none
Visor de Eventos (Seguridad) RRS feed

  • Pregunta

  • Hola Microsoft,

    Actualmente, tengo el evento 4656 realizando alrededor de 10,432 elementos. He determinado que el responsable es el antivirus de McAfee y ellos se han limpiado las manos diciendo no hay nada que podamos hacer o la otra respuesta desactive la auditoria fallida de ese evento id. 

    Mi jefe no acepta tal respuesta y desea encontrar una forma de que no ingresen los eventos del id 4656 provenientes o generados por el proceso del anti virus de McAfee. ¿Cómo puede realizar esta petición?

    La razón principal es que la tabla del visor de Windows de Seguridad tiene una duración máxima de dos días y a la hora de alguna investigación la información no perduraría lo suficiente. La posibilidad que algún dato importante sea enterrado en todo el ruido que genera el anti-virus también es una posibilidad que no se desea correr. 

    Actualmente, he pensado en un proxy que permita crear excepciones cuando los programas traten de comunicarse con el dll que escribe en la tabla. Pero tengo enterado que Windows prohíbe esa posibilidad. 

    jueves, 25 de junio de 2015 19:35

Todas las respuestas

  • Hola "newToExpression" como estas,

    Desde wl website de soporte MCAfee, debes buscar detalles tecnicos como asi tambien todos los updates y patchs por release de tu producto. Del lado Microsoft puedes ver:

    Description of security events
    https://support.microsoft.com/en-us/kb/977519

    Audit Handle Manipulation
    https://technet.microsoft.com/en-us/library/dd772626(v=ws.10).aspx

    Habilitar "Handle Manipulation" en cliente:
    auditpol /get /subcategory:"Handle Manipulation"

    deshabilitar "Handle Manipulation" en cliente:
    auditpol /set /subcategory:"Handle Manipulation" /success:disable /failure:disable

    In the Security log, disable the ability to display Failure Audit errors:
    Launch the Windows Event Viewer.
    Right-click Security Log and select Properties.
    Click the Filter tab and deselect Failure Audit.
    Click Apply, OK.
    Close the Event Viewer.

    Espero ser util a tu consulta. Saludos.


    viernes, 26 de junio de 2015 3:01
  • Hola ignaba,

    Muchas Gracias por tu respuesta, la he revisado. Mcafee recomienda apagar la función tal como se hace en tu comentario. Des-afortunadamente, mi jefe sólo quiere que no se registren para que esos mismos eventos provenientes de otros programas no se pierdan. 

    En programación, hay algo como un bridge en que se puede sub-plantar un dll para que yo realice actividades por él y le transmite los eventos que si deseo al dll verdadero. Más que bridge como un proxy, sin emabrgo tengo entendido que Microsoft no permite tal función.

    ¿Existe, alguna manera de realizar esto?

    miércoles, 1 de julio de 2015 21:36