Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Habilitar el registro de eventos de integridad de código y la auditoría del sistema
Extracto del registro de eventos de integridad de código y auditoría del sistema:
Integridad de código es el componente en modo kernel que implementa la comprobación de la firma del controlador. Genera eventos del sistema relacionados con la comprobación de imágenes y registra la información en el registro de integridad de código:
La vista de registro operativo Integridad de código muestra solo los eventos de error de comprobación de imágenes.
En la vista de registro detallado integridad de código se muestran los eventos para las comprobaciones de firmas correctas.
En el procedimiento siguiente se muestra cómo habilitar el registro detallado de eventos de integridad de código para ver todos los eventos correctos de comprobación de imágenes en modo kernel y del sistema operativo:
Para habilitar el registro de eventos detallados de integridad de código
Extracto de Habilitación del registro de auditoría de eventos del sistema:
Para habilitar el registro detallado, siga estos pasos:
Abra una ventana del símbolo del sistema con permisos elevados.
Ejecute Eventvwr.exe en la línea de comandos.
En la carpeta Visor de eventos del panel izquierdo del Visor de eventos, expanda la siguiente secuencia de subcarpetas:
Registros de aplicaciones y servicios
Microsoft
Windows
Expanda la subcarpeta Integridad de código en la carpeta Windows para mostrar su menú contextual.
Seleccione Vista.
Seleccione Mostrar registros analíticos y de depuración. El Visor de eventos mostrará un subárbol que contiene una carpeta Operativo y una carpeta Detallado.
Haga clic con el botón derecho en Verbose y seleccione Propiedades en el menú contextual emergente.
Seleccione la pestaña General del cuadro de diálogo Propiedades y, a continuación, seleccione la opción Habilitar registro hacia el centro de la página de propiedades. Esto habilitará el registro detallado.
Reinicie el equipo para que surtan efecto los cambios.
Los registros de eventos del sistema también se pueden habilitar, que incluyen eventos de error de comprobación de imágenes de integridad de código. Estos eventos se generan cuando el kernel de Windows no puede cargar un controlador debido a un error de firma. Los eventos similares también se registran en la vista de registro de eventos operativos de integridad de código.
Para habilitar la directiva de auditoría para generar eventos de auditoría en la categoría del sistema para las operaciones con errores
Para habilitar la directiva de auditoría de seguridad para capturar errores de carga en los registros de auditoría, siga estos pasos:
Abra una ventana del símbolo del sistema con permisos elevados. Para abrir una ventana del símbolo del sistema con privilegios elevados, cree un acceso directo de escritorio para Cmd.exe, haga clic con el botón derecho en el acceso directo Cmd.exe y seleccione Ejecutar como administrador.
En una ventana de símbolo del sistema con privilegios elevados, ejecute el siguiente comando:
Auditpol /set /Category:System /failure:enableReinicie el equipo para que surtan efecto los cambios.
En la captura de pantalla siguiente se muestra cómo usar Auditpol para habilitar la auditoría de seguridad.
