Auditar sucesos de inicio de sesin

Page 1 of 4

2010 Microsoft Corporation. All rights reserved.

Auditar sucesos de inicio de sesin

Actualizado: enero de 2005 Se aplica a: Windows Server 2003, Windows Server 2003 R2, Windows Server 2003 with SP1, Windows Server 2003 with SP2, Windows Vista

Auditar sucesos de inicio de sesin

Descripcin

Esta configuracin de seguridad determina si se audita cada instancia de un inicio o cierre de sesin de usuario en un equipo. Los sucesos de inicio de sesin de cuenta se generan en los controladores de dominio para la actividad de cuentas de dominio y en los equipos locales para la actividad de cuentas locales. Si estn habilitadas ambas categoras de directiva (inicio de sesin de cuentas y auditora de inicio de sesin), los inicios de sesin que utilizan una cuenta de dominio generan un suceso de inicio o cierre de sesin en la estacin de trabajo o servidor, y generan un suceso de inicio de sesin de cuenta en el controlador de dominio. De manera adicional, los inicios de sesin interactivos en un servidor miembro o una estacin de trabajo que utilicen una cuenta de dominio generan un suceso de inicio de sesin en el controlador de dominio a medida que las secuencias de comandos y directivas de inicio de sesin se recuperan cuando un usuario inicia sesin. Para obtener ms informacin acerca de los sucesos de inicio de sesin de cuenta, vea Auditar sucesos de inicio de sesin de cuenta [ http://technet.microsoft.com/es-es/library/cc787176(WS.10).aspx ] . Si define esta opcin de configuracin de directiva, puede especificar si se auditan aciertos, errores o si o no se audita el tipo de suceso. Las auditoras de aciertos generan una entrada de auditora cuando un intento de inicio de sesin tiene xito. Las auditoras de errores generan una entrada de auditora cuando un intento de inicio de sesin falla. Para establecer este valor a Sin auditora, en el cuadro de dilogo Propiedades de esta configuracin de directiva, active la casilla de verificacin Definir esta configuracin de directiva y desactive las casillas de verificacin Correcto y Error. Valor predeterminado: Correcto.

Establecer esta configuracin de seguridad

Para establecer esta configuracin de seguridad, abra la directiva correspondiente y expanda el rbol de la consola hasta que aparezca lo siguiente: Configuracin del equipo\Configuracin de Windows\Configuracin de seguridad\Directivas locales\Directiva de auditora\ Para obtener instrucciones especficas acerca de cmo configurar la directiva de auditora, vea Definir o modificar la configuracin de directiva de auditora para una categora de sucesos [ http://technet.microsoft.com/es-es/library/cc787268(WS.10).aspx ] .

Sucesos de inicio de sesin

Descripcin

528

Un usuario ha iniciado sesin en un equipo satisfactoriamente. Para obtener informacin acerca del tipo de inicio de sesin, vea Tabla de tipos de inicio de sesin. Error de inicio de sesin. Se intent iniciar sesin con un nombre de usuario desconocido o un nombre de usuario conocido con una contrasea no vlida. Error de inicio de sesin. Se intent iniciar sesin; la cuenta ha intentado iniciar una sesin fuera del intervalo permitido.

529

530

http://technet.microsoft.com/es-es/library/cc787567(WS.10,printer).aspx

17/11/2010

Auditar sucesos de inicio de sesin

Page 2 of 4

531 532 533

Error de inicio de sesin. Se intent iniciar sesin con una cuenta deshabilitada. Error de inicio de sesin. Se intent iniciar sesin con una cuenta caducada. Error de inicio de sesin. Un usuario que no tiene permiso para iniciar una sesin en este equipo intent iniciar sesin. Error de inicio de sesin. El usuario ha intentado iniciar sesin con un tipo no permitido. Error de inicio de sesin. Ha caducado la contrasea para la cuenta especificada. Error de inicio de sesin. El servicio Inicio de sesin de red no est activado. Error de inicio de sesin. El error en el intento de inicio de sesin se debe a otros motivos. Nota En algunos casos se desconoce el motivo del error de inicio de sesin.

534 535 536 537

538 539

Se ha completado el proceso de cierre de sesin de un usuario. Error de inicio de sesin. La cuenta estaba bloqueada en el momento en que se intent el inicio de sesin. Un usuario ha iniciado sesin en una red satisfactoriamente. La autenticacin de Intercambio de claves de Internet (IKE, <i>Internet Key Exchange</i>) en modo principal se ha completado entre el equipo local y la identidad del interlocutor enumerado (estableciendo una asociacin de seguridad), o el modo rpido ha establecido un canal de datos. Un canal de datos ha finalizado. El modo principal ha finalizado. Nota Esto puede deberse a que se ha superado el lmite de tiempo en la asociacin de seguridad (el valor predeterminado es de ocho horas), a cambios en la directiva o a la finalizacin del interlocutor.

540 541

542 543

544

Error en la autenticacin de modo principal debido a que el interlocutor no ha proporcionado un certificado vlido o la firma no se ha validado. Error en la autenticacin de modo principal debido a un error de Kerberos o a una contrasea que no es vlida. Error al establecer la asociacin de seguridad de IKE porque el interlocutor envi una propuesta no vlida. Se ha recibido un paquete que contena datos no vlidos. Error durante un protocolo de enlace de IKE. Error de inicio de sesin. El Id. de seguridad (SID) de un dominio de confianza no coincide con el SID del dominio de cuenta del cliente. Error de inicio de sesin. Todos los SID que corresponden a espacios de nombres en los que no se confa se filtraron durante una autenticacin entre bosques. Mensaje de notificacin que podra indicar un posible ataque de denegacin de servicio.

545

546

547 548

549

550

http://technet.microsoft.com/es-es/library/cc787567(WS.10,printer).aspx

17/11/2010

Auditar sucesos de inicio de sesin

Page 3 of 4

551 552

Un usuario ha iniciado el proceso de cierre de sesin. Un usuario ha iniciado sesin satisfactoriamente en un equipo mediante credenciales explcitas mientras todava estaba registrado como un usuario diferente. Un usuario se ha vuelto a conectar a una sesin de Terminal Server desconectada. Un usuario se ha desconectado de una sesin de Terminal Server sin cerrar la sesin. Nota Este suceso se genera cuando un usuario se conecta a una sesin de Terminal Server a travs de la red. Aparece en el servidor Terminal Server.

682 683

Cuando se registra el suceso 528, tambin se enumera un tipo de inicio de sesin en el registro de sucesos. En la tabla siguiente se describen los tipos de inicio de sesin.

Tipo de inicio de sesin

Ttulo de inicio de sesin

Descripcin

2 3 4

Interactive Network Batch

Un usuario ha iniciado sesin en este equipo. Un usuario o equipo ha iniciado sesin en este equipo desde la red. Este tipo de inicio lo utilizan los servidores de proceso por lotes, donde los procesos pueden ejecutarse en nombre de un usuario sin su intervencin directa. El Administrador de control de servicios ha iniciado un servicio. La estacin de trabajo se ha desbloqueado. Un usuario ha iniciado sesin en este equipo desde la red. La contrasea del usuario se ha transferido al paquete de autenticacin en su forma sin valor de hash. Todos los paquetes de autenticacin integrados aplican un algoritmo de hash a las credenciales antes de enviarlas a travs de la red. Las credenciales no se transmiten a travs de la red en texto sin formato (tambin denominado texto no cifrado). Un llamador ha clonado su smbolo actual y ha especificado nuevas credenciales para conexiones salientes. El nuevo inicio de sesin posee la misma identidad local, pero emplea credenciales diferentes para otras conexiones de red. Un usuario ha iniciado sesin de forma remota en el equipo mediante Servicios de Terminal Server o Escritorio remoto. Un usuario ha iniciado sesin en el equipo con credenciales de red que se almacenaron localmente en el equipo. No se conect con el controlador de dominio para comprobar las credenciales.

5 7 8

Service Unlock NetworkCleartext

NewCredentials

10

RemoteInteractive

11

CachedInteractive

Para obtener ms informacin acerca de los sucesos de seguridad, vea el apartado relativo a los sucesos de seguridad [ http://go.microsoft.com/fwlink/?LinkId=101 ] en el sitio Web de Kits de recursos de Microsoft Windows. Para obtener ms informacin, consulte: Directiva de auditora [ http://technet.microsoft.com/es-es/library/cc779526(WS.10).aspx ] Prcticas recomendadas [ http://technet.microsoft.com/es-es/library/cc778162(WS.10).aspx ] para auditora

http://technet.microsoft.com/es-es/library/cc787567(WS.10,printer).aspx

17/11/2010

Auditar sucesos de inicio de sesin

Page 4 of 4

Herramientas del Administrador de configuracin de seguridad [ http://technet.microsoft.com/eses/library/dd349318(WS.10).aspx ]

Etiquetas:

Contenido de la comunidad

http://technet.microsoft.com/es-es/library/cc787567(WS.10,printer).aspx

17/11/2010