locked
Auditar accesos remotos RRS feed

  • Pregunta

  • Hola a todos,

    quisiera saber si es posible auditar desde windows 7 los accesos remotos, ya sean desde el propio escritorio remoto o desde programas tipos teamviewer, para posteriormente verlos con el visor de sucesos.

    ¡Gracias!

    miércoles, 23 de abril de 2014 3:06

Respuestas

  • Hola Pato_so,

    Puedes auditar todos los accesos de Escritorio remoto habilitando las auditorias de Windows desde:

    Forma Local:

    1. Haga clic en Inicio, seleccione Configuración y haga clic en Panel de control.

    • 2. Haga doble clic en Herramientas administrativas.
    • 3. Haga doble clic en Directiva de seguridad local para iniciar el complemento de MMC Configuración de seguridad local.
    • 4. Haga doble clic en Directivas locales para expandir esta opción y, después, haga doble clic en Directiva de auditoría.
    • 5. En el panel derecho, haga doble clic en la directiva que desea habilitar o deshabilitar.
    • 6. Haga clic en las casillas de verificación Correcto (un intento correcto de acceso de seguridad auditado) y Error (un intento fallido de acceso de seguridad auditado) para iniciar sesión y cerrar sesión. Por ejemplo, con esta configuración, un intento satisfactorio del usuario de iniciar sesión en el sistema se registra como un suceso Auditoría de aciertos. Si un usuario intenta tener acceso a una unidad de red y no lo consigue, el intento se registra como un suceso Auditoría de errores.

      Desde Directorio Activo con GPO

      1.Inicie el complemento Usuarios y equipos de Active Directory haciendo clic en Inicio, seleccionando Programas y, a continuación, seleccionando Herramientas administrativas.

    • 2. En el menú Ver, haga clic en Características avanzadas.
    • 3. Haga clic con el botón secundario del mouse (ratón) en el contenedor Controladores de dominio y, a continuación, haga clic en Propiedades.
    • 4. Haga clic en la ficha Directiva de grupo.
    • 5. Haga clic en Directiva predeterminada de controladores de dominio y, a continuación, haga clic en Modificar.
    • 6. Haga doble clic en los elementos siguientes para abrirlos: Configuración del equipo, Configuración de Windows, Configuración de seguridad, Directivas locales y Directiva de auditoría.
    • 7. En el panel derecho, abra Auditar el acceso del servicio de directorio.
    • 8. Haga clic en las opciones apropiadas: Auditar intentos correctos, Auditar intentos fallidos o ambas.

    De igual forma te dejo la siguiente pagina que te podría ayudar.

    Enable Security Auditing

    No se si esto es lo que necesitabas, por favor déjamelo saber.

    Saludos,


    MCSA Windows Server 2012 | MCSE Server Infrastructure | MCSE Private Cloud ----------------------------------------------------------------------- Este anuncio se proporciona ¡TAL CUAL! sin garantías y sin conferir ningún derecho! Siempre pruebe CUALQUIER sugerencia en un entorno de pruebas antes de implementar! Por favor recuerda "Marcar como respuesta" las respuestas que resolvieron tu problema. Es una manera común de reconocer a quienes te ayudaron, y hace más fácil para otros visitantes el encontrar una solución después.

    • Propuesto como respuesta DiegoJaramillo miércoles, 23 de abril de 2014 19:59
    • Marcado como respuesta Uriel Almendra miércoles, 21 de mayo de 2014 17:34
    miércoles, 23 de abril de 2014 14:35

Todas las respuestas

  • Hola Pato_so,

    Puedes auditar todos los accesos de Escritorio remoto habilitando las auditorias de Windows desde:

    Forma Local:

    1. Haga clic en Inicio, seleccione Configuración y haga clic en Panel de control.

    • 2. Haga doble clic en Herramientas administrativas.
    • 3. Haga doble clic en Directiva de seguridad local para iniciar el complemento de MMC Configuración de seguridad local.
    • 4. Haga doble clic en Directivas locales para expandir esta opción y, después, haga doble clic en Directiva de auditoría.
    • 5. En el panel derecho, haga doble clic en la directiva que desea habilitar o deshabilitar.
    • 6. Haga clic en las casillas de verificación Correcto (un intento correcto de acceso de seguridad auditado) y Error (un intento fallido de acceso de seguridad auditado) para iniciar sesión y cerrar sesión. Por ejemplo, con esta configuración, un intento satisfactorio del usuario de iniciar sesión en el sistema se registra como un suceso Auditoría de aciertos. Si un usuario intenta tener acceso a una unidad de red y no lo consigue, el intento se registra como un suceso Auditoría de errores.

      Desde Directorio Activo con GPO

      1.Inicie el complemento Usuarios y equipos de Active Directory haciendo clic en Inicio, seleccionando Programas y, a continuación, seleccionando Herramientas administrativas.

    • 2. En el menú Ver, haga clic en Características avanzadas.
    • 3. Haga clic con el botón secundario del mouse (ratón) en el contenedor Controladores de dominio y, a continuación, haga clic en Propiedades.
    • 4. Haga clic en la ficha Directiva de grupo.
    • 5. Haga clic en Directiva predeterminada de controladores de dominio y, a continuación, haga clic en Modificar.
    • 6. Haga doble clic en los elementos siguientes para abrirlos: Configuración del equipo, Configuración de Windows, Configuración de seguridad, Directivas locales y Directiva de auditoría.
    • 7. En el panel derecho, abra Auditar el acceso del servicio de directorio.
    • 8. Haga clic en las opciones apropiadas: Auditar intentos correctos, Auditar intentos fallidos o ambas.

    De igual forma te dejo la siguiente pagina que te podría ayudar.

    Enable Security Auditing

    No se si esto es lo que necesitabas, por favor déjamelo saber.

    Saludos,


    MCSA Windows Server 2012 | MCSE Server Infrastructure | MCSE Private Cloud ----------------------------------------------------------------------- Este anuncio se proporciona ¡TAL CUAL! sin garantías y sin conferir ningún derecho! Siempre pruebe CUALQUIER sugerencia en un entorno de pruebas antes de implementar! Por favor recuerda "Marcar como respuesta" las respuestas que resolvieron tu problema. Es una manera común de reconocer a quienes te ayudaron, y hace más fácil para otros visitantes el encontrar una solución después.

    • Propuesto como respuesta DiegoJaramillo miércoles, 23 de abril de 2014 19:59
    • Marcado como respuesta Uriel Almendra miércoles, 21 de mayo de 2014 17:34
    miércoles, 23 de abril de 2014 14:35
  • Buenas,

    Añadir a la respuesta, que una vez actives la auditoría de eventos de logon, los identificadores de sesión para los inicios de escritorio remoto hacen referencia al evento identificado como 4624 (http://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventid=4624) cuyo typo de logon es de tipo 10.

    Un saludo

    martes, 29 de abril de 2014 15:54