none
Eventos de Seguridad en el visor de sucesos RRS feed

  • Pregunta

  • Hola ingenieros

    El día de hoy detecte un evento que me llama mucho la atención, y es en visor de sucesos de un equipo con Windows 7. alguien sabe a que se debe, ya que he buscado informacion en la red, pero no es muy clara ni especifica a que se debe.

    Cabe mencionar que la cuenta <Cuenta de ActiveDirectory>, es una cuenta con altos privilegios en el dominio, ya que se usa para la comunicacion, lectura y autenticacion de usuarios de mi Active Directory, con un servidor que trabaja como filtrado de contenido web. Que es un Ironport.

    Evento1:

    Sujeto:
            Id. de seguridad:               <Mi dominio>\<cuenta de ActiveDirectory>
            Nombre de cuenta:            <cuenta de ActiveDirectory>
            Dominio de cuenta:            <Mi dominio>
            Id. de inicio de sesión:                0xae9598c

    Tipo de inicio de sesión:                       3

    Este evento se genera cuando se destruye una sesión de inicio. Puede estar correlacionado de manera positiva con un evento de inicio de sesión mediante el valor Id. de inicio de sesión. Los id. de inicio de sesión sólo son únicos entre reinicios en el mismo equipo.

     Evento 2

    Sujeto:
            Id. de seguridad:               NULL SID
            Nombre de cuenta:               -
            Dominio de cuenta:              -
            Id. de inicio de sesión:                0x0

    Tipo de inicio de sesión:                       3

    Nuevo inicio de sesión:
            Id. de seguridad:               <Mi dominio>\<Cuenta de ActiveDirectory>
            Nombre de cuenta:               <Cuenta de ActiveDirectory>
            Dominio de cuenta:              <Mi dominio> 
            Id. de inicio de sesión:                0xae623b2
            GUID de inicio de sesión:               {00000000-0000-0000-0000-000000000000}

    Información de proceso:
            Id. de proceso:         0x0
            Nombre de proceso:              -

    Información de red:
            Nombre de estación de trabajo:  <Nombre de un servidor> 
            Dirección de red de origen:     <Ip de un Servidor>
            Puerto de origen:               1396

    Información de autenticación detallada:
            Proceso de inicio de sesión:            NtLmSsp
            Paquete de autenticación:       NTLM
            Servicios transitados:  -
            Nombre de paquete (sólo NTLM):  NTLM V1
            Longitud de clave:              0

    Este evento se genera cuando se crea una sesión de inicio. Lo genera el equipo al que se tuvo acceso.

    Los campos de sujeto indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe.

    El campo Tipo de inicio de sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red).

    Los campos Nuevo inicio de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión.

    Los campos de red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se puede dejar en blanco en algunos casos.

    Los campos de información de autenticación proporcionan información detallada sobre esta solicitud de inicio de sesión específica.

            - GUID de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un evento KDC.

            - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión.

            - Nombre de paquete indica el subprotocolo que se usó entre los protocolos NTLM.

    Saludos y quedo en espera de sus comentarios.

    jueves, 7 de octubre de 2010 22:07

Respuestas

  • Hola Alejandro AMH

    Lo que me parece es que ese evento no es de Windows e si de tu Ironport.

    Abajo es un ejemplo de evento de Windows

    Log Name:      Application

    Source:        VSS

    Date:          11/17/2010 11:07:14 AM

    Event ID:      8224

    Task Category: None

    Level:         Information

    Keywords:      Classic

    User:          N/A

    Computer:      W7PC

    Description:

    The VSS service is shutting down due to idle timeout. 

    Es más seguro buscar informaciones con soporte en Ironport.

     


    Ismael Borche
    • Marcado como respuesta Ismael Borche lunes, 22 de noviembre de 2010 13:51
    miércoles, 17 de noviembre de 2010 14:11