none
Logs de Windows: significado de ImpersonationLevel RRS feed

  • Pregunta

  • Buenas tardes,

    estamos analizando unos logs de Windows, que son como el del ejemplo que está en https://docs.microsoft.com/en-us/windows/device-security/auditing/event-4624.

    En esta página se describen todos los valores, pero hay uno que no llegamos a entender, que es el ImpersonationLevel.

    Según la documentación, vemos que hay 4 posibles valores para este valor:

    • SecurityAnonymous (displayed as empty string).

    • SecurityIdentification (displayed as "Identification").

    • SecurityImpersonation (displayed as "Impersonation").

    • SecurityDelegation (displayed as "Delegation").

    Pero el valor que tenemos para este campo, al igual que el ejemplo, es "%%1833". ¿Alguien sabe a cuál de las 4 opciones pertenece ¿Se considera este valor como un "empty string" y entonces estamos en el primero de los casos?

    Gracias.

    Saludos.

    M.

    martes, 13 de junio de 2017 13:12

Respuestas

  • Tus preguntas ya están fuera de mis conocimientos. Trata de poner la inquietud en los foros en inglés de Technet que suelen haber "gurues" :)

    https://social.technet.microsoft.com/Forums/en-US/home

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Marcado como respuesta Moderador M miércoles, 19 de julio de 2017 14:37
    miércoles, 14 de junio de 2017 15:28
    Moderador

Todas las respuestas

  • Hola migueltubia, creo poder orientarte, pero te tocará a tí buscar info completa sobre los campos de autenticación Kerberos

    Pongámonos primero de acuerdo en alguanas cosas. En ambiente de Dominio se autentica mediante Kerberos, y el acceso a recursos y procesos está basado en autenticación y autorización, sobre un "Ticket Kerberos" que presenta el cliente

    Estos "Ticket Kerberos" tienen un campo indicando si es "proxeable" o "no proxeable" (disculpa el idioma :)) es decir si se puede pasar por un "proxy de Kerberos" o no

    ¿Qué sucede cuando un cliente ejecuta un proceso remoto, y dicho proceso debe acceder a un recurso  proceso en otro servidor? El servidor destino requiere autenticar al proceso o usuario, pero no tiene información de éste, pues le viene de otro servidor ¿y entonces cómo autentica para autorizar o no?

    La impersonalización está relacionada con este tema, en el sentido si el servidor origen puede impersonar o no al usuario para poder acceder al servidor destino

    Si es "proxeable" entonces el servidor debe impersonar, hacerse pasar por el usuairo, para obtener el Ticket del usuario

    Si no es "proxeable", entonces es "no proxeable" o también llamado "forwardable", donde el servidor origen puede enviar el mismo Ticket recibido del usuario

    Todo esto está relacionado con una propiedad que puedes ver en las cuentas de máquina si es o no "Trusted for delegation", juegan ambas configuraciones por lo que yo entiendo

    Y no me piedas más porque ya mucho más no sé :)

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Propuesto como respuesta Moderador M martes, 13 de junio de 2017 15:51
    • Votado como útil Moderador M jueves, 22 de junio de 2017 16:02
    martes, 13 de junio de 2017 14:30
    Moderador
  • Hola Guillermo,

    gracias por la ayuda. Para entender como funciona la impersonalización me ha venido muy bien, pero no he encontrado nada sobre el significado del código del log %%1833.

    Tengo mis teorías, pero nada más.

    Este valor se ve en la exportación del log a XML, si lo vemos desde el visor de eventos podemos ver que lo traduce a "Impersonate".

    Del mismo modo, hay dos campos con valores similares en el XML (%%1842 y %%1843) en los campos VirtualAcoount y PrivilegedToken.

    Viendo desde el visor de eventos veo que traduce estos valores de la siguiente forma:

    - %%1842 --> Yes

    - %%1843 --> No

    Y esta equivalencia la veo en muchos más logs.

    Del mismo modo, en https://msdn.microsoft.com/es-es/library/windows/desktop/aa393981(v=vs.85).aspx, veo que el valor Impersonate tiene el codigo 3, justo el que nos da en el caso de ImpersonateLevel con el valor raro %%1833. NO he encontrado nada de info, y supongo que existirá un %%1831, %%1832 y %%1834 para el resto de opciones de ImpersonateLevel que luego windows, o el visor de eventos, traduce a su valor real.

    Esto me da que pensar que existe en algún sitio una "tabla de traducción", de esta codificación a un correspondiente valor. No la he encontrado. He tirado de powershell para el Provider y los ficheros de recursos y sacando los strings del fichero sigo sin ver estos valores, seguramente no vayan por ahí los tiros.

    Por ejemplo, de los códigos de errores de Windows hay documentos muy bien identificados, pero en este caso me estoy quedando con la incógnita... De momento, mientras busco más evidencias que me digan si mi suposición es o no es correcta, creo que no me a volver más loco...

    Muchas gracias por tu ayuda!!

    Un saludo.

    M.

    miércoles, 14 de junio de 2017 13:12
  • Tus preguntas ya están fuera de mis conocimientos. Trata de poner la inquietud en los foros en inglés de Technet que suelen haber "gurues" :)

    https://social.technet.microsoft.com/Forums/en-US/home

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Marcado como respuesta Moderador M miércoles, 19 de julio de 2017 14:37
    miércoles, 14 de junio de 2017 15:28
    Moderador
  • Buena idea, intentaré en los foros en inglés :D

    Muchas gracias por tu ayuda y por tu tiempo Guillermo!!

    jueves, 15 de junio de 2017 7:59