Auditar eventos de inicio de sesión
[Alguna información hace referencia al producto de versión preliminar, el cual puede sufrir importantes modificaciones antes de que se publique la versión comercial. Microsoft no ofrece ninguna garantía, expresa o implícita, con respecto a la información que se ofrece aquí.]
Determina si se debe auditar cada instancia de inicio o cierre de sesión de un usuario desde un dispositivo.
Los eventos de inicio de sesión de cuenta se generan en controladores de dominio para la actividad de la cuenta de dominio y en dispositivos locales para la actividad de la cuenta local. Si están habilitadas las categorías de directiva de auditoría de inicio de sesión y de inicio de sesión de cuenta, los inicios de sesión que usan una cuenta de dominio generan un evento de inicio o cierre de sesión en el servidor o estación de trabajo y generan un evento de inicio de sesión de cuenta en el controlador de dominio. Además, los inicios de sesión interactivos en un servidor miembro o estación de trabajo que usan una cuenta de dominio generan un evento de inicio de sesión en el controlador de dominio al recuperar los scripts y directivas de inicio de sesión cuando un usuario inicia sesión. Para obtener más información sobre los eventos de inicio de sesión de cuenta, consulta el tema Auditar eventos de inicio de sesión de cuenta.
Si defines esta configuración de directiva, puedes especificar si se deben auditar los aciertos, los errores o que no se debe auditar el tipo de evento. Las auditorías de aciertos generan una entrada de auditoría cuando tiene éxito un intento de inicio de sesión. Las auditorías de errores generan una entrada de auditoría cuando se produce un error en un intento de inicio de sesión.
Para establecer este valor en Sin auditoría, en el cuadro de diálogo Propiedades para esta configuración de directiva, selecciona la casilla Definir esta configuración de directiva y desactiva las casillas Correcto y Error.
Configurar esta configuración de auditoría
Para configurar esta configuración de seguridad, abre la directiva adecuada en Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Directiva de auditoría.
| Eventos de inicio de sesión | Descripción |
|---|---|
| 528 | Un usuario inició sesión correctamente en un equipo. Para obtener información sobre el tipo de inicio de sesión, consulta la tabla de tipos de inicio de sesión siguiente. |
| 529 | Error de inicio de sesión. Se produjo un intento de inicio de sesión con un nombre de usuario desconocido o un nombre de usuario conocido con una contraseña incorrecta. |
| 530 | Error de inicio de sesión. Se produjo un intento de inicio de sesión con una cuenta de usuario fuera del tiempo permitido. |
| 531 | Error de inicio de sesión. Se produjo un intento de inicio de sesión con una cuenta deshabilitada. |
| 532 | Error de inicio de sesión. Se produjo un intento de inicio de sesión con una cuenta que ha expirado. |
| 533 | Error de inicio de sesión. Un usuario, que no tiene permitido iniciar sesión en este equipo, intentó iniciar sesión. |
| 534 | Error de inicio de sesión. El usuario intentó iniciar sesión con un tipo que no está permitido. |
| 535 | Error de inicio de sesión. La contraseña de la cuenta especificada ha expirado. |
| 536 | Error de inicio de sesión. El servicio de Net Logon no está activo. |
| 537 | Error de inicio de sesión. El error en el intento de inicio de sesión se produjo por otros motivos. |
| 538 | Se completó el proceso de cierre de sesión de un usuario. |
| 539 | Error de inicio de sesión. La cuenta se bloqueó en el momento en que se intentó el inicio de sesión. |
| 540 | Un usuario inició sesión correctamente en una red. |
| 541 | Se completó la autenticación de Intercambio de claves por red (IKE) del modo principal entre el equipo local y la identidad del mismo nivel indicada (estableciendo una asociación de seguridad) o el modo rápido ha establecido un canal de datos. |
| 542 | Se finalizó un canal de datos. |
| 543 | Se finalizó el modo principal. |
| 544 | Error en la autenticación del modo principal debido a que el sistema del mismo nivel no proporcionó un certificado válido o no se validó la firma. |
| 545 | Error de autenticación del modo principal debido a un error de Kerberos o una contraseña que no es válida. |
| 546 | No se pudo establecer la asociación de seguridad IKE porque el sistema del mismo nivel envió una propuesta que no es válida. Se recibió un paquete que contenía datos que no son válidos. |
| 547 | Error en una negociación IKE. |
| 548 | Error de inicio de sesión. El identificador de seguridad (SID) de un dominio de confianza no coincide con el SID del cliente del dominio de cuenta. |
| 549 | Error de inicio de sesión. Se filtraron todos los SID correspondientes a espacios de nombres que no son de confianza durante una autenticación entre bosques. |
| 550 | Mensaje de notificación que podría indicar un posible ataque de denegación de servicio. |
| 551 | Un usuario inició el proceso de cierre de sesión. |
| 552 | Un usuario que inició sesión correctamente en un equipo usando credenciales explícitas cuando ya había iniciado sesión como un usuario diferente. |
| 682 | Un usuario se ha vuelto a conectar a una sesión Terminal Server desconectada. |
| 683 | Un usuario desconectó una sesión de Terminal Server sin cerrar sesión. |
Cuando se registra el evento 528, también aparece un tipo de inicio de sesión en el registro de eventos. En esta tabla describimos todos los tipos de inicio de sesión.
| Tipo de inicio de sesión | Título de inicio de sesión | Descripción |
|---|---|---|
| 2 | Interactivo | Un usuario inició sesión en este equipo. |
| 3 | Red | Un usuario o equipo inició sesión en este equipo desde la red. |
| 4 | Lotes | Los servidores por lotes usan el tipo de inicio de sesión por lotes, donde los procesos pueden ejecutarse en nombre de un usuario sin su intervención directa. |
| 5 | Servicio | El Administrador de control de servicios inició un servicio. |
| 7 | Desbloquear | Se desbloqueó esta estación de trabajo. |
| 8 | NetworkCleartext | Un usuario inició sesión en este equipo desde la red. La contraseña del usuario se pasó al paquete de autenticación en su forma sin hash. La autenticación integrada empaqueta todas las credenciales de hash antes de enviarlas a través de la red. Las credenciales no atraviesan la red en texto sin formato (también denominado texto no cifrado). |
| 9 | NewCredentials | Un llamador clonó su token actual y especificó nuevas credenciales para conexiones de salida. La nueva sesión de inicio de sesión tiene la misma identidad local, pero usa credenciales diferentes para otras conexiones de red. |
| 10 | RemoteInteractive | Un usuario inició sesión en este equipo de forma remota con Terminal Services o el Escritorio remoto. |
| 11 | CachedInteractive | Un usuario inició sesión en este equipo con las credenciales de red que estaban almacenadas localmente en el equipo. No se estableció contacto con el controlador de dominio para comprobar las credenciales. |