Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

auditorias

0 views
Skip to first unread message

Juan

unread,
Dec 13, 2004, 7:18:28 AM12/13/04
to
Hola!

tengo un dominio sbs2003 y queris saber si existe alguna manera de auditar
por pc que usuario realizo un logon.

muchas gracias.


Fernando Reyes [MS MVP]

unread,
Dec 13, 2004, 7:34:27 AM12/13/04
to
Si lo que quieres es registrar el inicio y fin de sesión, lo puedes hacer por auditorías. En concreto la política que activa la auditoría sobre inicio de sesión de los usuarios es "Auditar sucesos de inicio de sesión de cuenta" situada en "Configuración del equipo/Configuración de Windows/Configuración de seguridad/Directivas locales/Directiva de auditoría". Si estás en un dominio debes activar esta directiva en "Default Domain Controllers Policy", si estás en un grupo de trabajo, tienes que hacer esto mismo en todos los equipos con el editor de políticas del sistema (gpedit.msc). Cuando está activada la auditoría "Auditar sucesos de inicio de sesión de cuenta" no se registra nada con la política "Auditar sucesos de inicio de sesión":

Audit logon events
http://www.microsoft.com/resources/documentation/Windows/2000/server/reskit/en-us/default.asp?url=/resources/documentation/Windows/2000/server/reskit/en-us/gp/518.asp

En este artículo fíjate que dice que "Auditar sucesos de inicio de sesión de cuenta" registra los inicios y cierres de sesión, mientras que "Auditar sucesos de inicio de sesión" lo que registra son las validaciones que se hacen al conectar a través de la red, etc. Es decir, interesa más usar "Auditar sucesos de inicio de sesión de cuenta" para registrar los inicios y cierres de sesión de los usuarios:

Audit account logon events
http://www.microsoft.com/resources/documentation/Windows/2000/server/reskit/en-us/default.asp?url=/resources/documentation/Windows/2000/server/reskit/en-us/gp/515.asp

Si te parece que se originan demasiados sucesos, recuerda que puedes filtrar los eventos, para así ver sólo aquellos que te puedan interesar.

Cuando se activan auditorías, es recomendable que se active la política "Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad\Apagar el sistema de inmediato si no se puede registrar auditorías de seguridad". Esta política lo que hace, es que cuando se llena el registro de sucesos de seguridad, de forma que al hacer un intento de escribir un suceso de seguridad no se pueda, el equipo hace shutdown y sólo podrá iniciar sesión en el equipo un administrador, para borrar el registro (guardándolo antes en un fichero, claro). Para que este mecanismo funcione, en el visor de sucesos tienes que hacer click derecho sobre "Seguridad", propiedades, y en la pestaña seguridad seleccionar la opción "No sobrescribir sucesos (borrado manual)"; quizás te interese también hacer más grande el tamaño del registro (que, como verás, de forma predeterminada es de 512 KB). Si estás en un dominio, todo esto lo puedes hacer en "Default Domain Controllers Policy" con las directivas que encontrarás en la rama "Configuración del equipo/Configuración de Windows/Configuración de seguridad/Registro de sucesos/Configuración para registros de sucesos"; si estás en grupo de trabajo, deberás hacerlo activando la política "Apagar el sistema de inmediato si no se puede registrar auditorías de seguridad" con gpedit.msc y configurando como te he dicho antes el registro de sucesos de seguridad en el visor de sucesos.

Para revisar estas auditorías, si estás en un dominio tienes que mirar el visor de sucesos de seguridad de los controladores de dominio y si estás en un grupo de trabajo lo tienes que mirar en cada equipo auditado.

--
Un saludo
Fernando Reyes [MS MVP]
MCSE Windows 2000
MCSA Windows Server 2003
Fue Juan (a...@a.com) el  quien, con sus deditos, escribió:

Juan

unread,
Dec 13, 2004, 9:33:46 AM12/13/04
to
y si no solo quiero auditar el inicio y el fin de sesion sino tambien el equipo en que se realizo el logon interactivo?
"Fernando Reyes [MS MVP]" <te.quedas.s...@espamero.asqueroso.org> escribió en el mensaje news:%23BZKZAR...@TK2MSFTNGP14.phx.gbl...

Fernando Reyes [MS MVP]

unread,
Dec 13, 2004, 10:20:18 AM12/13/04
to
Los eventos generados por Audit account logon events te indican en qué máquina se produjo el inicio de sesión

Juan

unread,
Dec 13, 2004, 3:15:28 PM12/13/04
to
Configure como me dijiste en el domain controller account logon events y me aparece en el visor de sucesos el suceso 540 pero en la linea donde dice "nombre de la estacion de trabajo:" esta en blanco no sale nada.
 
que puede ser????
 
Desde ya muy agradecido por la ayuda.
"Fernando Reyes [MS MVP]" <te.quedas.s...@espamero.asqueroso.org> escribió en el mensaje news:ukB5FdS4...@TK2MSFTNGP11.phx.gbl...

Fernando Reyes [MS MVP]

unread,
Dec 13, 2004, 3:42:04 PM12/13/04
to
Upssss, me temo que si el logon se hizo en modo kerberos no se registre la
estación. Podrías intantarlo con una GPO que afecte a los clientes y activar
estas mismas auditorías.

--
Un saludo
Fernando Reyes [MS MVP]
MCSE Windows 2000
MCSA Windows Server 2003

Fue Juan (a...@a.com) el quien, con sus deditos, escribió:

> Configure como me dijiste en el domain controller account logon

Juan

unread,
Dec 14, 2004, 6:34:50 AM12/14/04
to
lo que me decis es aplicar una gpo con estas mismas auditorias en las ou's
donde estan las cuentas de equipo??

Muchas gracias!!.


"Fernando Reyes [MS MVP]" <te.quedas.s...@espamero.asqueroso.org>

escribió en el mensaje news:O1JH8QV4...@TK2MSFTNGP11.phx.gbl...

Fernando Reyes [MS MVP]

unread,
Dec 14, 2004, 8:02:01 AM12/14/04
to
Sí.

--
Un saludo
Fernando Reyes [MS MVP]
MCSE Windows 2000
MCSA Windows Server 2003

Fue Juan (a...@a.com) el que, con sus deditos, escribió:

0 new messages