none
Errores auditoria seguridad RRS feed

  • Pregunta

  • Hola a todos.

    Siguiendo mis pasos para pasar de controladores de dominio Win server 2003 a Win Server 2008 R2, estoy encontrando varios problemas que he ido reportando y resolviendo. Ahora tengo uno referenta a que se me registran muchos sucesos en el registro de windows, en la ficha seguridad.

    Me da un error  continuamente de auditoria de auditoria. Origen Auditoria de seguridad de Microsoft Windows, con ID 5152. La IP de direccion de origen cambia continuamente, tanto para equipos de mi dominio, como de otro dominio externo con relaccion de confianza mutua.

    Supongo que es un fallo a corregir en la policies de auditoria, no lo se.

    Pego el contenido de ejemplo de uno de ellos:

    Nombre de registro:Security
    Origen:        Microsoft-Windows-Security-Auditing
    Fecha:         03/07/2014 8:59:00
    Id. del evento:5152
    Categoría de la tarea:Colocación de paquetes de Plataforma de filtrado
    Nivel:         Información
    Palabras clave:Error de auditoría
    Usuario:       No disponible
    Equipo:        ServidorV1.informatica.local
    Descripción:
    La Plataforma de filtrado de Windows bloqueó un paquete.

    Información de aplicación:
    Id. de proceso: 0
    Nombre de aplicación: -

    Información de red:
    Dirección: Enlace interno
    Dirección de origen: 172.16.4.11
    Puerto de origen: 17500
    Dirección de destino: 172.16.255.255
    Puerto de destino: 17500
    Protocolo: 17

    Información de filtro:
    Id. de tiempo de ejecución de filtro: 69797
    Nombre de nivel: Transporte
    Id. de tiempo de ejecución de nivel: 13
    XML de evento:
    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
      <System>
        <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
        <EventID>5152</EventID>
        <Version>0</Version>
        <Level>0</Level>
        <Task>12809</Task>
        <Opcode>0</Opcode>
        <Keywords>0x8010000000000000</Keywords>
        <TimeCreated SystemTime="2014-07-03T06:59:00.171041100Z" />
        <EventRecordID>316566</EventRecordID>
        <Correlation />
        <Execution ProcessID="4" ThreadID="88" />
        <Channel>Security</Channel>
        <Computer>ServidorV1.informatica.local</Computer>
        <Security />
      </System>
      <EventData>
        <Data Name="ProcessId">0</Data>
        <Data Name="Application">-</Data>
        <Data Name="Direction">%%14592</Data>
        <Data Name="SourceAddress">172.16.4.11</Data>
        <Data Name="SourcePort">17500</Data>
        <Data Name="DestAddress">172.16.255.255</Data>
        <Data Name="DestPort">17500</Data>
        <Data Name="Protocol">17</Data>
        <Data Name="FilterRTID">69797</Data>
        <Data Name="LayerName">%%14597</Data>
        <Data Name="LayerRTID">13</Data>
      </EventData>
    </Event>

    Gracias.

    jueves, 3 de julio de 2014 7:26

Todas las respuestas

  • Me he fijado que los errores proceden de cualquier IP de la red como origen, y como destino siempre es la IP 172.16.255.255 o 255.255.255.255. Los puertos destino son siempre o 1947 o 17500.

    No se si esto aporta alguna pista.

    ¿Puede ser el broadcast?

    miércoles, 9 de julio de 2014 8:07
  • ¿Puede ser que tengo protecciones de red Aladin Network Licencse manager y también Dropbox instalado en muchos equipos?

    Lo digo porque creo que esos puertos están relacionados con estas dos aplicaciones. Lo que no se es si en caso de ser esta la causa, se puede dejar de auditar de algún modo.

    miércoles, 9 de julio de 2014 8:12