¿Qué es el éxito de la auditoría o la falla de la auditoría en el Visor de eventos?

Cto Takoe Uspesnyj Audit Ili Sboj Audita V Sredstve Prosmotra Sobytij



Cuando se trata de Event Viewer, hay dos tipos de resultados que puede obtener de una auditoría: éxito o fracaso. Pero, ¿qué significa cada uno? Aquí hay una explicación rápida de cada uno.



Éxito de la auditoría

Una auditoría exitosa significa que la acción auditada se completó con éxito. Esto podría ser algo así como un usuario que inicia sesión en un sistema o un proceso que se está ejecutando. Esencialmente, cualquier cosa que haya configurado el Visor de eventos para rastrear e informar.



Fallo de auditoría

Una falla de auditoría, por otro lado, significa que la acción que se está auditando no se completó con éxito. Esto puede deberse a varios motivos, como que se haya ingresado una contraseña incorrecta o que el usuario no tenga los permisos necesarios para realizar la acción. Una vez más, cualquier cosa que haya configurado el Visor de eventos para realizar un seguimiento e informar puede resultar en una falla de auditoría.



Así que ahí lo tiene: una explicación rápida del éxito y el fracaso de la auditoría en el Visor de eventos. Como siempre, si tiene alguna pregunta, no dude en comunicarse con nuestro equipo de expertos en TI.



Para ayudar en la resolución de problemas, el Visor de eventos integrado en el sistema operativo Windows muestra registros de mensajes del sistema y de la aplicación que incluyen errores, advertencias e información de eventos específicos que un administrador puede analizar para tomar las medidas adecuadas. En esta publicación hablamos Auditoría exitosa o auditoría fallida en el Visor de eventos .

¿Qué es el éxito de la auditoría o la falla de la auditoría en el Visor de eventos?



¿Qué es el éxito de la auditoría o la falla de la auditoría en el Visor de eventos?

En el visor de eventos Auditoría de éxito es el evento que registra un intento exitoso de acceso seguro verificado, mientras que Error de auditoría es un evento que registra un intento fallido de acceso seguro verificado. Trataremos este tema en los siguientes subtítulos:

  1. Políticas de auditoría
  2. Habilitar políticas de auditoría
  3. Use el visor de eventos para encontrar la fuente de intentos fallidos o exitosos
  4. Alternativas al uso del visor de eventos

Veamos esto en detalle.

Políticas de auditoría

La política de auditoría define los tipos de eventos que se escriben en los registros de seguridad y estas políticas generan eventos que pueden tener éxito o fallar. Todas las políticas de auditoría generarán Buena suerte eventos ; sin embargo, solo unos pocos de ellos generarán Eventos de falla . Puede configurar dos tipos de políticas de auditoría, a saber:

  • Política de auditoría básica tiene 9 categorías de políticas de auditoría y 50 subcategorías de políticas de auditoría que se pueden habilitar o deshabilitar según sea necesario. A continuación se muestra una lista de 9 categorías de políticas de auditoría.
    • Auditar eventos de inicio de sesión de cuenta
    • Eventos de inicio de sesión de auditoría
    • Auditoría de gestión de cuentas
    • Auditoría de acceso al servicio de directorio
    • Auditoría de acceso a objetos
    • Cambiar la política de auditoría
    • Uso de privilegios de auditoría
    • Seguimiento del proceso de auditoría
    • Auditoría de eventos del sistema. Esta configuración de política determina si auditar cuando un usuario reinicia o apaga la computadora, o cuando ocurre un evento que afecta la seguridad del sistema o el registro de seguridad. Para obtener más información y eventos de inicio de sesión relacionados, consulte la documentación de Microsoft en Learn.microsoft.com/Basic-Audit-System-Events .
  • Política de auditoría avanzada que tiene 53 categorías, por lo que se recomienda ya que puede definir una política de auditoría más granular y solo registrar eventos relevantes, lo que es especialmente útil cuando se genera una gran cantidad de registros.

Los errores de auditoría generalmente ocurren cuando falla una solicitud de inicio de sesión, aunque también pueden ser causados ​​por cambios en cuentas, objetos, políticas, privilegios y otros eventos del sistema. Los dos eventos más comunes son:

  • Id. de evento 4771: la autenticación previa de Kerberos falló . Este evento se genera solo en controladores de dominio y no se genera si No requiere autenticación previa de Kerberos la opción está configurada para la cuenta. Para obtener más información sobre este evento y cómo resolver este problema, consulte Documentación de Microsoft .
  • Id. de evento 4625: no se pudo iniciar sesión en la cuenta . Este evento se genera cuando falla un intento de inicio de sesión en la cuenta y el usuario ya está bloqueado. Para obtener más información sobre este evento y cómo resolver este problema, consulte Documentación de Microsoft .

Leer : Cómo verificar el registro de apagado e inicio en Windows

Habilitar políticas de auditoría

Habilitar políticas de auditoría

Puede habilitar políticas de auditoría en máquinas cliente o servidor a través del Editor de políticas de grupo local o la Consola de administración de políticas de grupo, o Editor de políticas de seguridad local . En un servidor de Windows en su dominio, cree un GPO nuevo o edite un GPO existente.

En la computadora cliente o servidor, en el Editor de políticas de grupo, navegue a la siguiente ruta:

|_+_|

En el equipo cliente o servidor, en la política de seguridad local, navegue hasta la siguiente ruta:

|_+_|
  • En Políticas de auditoría en el panel derecho, haga doble clic en la política cuyas propiedades desea cambiar.
  • En el panel de propiedades, puede habilitar la política para Buena suerte o Rechazo de acuerdo a su requerimiento.

Leer : Cómo restablecer todas las configuraciones de políticas de grupo locales a los valores predeterminados en Windows

Use el visor de eventos para encontrar la fuente de intentos fallidos o exitosos

Utilice el Visor de eventos para encontrar el origen de los eventos fallidos o exitosos.

Los administradores y usuarios generales pueden abrir el Visor de eventos en una computadora local o remota con los permisos apropiados. El visor de eventos ahora registrará un evento cada vez que ocurra un evento de falla o éxito, ya sea en la computadora cliente o en el dominio del servidor. El ID de evento que se activa al registrar un evento fallido o exitoso es diferente (ver más abajo). Políticas de auditoría apartado anterior). Puedes ir a Visor de eventos > Ventanas de diario > Seguridad . El panel en el centro enumera todos los eventos configurados para la auditoría. Tendrá que mirar los eventos registrados para encontrar intentos fallidos o exitosos. Una vez que los encuentre, puede hacer clic derecho en el evento y seleccionar Propiedades del evento Más detalles.

Leer : Use el Visor de eventos para verificar el uso no autorizado de una computadora con Windows.

Alternativas al uso del visor de eventos

Como alternativa al uso del Visor de eventos, existen varios software de administración de registros de eventos de terceros que se pueden usar para agregar y correlacionar datos de eventos de una variedad de fuentes, incluidos los servicios en la nube. Una solución SIEM es la mejor opción si necesita recopilar y analizar datos de firewalls, sistemas de prevención de intrusiones (IPS), dispositivos, aplicaciones, conmutadores, enrutadores, servidores y más.

cutepdf windows 10

¡Espero que encuentres esta publicación lo suficientemente informativa!

Ahora lee : Cómo habilitar o deshabilitar el registro seguro de eventos en Windows

¿Por qué es importante verificar los intentos de acceso exitosos y fallidos?

Es fundamental auditar los eventos de inicio de sesión, ya sea que hayan tenido éxito o no, para detectar intentos de intrusión, porque auditar los inicios de sesión de los usuarios es la única forma de detectar todos los intentos de inicio de sesión de dominio no autorizados. Los eventos de cierre de sesión no se rastrean en los controladores de dominio. También es igualmente importante realizar un seguimiento de los intentos fallidos de acceso a archivos, ya que se crea una entrada de auditoría cada vez que un usuario intenta acceder sin éxito a un objeto del sistema de archivos que tiene una SACL coincidente. Estos eventos son necesarios para realizar un seguimiento de la actividad de los objetos de archivo que son confidenciales o valiosos y requieren una supervisión adicional.

Leer : Fortalecer la política de contraseña de inicio de sesión de Windows y la política de bloqueo de cuenta

¿Cómo habilitar los registros de errores de auditoría en Active Directory?

Para habilitar los registros de errores de auditoría en Active Directory, simplemente haga clic derecho en el objeto de Active Directory que desea verificar y seleccione Características . Seleccionar Seguridad pestaña y luego seleccione Avanzado . Seleccionar Auditoría pestaña y luego seleccione Agregar . Para ver los registros de auditoría en Active Directory, haga clic en Iniciar > Sistema de seguridad > Herramientas administrativas > Visor de eventos . En Active Directory, la auditoría es el proceso de recopilar y analizar objetos de AD y datos de políticas de grupo para mejorar de forma proactiva la seguridad, detectar y responder rápidamente a las amenazas y mantener las operaciones de TI funcionando sin problemas.

Categoría
Registros De Eventos
Recomendado
7 formas de abrir o ejecutar el símbolo del sistema en Windows 10
7 formas de abrir o ejecutar el símbolo del sistema en Windows 10
Ventanas
Cómo cambiar el color de la luz de fondo del teclado en Windows 11/10
Cómo cambiar el color de la luz de fondo del teclado en Windows 11/10
Teclado
Cómo crear tus propias funciones de Excel
Cómo crear tus propias funciones de Excel
Oficina
Solucionar problemas de teclado con el Solucionador de problemas de teclado de Windows 10
Solucionar problemas de teclado con el Solucionador de problemas de teclado de Windows 10
Ventanas
Entradas Populares
Acerca De Nosotros
Prankmike Proporciona Consejos, Directrices, Instrucciones Para Windows 10, Las Funciones Y El Software Libre.
Categorías
Mas Visto
Copyright © 2024Todos Los Derechos Reservados | prankmike.com | Política De Privacidad