Configuración avanzada de directivas de auditoría

2025-05-30
Se aplica a: ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Las opciones de configuración de directiva de auditoría avanzada se encuentran en Configuración del equipo\Configuración de Windows\Configuración de seguridad\Configuración avanzada de directiva de auditoría\Directivas de auditoría del sistema en la directiva de grupo. Esta configuración permite a las organizaciones supervisar el cumplimiento de los requisitos empresariales y de seguridad clave mediante el seguimiento de actividades específicas, como:

Modificaciones realizadas por los administradores del grupo en la configuración o los datos de los servidores que contienen información confidencial (por ejemplo, servidores financieros).
Acceso a archivos críticos por parte de los empleados dentro de grupos designados.
Aplicación de la lista correcta de control de acceso del sistema (SACL) a todos los archivos, carpetas o claves del Registro en un equipo o recurso compartido de archivos, proporcionando una protección verificable contra el acceso no autorizado.

Puede acceder a esta configuración de directiva de auditoría a través del complemento Directiva de Seguridad Local (secpol.msc) en el equipo local o mediante la Directiva de Grupo.

Esta configuración avanzada de directiva de auditoría proporciona un control pormenorizado sobre qué actividades se supervisan, lo que le permite centrarse en eventos que son más relevantes para su organización. Puede excluir la auditoría de las acciones que no son importantes o que generan un volumen de registro innecesario. Además, dado que estas directivas se pueden administrar a través de objetos de directiva de grupo de dominio, puede modificar, probar e implementar fácilmente configuraciones de auditoría en usuarios y grupos específicos según sea necesario.

Las configuraciones avanzadas de la directiva de auditoría son las siguientes:

Inicio de sesión de la cuenta

Configurar las opciones de directiva en esta categoría puede ayudarle a documentar los intentos de autenticar los datos de la cuenta en un controlador de dominio o en un administrador de cuentas de seguridad (SAM) local. A diferencia de los eventos y configuraciones de Inicio de sesión y Cierre de sesión, que realizan un seguimiento de los intentos de acceder a un equipo determinado, las configuraciones y eventos de esta categoría se centran en la base de datos de cuentas que se utiliza. Esta categoría incluye las subcategorías siguientes:

Expansión de la directiva de validación de credenciales de auditoría

La directiva Audit Credential Validation determina si el sistema operativo (SO) genera eventos de auditoría en las credenciales enviadas para una solicitud de inicio de sesión de cuenta de usuario. Estos eventos se producen en el ordenador principal para las credenciales de la siguiente manera:

En el caso de las cuentas de dominio, el controlador de dominio es autoritativo.
En el caso de las cuentas locales, el equipo local es autoritativo.

Dado que las cuentas de dominio se usan con mucha más frecuencia que las cuentas locales en entornos empresariales, la mayoría de los eventos de inicio de sesión de cuenta en un entorno de dominio se producen en los controladores de dominio que son autoritativos para las cuentas de dominio. Sin embargo, estos eventos pueden ocurrir en cualquier equipo, y pueden suceder en otros equipos distintos de los eventos de iniciar sesión y cerrar sesión.

Id. del evento	Mensaje de evento
4774	Se asignó una cuenta para inicio de sesión
4775	No se pudo asignar una cuenta para el inicio de sesión.
4776	El controlador de dominio intentó validar las credenciales para una cuenta
4777	Error del controlador de dominio al validar las credenciales para una cuenta

Volumen de eventos: alto en los controladores de dominio.
Valor predeterminado en las ediciones Client: sin auditoría.
Valor predeterminado en las ediciones de servidor: Correcto.

Expanda Auditar directiva del servicio de autenticación Kerberos

La directiva auditar el servicio de autenticación Kerberos controla si se generan eventos de auditoría cuando se solicita un vale de concesión de vales de autenticación Kerberos (TGT). Con esta configuración habilitada, ayuda a los administradores a supervisar la actividad de inicio de sesión de Kerberos y a detectar posibles problemas de seguridad relacionados con las solicitudes de autenticación.

Si configura esta configuración de directiva, se genera un evento de auditoría después de una solicitud TGT de autenticación Kerberos. Las auditorías de éxito registran los intentos exitosos y las auditorías de fracaso registran los intentos fallidos.

Id. del evento	Mensaje de evento
4768	Se solicitó un vale de autenticación (TGT) de Kerberos.
4771	Error de autenticación previa de Kerberos.
4772	Error de solicitud de vale de autenticación de Kerberos.

Volumen de eventos: alto en los servidores del Centro de distribución de claves kerberos.
Valor predeterminado en las ediciones Client: sin auditoría.
Valor predeterminado en las ediciones de servidor: Correcto.

Expanda la política de auditoría de operaciones de ticket de servicio Kerberos

La directiva Auditar las operaciones de vales de servicio kerberos controla si el sistema operativo registra eventos de auditoría de seguridad cuando se solicitan o renuevan los vales de servicio kerberos. Habilitar esta configuración ayuda a los administradores a supervisar y realizar un seguimiento de la actividad de autenticación Kerberos en el entorno.

Los eventos se generan cada vez que Se usa Kerberos para autenticar a un usuario que quiere acceder a un recurso de red protegido. Los eventos de auditoría de la operación de vales de servicio Kerberos se pueden usar para realizar un seguimiento de la actividad del usuario.

Id. del evento	Mensaje de evento
4769	Se solicitó un vale de servicio Kerberos.
4770	Se renovó un vale de servicio Kerberos.

Volumen de eventos: alto en un controlador de dominio que se encuentra en un Centro de distribución de claves (KDC). Pocos miembros en el dominio.
Valor predeterminado: no configurado.

Ampliar la auditoría de otros eventos de inicio de sesión de cuentas

La directiva Audit Other Account Logon Events audita los eventos desencadenados por respuestas a solicitudes de credenciales para inicios de sesión de cuenta de usuario que no son validación de credenciales estándar o solicitudes de vale de Kerberos. Algunos ejemplos pueden incluir:

Cuando se inician nuevas sesiones de Escritorio remoto y desconexiones de sesión.
Al bloquear y desbloquear una estación de trabajo.
Al invocar o descartar un protector de pantalla.
Cuando se detecta un ataque de reproducción de Kerberos, en el cual se recibió dos veces una solicitud Kerberos con información idéntica.

Nota:

Esta situación puede deberse a un problema de configuración de red.
Cuando accede a una red inalámbrica o a una red alámbrica 802.1x asignada a un usuario o a una cuenta de equipo

Id. del evento	Mensaje de evento
4649	Se detectó un ataque de reproducción.
4778	Se reconectó una sesión a una estación de ventana.
4779	Se desconectó una sesión de una estación de ventana.
4800	Se bloqueó la estación de trabajo.
4801	Se desbloqueó la estación de trabajo.
4802	Se invocó el protector de pantalla.
4803	Se descartó el protector de pantalla.
5378	La directiva no permitió la delegación de credenciales solicitada.
5632	Se realizó una solicitud de autenticación en una red inalámbrica.
5633	Se realizó una solicitud de autenticación en una red con cable.

Valor predeterminado: sin auditoría.

Administración de cuentas

La configuración de la directiva de auditoría de seguridad de esta categoría se puede usar para supervisar los cambios en las cuentas y grupos de usuarios y equipos. Esta categoría incluye las subcategorías siguientes:

Expandir política de gestión de grupos de aplicaciones de auditoría

La directiva Gestión de Grupos de Aplicaciones de Auditoría controla si el sistema operativo registra eventos de auditoría cuando se realizan determinadas acciones. Estas acciones incluyen la creación, modificación o eliminación de grupos de aplicaciones y el cambio de su pertenencia. Las tareas de administración de grupos de aplicaciones incluyen:

Se crea, cambia o elimina un grupo de aplicaciones.
Un miembro se agrega o quita de un grupo de aplicaciones.

Id. del evento	Mensaje de evento
4783	Se creó un grupo de aplicaciones básicas
4784	Se cambió un grupo de aplicaciones básicas
4785	Se agregó un miembro a un grupo de aplicaciones básicas
4786	Se quitó un miembro de un grupo de aplicaciones básicas
4787	Se agregó un no miembro a un grupo de aplicaciones básico.
4788	Se eliminó a una persona no miembro de un grupo de aplicaciones básicas.
4789	Se eliminó un grupo de aplicaciones básicas
4790	Se creó un grupo de consultas de Protocolo ligero de acceso a directorios (LDAP).

Volumen de eventos: bajo.
Valor predeterminado: sin auditoría.

Amplíe la directiva de gestión de cuentas de equipo auditar

La directiva Audit Computer Account Management controla si el sistema operativo registra eventos de auditoría cuando se crea, modifica o elimina una cuenta de equipo en Active Directory. Al habilitar esta directiva, ayuda a los administradores a supervisar y realizar un seguimiento de los cambios en las cuentas de equipo dentro de un dominio. La supervisión de estos eventos proporciona información valiosa para las actividades de auditoría de seguridad, cumplimiento y solución de problemas de administración de cuentas.

Id. del evento	Mensaje de evento
4741	Se creó una cuenta de ordenador.
4742	Se cambió una cuenta de equipo.
4743	Se eliminó una cuenta de equipo

Volumen de eventos: bajo.
Valor predeterminado en las ediciones Client: sin auditoría.
Valor predeterminado en las ediciones de servidor: Correcto.

Expanda la política de administración de grupos de distribución de auditoría

La directiva Audit Distribution Group Management determina si el sistema operativo genera eventos de auditoría para tareas específicas de administración de grupos de distribución. Esta subcategoría a la que pertenece esta directiva solo se registra en controladores de dominio. Entre las tareas de administración de grupos de distribución que se pueden auditar se incluyen:

Se crea, cambia o elimina un grupo de distribución.
Un miembro se agrega o quita de un grupo de distribución.

Nota:

Los grupos de distribución no se pueden usar para administrar los permisos de control de acceso.

Id. del evento	Mensaje de evento
4744	Se creó un grupo local deshabilitado para seguridad
4745	Se cambió un grupo local deshabilitado para seguridad
4746	Se agregó un miembro a un grupo local deshabilitado para seguridad
4747	Se quitó un miembro de un grupo local deshabilitado para seguridad
4748	Se eliminó un grupo local con la seguridad deshabilitada.
4749	Se creó un grupo global con la seguridad deshabilitada.
4750	Se cambió un grupo global con la seguridad deshabilitada.
4751	Se agregó un miembro a un grupo global con la seguridad deshabilitada.
4752	Se quitó un miembro de un grupo global con la seguridad deshabilitada.
4753	Se eliminó un grupo global con la seguridad deshabilitada.
4759	Se creó un grupo universal con la seguridad deshabilitada.
4760	Se cambió un grupo universal con la seguridad deshabilitada.
4761	Se agregó un miembro a un grupo universal con la seguridad deshabilitada.
4762	Se quitó un miembro de un grupo universal con la seguridad deshabilitada.

Volumen de eventos: bajo.
Valor predeterminado: sin auditoría.

Expandir la política de auditoría de otros eventos de administración de cuentas

La directiva Audit Other Account Management Events determina si el sistema operativo genera eventos de auditoría de administración de cuentas de usuario. Los eventos se pueden generar para la auditoría de administración de cuentas de usuario cuando:

Se tiene acceso al hash de contraseña de una cuenta. Esto suele ocurrir cuando la Herramienta de migración de Active Directory (ADMT) mueve los datos de contraseña.
Se llama a la interfaz de programación de aplicaciones (API) de comprobación de directivas de contraseñas. Las llamadas a esta función podrían formar parte de un ataque de una aplicación malintencionada que está probando si se aplica la configuración de la directiva de complejidad de contraseñas.

Nota:

Estos eventos se registran cuando se aplica la directiva de dominio (al actualizar o reiniciar), no cuando un administrador modifica la configuración.

Los cambios realizados en la directiva de dominio se encuentran en Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas de cuenta\ Directiva de contraseña o Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas de cuenta\Directiva de bloqueo de cuenta.

Id. del evento	Mensaje de evento
4782	Se ha accedido al hash de contraseña de una cuenta.
4793	Se ha llamado a la API de comprobación de directiva de contraseñas

Volumen de eventos: bajo.
Valor predeterminado: sin auditoría.

Expandir la política de administración de grupos de seguridad de auditoría

La directiva Audit Security Group Management determina si el sistema operativo genera eventos de auditoría cuando se realizan tareas específicas de administración de grupos de seguridad. Las tareas para la administración de grupos de seguridad incluyen:

Se crea, cambia o elimina un grupo de seguridad.
Un miembro se agrega o quita de un grupo de seguridad.
Se cambia el tipo de un grupo.

Los grupos de seguridad se pueden usar para los permisos de control de acceso y también como listas de distribución.

Id. del evento	Mensaje de evento
4727	Se creó un grupo global con seguridad habilitada.
4728	Se agregó un miembro a un grupo global con seguridad habilitada.
4729	Se quitó un miembro de un grupo global con seguridad habilitada.
4730	Se eliminó un grupo global con seguridad habilitada.
4731	Se creó un grupo local con seguridad habilitada.
4732	Se agregó un miembro a un grupo local con seguridad habilitada.
4733	Se quitó un miembro de un grupo local con seguridad habilitada.
4734	Se eliminó un grupo local con seguridad habilitada.
4735	Se cambió un grupo local con seguridad habilitada.
4737	Se cambió un grupo global con seguridad habilitada.
4754	Se creó un grupo universal con la seguridad habilitada.
4755	Se cambió un grupo universal con la seguridad habilitada.
4756	Se agregó un miembro a un grupo universal con la seguridad habilitada.
4757	Se quitó un miembro de un grupo universal con la seguridad habilitada.
4758	Se eliminó un grupo universal con la seguridad habilitada.
4764	Se cambió el tipo de un grupo.

Volumen de eventos: bajo.
Valor predeterminado: Éxito.

Ampliar la auditoría de la gestión de cuentas de usuario

La administración de cuentas de usuario de auditoría determina si el sistema operativo genera eventos de auditoría cuando se realizan tareas específicas de administración de cuentas de usuario. Las tareas que se auditan para la administración de cuentas de usuario incluyen:

Una cuenta de usuario se crea, cambia, elimina, renombra, desactiva, activa, bloquea o desbloquea.
Se establece o cambia una contraseña de cuenta de usuario.
Se agrega un historial de identificador de seguridad (SID) a una cuenta de usuario.
Se establece una contraseña del modo de restauración de servicios de directorio.
Los permisos se cambian en cuentas que son miembros de grupos de administradores.
Se hace una copia de seguridad o se restauran las credenciales del Administrador de credenciales.

Esta configuración de directiva es esencial para el seguimiento de eventos que implican el aprovisionamiento y la administración de cuentas de usuario.

Id. del evento	Mensaje de evento
4720	Secreó una cuenta de usuario.
4722	Se habilitó una cuenta de usuario.
4723	Se ha realizado un intento de cambiar la contraseña de una cuenta.
4724	Se ha realizado un intento de restablecer la contraseña de una cuenta.
4725	Se deshabilitó una cuenta de usuario.
4726	Se ha eliminado una cuenta de usuario.
4738	Se cambió una cuenta de usuario.
4740	Se bloqueó una cuenta de usuario.
4765	Se agregó el historial de SID a una cuenta.
4766	Se produjo un error al intentar agregar el historial de SID a una cuenta.
4767	Se desbloqueó una cuenta de usuario.
4780	Se estableció la ACL en cuentas que son miembros de grupos de administradores.
4781	Se cambió el nombre de una cuenta.
4794	Se intentó establecer el Modo de restauración de servicios de directorio.
5376	Se hizo una copia de seguridad de las credenciales del Administrador de credenciales.
5377	Se restauraron las credenciales del Administrador de credenciales desde una copia de seguridad.

Volumen de eventos: bajo.
Valor predeterminado: Éxito.

Seguimiento detallado

La configuración detallada de la directiva de seguridad y los eventos de auditoría se pueden usar para supervisar las actividades de aplicaciones y usuarios individuales en ese equipo y comprender cómo se usa un equipo. Esta categoría incluye las subcategorías siguientes:

Expandir la política de actividad de auditoría de DPAPI

La directiva auditar actividad de DPAPI determina si el sistema operativo genera eventos de auditoría cuando se realizan llamadas de cifrado o descifrado en la interfaz de aplicación de protección de datos (DPAPI).

DPAPI se usa para proteger información secreta, como contraseñas almacenadas e información de clave. Para obtener más información, consulte Protección de datos de Windows.

Id. del evento	Mensaje de evento
4692	Se intentó hacer una copia de seguridad de la clave maestra de protección de datos
4693	Se intentó recuperar la clave maestra de protección de datos
4694	Se intentó proteger los datos protegidos que se pueden auditar
4695	Se intentó desproteger los datos protegidos que se pueden auditar

Volumen de eventos: bajo.

Expanda la directiva de actividad de auditoría de PNP

La directiva auditar actividad PNP audita cuando se detecta un dispositivo externo plug and play (PnP).

Id. del evento	Mensaje de evento
6416	Se ha conectado un nuevo dispositivo o se quita un dispositivo existente.

Volumen de eventos: bajo.

Expandir la directiva de creación del proceso de auditoría

La directiva Audit Process Creation determina si el sistema operativo genera eventos de auditoría cuando se crea o se inicia un proceso.

Estos eventos de auditoría pueden ayudarle a realizar un seguimiento de la actividad del usuario y comprender cómo se usa un equipo. La información incluye el nombre del programa o el usuario que creó el proceso.

Id. del evento	Mensaje de evento
4688	Se ha creado un nuevo proceso.
4696	Se asignó un token principal a un proceso.

Volumen de eventos: varía en función del uso del sistema.

Expansión de la directiva de terminación del proceso de auditoría

La directiva Audit Process Termination determina si el sistema operativo genera eventos de auditoría cuando se intenta finalizar un proceso.

Id. del evento	Mensaje de evento
4689	Un proceso ha terminado.

Volumen de eventos: varía en función del uso del sistema.

Expanda la política de eventos de auditoría RPC

La política Auditar eventos RPC determina si el sistema operativo genera eventos de auditoría cuando se realizan conexiones entrantes de llamada a procedimiento remoto (RPC).

RPC es una tecnología para crear programas de cliente o servidor distribuidos. RPC es una técnica de comunicación entre procesos que permite que el cliente y el software de servidor se comuniquen. Para más información, consulte Llamada a procedimiento remoto (RPC).

Id. del evento	Mensaje de evento
5712	Se intentó un RPC.

Volumen de eventos: alto en servidores RPC.
Valor predeterminado: sin auditoría.

Amplíe la directiva de ajuste de derechos del token de auditoría

La directiva Audit Token Right Adjustment audita los eventos que se generan mediante el ajuste de los privilegios de un token.

Id. del evento	Mensaje de evento
4703	Un derecho de usuario ha sido ajustado.

Volumen de eventos: alto.
Valor predeterminado: sin auditoría.

Acceso DS

La configuración de la directiva de auditoría de seguridad de DS Access proporciona una pista de auditoría detallada de intentos de acceso y modificación de objetos en Active Directory Domain Services (AD DS). Estos eventos de auditoría solo se registran en controladores de dominio. Esta categoría incluye las subcategorías siguientes:

Expanda la Directiva detallada de replicación del servicio de directorio para auditoría

La directiva Audit Detailed Directory Service Replication determina si el sistema operativo genera eventos de auditoría que contienen información detallada de seguimiento sobre los datos que se replican entre controladores de dominio. Esta subcategoría de auditoría puede ser útil para diagnosticar problemas de replicación.

Id. del evento	Mensaje de evento
4928	Se estableció un contexto de nomenclatura de origen de réplica de Active Directory
4929	Se quitó un contexto de nomenclatura de origen de réplica de Active Directory
4930	Se modificó un contexto de nomenclatura de origen de réplica de Active Directory
4931	Se modificó un contexto de nomenclatura de destino de réplica de Active Directory
4934	Se replicaron los atributos de un objeto de Active Directory
4935	Empieza el error de replicación
4936	Finaliza el error de replicación
4937	Se quitó un objeto persistente de una réplica

Volumen de eventos: alto.
Valor predeterminado: sin auditoría.

Expanda la directiva "Acceso al Servicio de Directorios para Auditoría"

La directiva Audit Directory Service Access determina si el sistema operativo genera eventos de auditoría cuando se accede a un objeto de Active Directory Domain Services (AD DS). Estos eventos son similares a los eventos de Acceso al servicio de directorio en versiones anteriores de sistemas operativos Windows Server.

Nota:

Los eventos de auditoría solo se generan en objetos con SACL configurados y solo cuando se accede a ellos de una manera que coincida con la configuración de SACL.

Id. del evento	Mensaje de evento
4662	Se realizó una operación en un objeto

Volumen de eventos: alto en los controladores de dominio. Ninguno en los equipos cliente.
Valor predeterminado en las ediciones Client: sin auditoría.
Valor predeterminado en las ediciones de servidor: Correcto.

Expandir directiva de cambios del servicio de directorio de auditoría

La directiva Audit Directory Service Changes determina si el sistema operativo genera eventos de auditoría cuando se realizan cambios en objetos de AD DS. Esta directiva, si procede, indica los valores antiguos y nuevos de las propiedades modificadas de los objetos que se cambiaron. Los tipos de cambios que se notifican son:

Crear
Borrar
Modificar
Mueve
Recuperar

Nota:

Los eventos de auditoría solo se generan para objetos con SACL configurados y solo cuando se accede a ellos de una manera que coincida con su configuración de SACL. Algunos objetos y propiedades no hacen que se generen eventos de auditoría debido a la configuración de la clase de objeto en el esquema.

Esta subcategoría solo registra eventos en controladores de dominio. Los cambios en los objetos de Active Directory son eventos importantes para realizar un seguimiento con el fin de comprender el estado de la directiva de red.

Id. del evento	Mensaje de evento
5136	Se modificó un objeto de servicio de directorio
5137	Se creó un objeto de servicio de directorio
5138	Se recuperó un objeto de servicio de directorio
5139	Se movió un objeto de servicio de directorio
5141	Se eliminó un objeto de servicio de directorio

Volumen de eventos: Alto solo en controladores de dominio.
Valor predeterminado: sin auditoría.

Expandir la directiva de replicación del servicio de directorio de auditoría

La directiva Audit Directory Service Replication determina si el sistema operativo genera eventos de auditoría cuando comienza y finaliza la replicación entre dos controladores de dominio. Los eventos de esta subcategoría solo se registran en controladores de dominio.

Id. del evento	Mensaje de evento
4932	Comenzó la sincronización de una réplica de un contexto de nomenclatura de Active Directory
4933	Finalizó la sincronización de una réplica de un contexto de nomenclatura de Active Directory

Volumen de eventos: medio en controladores de dominio. Ninguno en los equipos cliente.
Valor predeterminado: sin auditoría.

Inicio de sesión/Cierre de sesión

La configuración de la directiva de seguridad de inicio de sesión o cierre de sesión y los eventos de auditoría le permiten realizar un seguimiento de los intentos de iniciar sesión en un equipo de forma interactiva o a través de una red. Estos eventos son útiles para realizar un seguimiento de la actividad del usuario e identificar posibles ataques en los recursos de red. Esta categoría incluye las subcategorías siguientes:

Expansión de la directiva de bloqueo de cuentas de auditoría

La directiva Audit Account Lockout permite auditar los eventos de seguridad generados por un intento erróneo de iniciar sesión en una cuenta bloqueada. Si configura esta configuración de directiva, se genera un evento de auditoría cuando una cuenta no puede iniciar sesión en un equipo porque la cuenta está bloqueada. Las auditorías correctas registran los intentos correctos y los errores registran intentos incorrectos.

Los eventos de bloqueo de cuenta son esenciales para comprender la actividad del usuario y detectar posibles ataques.

Id. del evento	Mensaje de evento
4625	No se pudo iniciar sesión en una cuenta.

Volumen de eventos: bajo.
Configuración predeterminada: Éxito.

Expandir reclamaciones de usuario o dispositivo

La directiva Auditar Declaraciones de Usuario o Dispositivo permite auditar la información de declaraciones de usuario y dispositivo en el token de inicio de sesión de la cuenta. Los eventos de esta subcategoría se generan en el equipo en el que se crea una sesión de inicio de sesión. Para un inicio de sesión interactivo, el evento de auditoría de seguridad se genera en el equipo en el que inició sesión el usuario. Debe habilitar la subcategoría Audit Logon para obtener eventos de esta subcategoría.

Para un inicio de sesión de red, como el acceso a una carpeta compartida en la red, el evento de auditoría de seguridad se genera en el equipo que hospeda el recurso.

Id. del evento	Mensaje de evento
4626	Información de reclamos de usuario y dispositivo.

Volumen de eventos: bajo en un equipo cliente. Medio en un controlador de dominio o en un servidor de red
Valor predeterminado: sin auditoría.

Expandir la directiva de expansión de membresía de grupos de auditoría

La directiva Auditar pertenencia a grupos permite auditar la información de pertenencia al grupo en el token de inicio de sesión del usuario. Los eventos de esta subcategoría se generan en el equipo en el que se crea una sesión de inicio de sesión. También debe habilitar la subcategoría Auditar inicio de sesión.

Para un inicio de sesión interactivo, el evento de auditoría de seguridad se genera en el equipo en el que inició sesión el usuario. Para un inicio de sesión de red, como el acceso a una carpeta compartida en la red, el evento de auditoría de seguridad se genera en el equipo que hospeda el recurso.

Id. del evento	Mensaje de evento
4627	Información de pertenencia a grupos.

Volumen de eventos: bajo en un equipo cliente. Medio en un controlador de dominio o en un servidor de red.
Valor predeterminado: sin auditoría.

Expandir la política de modo extendido de IPsec de auditoría

La directiva Auditar Modo Extendido de IPsec determina si el sistema operativo genera eventos de auditoría para los resultados del protocolo de Intercambio de Claves de Internet (IKE) y el Protocolo de Internet Autenticado (AuthIP) durante las negociaciones del modo extendido.

IKE es un estándar de Internet, definido en RFC 2409, que define un mecanismo para establecer asociaciones de seguridad IPsec. Una asociación de seguridad es una combinación de una directiva y claves mutuamente compatibles que definen los servicios de seguridad y los mecanismos que ayudan a proteger la comunicación entre pares IPsec.

AuthIP es una versión mejorada de IKE que ofrece flexibilidad adicional, incluida la compatibilidad con la autenticación basada en el usuario y la autenticación con varias credenciales. También proporciona una negociación mejorada del método de autenticación y admite la autenticación asimétrica. Al igual que IKE, AuthIP admite la negociación en modo principal y en modo rápido. AuthIP también admite el modo extendido, una parte de la negociación del mismo nivel de IPsec durante la cual se puede realizar una segunda ronda de autenticación. El modo extendido, que es opcional, se puede usar para varias autenticaciones. Por ejemplo, con el modo extendido, puede realizar autenticaciones independientes basadas en equipos y basadas en usuarios.

Id. del evento	Mensaje de evento
4978	Durante la negociación de modo extendido, IPsec recibió un paquete de negociación no válido. Si el problema continúa, podría indicar un problema de red o que se está intentando modificar o reproducir esta negociación.
4979	Se establecieron asociaciones de seguridad de modo extendido y modo principal de IPsec. Este evento proporciona datos de eventos en las siguientes categorías: Punto de conexión local del modo principal, Punto de conexión remoto del modo principal, Información criptográfica del modo principal, Asociación de seguridad del modo principal, Información adicional del modo principal e Información del modo extendido.
4980	Se establecieron asociaciones de seguridad de modo extendido y modo principal de IPsec. Este evento proporciona datos de auditoría de eventos en las siguientes categorías: Punto de conexión local del modo principal, punto de conexión remoto del modo principal. Información criptográfica del modo principal, Asociación de seguridad del modo principal, Información adicional del modo principal, Punto de conexión local del modo extendido, Punto de conexión remoto del modo extendido e Información adicional del modo extendido.
4981	Se establecieron asociaciones de seguridad de modo extendido y modo principal de IPsec. Este evento proporciona datos de auditoría de eventos en las siguientes categorías: Punto de conexión local, Certificado local, Punto de conexión remoto, Certificado remoto, Información criptográfica, Información de asociación de seguridad, Información adicional e Información del modo extendido.
4982	Se establecieron asociaciones de seguridad de modo extendido y modo principal de IPsec. Este evento proporciona datos de auditoría de eventos en las siguientes categorías: Punto de conexión local, Certificado local, Punto de conexión remoto, Certificado remoto, Información criptográfica, Información de asociación de seguridad, Información adicional, Punto de conexión local del modo extendido, Punto de conexión remoto del modo extendido e Información adicional del modo extendido.
4983	Error de una negociación de modo extendido de IPsec. Se eliminó la asociación de seguridad de modo principal correspondiente. Este evento proporciona datos de auditoría de eventos en las siguientes categorías: Punto de conexión local, Certificado local, Punto de conexión remoto, Certificado remoto e Información de error.
4984	Error de una negociación de modo extendido de IPsec. Se eliminó la asociación de seguridad de modo principal correspondiente. Este evento proporciona datos de auditoría de eventos en las siguientes categorías: Punto de conexión local, Punto de conexión remoto, Información adicional e Información de error.

Volumen de eventos: alto.
Valor predeterminado: sin auditoría.

Expanda la directiva de auditoría del modo principal de IPsec

La directiva Audit IPsec Main Mode determina si el sistema operativo genera eventos de auditoría para los resultados del protocolo IKE y AuthIP durante las negociaciones del modo rápido. Al igual que IKE, AuthIP admite el modo principal y la negociación en modo rápido.

La negociación del modo principal de IKE establece un canal seguro, denominado asociación de seguridad del protocolo de asociación de seguridad en Internet y gestión de claves (ISAKMP), entre dos equipos. Para establecer el canal seguro, la negociación del modo principal determina un conjunto de conjuntos de protección criptográfica, intercambia material de clave para establecer la clave secreta compartida y autentica las identidades de equipo.

Id. del evento	Mensaje de evento
4646	Identificador de seguridad: %1.
4650	Se estableció una asociación de seguridad de modo principal de IPsec. No se habilitó el modo extendido. No se usó la autenticación de certificado.
4651	Se estableció una asociación de seguridad de modo principal de IPsec. No se habilitó el modo extendido. Se usó un certificado para la autenticación.
4652	Error de negociación de modo principal de IPsec. Este evento de auditoría devuelve datos detallados de auditoría en las siguientes categorías: Punto de conexión local, Certificado local, Punto de conexión remoto, Certificado remoto, Información adicional e Información de error.
4653	Error de negociación de modo principal de IPsec. Este evento de auditoría devuelve datos detallados de auditoría en las siguientes categorías: Punto de conexión local, Punto de conexión remoto, Información adicional e Información de error.
4655	Finalizó una asociación de seguridad de modo principal de IPsec.
4976	Durante la negociación de modo principal, IPsec recibió un paquete de negociación no válido. Si el problema continúa, podría indicar un problema de red o que se está intentando modificar o reproducir esta negociación.
5049	Se eliminó una asociación de seguridad de IPsec.
5453	Error de negociación de IPsec con un equipo remoto. No se inició el servicio de Módulos de creación de claves de IPsec para IKE y AuthIP (IKEEXT).

Volumen de eventos: alto.
Valor predeterminado: sin auditoría.

Expandir la política de Modo Rápido IPsec de auditoría

La directiva Audit IPsec Quick Mode determina si el sistema operativo genera eventos de auditoría para los resultados del protocolo IKE y AuthIP durante las negociaciones del modo rápido. Al igual que IKE, AuthIP admite el modo principal y la negociación en modo rápido.

La negociación de IKE del modo rápido (también conocido como fase 2) establece un canal seguro entre dos equipos para proteger los datos. El modo rápido crea asociaciones de seguridad de IPsec, que son acuerdos entre equipos sobre cómo proteger el tráfico de red. El servicio IPsec negocia estas asociaciones.

Durante el modo rápido, se actualiza el material de clave o, si es necesario, se generan nuevas claves. También se selecciona un conjunto de protección que protege el tráfico IP especificado. Un conjunto de protección es un conjunto definido de la integridad de los datos o la configuración de cifrado de datos. El modo rápido no se considera un intercambio completo porque depende de un intercambio en modo principal.

Id. del evento	Mensaje de evento
4977	Durante la negociación de modo rápido, IPsec recibió un paquete de negociación no válido. Si el problema continúa, podría indicar un problema de red o que se está intentando modificar o reproducir esta negociación.
5451	Se estableció una asociación de seguridad de modo rápido de IPsec.
5452	Finalizó una asociación de seguridad de modo rápido de IPsec.

Volumen de eventos: alto.
Valor predeterminado: sin auditoría.

Expandir la directiva de cierre de sesión de auditoría

La directiva Audit Logoff determina si el sistema operativo genera eventos de auditoría cuando finalizan las sesiones de inicio de sesión. Estos eventos se producen en el equipo al que se ha accedido. Cuando se produce un inicio de sesión interactivo, estos eventos se generan en el equipo en el que se inició sesión.

Nota:

No hay ningún evento de error en esta subcategoría porque los cierres de sesión fallidos (por ejemplo, cuando un sistema se apaga repentinamente) no generan un registro de auditoría.

Los eventos de inicio de sesión son esenciales para comprender la actividad del usuario y detectar posibles ataques. Los eventos de cierre de sesión no son 100 % confiables. Por ejemplo, el equipo se puede desactivar sin un cierre de sesión y apagado adecuado; en este caso, no se genera un evento logoff.

Id. del evento	Mensaje de evento
4634	Se cerró sesión en una cuenta.
4647	Cierre de sesión iniciada por el usuario.

Volumen de eventos: bajo.
Valor predeterminado: Éxito.

Expandir la directiva de inicio de sesión de auditoría

La directiva Audit Logon determina si el sistema operativo genera eventos de auditoría cuando un usuario intenta iniciar sesión en un equipo.

Estos eventos están relacionados con la creación de sesiones de inicio de sesión y se producen en el equipo al que se ha accedido. Para un inicio de sesión interactivo, los eventos se generan en el equipo en el que se inició sesión. Para un inicio de sesión de red, como el acceso a un recurso compartido, los eventos se generan en el equipo que hospeda el recurso al que se obtuvo acceso. Los eventos de inicio de sesión son esenciales para realizar un seguimiento de la actividad del usuario y detectar posibles ataques. Se registran los siguientes eventos:

Éxito y fallo de inicio de sesión.
Intentos de inicio de sesión mediante credenciales explícitas. Este evento se genera cuando un proceso intenta iniciar sesión en una cuenta especificando explícitamente las credenciales de esa cuenta. Esto suele ocurrir en configuraciones por lotes, como tareas programadas, o cuando se usa el runas comando .

Id. del evento	Mensaje de evento
4624	Se inició sesión correctamente en una cuenta.
4625	No se pudo iniciar sesión en una cuenta.
4648	Se intentó iniciar sesión con credenciales explícitas.
4675	Se filtraron SID.

Volumen de eventos: bajo en un equipo cliente. Medio en un controlador de dominio o un servidor de red.
Valor predeterminado: Éxito para equipos cliente. Éxito y Error para servidores.

Expanda la política de auditoría del servidor de directivas de red

La directiva Audit Network Policy Server determina si el sistema operativo genera eventos de auditoría para la actividad RADIUS (IAS) y Network Access Protection (NAP) en las solicitudes de acceso de usuarios. Estas solicitudes son:

Concesión
Negar
Discard (Descartar)
Cuarentena
Cerradura
Desbloquear

Los eventos NAP se pueden usar para ayudar a comprender el estado general de la red.

Id. del evento	Mensaje de evento
6272	El Servidor de directivas de redes concedió acceso a un usuario.
6273	El Servidor de directivas de redes denegó el acceso a un usuario.
6274	El Servidor de directivas de redes rechazó la solicitud de un usuario.
6275	El Servidor de directivas de redes rechazó la solicitud de cuentas de un usuario.
6276	El Servidor de directivas de redes puso en cuarentena un usuario.
6277	El servidor de directivas de red concedió acceso a un usuario pero lo puso en libertad condicional porque el host no cumple la directiva de mantenimiento definida.
6278	El Servidor de directivas de redes concedió acceso total a un usuario porque el host cumplía la directiva de mantenimiento definida.
6279	El Servidor de directivas de redes bloqueó la cuenta de usuario debido a varios intentos de autenticación erróneos.
6280	El Servidor de directivas de redes desbloqueó la cuenta de usuario.

Volumen de eventos: medio o alto en servidores NPS e IAS. Moderado en otros servidores o en ordenadores cliente.
Valor predeterminado: Éxito y Fracaso.

Expanda la configuración de eventos de inicio de sesión/cierre de sesión de otras auditorías

La directiva Audit Other Logon/Logoff Events determina si Windows genera eventos de auditoría para otros eventos de inicio de sesión o de cierre de sesión. Estos otros eventos de inicio de sesión o de cierre de sesión incluyen:

Una sesión de escritorio remoto se conecta o se desconecta.
Una estación de trabajo está bloqueada o desbloqueada.
Se invoca o descarta un protector de pantalla.
Se detecta un ataque de repetición. Este evento indica que se recibió una solicitud Kerberos dos veces con información idéntica. Una configuración incorrecta de red también puede provocar esto.
A un usuario se le concede acceso a una red inalámbrica. Puede ser una cuenta de usuario o la cuenta de equipo.
A un usuario se le concede acceso a una red cableada 802.1x. Puede ser una cuenta de usuario o la cuenta de equipo.

Id. del evento	Mensaje de evento
4649	Se detectó un ataque de reproducción.
4778	Se reconectó una sesión a una estación de ventana.
4779	Se desconectó una sesión de una estación de ventana.
4800	Se bloqueó la estación de trabajo.
4801	Se desbloqueó la estación de trabajo.
4802	Se invocó el protector de pantalla.
4803	Se descartó el protector de pantalla.
5378	Una directiva no permitió la delegación de credenciales solicitada.
5632	Se realizó una solicitud de autenticación en una red inalámbrica.
5633	Se realizó una solicitud de autenticación en una red con cable.

Volumen de eventos: bajo.
Valor predeterminado: sin auditoría.

Expandir la directiva de Auditoria de inicio de sesión especial

La directiva Audit Special Logon determina si el sistema operativo genera eventos de auditoría en circunstancias especiales de inicio de sesión. Esta configuración de directiva de seguridad determina si el sistema operativo genera eventos de auditoría cuando:

Se usa un inicio de sesión especial. Un inicio de sesión especial es un inicio de sesión con privilegios equivalentes a los de un administrador y que se puede usar para elevar un proceso a un nivel superior.
Un miembro de un grupo especial inicia sesión. Grupos especiales es una característica de Windows que permite al administrador averiguar cuándo un miembro de un determinado grupo ha iniciado sesión. El administrador puede establecer una lista de identificadores de seguridad de grupo (SID) en el Registro. Si alguno de estos SID se agrega a un token durante el inicio de sesión y esta subcategoría de auditoría está habilitada, se registra un evento de seguridad.

Los usuarios que tienen privilegios especiales pueden realizar cambios en el sistema. Se recomienda realizar un seguimiento de su actividad.

Id. del evento	Mensaje de evento
4964	Se han asignado Grupos especiales un nuevo inicio de sesión.

Volumen de eventos: Bajo
Valor predeterminado: Éxito

Acceso a objetos

La configuración de la directiva de acceso a objetos y los eventos de auditoría permiten realizar un seguimiento de los intentos de obtener acceso a determinados objetos o tipos de objetos en una red o equipo. Para auditar los intentos de acceder a un archivo, directorio, clave del Registro o cualquier otro objeto, debe habilitar la subcategoría de auditoría de Acceso a objetos adecuada para eventos de éxito o error. Por ejemplo, la subcategoría Sistema de archivos debe estar habilitada para auditar las operaciones de archivos y la subcategoría del Registro debe estar habilitada para auditar los accesos del Registro. Esta categoría incluye las subcategorías siguientes:

Expanda la política generada por la aplicación de auditoría

La directiva Audit Application Generated determina si el sistema operativo genera eventos de auditoría cuando las aplicaciones intentan usar las interfaces de programación de aplicaciones (API) de auditoría de Windows.

Los eventos siguientes pueden generar actividad de auditoría:

Creación, eliminación o inicialización de un contexto de cliente de aplicación
Operaciones de aplicación

Las aplicaciones diseñadas para usar las API de auditoría de Windows pueden usar esta subcategoría para registrar eventos de auditoría relacionados con esas API. El nivel, el volumen, la relevancia y la importancia de estos eventos de auditoría dependen de la aplicación que los genera. El sistema operativo registra los eventos a medida que son generados por la aplicación.

Id. del evento	Mensaje de evento
4665	Se intentó crear un contexto de cliente de aplicación
4666	Una aplicación intentó una operación.
4667	Se eliminó un contexto de cliente de aplicación
4668	Se inicializó una aplicación

Volumen de eventos: varía en función del uso de la aplicación instalada de auditoría de Windows.

Expanda política de servicios de certificación de auditoría

La directiva Audit Certification Services determina si el sistema operativo genera eventos cuando se realizan operaciones de Servicios de certificados de Active Directory (AD CS). La supervisión de estos eventos operativos es importante para asegurarse de que los servicios de rol de AD CS funcionan correctamente. Algunos ejemplos de operaciones de AD CS son:

AD CS se inicia, se cierra, se realiza una copia de seguridad o se restaura.
Se realizan tareas relacionadas con la lista de revocación de certificados (CRL).
Los certificados se solicitan, emiten o revocan.
Se cambia la configuración del administrador de certificados para AD CS.
Se cambian la configuración y las propiedades de la entidad de certificación (CA).
Se modifican las plantillas de AD CS.
Los certificados se importan.
Un certificado de entidad de certificación se publica en Servicios de dominio de Active Directory.
Se modifican los permisos de seguridad para los servicios de rol de AD CS.
Las claves se archivan, importan o recuperan.
El servicio de respuesta OCSP se inicia o se detiene.

Id. del evento	Mensaje de evento
4868	El Administrador de certificados ha denegado una solicitud de certificado pendiente.
4869	Servicios de servidor de certificados recibieron una solicitud de certificado reenviada.
4870	Servicios de servidor de certificados revocó un certificado.
4871	Servicios de servidor de certificados recibió una solicitud para publicar la lista de revocación de certificados (CRL).
4872	Servicios de servidor de certificados publicó la lista de revocación de certificados (CRL).
4873	Se cambió una extensión de solicitud de certificado.
4874	Se cambiaron uno o varios atributos de solicitud de certificado.
4875	Servicios de servidor de certificados recibió una solicitud para cerrar.
4876	La copia de seguridad de Servicios de servidor de certificados se ha iniciado.
4877	Se ha completado la copia de seguridad de Servicios de servidor certificados.
4878	Se inició la restauración de Servicios de servidor de certificados.
4879	Se ha completado la restauración de Servicios de servidor de certificados.
4880	Servicios de servidor de certificados iniciados.
4881	Se detuvo Servicios de servidor de certificados.
4882	Se cambiaron los permisos de seguridad para Servicios de servidor de certificados.
4883	Servicios de servidor de certificados recuperó una clave archivada.
4884	Servicios de servidor de certificados importó un certificado en su base de datos.
4885	Se cambió el filtro de auditoría para Servicios de servidor de certificados.
4886	Servicios de servidor de certificados recibió una solicitud de certificado.
4887	Servicios de servidor de certificados aprobó una solicitud de certificado y emitió un certificado.
4888	Servicios de servidor de certificados denegó una solicitud de certificado.
4889	Servicios de servidor de certificados estableció el estado de una solicitud de certificado en pendiente.
4890	Se cambió la configuración del administrador de certificados para Servicios de servidor de certificados.
4891	Se cambió una entrada de configuración en Servicios de servidor de certificados.
4892	Se cambió una propiedad de Servicios de servidor de certificados.%
4893	Servicios de servidor de certificados archivó una clave.
4894	Servicios de servidor de certificados importó y archivó una clave.
4895	Servicios de servidor de certificados publicó el certificado de CA en Servicios de dominio de Active Directory
4896	Una o más filas se han eliminado de la base de datos de certificados.
4897	Separación de roles habilitada.
4898	Servicios de servidor de certificados cargó una plantilla.

Volumen de eventos: medio o bajo en servidores que hospedan servicios de AD CS

Expandir la directiva detallada de recurso compartido de archivos para auditoría

La directiva Auditar Recurso Compartido de Archivos Detallado le permite auditar los intentos de acceso a archivos y carpetas en una carpeta compartida. La configuración Recurso compartido de archivos detallado registra un evento cada vez que se accede a un archivo o carpeta, mientras que la configuración recurso compartido de archivos solo registra un evento para cualquier conexión establecida entre un equipo cliente y un recurso compartido de archivos. Los eventos de auditoría detallados del recurso compartido de archivos incluyen información detallada sobre los permisos u otros criterios que se usan para conceder o denegar el acceso.

Nota:

Las carpetas compartidas no tienen SACL. Al habilitar esta configuración de directiva, se audita todo el acceso a archivos y carpetas compartidos del sistema.

Id. del evento	Mensaje de evento
5145	Se ha comprobado un objeto de recurso compartido de red para ver si se puede conceder acceso deseado al cliente.

Volumen de eventos: alto en un servidor de archivos o controlador de dominio debido al acceso a la red SYSVOL requerido por la directiva de grupo

Ampliar la política de auditoría de recursos compartidos de archivos

La directiva Audit File Share determina si el sistema operativo genera eventos de auditoría cuando se accede a un recurso compartido de archivos. Los eventos de auditoría no se generan cuando los recursos compartidos se crean, eliminan o cuando cambian los permisos de recurso compartido. Junto con la auditoría del sistema de archivos, la auditoría de recursos compartidos de archivos permite realizar un seguimiento del contenido al que se ha accedido, el origen (dirección IP y el puerto) de la solicitud y la cuenta de usuario que se usó para el acceso.

Nota:

No hay SACL para recursos compartidos; por lo tanto, una vez habilitada esta configuración, se auditará el acceso a todos los recursos compartidos del sistema.

Id. del evento	Mensaje de evento
5140	Se tuvo acceso a un objeto de recurso compartido de red Este evento se registra en equipos que ejecutan Windows Server 2008 R2, Windows Server 2008, Windows 7 o Windows Vista.
5142	Se ha añadido un objeto de recurso compartido de red.
5143	Se modificó un objeto de recurso compartido de red.
5144	Se eliminó un objeto de recurso compartido de red.
5168	Error en la comprobación de SPN para SMB/SMB2.

Volumen de eventos: alto en un servidor de archivos o controlador de dominio debido al acceso a la red SYSVOL requerido por la directiva de grupo.

Expandir directiva del sistema de archivos de auditoría

La directiva Audit File System determina si el sistema operativo genera eventos de auditoría cuando los usuarios intentan acceder a objetos del sistema de archivos. Los eventos de auditoría solo se generan para objetos que tienen SACL configurados, y solo si el tipo de acceso solicitado (como Write, Read o Modify) y la cuenta que realiza la solicitud coincide con la configuración de SACL.

Si la auditoría de acceso exitoso está habilitada, se genera una entrada de auditoría cada vez que cualquier cuenta accede con éxito a un objeto del sistema de archivos que tiene una SACL coincidente. Si la auditoría de errores está habilitada, se genera una entrada de auditoría cada vez que cualquier usuario intenta acceder incorrectamente a un objeto del sistema de archivos que tiene una SACL coincidente. Estos eventos son esenciales para el seguimiento de la actividad de los objetos de archivo que son confidenciales o valiosos y requieren una supervisión adicional.

Id. del evento	Mensaje de evento
4664	Se intentó crear un vínculo físico
4985	Se cambió el estado de una transacción
5051	Se virtualizó un archivo

Volumen de eventos: varía en función de cómo se configuran las SACL del sistema de archivos.

Amplíe la Política de Conexión de la Plataforma de Filtrado de Auditoría

La directiva Audit Filtering Platform Connection determina si el sistema operativo genera eventos de auditoría cuando la plataforma de filtrado de Windows permite o bloquea las conexiones. La Plataforma de filtrado de Windows (PMA) se introdujo en Windows Server 2008 y Windows Vista. Permite que los proveedores de software independientes (ISV) filtren y modifiquen paquetes TCP/IP, supervisen o autoricen conexiones, filtren el tráfico protegido por el protocolo de Internet (IPsec) y filtren los RPC. Esta directiva de seguridad le permite auditar los siguientes tipos de acciones:

El servicio Firewall de Windows impide que una aplicación acepte conexiones entrantes en la red.
La Plataforma de filtrado de Windows permite o bloquea una conexión.
La Plataforma de filtrado de Windows permite o bloquea un enlace a un puerto local.
La Plataforma de filtrado de Windows permite o impide que una aplicación o servicio escuche las conexiones entrantes en un puerto.

Id. del evento	Mensaje de evento
5031	El servicio Firewall de Windows impidió que una aplicación aceptara conexiones entrantes en la red
5140	Se tuvo acceso a un objeto de recurso compartido de red Este evento solo se registra en equipos que ejecutan las versiones admitidas del sistema operativo Windows, tal como se designa en la lista de aplicaciones.
5150	La Plataforma de filtrado de Windows bloqueó un paquete
5151	Un filtro más restrictivo de la Plataforma de filtrado de Windows bloqueó un paquete
5154	La Plataforma de filtrado de Windows permitió que una aplicación o un servicio escuche conexiones entrantes en un puerto
5155	La Plataforma de filtrado de Windows bloqueó una aplicación o un servicio para que no escuchara conexiones entrantes en un puerto
5156	La Plataforma de filtrado de Windows permitió una conexión
5157	La Plataforma de filtrado de Windows bloqueó una conexión
5158	La Plataforma de filtrado de Windows permitió un enlace con un puerto local
5159	La Plataforma de filtrado de Windows bloqueó un enlace con un puerto local

Volumen de eventos: alto.

Expansión de la directiva de eliminación de paquetes de la plataforma de filtrado de auditoría

La directiva Audit Filtering Platform Packet Drop determina si el sistema operativo genera eventos de auditoría cuando la Plataforma de filtrado de Windows quita los paquetes. La Plataforma de filtrado de Windows (PMA) se introdujo en Windows Server 2008 y Windows Vista. EL PMA permite que los proveedores de software independientes (ISV) filtren y modifiquen paquetes TCP/IP, supervisen o autoricen conexiones, filtren el tráfico protegido por el protocolo de Internet (IPsec) y filtren los RPC. Una alta tasa de paquetes descartados puede indicar que se ha intentado obtener acceso no autorizado a los equipos de la red.

Id. del evento	Mensaje de evento
5152	La Plataforma de filtrado de Windows bloqueó un paquete
5153	Un filtro más restrictivo de la Plataforma de filtrado de Windows bloqueó un paquete

Volumen de eventos: alto.

Expanda la política de manipulación de identificadores de auditoría

La directiva Audit Handle Manipulation determina si el sistema operativo genera eventos de auditoría cuando se abre o cierra un identificador a un objeto. Solo los objetos con SACL configurados generan estos eventos y solo si la operación de identificador intentada coincide con la SACL.

Nota:

Los eventos de manipulación de control solo se generan para tipos de objetos en los que la correspondiente subcategoría de Acceso a objetos del sistema de archivos o del registro está habilitada. Consulte las directivas de auditar el sistema de archivos o de auditar el Registro.

Id. del evento	Mensaje de evento
4656	Se solicitó un identificador para un objeto.
4658	Se cerró un identificador para un objeto.
4690	Se intentó duplicar un identificador en un objeto.

Volumen de eventos: varía según cómo se configuren las SACL.

Expanda la directiva de auditoría de objeto de kernel

La política Audit Kernel Object determina si el sistema operativo genera eventos de auditoría cuando los usuarios intentan acceder al kernel del sistema, el cual incluye mutexes y semáforos. Solo los objetos de kernel con una SACL coincidente generan eventos de auditoría de seguridad. Las auditorías generadas solo son útiles para los desarrolladores. Normalmente, a los objetos de kernel solo se les asignan SACL si las opciones de auditoría AuditBaseObjects o AuditBaseDirectories están habilitadas.

Nota:

Auditar: el acceso a objetos del sistema global controla la SACL predeterminada de los objetos de kernel.

Id. del evento	Mensaje de evento
4659	Se solicitó un identificador para un objeto con intención de eliminarlo.
4660	Se eliminó un objeto.
4661	Se solicitó un identificador para un objeto.
4663	se ha intentado obtener acceso a un objeto.

Volumen de eventos: alto si está habilitado el acceso de auditoría de objetos del sistema global.

Expandir política de auditar otros eventos de acceso a objetos

La directiva Audit Other Object Access Events determina si el sistema operativo genera eventos de auditoría para la gestión de trabajos del Programador de tareas o de objetos COM+.

En el caso de los trabajos del programador, se auditan las siguientes acciones:

Un trabajo se crea, se elimina, se habilita, se deshabilita o se actualiza.

En el caso de los objetos COM+, se auditan las siguientes acciones:

Se agrega, elimina o actualiza un objeto de catálogo.

Id. del evento	Mensaje de evento
4671	Una aplicación intentó tener acceso a un ordinal bloqueado a través de TBS.
4691	Se solicitó acceso indirecto a un objeto.
4698	Se creó una tarea programada.
4699	Se eliminó una tarea programada.
4700	Se habilitó una tarea programada.
4701	Se deshabilitó una tarea programada.
4702	Se actualizó una tarea programada.
5148	La Plataforma de filtrado de Windows ha detectado un ataque DoS y ha entrado en modo defensivo; se descartarán los paquetes asociados a este ataque. Este evento solo se registra en equipos que ejecutan las versiones compatibles del sistema operativo Windows.
5149	El ataque doS ha disminuido y se está reanudando el procesamiento normal. Este evento solo se registra en equipos que ejecutan las versiones compatibles del sistema operativo Windows.
5888	Se modificó un objeto del catálogo COM+.
5889	Se eliminó un objeto del catálogo COM+.
5890	Se agregó un objeto al catálogo COM +.

Volumen de eventos: bajo.

Expandir la política del Registro de auditoría

La directiva Audit Registry determina si el sistema operativo genera eventos de auditoría cuando los usuarios intentan acceder a los objetos del Registro. Los eventos de auditoría solo se generan para los objetos que han configurado las SACL especificadas y solo si el tipo de acceso solicitado (como Write, Read o Modify) y la cuenta que realiza la solicitud coincide con la configuración de SACL.

Si la auditoría de éxito está habilitada, se genera una entrada de auditoría cada vez que una cuenta accede exitosamente a un objeto del Registro que tiene una SACL coincidente. Si la auditoría de errores está habilitada, se genera una entrada de auditoría cada vez que cualquier usuario intenta acceder incorrectamente a un objeto del Registro que tiene una SACL coincidente.

Id. del evento	Mensaje de evento
4657	Se modificó un valor del Registro.
5039	Se virtualizó una clave del Registro.

Volumen de eventos: Depende de cómo se configuran las SACLs del Registro.

Ampliar directiva de auditoría de almacenamiento extraíble

La directiva Audit Removable Storage determina si el sistema operativo genera eventos de auditoría cuando los usuarios intentan acceder a objetos del sistema de archivos en dispositivos de almacenamiento extraíbles. Los eventos de auditoría se generan para todos los tipos de acceso a cualquier objeto en el almacenamiento extraíble.

Cuando esta directiva está habilitada, se registra un evento de auditoría cada vez que una cuenta accede a un objeto de sistema de archivos en un dispositivo de almacenamiento extraíble. Las auditorías de éxito capturan los intentos de acceso exitosos, mientras que las auditorías de fallos capturan los intentos fallidos. Si esta directiva no está configurada, no se generan eventos de auditoría para el acceso a objetos del sistema de archivos en dispositivos de almacenamiento extraíbles.

Id. del evento	Mensaje de evento
4656	Se solicitó un identificador para un objeto.
4658	Se cerró un identificador para un objeto.
4663	se ha intentado obtener acceso a un objeto.

Expandir la política de auditoría SAM

Audit SAM, que permite auditar eventos generados por intentos de acceder a objetos SAM. Sam es una base de datos que está presente en equipos que ejecutan sistemas operativos Windows que almacenan cuentas de usuario y descriptores de seguridad para los usuarios en el equipo local. Los objetos SAM incluyen:

SAM_ALIAS: un grupo local
SAM_GROUP: un grupo que no es un grupo local
SAM_USER: una cuenta de usuario
SAM_DOMAIN: un dominio
SAM_SERVER: una cuenta de ordenador

Si configura esta configuración de directiva, se genera un evento de auditoría cuando se accede a un objeto SAM. Las auditorías de éxito registran intentos exitosos y las auditorías de error registran intentos fallidos. Solo se puede modificar la SACL para SAM_SERVER .

La categoría auditoría de administración de cuentas realiza un seguimiento de los cambios realizados en los objetos de usuario y grupo. Sin embargo, las cuentas de usuario con privilegios suficientes podrían modificar los archivos en los que la información de la cuenta y la contraseña se almacenan en el sistema, omitiendo los eventos de administración de cuentas.

Id. del evento	Mensaje de evento
4659	Se solicitó un identificador para un objeto con intención de eliminarlo.
4660	Se eliminó un objeto.
4661	Se solicitó un identificador para un objeto.
4663	se ha intentado obtener acceso a un objeto.

Volumen de eventos: alto en los controladores de dominio.

Expanda la política de preparación de la directiva de acceso central de auditoría

La directiva Auditoría de Preparación de Directiva de Acceso Central permite auditar los intentos de acceso en los que los permisos concedidos o denegados por una directiva de acceso central propuesta difieren de los permisos de la directiva actual en un objeto. Cuando se configura esta directiva, se genera un evento de auditoría cada vez que un usuario accede a un objeto y los permisos concedidos por la directiva de acceso central actual difieren de los concedidos por la directiva propuesta. Los eventos de auditoría se generan de la siguiente manera:

Las auditorías de éxito (cuando están habilitadas) registran los intentos de acceso en los que la directiva actual concede acceso, pero la directiva propuesta lo denegaría.
Auditorías de fallos (cuando están habilitadas) registran intentos de acceso en estos escenarios:
- La directiva actual no concede acceso, pero la directiva propuesta la concedería.
- Un principal pide sus derechos de acceso máximos permitidos y los derechos concedidos por la directiva actual difieren de los concedidos por la directiva propuesta.

Id. del evento	Mensaje de evento
4818	La directiva de acceso central propuesta no concede los mismos permisos de acceso que la directiva de acceso central actual.

Volumen de eventos: potencialmente alto en un servidor de archivos cuando la directiva propuesta difiere significativamente de la directiva de acceso central actual.
Valor predeterminado: sin auditoría.

Cambio de directiva

Los eventos de auditoría de cambio de directiva permiten realizar un seguimiento de los cambios en las directivas de seguridad importantes en un sistema o red local. Dado que los administradores suelen establecer directivas para ayudar a proteger los recursos de red, la supervisión de los cambios o los intentos de cambiar estas directivas puede ser un aspecto importante de la administración de seguridad de una red. Esta categoría incluye las subcategorías siguientes:

Ampliar la política de cambios de directiva de auditoría

La directiva Audit Audit Policy Change determina si el sistema operativo genera eventos de auditoría cuando se realizan cambios en la directiva de auditoría. Los cambios en la directiva de auditoría son eventos de seguridad críticos. Los cambios en la directiva de auditoría que se auditan incluyen:

Modificación de permisos y configuración de auditoría en el objeto de política de auditoría (mediante auditpol /set /sd).
Cambiar la directiva de auditoría del sistema.
Registro y cancelación de registro de fuentes de eventos de seguridad.
Cambiar la configuración de auditoría por usuario.
Cambiar el valor de CrashOnAuditFail.
Cambiar cualquier cosa en la lista de Grupos especiales.
Cambiar la configuración de auditoría en un objeto (por ejemplo, modificar la SACL para un archivo o clave del Registro).

Nota:

La auditoría de cambios de SACL se realiza cuando se ha cambiado una SACL para un objeto y se configura la categoría Cambio de directiva. La lista de control de acceso discrecional (DACL) y la auditoría de cambios de propietario se realizan cuando se configura la auditoría de acceso a objetos y la SACL del objeto se establece para la auditoría de la DACL o el cambio de propietario.

Id. del evento	Mensaje de evento
4715	Se cambió la directiva de auditoría (SACL) en un objeto
4719	Se cambió la directiva de auditoría del sistema
4817	Se cambió la configuración de auditoría en un objeto. Este evento solo se registra en equipos que ejecutan las versiones compatibles del sistema operativo Windows.
4902	Se creó la tabla de directiva de auditoría por usuario
4904	Se intentó registrar un origen de evento de seguridad
4905	Se intentó anular el registro de un origen de evento de seguridad
4906	Se cambió el valor de CrashOnAuditFail
4907	Se cambió la configuración de auditoría del objeto
4908	Se modificó la tabla de inicio de sesión de grupos especiales
4912	Se cambió la directiva de auditoría por usuario

Volumen de eventos: bajo.
Valor predeterminado: Éxito.

Expansión de la directiva de cambio de política de autenticación de auditoría

La política de cambio de autenticación de auditoría determina si el sistema operativo genera eventos de auditoría cuando se realizan cambios en la política de autenticación. Esta configuración es útil para realizar el seguimiento de los cambios en la confianza y los privilegios de nivel de dominio y bosque que se conceden a cuentas de usuario o grupos. Los cambios realizados en la directiva de autenticación incluyen:

Creación, modificación y eliminación de relaciones de confianza de bosque y dominio.
Cambios en la directiva kerberos en Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas de cuenta\Directiva kerberos.

Nota:

El evento de auditoría se registra cuando se aplica la directiva, no cuando el administrador modifica la configuración.

Cuando se concede cualquiera de los siguientes derechos de usuario a un usuario o grupo:

Acceda a este equipo desde la red.
Permitir el inicio de sesión localmente.
Permitir el inicio de sesión a través de Escritorio remoto.
Inicie sesión como una tarea por lotes.
Inicie sesión como servicio.

Colisión de espacios de nombres, como cuando una confianza agregada entra en conflicto con un nombre de espacio de nombres existente.

Id. del evento	Mensaje de evento
4713	Se cambió la directiva Kerberos
4716	Se modificó la información de dominio de confianza
4717	Se concedió acceso de seguridad de sistema a una cuenta
4718	Se quitó acceso de seguridad de sistema de una cuenta
4739	Se cambió la directiva de dominio
4864	Se detectó una colisión de espacio de nombres
4865	Se agregó una entrada de información de bosque de confianza
4866	Se eliminó una entrada de información de bosque de confianza
4867	Se modificó una entrada de información de bosque de confianza

Volumen de eventos: bajo.
Valor predeterminado: Éxito.

Expandir la política de cambio de autorización de auditoría

La directiva Audit Authorization Policy Change determina si el sistema operativo genera eventos de auditoría cuando se realizan cambios específicos en la directiva de autorización. Los cambios en la directiva de autorización que se pueden auditar incluyen:

Asignar o quitar derechos de usuario (privilegios), como SeCreateTokenPrivilege, excepto los derechos de acceso del sistema que se auditan mediante la subcategoría Audit Authentication Policy Change.
Cambiar la directiva del Sistema de Cifrado de Archivos (EFS).

Id. del evento	Mensaje de evento
4704	Se asignó un derecho de usuario.
4705	Se quitó un derecho de usuario.
4706	Se creó una nueva confianza para un dominio
4707	Se quitó una confianza de un dominio
4714	Se cambió la directiva de recuperación de datos cifrados

Volumen de eventos: bajo.
Valor predeterminado: sin auditoría.

Expanda la política de cambios de la plataforma de filtrado de auditoría

La directiva Audit Filtering Platform Policy Change determina si el sistema operativo genera eventos de auditoría para determinadas acciones de IPsec y Windows Filtering Platform. La Plataforma de filtrado de Windows (PMA) permite que los proveedores de software independientes (ISV) filtren y modifiquen paquetes TCP/IP, supervisen o autoricen conexiones, filtren el tráfico protegido por el protocolo de Internet (IPsec) y filtren los RPC. Esta configuración de directiva de seguridad determina si el sistema operativo genera eventos de auditoría para:

Estado de los servicios IPsec.
Cambios en la configuración de IPsec.
Estado y cambios en el motor de la plataforma de filtrado de Windows y sus proveedores.
Actividades del servicio de agente de políticas de IPsec.

Id. del evento	Mensaje de evento
4709	Se iniciaron los Servicios IPsec.
4710	Se deshabilitaron los Servicios IPsec.
4711	Puede contener cualquiera de los siguientes mensajes: El motor PAStore aplicó una copia almacenada en caché localmente de la directiva IPsec de almacenamiento de Active Directory en el equipo. El motor PAStore aplicó la directiva IPsec de almacenamiento de Active Directory en el equipo. El motor PAStore aplicó una directiva IPsec de almacenamiento del Registro local en el equipo. Error del motor PAStore al aplicar una copia almacenada en caché localmente de la directiva IPsec de almacenamiento de Active Directory en el equipo. Error del motor PAStore al aplicar la directiva IPsec de almacenamiento de Active Directory en el equipo. Error del motor PAStore al aplicar una directiva IPsec de almacenamiento del Registro local en el equipo. Error del motor PAStore al aplicar algunas reglas de la directiva IPsec activa en el equipo. Error del motor PAStore al cargar la directiva IPsec de almacenamiento de directorio en el equipo. El motor PAStore cargó la directiva IPsec de almacenamiento de directorio en el equipo. Error del motor PAStore al cargar la directiva IPsec de almacenamiento local en el equipo. El motor PAStore cargó la directiva IPsec de almacenamiento local en el equipo. El motor PAStore sondeó en busca de cambios en la directiva IPsec activa y no detectó ningún cambio.
4712	Los Servicios IPsec detectaron un error que puede ser importante.
5040	Se realizó un cambio en la configuración de IPsec. Se agregó un conjunto de autenticación.
5041	Se realizó un cambio en la configuración de IPsec. Se modificó un conjunto de autenticación.
5042	Se realizó un cambio en la configuración de IPsec. Se eliminó un conjunto de autenticación.
5043	Se realizó un cambio en la configuración de IPsec. Se agregó una regla de seguridad de conexión.
5044	Se realizó un cambio en la configuración de IPsec. Se modificó una regla de seguridad de conexión.
5045	Se realizó un cambio en la configuración de IPsec. Se eliminó una regla de seguridad de conexión.
5046	Se realizó un cambio en la configuración de IPsec. Se agregó un conjunto criptográfico.
5047	Se realizó un cambio en la configuración de IPsec. Se ha modificado un conjunto criptográfico.
5048	Se realizó un cambio en la configuración de IPsec. Se ha eliminado un conjunto criptográfico.
5440	La siguiente llamada estaba presente cuando se inició el Motor de filtro de base de la Plataforma de filtrado de Windows.
5441	El siguiente filtro estaba presente cuando se inició el Motor de filtro de base de la Plataforma de filtrado de Windows.
5442	El siguiente proveedor estaba presente cuando se inició el Motor de filtro de base de la Plataforma de filtrado de Windows.
5443	El siguiente contexto de proveedor estaba presente cuando se inició el Motor de filtro de base de la Plataforma de filtrado de Windows.
5444	La siguiente subcapa se encontraba presente cuando se inició el motor de filtrado base de la plataforma de filtrado de Windows.
5446	Se cambió una llamada de la Plataforma de filtrado de Windows.
5448	Se cambió un proveedor de la Plataforma de filtrado de Windows.
5449	Se cambió un contexto de proveedor de la Plataforma de filtrado de Windows.
5450	Se ha cambiado una subcapa de plataforma de filtrado de Windows.
5456	El motor PAStore aplicó la directiva IPsec de almacenamiento de Active Directory en el equipo.
5457	Error del motor PAStore al aplicar la directiva IPsec de almacenamiento de Active Directory en el equipo.
5458	El motor PAStore aplicó una copia almacenada en caché localmente de la directiva IPsec de almacenamiento de Active Directory en el equipo.
5459	Error del motor PAStore al aplicar una copia almacenada en caché localmente de la directiva IPsec de almacenamiento de Active Directory en el equipo.
5460	El motor PAStore aplicó una directiva IPsec de almacenamiento del Registro local en el equipo.
5461	Error del motor PAStore al aplicar una directiva IPsec de almacenamiento del Registro local en el equipo.
5462	Error del motor PAStore al aplicar algunas reglas de la directiva IPsec activa en el equipo. Usa el complemento Monitor de seguridad IP para diagnosticar el problema.
5463	El motor PAStore sondeó en busca de cambios en la directiva IPsec activa y no detectó ningún cambio.
5464	El motor PAStore sondeó en busca de cambios en la directiva IPsec activa, detectó cambios y los aplicó a los servicios IPsec.
5465	El motor PAStore recibió un control para la recarga forzada de la directiva IPsec y procesó el control correctamente.
5466	El motor PAStore sondeó en busca de cambios en la directiva IPsec de Active Directory, determinó que no se podía establecer contacto con Active Directory y usará la copia almacenada en caché de la directiva IPsec de Active Directory en su lugar. No se pudieron aplicar los cambios realizados en la directiva IPsec de Active Directory desde el último sondeo.
5467	El motor PAStore sondeó en busca de cambios en la directiva IPsec de Active Directory, determinó que se podía establecer contacto con Active Directory y no encontró ningún cambio en la directiva Ya no se usa la copia almacenada en caché de la directiva IPsec de Active Directory.
5468	El motor PAStore sondeó en busca de cambios en la directiva IPsec de Active Directory, determinó que se podía establecer contacto con Active Directory, encontró cambios en la directiva y los aplicó. Ya no se usa la copia almacenada en caché de la directiva IPsec de Active Directory.
5471	El motor PAStore cargó la directiva IPsec de almacenamiento local en el equipo.
5472	Error del motor PAStore al cargar la directiva IPsec de almacenamiento local en el equipo.
5473	El motor PAStore cargó la directiva IPsec de almacenamiento de directorio en el equipo.
5474	Error del motor PAStore al cargar la directiva IPsec de almacenamiento de directorio en el equipo.
5477	Error del motor PAStore al agregar el filtro de modo rápido.

Volumen de eventos: bajo.
Valor predeterminado: sin auditoría.

Auditar MPSSVC Rule-Level Expansión de cambio de política

La política Auditoría MPSSVC Rule-Level Cambios de Directiva determina si el sistema operativo genera eventos de auditoría cuando se realizan cambios en las reglas de la directiva del servicio de protección de Microsoft (MPSSVC.exe).

El Servicio de protección de Microsoft, que usa firewall de Windows, es una parte integral de la protección contra amenazas del equipo contra amenazas enlazadas a Internet, como troyanos y spyware. Las actividades rastreadas incluyen:

Directivas activas cuando se inicia el servicio Firewall de Windows.
Cambios en las reglas de Firewall de Windows.
Cambios en la lista de excepciones de Firewall de Windows.
Cambios en la configuración de Firewall de Windows.
Las reglas ignoradas o no aplicadas por el servicio Firewall de Windows.
Cambios en la configuración de directiva de grupo de Firewall de Windows.

Los cambios en las reglas de firewall son importantes para comprender el estado de seguridad del equipo y su protección contra ataques de red.

Id. del evento	Mensaje de evento
4944	La siguiente directiva estaba activa cuando se inició el Firewall de Windows.
4945	Se mostró una regla al iniciarse el Firewall de Windows.
4946	Se ha realizado un cambio en la lista de excepciones del Firewall de Windows. Se agregó una regla.
4947	Se ha realizado un cambio en la lista de excepciones del Firewall de Windows. Se modificó una regla.
4948	Se ha realizado un cambio en la lista de excepciones del Firewall de Windows. Se eliminó una regla.
4949	Los valores de configuración del Firewall de Windows se restauraron a los valores predeterminados.
4950	Se cambió una configuración del Firewall de Windows.
4951	Se ha omitido una regla porque el Firewall de Windows no reconoció su número de versión principal.
4952	Se han omitido partes de una regla porque el Firewall de Windows no reconoció su número de versión secundaria. Se aplicarán las demás partes de la regla.
4953	Firewall de Windows omitió una regla porque no la pudo analizar.
4954	La configuración de directiva de grupo de Firewall de Windows ha cambiado. Se aplicó la nueva configuración.
4956	Firewall de Windows ha cambiado el perfil activo.
4957	Firewall de Windows no aplicó la siguiente regla.
4958	Firewall de Windows no aplicaba la siguiente regla porque la regla hacía referencia a elementos no configurados en este equipo.

Volumen de eventos: bajo.
Valor predeterminado: sin auditoría.

Ampliar la política de Auditar otras políticas de cambios de eventos

La directiva Auditar otros eventos de cambio de directiva determina si el sistema operativo genera eventos de auditoría para los cambios en la política de seguridad que de otro modo no se auditan en la categoría de Cambio de directiva. Estas otras actividades de la categoría Cambio de directiva que se pueden auditar incluyen:

Cambios de configuración del módulo de plataforma segura (TPM).
Autoevaluaciones criptográficas en modo kernel.
Operaciones del proveedor criptográfico.
Operaciones o modificaciones de contexto criptográfico.

Id. del evento	Mensaje de evento
4670	Se cambiaron los permisos de un objeto.
4909	Se cambió la configuración de directiva local para TBS.
4910	Se cambiaron las configuraciones de la directiva de grupo para TBS.
5063	Se intentó una operación de proveedor criptográfico.
5064	Se intentó una operación de contexto criptográfico.
5065	Se intentó modificar un contexto criptográfico.
5066	Se intentó una operación de función criptográfica.
5067	Se intentó modificar una función criptográfica.
5068	Se intentó una operación de proveedor de función criptográfica.
5069	Se intentó una operación de propiedad de función criptográfica.
5070	Se intentó modificar una propiedad de función criptográfica.
5447	Se cambió un filtro de la Plataforma de filtrado de Windows.
6144	La directiva de seguridad de los objetos de directiva de grupo se ha aplicado correctamente.
6145	Se produjeron uno o varios errores al procesar la directiva de seguridad en los objetos de directiva de grupo.

Volumen de eventos: bajo.
Valor predeterminado: sin auditoría.

Uso de privilegios

Se conceden permisos en una red para que los usuarios o equipos completen tareas definidas. Privilege Use la configuración de directivas de seguridad y los eventos de auditoría le permiten realizar un seguimiento del uso de determinados permisos en uno o varios sistemas. Esta categoría incluye las subcategorías siguientes:

Expanda la Directiva de auditoría de uso de privilegios no sensibles

La directiva auditar el uso de privilegios no confidenciales determina si el sistema operativo genera eventos de auditoría cuando se usan privilegios no confidenciales (derechos de usuario). Los siguientes privilegios son no sensibles:

Agregar estaciones de trabajo al dominio
Ajustar las cuotas de la memoria para un proceso
Permitir el inicio de sesión local
Permitir el inicio de sesión a través de Terminal Services
Omitir comprobación de recorrido
Cambiar la hora del sistema
Crear un archivo de paginación
Crear objetos globales
Crear objetos compartidos permanentes
Crear vínculos simbólicos
Denegar el acceso desde la red a este equipo
Denegar inicio de sesión como tarea por lotes
Denegar el inicio de sesión como servicio
Denegar el inicio de sesión localmente
Denegar el inicio de sesión a través de Terminal Services
Forzar cierre desde un sistema remoto
Aumentar el espacio de trabajo de un proceso
Aumentar prioridad de programación
Bloquear páginas en la memoria
Inicio de sesión como trabajo por lotes
Iniciar sesión como servicio
Modificar la etiqueta de un objeto
Realización de tareas de mantenimiento del volumen
Analizar un solo proceso
Analizar el rendimiento del sistema
Quitar equipo de la estación de acoplamiento
Apagar el sistema
Sincronizar los datos del servicio de directorio

Si configura esta configuración de directiva, se genera un evento de auditoría cuando se llama a un privilegio no confidencial. Las auditorías de éxito registran intentos exitosos y las auditorías de error registran intentos fallidos.

Id. del evento	Mensaje de evento
4672	Privilegios especiales asignados al nuevo inicio de sesión.
4673	Se llamó a un servicio con privilegios.
4674	Se intentó una operación en un objeto con privilegios.

Volumen de eventos: muy alto.

Expandir la política de auditoría de otros eventos de uso de privilegios

No se usa la directiva auditar otros eventos de uso de privilegios .

Amplíe la política de auditoría del uso de privilegios sensibles

La directiva Audit Sensitive Privilege Use determina si el sistema operativo genera eventos de auditoría cuando se usan privilegios confidenciales (derechos de usuario). Las acciones que se pueden auditar incluyen:

Se llama a un servicio con privilegios.
Uno de los siguientes privilegios es llamado:
- Actuar como parte del sistema operativo
- Hacer copias de seguridad de archivos y directorios
- Crear un objeto token
- Depurar programas
- Habilitar confianza con las cuentas de usuario y de equipo para delegación
- Generar auditorías de seguridad
- Suplantar a un cliente tras la autenticación
- Cargar y descargar controladores de dispositivo
- Administrar registro de seguridad y auditoría
- Modificar valores de entorno firmware
- Reemplazar un token de nivel de proceso
- Restaurar archivos y directorios
- Tomar posesión de archivos u otros objetos

Si configura esta configuración de directiva, se genera un evento de auditoría cuando se realizan solicitudes de privilegios confidenciales. Las auditorías de éxito registran intentos exitosos y las auditorías de error registran intentos fallidos.

Id. del evento	Mensaje de evento
4672	Privilegios especiales asignados al nuevo inicio de sesión.
4673	Se llamó a un servicio con privilegios.
4674	Se intentó una operación en un objeto con privilegios.

Volumen de eventos: alto.

Sistema

La configuración de la directiva de seguridad del sistema y los eventos de auditoría permiten realizar un seguimiento de los cambios de nivel de sistema en un equipo que no se incluyen en otras categorías y que tienen posibles implicaciones de seguridad. Esta categoría incluye las subcategorías siguientes:

Expandir la directiva del controlador de IPsec de auditoría

La directiva Audit IPsec Driver determina si el sistema operativo genera eventos de auditoría para las actividades del controlador IPsec. El controlador IPsec, con la lista de filtros IP de la directiva IPsec activa, busca paquetes IP salientes que deben protegerse y descifrarse. Esta configuración de directiva de seguridad informa sobre las siguientes actividades del controlador IPsec:

Inicio y apagado de los servicios IPsec.
Los paquetes han sido descartados debido a un fallo en la comprobación de integridad.
Los paquetes se han eliminado debido a un error de comprobación de reproducción.
Los paquetes se han descartado debido a que están en texto sin cifrar.
Paquetes recibidos con un índice de parámetros de seguridad (SPI) incorrecto. Esto puede indicar problemas de hardware que no funciona correctamente o de interoperabilidad.
Error al procesar filtros IPsec.

Una alta tasa de caídas de paquetes por el controlador de filtro IPsec puede indicar intentos de obtener acceso a la red por sistemas no autorizados. Si no se procesan filtros IPsec, se supone un riesgo de seguridad potencial, ya que es posible que algunas interfaces de red no obtengan la protección proporcionada por el filtro IPsec.

Id. del evento	Mensaje de evento
4960	IPsec descartó un paquete entrante con un error en la comprobación de integridad. Si este problema persiste, podría indicar un problema de red o que los paquetes se modifican en tránsito a este equipo. Comprueba que los paquetes enviados desde el equipo remoto sean iguales a los recibidos en este equipo. Este error también puede indicar problemas de interoperabilidad con otras implementaciones de IPsec.
4961	IPsec descartó un paquete entrante con un error en la comprobación de reproducción. Si el problema continúa, podría indicar un ataque de reproducción contra este equipo.
4962	IPsec descartó un paquete entrante con un error en la comprobación de reproducción. El paquete entrante tenía un número de secuencia demasiado bajo para asegurarse de que no fuera una reproducción.
4963	IPsec descartó un paquete de texto no cifrado entrante que debería estar protegido. Esto suele deberse a que el equipo remoto cambió su directiva IPsec sin informar a este equipo. También podría ser un intento de ataque de suplantación.
4965	IPsec recibió un paquete de un equipo remoto con un Índice de parámetro de seguridad (SPI) incorrecto. Esto suele deberse a hardware que funciona incorrectamente y que está dañando los paquetes. Si estos errores continúan, comprueba que los paquetes enviados desde el equipo remoto sean iguales a los recibidos en este equipo. Este error también puede indicar problemas de interoperabilidad con otras implementaciones de IPsec. En ese caso, si no se impide la conectividad, se pueden omitir estos eventos.
5478	Los servicios IPsec se iniciaron correctamente.
5479	Los servicios IPsec se cerraron correctamente. El cierre de los servicios IPsec puede suponer un mayor riesgo de ataque a la red para el equipo o exponerlo a posibles riesgos de seguridad.
5480	Error de los servicios IPsec al obtener la lista completa de interfaces de red del equipo. Esto supone un posible riesgo de seguridad porque puede que algunas interfaces de red no obtengan la protección proporcionada por los filtros IPsec aplicados. Usa el complemento Monitor de seguridad IP para diagnosticar el problema.
5483	Error de los servicios IPsec al inicializar el servidor RPC. No se pudo iniciar IPsec Services.
5484	Los servicios IPsec experimentaron un error crítico y se cerraron. El cierre de los servicios IPsec puede suponer un mayor riesgo de ataque a la red para el equipo o exponerlo a posibles riesgos de seguridad.
5485	Error de los servicios IPsec al procesar algunos filtros IPsec en un evento de Plug and Play para interfaces de red. Esto supone un posible riesgo de seguridad porque puede que algunas interfaces de red no obtengan la protección proporcionada por los filtros IPsec aplicados. Usa el complemento Monitor de seguridad IP para diagnosticar el problema.

Volumen de eventos: bajo.
Valor predeterminado: sin auditoría.

Expandir la política de Auditar otros eventos del sistema

La directiva Audit Other System Events determina si el sistema operativo audita varios eventos del sistema. Los eventos del sistema de esta categoría incluyen:

Inicio y apagado del servicio Firewall de Windows y el controlador.
Procesamiento de directivas de seguridad por parte del servicio Firewall de Windows.
Operaciones de migración y archivo de clave criptográfica.

Importante

Si no se inicia el servicio Firewall de Windows, se puede producir un equipo que no esté totalmente protegido contra amenazas de red.

Id. del evento	Mensaje de evento
5024	El servicio de Firewall de Windows se ha iniciado correctamente.
5025	El servicio de Firewall de Windows se ha detenido.
5027	El servicio de Firewall de Windows no pudo recuperar la directiva de seguridad del almacenamiento local. El servicio continuará aplicando la directiva actual.
5028	El servicio Firewall de Windows no pudo analizar la nueva directiva de seguridad. El servicio continuará con la directiva aplicada actualmente.
5029	El servicio Firewall de Windows no pudo inicializar el controlador. El servicio continuará aplicando la directiva actual.
5030	No se pudo iniciar el servicio Firewall de Windows.
5032	Firewall de Windows no pudo notificar al usuario que impidió que una aplicación aceptara conexiones entrantes en la red.
5033	El controlador de Firewall de Windows se inició correctamente.
5034	Se detuvo el controlador de Firewall de Windows.
5035	No se pudo iniciar el controlador de Firewall de Windows.
5037	El controlador de Firewall de Windows detectó un error en tiempo de ejecución crítico. Finalizando.
5058	Operación de archivo de clave.
5059	Operación de migración de clave.
6400	BranchCache: recibió una respuesta con formato incorrecto al detectar la disponibilidad del contenido. Este evento solo se registra en equipos que ejecutan versiones compatibles del sistema operativo Windows.
6401	BranchCache: se han recibido datos no válidos de un mismo nivel. Datos descartados. ¹
6402	BranchCache: el mensaje a la caché hospedada que ofrece los datos tiene un formato incorrecto. ¹
6403	BranchCache: la caché hospedada envió una respuesta con formato incorrecto al cliente. ¹
6404	BranchCache: no se pudo autenticar la caché hospedada mediante el certificado SSL aprovisionado. ¹
6405	BranchCache: Se produjeron %2 instancias del identificador de evento %1. ¹
6406	%1 registrado en Firewall de Windows para controlar el filtrado de lo siguiente: %2 ¹
6407	1% ¹
6408	Producto registrado %1 falló y ahora el Firewall de Windows controla el filtrado de %2 ¹

Nota:

¹ Este evento solo se registra en equipos que ejecutan versiones compatibles del sistema operativo Windows.

Volumen de eventos: bajo.
Valor predeterminado: Éxito y Fracaso.

Expanda la directiva de cambio de estado de seguridad de auditoría

La directiva Audit Security State Change determina si Windows genera eventos de auditoría para los cambios en el estado de seguridad de un sistema. Los cambios en el estado de seguridad del sistema operativo incluyen:

Inicio y apagado del sistema.
Cambio de la hora del sistema.
Recuperación del sistema desde CrashOnAuditFail. Este evento se registra después de que un sistema se reinicie después de CrashOnAuditFail. Es posible que algunas actividades auditables no se registren cuando se reinicia un sistema debido a CrashOnAuditFail.

Id. del evento	Mensaje de evento
4608	Windows se está iniciando.
4609	Windows se está apagando.
4616	Se cambió la hora del sistema.
4621	El administrador recuperó el sistema del error CrashOnAuditFail. Los usuarios que no sean administradores podrán iniciar sesión ahora. Es posible que no se haya registrado alguna actividad de auditoría.

Volumen de eventos: bajo.
Valor predeterminado: Éxito.

Expanda la directiva de extensión del sistema de seguridad de auditoría

La directiva Audit Security System Extension determina si el sistema operativo genera eventos de auditoría relacionados con las extensiones del sistema de seguridad. Los cambios en las extensiones del sistema de seguridad del sistema operativo incluyen las siguientes actividades:

Se carga un código de extensión de seguridad (por ejemplo, una autenticación, una notificación o un paquete de seguridad). Un código de extensión de seguridad se registra con la autoridad de seguridad local y se usará y confiará para autenticar los intentos de inicio de sesión, enviar solicitudes de inicio de sesión y recibir notificaciones de cualquier cambio de cuenta o contraseña. Algunos ejemplos de este código de extensión son proveedores de soporte técnico de seguridad, como Kerberos y NTLM.
Se instala un servicio. Se genera un registro de auditoría cuando se registra un servicio con service Control Manager. El registro de auditoría contiene información sobre el nombre del servicio, el binario, el tipo, el tipo de inicio y la cuenta de servicio.

Importante

Los intentos de instalar o cargar extensiones o servicios del sistema de seguridad son eventos críticos del sistema que podrían indicar una infracción de seguridad.

Id. del evento	Mensaje de evento
4610	La Autoridad de seguridad local ha cargado un paquete de autenticación.
4611	Se registró un proceso de inicio de sesión de confianza con la Autoridad de seguridad local.
4614	El Administrador de cuentas de seguridad cargó un paquete de notificación.
4622	La Autoridad de seguridad local cargó un paquete de seguridad.
4697	Se instaló un servicio en el sistema.

Volumen de eventos: bajo. Los eventos de extensión del sistema de seguridad se generan con más frecuencia en un controlador de dominio que en equipos cliente o servidores miembros.
Valor predeterminado: sin auditoría.

Expandir la política de integridad del sistema de auditoría

La directiva Audit System Integrity determina si el sistema operativo audita los eventos que infringen la integridad del subsistema de seguridad. Las actividades que infringen la integridad del subsistema de seguridad incluyen:

Los eventos auditados se pierden debido a un error del sistema de auditoría.
Un proceso usa un puerto de llamada a procedimiento local (LPC) no válido en un intento de suplantar a un cliente, responder a un espacio de direcciones de cliente, leer en un espacio de direcciones de cliente o escribir desde un espacio de direcciones de cliente.
Se detecta una violación de integridad RPC.
Se detecta una infracción de integridad de código con un valor hash no válido de un archivo ejecutable.
Se realizan tareas criptográficas.

Importante

Las infracciones de la integridad del subsistema de seguridad son críticas y podrían indicar un posible ataque de seguridad.

Id. del evento	Mensaje de evento
4612	Los recursos internos asignados para la cola de mensajes de auditoría se han agotado, provocando la pérdida de algunas auditorías.
4615	Uso no válido de puerto LPC.
4618	Se ha producido un patrón de evento de seguridad supervisado.
4816	RPC detectó una infracción de integridad al descifrar un mensaje entrante.
5038	Integridad de código determinó que el hash de imagen de un archivo no es válido. El archivo pudo resultar dañado por una modificación no autorizada o el hash no válido podría indicar un posible error de dispositivo de disco.
5056	Se realizó una prueba automática criptográfica.
5057	Error de operación primitiva criptográfica.
5060	Error en la operación de comprobación.
5061	Operación criptográfica.
5062	Se realizó una prueba automática criptográfica en modo kernel.
6281	La integridad del código determinó que los valores hash de las páginas de un archivo de imagen no son válidos. El archivo podría estar mal firmado y sin los hashes de página, o dañado debido a modificaciones no autorizadas. Los hash no válidos podrían indicar un posible error de dispositivo de disco. Este evento solo se registra en equipos que ejecutan las versiones compatibles del sistema operativo Windows.

Volumen de eventos: bajo.
Valor predeterminado: Éxito y Fracaso.

Acceso a objetos globales

La configuración de directiva global de auditoría de acceso a objetos permite a los administradores definir SACL de equipo por tipo de objeto para el sistema de archivos o para el registro. A continuación, el SACL especificado se aplica automáticamente a cada objeto de ese tipo.

Los auditores pueden demostrar que todos los recursos del sistema están protegidos por una directiva de auditoría viendo el contenido de la configuración de directiva de auditoría de acceso a objetos global. Por ejemplo, si los auditores ven una configuración de directiva denominada "Realizar un seguimiento de todos los cambios realizados por los administradores del grupo", saben que esta directiva está en vigor.

Las SACL de recursos también son útiles para escenarios de diagnóstico. Por ejemplo, al establecer la directiva global de auditoría de acceso a objetos para registrar toda la actividad de un usuario específico y permitir que la directiva realice un seguimiento de los eventos de "Acceso denegado" para el sistema de archivos o el registro puede ayudar a los administradores a identificar rápidamente qué objeto de un sistema está denegando el acceso de un usuario.

Si activa la casilla Definir esta configuración de directiva en la página de propiedades de la directiva, seleccione Configurar, puede agregar un usuario o grupo a la SACL global. Esto le permite definir SACL de equipo por tipo de objeto para el sistema de archivos. La SACL especificada se aplica automáticamente a cada tipo de objeto del sistema de archivos.
Expandir directiva del sistema de archivos (auditoría global de acceso a objetos)

La directiva sistema de archivos (auditoría global de acceso a objetos) le permite configurar una SACL global en el sistema de archivos para todo un equipo.

Si un archivo o carpeta SACL y una SACL global se configuran en un equipo, la SACL efectiva se deriva combinando el archivo o carpeta SACL y la SACL global. Esto significa que se genera un evento de auditoría si una actividad coincide con el archivo o la carpeta SACL o la SACL global.
- Volumen de eventos: varía según la SACL efectiva y el nivel de actividad del usuario.
Expandir la directiva del Registro (auditoría de acceso a objetos global)

La directiva registro (auditoría global de acceso a objetos) permite configurar una SACL global en el registro de un equipo.

Si una SACL del registro y una SACL global se configuran en un equipo, la SACL efectiva se deriva mediante la combinación de SACL del registro y la SACL global. Esto significa que se genera un evento de auditoría cuando una actividad coincide con la clave del Registro SACL o la SACL global.
- Volumen de eventos: varía según la SACL efectiva y el nivel de actividad del usuario.

Compartir a través de

Configuración avanzada de directivas de auditoría

Comentarios

Recursos adicionales