none
configuración para la captura de Security Logs Windows Server 2008 R2 RRS feed

  • Pregunta

  • Hola a todos

    Tengo una consulta donde están las configuraciones por default para la captura de logs de seguridad ya que he instalado un DC pero las politica default y la de dominio default y no he observado ninguna configuración para dicha funcion, el cual esta capturando pero quiero entender el proceso.

    No esta en la GPO default

    En espera de comentarios gracias.


    Hugo Monge

    miércoles, 8 de octubre de 2014 22:06

Todas las respuestas

  • Hola Hugo,

    Las políticas de auditoría para AD que se crean por defecto se almacenan en el "Default Domain Controllers Policy", específicamente en:

    Computer Configuration/Windows Settings/Security Settings/Local Policies/Audit Policy/Audit Account Logon Event

    Por defecto solo se auditan los eventos satisfactorios, es decir aquellos inicios de sesión correctos.

    Saludos,


    Jesús Peñaranda| MCP,MCT,MCTS,MCITP,MCSA,MCSE

    miércoles, 8 de octubre de 2014 22:37
  • Hola Jesus

    Te comento que he seguido la ruta que me haz proporcionado pero el valor devuelto es no definido es ahí mi duda, si no veo que sea aplicado para un evento satisfactorio o fallido.

    Gracias por la rápida respuesta.


    Hugo Monge

    miércoles, 8 de octubre de 2014 22:46
  • Hola Hugo,

    En todo caso, si lo que necesitas es habilitar la auditoria satisfactoria y fallida cambia la configuración a "Enabled", normalmente esa política está habilitada, quizá lo deshabilitaron por alguna razón, lo cierto es que si quieres auditar inicios de sesión en el AD, esa es la política a utilizar.

    Saludos,


    Jesús Peñaranda| MCP,MCT,MCTS,MCITP,MCSA,MCSE

    miércoles, 8 de octubre de 2014 22:56
  • Hola Jesus

    Te consulto porque no esta habilitada, pero en el event viewer esta mostrando resultado en ese server de la validación de sesiones.

    Gracias de antemano Jesus.


    Hugo Monge

    miércoles, 8 de octubre de 2014 23:13
  • Si abres una auditoría y te situas en la pestaña Explicación, podrás ver que tienen un valor predeterminado, lo que implica que si no está definida es como si estuviera definida con el valor predeterminado. Por ejemplo la auditoría Auditar eventos de inicio de sesión tiene como valor predeterminado:

    Valores predeterminados en las ediciones Client:

      Inicio de sesión: Correcto
      Cierre de sesión: Correcto
      Bloqueo de cuenta: Correcto
      Modo principal de IPsec: Sin auditoría
      Modo rápido de IPsec: Sin auditoría
      Modo extendido de IPsec: Sin auditoría
      Inicio de sesión especial: Correcto
      Otros eventos de inicio y cierre de sesión: Sin auditoría
      Servidor de directivas de redes: Correcto, Error

    Valores predeterminados en las ediciones Server:

      Inicio de sesión: Correcto, Error
      Cierre de sesión: Correcto
      Bloqueo de cuenta: Correcto
      Modo principal de IPsec: Sin auditoría
      Modo rápido de IPsec: Sin auditoría
      Modo extendido de IPsec: Sin auditoría
      Inicio de sesión especial: Correcto
      Otros eventos de inicio y cierre de sesión: Sin auditoría
      Servidor de directivas de redes: Correcto, Error


    Un saludo

    Fernando Reyes
    MCSA 2000/2003/2012
    MCSE 2000/2003
    MCITP Enterprise Administrator
    Web: http://freyes.svetlian.com
    Blog: http://urpiano.wordpress.com
    RSS: http://urpiano.wordpress.com/feed/

    • Propuesto como respuesta Moderador M jueves, 9 de octubre de 2014 15:40
    jueves, 9 de octubre de 2014 7:52
    Moderador
  • Hola Fernando

    Gracias por el apoyo y el de Jesus.

    Tiene lógica la información proporcionada, pero les comento que tengo configurado otro server y que es controlador de dominio y se le aplican estas políticas por computer:

     Objetos de directiva de grupo aplicados
        ----------------------------------------
            Default Domain Policy
            Default Domain Controllers Policy
            Directiva de grupo local

    En todas las políticas la configuracion de las auditorias de seguridad esta como no definido, pero no me logea eventos de inicio de sesión, a menos que desde el gpedit.msc cambie el valor activo Auditar eventos de inicio de sesión, pero cuando actualizo políticas deja de logear.

    Espero puedan darme una idea de que puede ayudarme ya que son las únicas políticas que se aplican.

    Saludos y gracias.


    Hugo Monge

    jueves, 9 de octubre de 2014 15:41
  • ¿Qué versión es ese equipo? Me extraña que gpedit.msc haga algo con un controlador de dominio, la verdad.

    Un saludo

    Fernando Reyes
    MCSA 2000/2003/2012
    MCSE 2000/2003
    MCITP Enterprise Administrator
    Web: http://freyes.svetlian.com
    Blog: http://urpiano.wordpress.com
    RSS: http://urpiano.wordpress.com/feed/

    viernes, 10 de octubre de 2014 7:17
    Moderador
  • Hola Fernando

    Es Windows Server 2008 R2 Standard SP1, es lo que me tiene confundido y no me logea el security Event,

    Gracias Fernando por el apoyo, alguna idea.


    Hugo Monge

    viernes, 10 de octubre de 2014 12:52
  • Ahí tienes algo que no va bien...

    ¿Qué tal ejecutar DCDIAG, a ver si muestra problemas?


    Un saludo

    Fernando Reyes
    MCSA 2000/2003/2012
    MCSE 2000/2003
    MCITP Enterprise Administrator
    Web: http://freyes.svetlian.com
    Blog: http://urpiano.wordpress.com
    RSS: http://urpiano.wordpress.com/feed/

    martes, 14 de octubre de 2014 12:48
    Moderador
  • Hola Fernando

    Te comento que al ejecutar el DCDIAG, no muestra ningún error.

    Gracias por el apoyo, alguna otra idea.

    Saludos


    Hugo Monge

    martes, 14 de octubre de 2014 16:47