Auditar eventos de inicio de sesión
Determina si se audita cada instancia de un usuario que inicia sesión en un dispositivo o si se cierra la sesión desde él.
Los eventos de inicio de sesión de la cuenta se generan en los controladores de dominio para la actividad de la cuenta de dominio y en los dispositivos locales para la actividad de la cuenta local. Si están habilitadas las categorías de directivas de inicio de sesión y de auditoría de inicio de sesión de cuenta, los inicios de sesión que usan una cuenta de dominio generan un evento de inicio de sesión o cierre de sesión en la estación de trabajo o el servidor y generan un evento de inicio de sesión de cuenta en el controlador de dominio. Además, los inicios de sesión interactivos en un servidor miembro o estación de trabajo que usan una cuenta de dominio generan un evento de inicio de sesión en el controlador de dominio, ya que los scripts de inicio de sesión y las directivas se recuperan cuando un usuario inicia sesión. Para obtener más información sobre los eventos de inicio de sesión de cuenta, consulte Auditar eventos de inicio de sesión de cuenta.
Si define esta configuración de directiva, puede especificar si auditar los éxitos, los errores de auditoría o no auditar el tipo de evento. Las auditorías correctas generan una entrada de auditoría cuando un intento de inicio de sesión se realiza correctamente. Las auditorías de errores generan una entrada de auditoría cuando se produce un error en un intento de inicio de sesión.
Para establecer este valor en Sin auditoría, en el cuadro de diálogo Propiedades de esta configuración de directiva, active la casilla Definir esta configuración de directiva y desactive las casillas Correcto y Error .
Para obtener información sobre la configuración avanzada de directivas de seguridad para eventos de inicio de sesión, consulte la sección Inicio de sesión o cierre de sesión en Configuración de directiva de auditoría de seguridad avanzada.
Configuración de esta configuración de auditoría
Para configurar esta configuración de seguridad, abra la directiva adecuada en Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Directiva de auditoría.
| Eventos de inicio de sesión | Descripción |
|---|---|
| 4624 | Un usuario ha iniciado sesión correctamente en un equipo. Para obtener información sobre el tipo de inicio de sesión, vea la tabla Tipos de inicio de sesión siguiente. |
| 4625 | Error de inicio de sesión. Se intentó iniciar sesión con un nombre de usuario desconocido o un nombre de usuario conocido con una contraseña incorrecta. |
| 4634 | El proceso de cierre de sesión se completó para un usuario. |
| 4647 | Un usuario inició el proceso de cierre de sesión. |
| 4648 | Un usuario ha iniciado sesión correctamente en un equipo con credenciales explícitas mientras ya ha iniciado sesión como un usuario diferente. |
| 4779 | Un usuario desconectó una sesión de terminal server sin cerrar sesión. |
Cuando se registra el evento 4624 (id. de evento heredado de Windows 528), también se muestra un tipo de inicio de sesión en el registro de eventos. En la tabla siguiente se describe cada tipo de inicio de sesión.
| Tipo de inicio de sesión | Título de inicio de sesión | Descripción |
|---|---|---|
| 2 | Interactivo | Un usuario ha iniciado sesión en este equipo. |
| 3 | Red | Un usuario o equipo ha iniciado sesión en este equipo desde la red. |
| 4 | Lote | El tipo de inicio de sesión por lotes lo usan los servidores por lotes, donde los procesos pueden ejecutarse en nombre de un usuario sin su intervención directa. |
| 5 | Servicio | El Administrador de control de servicios inició un servicio. |
| 7 | Desbloquear | Esta estación de trabajo se ha desbloqueado. |
| 8 | NetworkCleartext | Un usuario ha iniciado sesión en este equipo desde la red. La contraseña del usuario se pasó al paquete de autenticación en su forma sin confirmar. La autenticación integrada empaqueta todas las credenciales hash antes de enviarlas a través de la red. Las credenciales no atraviesan la red en texto no cifrado (también denominado cleartext). |
| 9 | NewCredentials | Un llamador clonó su token actual y especificó nuevas credenciales para las conexiones salientes. La nueva sesión de inicio de sesión tiene la misma identidad local, pero usa credenciales diferentes para otras conexiones de red. |
| 10 | RemoteInteractive | Un usuario ha iniciado sesión en este equipo de forma remota mediante Terminal Services o Escritorio remoto. |
| 11 | CachedInteractive | Un usuario ha iniciado sesión en este equipo con credenciales de red almacenadas localmente en el equipo. No se contactó con el controlador de dominio para comprobar las credenciales. |
Temas relacionados
Comentarios
Enviar y ver comentarios de