Remove From My Forums

configuración para la captura de Security Logs Windows Server 2008 R2

Pregunta
0

Inicie sesión para votar

Hola a todos

Tengo una consulta donde están las configuraciones por default para la captura de logs de seguridad ya que he instalado un DC pero las politica default y la de dominio default y no he observado ninguna configuración para dicha funcion, el cual esta capturando pero quiero entender el proceso.

No esta en la GPO default

En espera de comentarios gracias.

Hugo Monge

miércoles, 8 de octubre de 2014 22:06

Responder

|

Citar

Todas las respuestas

0

Inicie sesión para votar

Hola Hugo,

Las políticas de auditoría para AD que se crean por defecto se almacenan en el "Default Domain Controllers Policy", específicamente en:

Computer Configuration/Windows Settings/Security Settings/Local Policies/Audit Policy/Audit Account Logon Event

Por defecto solo se auditan los eventos satisfactorios, es decir aquellos inicios de sesión correctos.

Saludos,
Jesús Peñaranda| MCP,MCT,MCTS,MCITP,MCSA,MCSE

miércoles, 8 de octubre de 2014 22:37

Responder

|

Citar
0

Inicie sesión para votar

Hola Jesus

Te comento que he seguido la ruta que me haz proporcionado pero el valor devuelto es no definido es ahí mi duda, si no veo que sea aplicado para un evento satisfactorio o fallido.

Gracias por la rápida respuesta.
Hugo Monge

miércoles, 8 de octubre de 2014 22:46

Responder

|

Citar
0

Inicie sesión para votar

Hola Hugo,

En todo caso, si lo que necesitas es habilitar la auditoria satisfactoria y fallida cambia la configuración a "Enabled", normalmente esa política está habilitada, quizá lo deshabilitaron por alguna razón, lo cierto es que si quieres auditar inicios de sesión en el AD, esa es la política a utilizar.

Saludos,
Jesús Peñaranda| MCP,MCT,MCTS,MCITP,MCSA,MCSE

miércoles, 8 de octubre de 2014 22:56

Responder

|

Citar
0

Inicie sesión para votar

Hola Jesus

Te consulto porque no esta habilitada, pero en el event viewer esta mostrando resultado en ese server de la validación de sesiones.

Gracias de antemano Jesus.
Hugo Monge

miércoles, 8 de octubre de 2014 23:13

Responder

|

Citar
0

Inicie sesión para votar
Si abres una auditoría y te situas en la pestaña Explicación, podrás ver que tienen un valor predeterminado, lo que implica que si no está definida es como si estuviera definida con el valor predeterminado. Por ejemplo la auditoría Auditar eventos de inicio de sesión tiene como valor predeterminado:

Valores predeterminados en las ediciones Client:

Inicio de sesión: Correcto
Cierre de sesión: Correcto
Bloqueo de cuenta: Correcto
Modo principal de IPsec: Sin auditoría
Modo rápido de IPsec: Sin auditoría
Modo extendido de IPsec: Sin auditoría
Inicio de sesión especial: Correcto
Otros eventos de inicio y cierre de sesión: Sin auditoría
Servidor de directivas de redes: Correcto, Error

Valores predeterminados en las ediciones Server:

Inicio de sesión: Correcto, Error
Cierre de sesión: Correcto
Bloqueo de cuenta: Correcto
Modo principal de IPsec: Sin auditoría
Modo rápido de IPsec: Sin auditoría
Modo extendido de IPsec: Sin auditoría
Inicio de sesión especial: Correcto
Otros eventos de inicio y cierre de sesión: Sin auditoría
Servidor de directivas de redes: Correcto, Error
Un saludo

Fernando Reyes
MCSA 2000/2003/2012
MCSE 2000/2003
MCITP Enterprise Administrator
Web: http://freyes.svetlian.com
Blog: http://urpiano.wordpress.com
RSS: http://urpiano.wordpress.com/feed/
- Propuesto como respuesta Moderador M jueves, 9 de octubre de 2014 15:40
jueves, 9 de octubre de 2014 7:52

Responder

|

Citar

Moderador
0

Inicie sesión para votar

Hola Fernando

Gracias por el apoyo y el de Jesus.

Tiene lógica la información proporcionada, pero les comento que tengo configurado otro server y que es controlador de dominio y se le aplican estas políticas por computer:
Objetos de directiva de grupo aplicados
----------------------------------------
Default Domain Policy
Default Domain Controllers Policy
Directiva de grupo local
En todas las políticas la configuracion de las auditorias de seguridad esta como no definido, pero no me logea eventos de inicio de sesión, a menos que desde el gpedit.msc cambie el valor activo Auditar eventos de inicio de sesión, pero cuando actualizo políticas deja de logear.

Espero puedan darme una idea de que puede ayudarme ya que son las únicas políticas que se aplican.

Saludos y gracias.
Hugo Monge

jueves, 9 de octubre de 2014 15:41

Responder

|

Citar
0

Inicie sesión para votar

¿Qué versión es ese equipo? Me extraña que gpedit.msc haga algo con un controlador de dominio, la verdad.
Un saludo

Fernando Reyes
MCSA 2000/2003/2012
MCSE 2000/2003
MCITP Enterprise Administrator
Web: http://freyes.svetlian.com
Blog: http://urpiano.wordpress.com
RSS: http://urpiano.wordpress.com/feed/

viernes, 10 de octubre de 2014 7:17

Responder

|

Citar

Moderador
0

Inicie sesión para votar

Hola Fernando

Es Windows Server 2008 R2 Standard SP1, es lo que me tiene confundido y no me logea el security Event,

Gracias Fernando por el apoyo, alguna idea.
Hugo Monge

viernes, 10 de octubre de 2014 12:52

Responder

|

Citar
0

Inicie sesión para votar

Ahí tienes algo que no va bien...

¿Qué tal ejecutar DCDIAG, a ver si muestra problemas?
Un saludo

Fernando Reyes
MCSA 2000/2003/2012
MCSE 2000/2003
MCITP Enterprise Administrator
Web: http://freyes.svetlian.com
Blog: http://urpiano.wordpress.com
RSS: http://urpiano.wordpress.com/feed/

martes, 14 de octubre de 2014 12:48

Responder

|

Citar

Moderador
0

Inicie sesión para votar

Hola Fernando

Te comento que al ejecutar el DCDIAG, no muestra ningún error.

Gracias por el apoyo, alguna otra idea.

Saludos

Hugo Monge

martes, 14 de octubre de 2014 16:47

Responder

|

Citar