none
Auditoria de inisio de sesión exitoso o fallidos RRS feed

  • Pregunta

  • Buenas tardes,

    Les comento que se desea registrar los eventos de inicio de sesión exitos o fallidos, pero no me registra nada.

    Se tiene configurado la seguridad de Audit account logon evetn: sucess, falure

    Audit account management: sucess, 

    Audit logon evetn: falure

    *** Esto está aplicado en Default Domain Policy ****  en un Dc con Windows Server 2008 R2, sin embargo no me registra los eventos.

    Por otro lado, ¿cómo puedo forzar que cierto segmento de red solamente se autentique en cierto controlador de dominio **

    Gracias

    

    jueves, 17 de septiembre de 2015 23:54

Respuestas

  • Si eres nueva, cuidado con el tema auditoría, puedes sobrecargar tanto a un servidor como para dejarlo casi inservible :)

    Para ver qué eventos se crean durante un inicio, crea un usuario nuevo, que nunca haya iniciado sesión y mira qué eventos, que son varios, se generan

    Aunque la GPO se aplica a todos los Controladores de Dominio, los verás solamente en el que autentique al usuario

    Respecto al uso de credenciales cacheadas, tienes dos elementos que podrías configurar en la GPO

    - Computer Configuration / Administrative Templates / System / Logon / Always wait for the network at computer startup and logon

    Para los servidores miembros
    - Computer Configuration / Windows Settings / Security Settings / Local Policies / Security Options / Interactive logon: Number of previous logon to cache (in case of ...)

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Propuesto como respuesta Moderador M lunes, 21 de septiembre de 2015 17:01
    • Marcado como respuesta Moderador M jueves, 24 de septiembre de 2015 15:58
    viernes, 18 de septiembre de 2015 21:03
    Moderador

Todas las respuestas

  • Hay dos clases de auditoría de logon, una es en los Controladores de Dominio, cuando el usuario es autenticado, y otra cuando se autentica para acceder a un recurso compartido

    Para la primera en la "Default Domain Controllers Policy", no en "Default Domain Policy", tienes que auditar "Audit account logon events". El evento quedará en el Controlador de Dominio que autentica al usuario

    Para la segunda debes hacerlo en una GPO que se aplique por ejemplo a los servidores de archivos, y en este caso hay que auditar "Audit logon events"

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    viernes, 18 de septiembre de 2015 10:42
    Moderador
  • Buen día Guillermo,

    Tienes razon, es en Default Domain Controllers Policy, alli es donde estra configurado la auditoría.

    La idea es que se registren los eventos de inicio de sesión, pero no los visualizo...... ahora estos eventos deberían de mostrarme el usuario de red o el hostname? 

    Pero por qué no me registra eventos?... se supone que los usuarios de red tienen ciertos segmentos de red y estos a su vez estan declarados en las subredes y en el sitio correspondiente, pero aún así no hay casi eventos.

    si aplico un set logon en ocasiones si me muestra que el controlador que me corresponde y en otras no.

    Gracias....

    viernes, 18 de septiembre de 2015 13:40
  • Otra cosa 

    ¿Cuáles son los ID events para estos registros?

    Unos compañeros de otra área desean que se registren estos ID´s 4624,4678,4769,4770, aunque no sé si es parte de lo mismo.....

    Gracias

    viernes, 18 de septiembre de 2015 14:24
  • Hola güera_manzanita, recibo el alerta que haz respondido, pero sin embargo entro al hilo y no consigo ver tu mensaje

    Parece que los servidores de los foros "están haciendo de las suyas" :)

    El problema de a veces no ver el evento seguramente es debido al uso que hace Windows de "credenciales cacheadas". Para acelerar el inicio de sesión siempre que puede trata de utilizar ese mecanismo

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    viernes, 18 de septiembre de 2015 15:30
    Moderador
  • Description of security events in Windows Vista and in Windows Server 2008
    https://support.microsoft.com/en-us/kb/947226

    Download Security audit events for Microsoft Windows Server 2008 and Microsoft Windows Vista from Official Microsoft Download Center
    http://www.microsoft.com/en-us/download/details.aspx?id=17871

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Propuesto como respuesta Moderador M viernes, 18 de septiembre de 2015 16:31
    viernes, 18 de septiembre de 2015 15:32
    Moderador
  • GRacias por la información, lo estoy revisando.

    Cuando habilitas la auditorías, qué eventos o ID´s son los que se habilitan o se registran... ¿ son los que vienen en la url?

    Disculpa que te pregunte tanto, pero soy nueva en esto, y que otra área esta implementando el check point pero en su herramienta no visualizan esos eventos que te mencione......

    Revisando en el controlador donde se habilitó la auditoria me muestra pocos eventos de logon, y en tepria deberia de registrarse más eventos por los usuarios.....

    Lo que mencionas de las credenciales cacheadas, ¿se deberian de borrar y validar si con eso se registran eventos?

    Gracias por el tiempo y tus respuestas

    viernes, 18 de septiembre de 2015 19:52
  • Si eres nueva, cuidado con el tema auditoría, puedes sobrecargar tanto a un servidor como para dejarlo casi inservible :)

    Para ver qué eventos se crean durante un inicio, crea un usuario nuevo, que nunca haya iniciado sesión y mira qué eventos, que son varios, se generan

    Aunque la GPO se aplica a todos los Controladores de Dominio, los verás solamente en el que autentique al usuario

    Respecto al uso de credenciales cacheadas, tienes dos elementos que podrías configurar en la GPO

    - Computer Configuration / Administrative Templates / System / Logon / Always wait for the network at computer startup and logon

    Para los servidores miembros
    - Computer Configuration / Windows Settings / Security Settings / Local Policies / Security Options / Interactive logon: Number of previous logon to cache (in case of ...)

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Propuesto como respuesta Moderador M lunes, 21 de septiembre de 2015 17:01
    • Marcado como respuesta Moderador M jueves, 24 de septiembre de 2015 15:58
    viernes, 18 de septiembre de 2015 21:03
    Moderador