none
Deshabilitar Auditoria de Seguridad RRS feed

  • Pregunta

  • Hola

    Tengo un dominio con 2 dc con W2008r2.Ademas tengo un fileserver con archivos de audio , este servidor trabaja contra estaciones que corren con xp y un software  dedicado para el audio.Se han detectados ciertos problemas con el audio y coinciden con el evento 4624 y 4634 en el fileserver.

    Si entro a  directiva de seguridad local, en la rama directiva de auditoria figura todo" Sin auditoria"

    en configuracion de directiva de auditoria avanzada esta todo como "No configurado"

    Este fileserver esta en el contenedor "Computer" del AD y creo que allí no se aplica ninguna gpo.

    Hay alguna opción para deshabilitar que el fileserver haga esa auditoria ?

    Gracias

    Tratando de entender mejor

    Capaz que no se trata de ver o no la auditoria sino de porque se producen esos eventos

    Las pc con xp están siempre prendidas con el mismo usuario

    Sin embargo  en el fileserver cada tanto tiempo me aparece en el visor de eventos , el 4624" se inicio sesion correctamente en una cuenta"

    Y 30 segundos después aparece el 4634 "se cerro sesión en una cuenta" . Pero nadie abre y cierra sesión.

    • Editado Daniel62 miércoles, 3 de junio de 2015 19:06
    miércoles, 3 de junio de 2015 15:27

Todas las respuestas

  • Hola Daniel62,

    Colaborando con el equipo tenemos para ti la siguiente respuesta:

    "Saludos ,

    Esta directiva (policy) de auditoría controla realmente la categoría de auditoría de inicio de sesión/cierre de sesión. El principal objetivo de la política de eventos de inicio de sesión de auditoría es registrar todos los intentos de iniciar sesión o iniciar sesión en el equipo local mediante una cuenta local o una cuenta de dominio. En controladores de dominio, esta política registra intentos de acceder a la C.C. solamente. Por ejemplo, la política no detecta un usuario que utiliza una cuenta de dominio para iniciar sesión en una estación de trabajo. (En ese caso, el usuario no inicie una sesión en el DC; la CC es simplemente autenticar al usuario.) Todavía, en tal caso un evento de inicio de sesión de red (4624) aparecerá en el registro de seguridad de la C.C. porque la estación de trabajo debe iniciar sesión en el DC como el usuario aplicar Directiva de grupo para ese usuario. Pero para seguir toda autenticación de la cuenta de dominio, debe usar eventos de inicio de sesión de cuenta de auditoría.

    Esto se pude revisar la configuración los logs de seguridad del dominio que se configuran a través de la directiva predeterminada de dominio de control de grupo. Está en Configuración>Windows settings>Security settings>Security Settings>Local policies>Audit Policy.

    Log off
    Para las conexiones de red , parecerá que los usuarios inician sesión y apagan muchas veces al día. Este fenómeno es causado por la forma en que el servicio de servidor determina conexiones idle.

    Si un usuario apaga su ordenador, Windows no tiene la oportunidad de ingresar al evento de cierre de sesión hasta que se reinicie el sistema. Por lo tanto, algunos eventos de cierre de sesión se registran mucho más tarde que el tiempo en que realmente ocurren.

    Los inicios de sesión anónimos son eventos habituales en redes de Windows.

    Este evento no indica necesariamente el momento en que un usuario ha dejado de usar un sistema. Por ejemplo, si el equipo se apaga o pierde conectividad de red no puede registrar un evento de cierre de sesión en absoluto.

    Log on
    Este evento se genera cuando se crea una sesión. Se genera en el equipo que se tuvo acceso.

    El campo de asunto indica la cuenta del sistema local que solicitó el inicio de sesión. Este es comúnmente un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe.

    El campo tipo de inicio de sesión indica el tipo de inicio de sesión que se produjo. Los tipos más comunes son 2 (interactivo) y (red).

    Los campos de inicio de sesión nuevo indican la cuenta para quien el nuevo inicio de sesión fue creado, es decir, la cuenta de que estaba conectada.

    Los campos de red indican el origen de una solicitud de inicio de sesión remoto. Nombre de estación de trabajo no siempre está disponible y puede dejarse en blanco en algunos casos.

    Los campos de información de autenticación proporcionan información detallada acerca de esta solicitud de inicio de sesión específico.
    -Inicio de sesión GUID es un identificador único que se puede utilizar para relacionar este evento con un evento KDC.
    -Servicios tránsito indican que intermedia servicios han participado en esta solicitud de inicio de sesión.
    -Nombre del paquete indica que el protocolo fue utilizado entre los protocolos NTLM.
    -Clave longitud indica la longitud de la clave de sesión generada. Será 0 si no hay clave de sesión se solicitó.

    probablemente algún programa instalado en su computadora digamos como un kit de herramientas ,cualquier aplicación de HP ,cualquier antivirus o cualquier otra aplicación que tiene una función de actualización en línea, podrían estar  tratando de contactar con el servicio funcionando usando todas la combinación de los nombres de inicio de sesión.

    Intente ejecutar el comando "tasklist" en el símbolo del sistema elevado y encontrar una lista de aplicaciones que se ejecutan."

    Gracias por usar los foros de TechNet.

    Marco

    _____


    Por favor recuerde "Marcar como respuesta" las respuestas que hayan resuelto su problema, es una forma común de reconocer a aquellos que han ayudado, y hace que sea más fácil para los otros visitantes encontrar la solución más tarde.

    Microsoft ofrece este servicio de forma gratuita, con la finalidad de ayudar a los usuarios y la ampliación de la base de datos de conocimientos relacionados con los productos y tecnologías de Microsoft.

    Este contenido es proporcionado "tal cual" y no implica ninguna responsabilidad de parte de Microsoft.


    • Editado Moderador M lunes, 8 de junio de 2015 19:28
    • Marcado como respuesta Moderador M lunes, 15 de junio de 2015 17:30
    • Desmarcado como respuesta Moderador M martes, 16 de junio de 2015 21:55
    lunes, 8 de junio de 2015 15:26
  • Hola Marco

    Gracias por responder.Me resulta un tanto confuso el tema y sigo con muchas dudas,con los eventos 4624 y 4634 que aparecen en el fileserver.

    Voy a empezar de nuevo : Tengo un Servidor W2008R2 con el rol de fileserver en el hay carpetas compartidas sin otro software instalado.

    Los clientes son XP con el software de audio (solo funciona en XP) , las pc cliente están en dominio las 24 hs y con el mismo usuario todas, el usuario es un usuario del domino con derechos de modificar las carpetas compartida del fileserver.

    un cliente me avisa que ha determinada hora tuvo problemas , me fijo en el log del software y me da por ejemplo entre 2:06 y 2:08 pm voy al fileserver y en los eventos aparece :

    Primero el 4624

    Nombre de registro:Security
    Origen:        Microsoft-Windows-Security-Auditing
    Fecha:         14/06/2015 02:06:08 p.m.
    Id. del evento:4624
    Categoría de la tarea:Inicio de sesión
    Nivel:         Información
    Palabras clave:Auditoría correcta
    Usuario:       No disponible
    Equipo:        fileserver
    Descripción:
    Se inició sesión correctamente en una cuenta.

    Sujeto:
     Id. de seguridad:  NULL SID
     Nombre de cuenta:  -
     Dominio de cuenta:  -
     Id. de inicio de sesión:  0x0

    Tipo de inicio de sesión:   3

    Nuevo inicio de sesión:
     Id. de seguridad:  dominio\usuario
     Nombre de cuenta:  usuario
     Dominio de cuenta:  dominio
     Id. de inicio de sesión:  0x2669da6e4
     GUID de inicio de sesión:  {51619c0f-4393-e3c9-bd79-106c9f7b1120}

    Información de proceso:
     Id. de proceso:  0x0
     Nombre de proceso:  -

    Información de red:
     Nombre de estación de trabajo: 
     Dirección de red de origen: 192.168.10.100  (ip de la maquina cliente)
     Puerto de origen:  1193

    Información de autenticación detallada:
     Proceso de inicio de sesión:  Kerberos
     Paquete de autenticación: Kerberos
     Servicios transitados: -
     Nombre de paquete (sólo NTLM): -
     Longitud de clave:  0

    Este evento se genera cuando se crea una sesión de inicio. Lo genera el equipo al que se tuvo acceso.

    Los campos de sujeto indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe.

    El campo Tipo de inicio de sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red).

    Los campos Nuevo inicio de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión.

    Los campos de red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se puede dejar en blanco en algunos casos.

    Los campos de información de autenticación proporcionan información detallada sobre esta solicitud de inicio de sesión específica.
     - GUID de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un evento KDC.
     - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión.
     - Nombre de paquete indica el subprotocolo que se usó entre los protocolos NTLM.
     - Longitud de clave indica la longitud de la clave de sesión generada. Será 0 si no se solicitó una clave de sesión.

    Enseguida el 4634

    Nombre de registro:Security
    Origen:        Microsoft-Windows-Security-Auditing
    Fecha:         14/06/2015 02:06:08 p.m.
    Id. del evento:4634
    Categoría de la tarea:Cerrar sesión
    Nivel:         Información
    Palabras clave:Auditoría correcta
    Usuario:       No disponible
    Equipo:        fileserver
    Descripción:
    Se cerró sesión en una cuenta.

    Sujeto:
     Id. de seguridad:  dominio\usuario
     Nombre de cuenta:  usuario
     Dominio de cuenta:  dominio
     Id. de inicio de sesión:  0x26630d6dd

    Tipo de inicio de sesión:   3

    Este evento se genera cuando se destruye una sesión de inicio. Puede estar correlacionado de manera positiva con un evento de inicio de sesión mediante el valor Id. de inicio de sesión. Los id. de inicio de sesión sólo son únicos entre reinicios en el mismo equipo.

    Cada vez que un cliente me reclama por algún error , encuentro en el fileserver exactatamente los mismos eventos 4624 seguido por el 4634 todos idénticos salvo por la ip del equipo cliente.

    El error en el software es similar a una desconexión de lan

    Tratando de entender : descarto los equipos cliente (no pueden fallar todos en distintas horas ) o es el fileserver o algún swicht .

    Estos eventos se pueden producir por algún microcorte de lan ? 

    el fileserver hace algo contra los equipos cliente ? , nose verifica el usuario que esta conectado siempre a sus carpetas, o la cuenta de equipo , etc .Si hace algo puede producir un reset o corte de la conexión (un reset de las conexiones de sus carpetas) estoy inventando.

    Las directivas de seguridad en el DC pienso en Kerberos  puede tener algo que ver ?

    gracias


    Daniel

    lunes, 15 de junio de 2015 19:54