta configuración de seguridad determina si

se debe auditar el suceso de un usuario que obtiene acceso a un objeto (por ejemplo, un archivo, carpeta, clave del Registro, impresora, etc.) que tiene especificada su propia lista de control de acceso al sistema (SACL).


560 Se ha concedido acceso a un objeto ya existente.

562 Se ha cerrado un identificador de objeto.

563 Se intentó abrir un objeto con la intención de eliminarlo.Nota•los sistemas de archivos utilizan este suceso cuando el indicador FILE_DELETE_ON_CLOSE se especifica en CreateFile().

564 Se ha eliminado un objeto protegido.

565 Se ha concedido acceso a un tipo de objeto ya existente.

567 Se ha utilizado un permiso asociado a un identificador.Nota•un identificador se crea con determinados permisos concedidos (Lectura, Escritura, etc.). Cuando se emplea el identificador, se genera hasta una auditoría para cada uno de los permisos utilizados.

568 Se intentó crear un vínculo físico a un archivo que se está auditando.

569 El administrador de recursos del Administrador de autorización intentó crear un contexto de cliente.

570 Un cliente ha intentado tener acceso a un objeto.Nota•se generará un suceso para cada operación que se haya intentado en el objeto.


571 El contexto de cliente fue eliminado por la aplicación Administrador de autorización.

572 El administrador de administradores ha inicializado la aplicación.

772 El administrador de certificados denegó una solicitud de certificado pendiente.

773 Servicios de Certificate Server recibió una solicitud de certificado reenviada.

774 Servicios de Certificate Server revocó un certificado.

775 Servicios de Certificate Server recibió una solicitud para publicar la lista de revocación de certificados (CRL).

776 Servicios de Certificate Server publicó la lista de revocación de certificados (CRL).

777 Se ha realizado una extensión de solicitud de certificados.

778 Se modificaron uno o más atributos de solicitud de certificados.

779 Servicios de Certificate Server recibió una solicitud para cerrar.

780 La copia de seguridad de Servicios de Certificate Server se ha iniciado.

781 La copia de seguridad de Servicios de Certificate Server ha finalizado.

782 La restauración de Servicios de Certificate Server ha comenzado.

783 La restauración de Servicios de Certificate Server ha finalizado.


784 Servicios de Certificate Server iniciados.

785 Servicios de Certificate Server detenidos.

786 Los permisos de seguridad para Servicios de Certificate Server han cambiado.

787 Servicios de Certificate Server ha recuperado una clave archivada.

788 Servicios de Certificate Server ha importado un certificado en su base de datos.

789 El filtro de auditoría para Servicios de Certificate Server ha cambiado.

790 Servicios de Certificate Server ha recibido una solicitud de certificado.

791 Servicios de Certificate Server ha aprobado certificado solicitado y ha emitido un certificado.

792 Servicios de Certificate Server ha denegado una petición de certificado.

793 Servicios de Certificate Server estableció el estado de una solicitud de certificado como pendiente.

794 La configuración del administrador de certificados para Servicios de Certificate Server ha cambiado.

795 Una entrada de configuración en Servicios de Certificate Server ha cambiado.

796 Una propiedad de Servicios de Certificate Server ha cambiado.


797 Servicios de Certificate Server archivó una clave.

798 Servicios de Certificate Server importó y archivó una clave.

799 Servicios de Certificate Server publicó un certificado.

800 Una o más filas se han eliminado de la base de datos de certificados.

801 Separación de funciones habilitada.

Auditar el cambio de directivas

Esta configuración de seguridad determina si se deben auditar todas las incidencias de los cambios en las directivas de asignación de derechos de usuario, las directivas de auditoría o las directivas de confianza.


608 Se ha asignado un derecho de usuario.

609 Se ha quitado un derecho de usuario.

610 Se ha creado una relación de confianza con otro dominio.

611 Se ha quitado una relación de confianza con otro dominio.

612 Se ha modificado una directiva de auditoría.

613 Se ha iniciado un agente de directiva de Seguridad de Protocolo Internet (IPSec).

614 Se ha deshabilitado un agente de directiva IPSec.

615 Se ha modificado un agente de directiva IPSec.

616 Un agente de directiva IPSec ha detectado un error potencialmente grave.

617 Directiva Kerberos modificada.

618 Directiva de recuperación de datos cifrada modificada.

620 Se ha modificado una relación de confianza con otro dominio.

621 Se ha concedido acceso al sistema a una cuenta.

622 Se ha quitado el acceso al sistema de una cuenta.


623 La directiva de auditoría por usuario se estableció para un usuario.Para obtener información acerca de la auditoría selectiva por usuario.

625 La directiva de auditoría por usuario se ha actualizado.

768 Se ha detectado una colisión entre un elemento de espacio de nombres en un bosque y un elemento de espacio de nombres en otro bosque.Nota•Cuando un elemento de espacio de nombres de un bosque se superpone a un elemento de espacio de nombres de otro bosque, puede provocar ambigüedad a la hora de resolver un nombre perteneciente a uno de los elementos de espacio de nombres. Esta superposición también se denomina colisión. No todos los parámetros son válidos para cada tipo de entrada.

769 Se ha agregado información del bosque de confianza.Nota•Este mensaje de suceso se genera cuando la información de confianza del bosque se actualiza y se agrega una o más entradas. Se genera un mensaje de suceso por cada entrada agregada, eliminada o modificada. Si se agregan, eliminan o modifican múltiples entradas en una actualización única de la información de confianza del bosque, todos los mensajes de sucesos generados tienen un identificador único y exclusivo denominado Id. de operación.

770 Se ha eliminado información del bosque de confianza.Nota•Vea la nota del suceso 769.

771 Se ha modificado información del bosque de confianza.Nota•Vea la nota del suceso 769.

805 El servicio de registro de sucesos lee la configuración del registro de seguridad para una sesión.

Auditar el uso de privilegiosEsta configuración de seguridad determina si se

debe auditar cada instancia de un usuario que utiliza un derecho de usuario.


576 Los privilegios especificados se agregaron a un símbolo de acceso del usuario.Nota•este suceso se genera cuando el usuario inicia sesión.

577 Un usuario intentó realizar una operación de servicio del sistema con privilegios.

578 Los privilegios se han utilizando en un identificador ya abierto de un objeto protegido.

Auditar el seguimiento de procesos

Esta configuración de seguridad determina si se debe auditar de modo detallado la información relacionada con el seguimiento de sucesos, como la activación de programas, salida de procesos, duplicación de identificadores y acceso indirecto a objetos.


592 Se ha creado un nuevo proceso.

593 Ha terminado un proceso.

594 Un identificador de objeto ha sido duplicado.

595 Se ha obtenido un acceso indirecto a un objeto.

596 Se ha realizado una copia de seguridad de una clave maestra de protección de datos.Nota•La clave maestra se utiliza en las rutinas CryptProtectData y CryptUnprotectData y el Sistema de cifrado de archivos (EFS). Se realiza una copia de seguridad de la clave maestra cada vez que se crea una nueva. (El valor predeterminado es 90 días.) La copia de seguridad de la clave suele realizarse en un controlador de dominio.

597 Se recuperó una clave maestra de protección de datos desde un servidor de recuperación.

598 Los datos auditables estaban protegidos.

599 Los datos auditables no estaban protegidos.

600 Un proceso asignó un símbolo principal.

601 Un usuario intentó instalar un servicio.

602 Se ha creado un trabajo de programador.

Auditar el suceso del sistema

Esta configuración de seguridad determina si se debe auditar cuándo un usuario reinicia o apaga el equipo, o si se produce un suceso que afecta a la seguridad del sistema o al registro de seguridad.


512 Windows se está iniciando.

513 Windows se está cerrando.

514 La Autoridad de seguridad local ha cargado un paquete de autenticación.

515 La Autoridad de seguridad local ha registrado un proceso de inicio de sesión por confianza.

516 Los recursos internos asignados para la cola de mensajes de sucesos de seguridad se han agotado, lo que ha provocado la pérdida de algunos mensajes de sucesos de seguridad.

517 Se ha borrado el registro de auditoría.

518 El Administrador de cuentas de seguridad ha cargado un paquete de notificación.

519 Un proceso está utilizando un puerto de llamada a procedimiento local (LPC) no válido en un intento de suplantar a un cliente y responder o leer o escribir en un espacio de direcciones del cliente.

520 Se cambió la hora del sistema.Nota•Esta auditoría suele aparecer dos veces.

Descripción de los eventos de Auditoría y Terminal Services

Documents

Transcript of Descripción de los eventos de Auditoría y Terminal Services