locked
Visor de Sucesos reporta inicios de sesión no ejecutados RRS feed

  • Pregunta

  • Buenas Tardes,

    Tengo una red local configurada como un grupo de trabajo, todas las máquinas cliente son Windows XP Profesional SP3. En la red también se encuentra un servidor con Windows Server 2003 que es usado como Servidor de Archivos nada más.

    Todas las direcciones IP están configuradas manualmente, no hay configurado servidor DNS ni DHCP.

    En el servidor se ha habilitado la auditoría de seguridad que nos permite visualizar un log de eventos a través del visor de sucesos.

    Siempre que se inicia una máquina cliente en particular, específicamente después de que el usuario inicie sesión, en el log de seguridad del servidor aparecen dos errores que sugieren un intento de inicio de sesión inválido en el servidor desde la máquina y usuario en cuestión.

    Pongo los errores:

    Tipo de suceso: Errores
    Origen del suceso: Security
    Categoría del suceso: Inicio/cierre de sesión
    Id. suceso: 529
    Fecha:  04/10/2010
    Hora:  04:13:03 p.m.
    Usuario:  NT AUTHORITY\SYSTEM
    Equipo: ENIAC-01
    Descripción:
    Error al iniciar sesión:
      Razón:   Nombre de usuario desconocido o contraseña incorrecta
      Nombre de usuario: scan
      Dominio:  REO53
      Tipo de inicio de sesión: 3
      Proceso de inicio de sesión: NtLmSsp
      Paquete de autenticación: NTLM
      Nombre de estación de trabajo: REO53

      Nombre de usuario del llamador: -
      Dominio del llamador: -
      Id de inicio de sesión del llamador: -
      Id del proceso del llamador: -
      Servicios transitados: -
      Dirección de red de origen: 192.168.0.98
      Puerto de origen: 0


    Para obtener más información, vea el Centro de ayuda y soporte técnico en http://go.microsoft.com/fwlink/events.asp.

     

    Tipo de suceso: Errores
    Origen del suceso: Security
    Categoría del suceso: Inicio de sesión de la cuenta
    Id. suceso: 680
    Fecha:  04/10/2010
    Hora:  04:13:03 p.m.
    Usuario:  NT AUTHORITY\SYSTEM
    Equipo: ENIAC-01
    Descripción:
    Inicio de sesión intentado por: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
     Cuenta de inicio de sesión: scan
     Estación de trabajo de origen: REO53
     Código de error: 0xC0000064


    Para obtener más información, vea el Centro de ayuda y soporte técnico en http://go.microsoft.com/fwlink/events.asp.

    Esta totalmente comprobado que esto ocurre cuando el usuario de esta máquina incia sesión localmente y de ninguna forma intencional accede al servidor. Me gustaría saber que causa dicho evento, ya que si ocurriera un problema de seguridad real en el servidor y se intentara auditar a través de este log, aparecería el usuario como si intentara todos los días iniciar sesión en el servidor sin éxito pero recurrentemente. 

     

    lunes, 4 de octubre de 2010 21:56

Respuestas

  • no tienes algun mapeo que se realize al iniciar sesion, algun recurso compartido?.... y en el visor de sucesos del cliente te tira el error tambien?
    njguibert.wordpress.com
    • Marcado como respuesta Jesús Guibert viernes, 22 de octubre de 2010 12:18
    martes, 5 de octubre de 2010 13:43