none
Optimizar el Visor de Eventos: Seguridad RRS feed

  • Pregunta

  • Buenos días abro hilo para ver si es posible que entre todos consigamos una optimización del visor de evento en concreto el registro de seguridad en Windows server 2012.

    Por ejemplo yo considero que son importantes los siguientes ID:

    4656 para saber que usuario a intentado entrar a una carpeta  sin tener permisos.

    4663 cuando se ha borrado un archivo.

    mi pregunta es, en base a vuestra experiencia que otros ID de registros de seguridad consideráis importantes, como se configuran en la GPO y qué registros consideráis prescindibles y como evitar que se creen ( supongo que en la GPO de turno deshabilitándolo). Un saludo y muchas gracias! 

    jueves, 7 de febrero de 2019 10:11

Todas las respuestas

  • El log de seguridad de Windows tiene algo muy bueno y algo muy malo :)

    Lo bueno: se pueden averiguar multitud de eventos y con mucho detalle

    Lo malo: también es lo anterior, encontrar lo que uno busca puede ser muy tedioso y requiere amplios conocimientos del funcionamiento del sistema operativo

    A mi entender no existe una "receta" general que sirva para todos, básicamente porque cada red tiene sus particularidades y riesgos propios

    Para poner sólo unos ejemplos ¿si no hay absoluta seguridad física no quieres saber los inicios de sesión interactivos fallidos? ¿y los intentos de acceso a compartidos no autorizados? ¿y si se permiten accesos externos quién, cuándo y cómo? ¿quién anda navegando por la red y viendo a ver dónde se han equivocado en algún permiso? ¿dónde puedo guardar estos datos personales? Podría seguir escribiendo todavía un rato largo

    La auditoría de seguridad requiere no sólo un amplio conocimiento de la red y cómo funciona sino dónde está la informacón importante, quién puede estar interesado, no sobrecargar la auditoría por el consumo de recursos, etc. etc.

    Lo primero es clasificar la información, y luego ver qué recursos se deben invertir para protegerlos

    - Tienes información pública: lo importante es que no sea modificada sin autorización

    - Tienes información privada: esto hay que protegerlo de miradas o modificaciones indiscretas

    - Tienes información confidencial: si acá hay una intrusión te quedas sin trabajo porque afecta a la organización

    - Tienes información "trade-secret": si tienes un problema con esto la que peligra es la propia organización

    La seguridad cuesta: recursos, tiempo, rendimiento, y sobre todo costo así que hay que ser muy cuidadoso sobre qué se protege y cómo

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    jueves, 7 de febrero de 2019 11:09
    Moderador
  • Hola JoniArjona

    Depende qué necesites auditar. En mi percepción tú tienes un "File Server" dicho así quieres auditar todos los inicios de sesión en dicho servidor y los eventos de seguridad relacionados con la gestión de archivos en el rango de los 4600-4700 quizá te vendrían bien. A qué me refiero, tienes que crear las configuraciones en tu servidor apropiadas para ver en el registro de eventos lo que tú quieres ver (parte de las características de personalización que Windows ofrece a sus clientes).

    Microsoft no acepta sugerencias de mejoras en el producto por parte de sus clientes tú cómo usuario deberías investigar y ver en que nivel puedes administrar un Windows Server.

    Debido a que no hemos recibido alguna notificación que aún se esté presentando el problema que enuncias en tu consulta  y que la respuesta provista provee un amplio panorama y campo de acción sobre tu duda; vamos a considerar tu duda como resuelta debido a la respuesta apropiada proporcionada  y así proceder a calificar la misma como respuesta.

    No dudes en ampliar más sobre este tema si es que aún lo requirieras o de abrir una nueva consulta en caso de tener alguna situación o necesitarla con algún otro de los productos de Microsoft.

     

    Adicional le invito a consultar los siguientes recursos:

    Guía para formular preguntas en el foro

    Channel 9 - donde puedes encontrar una sección de: Consejos por Profesionales Certificados sobre cómo administrar Windows Server

     

    Gracias por usar los foros de TechNet.

    Erick Rivera

     ____

     

    Por favor recuerde "Marcar como respuesta" las respuestas que hayan resuelto su problema, es una forma común de reconocer a aquellos que han ayudado, y hace que sea más fácil para los otros visitantes encontrar la solución más tarde.  

    Microsoft ofrece este servicio de forma gratuita, con la finalidad de ayudar a los usuarios y la ampliación de la base de datos de    conocimientos relacionados con los productos y tecnologías de Microsoft.   

    Este contenido es proporcionado "tal cual" y no implica ninguna responsabilidad de parte de Microsoft



    • Editado eRiver1 miércoles, 15 de mayo de 2019 19:42 Grámatica
    miércoles, 15 de mayo de 2019 19:38
  • Hola "JoniArjona",

    De mi parte es bueno abrir esta consulta al Foro, el tema que existen ciertos Events ID que vienen by default que debemos saber que son y que me estan mostrando que nose ! todos son de contenido del producto. A veces la consideración de importante queda del lado del diseño del producto y nos quiere mostrar detalles nuevos, es decir, no sería bueno customizar sino hacer backup e ir al conocimiento.
    Si realmente deseas customizar usa System Center.

    Windows Server 2012 Security Event Details
    https://www.microsoft.com/en-us/download/details.aspx?id=35753

    Events to Monitor
    https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/plan/appendix-l--events-to-monitor

    Si necesitas solo ver Events ID especificos sin abir Event Viewer, puedes usar:

    How to create performance counter alert and send email when the alert is triggered
    https://support.microsoft.com/en-us/help/2424491/how-to-create-performance-counter-alert-and-send-email-when-the-alert

    Saludos.

    jueves, 16 de mayo de 2019 14:35