2012

Instituto Superior SISE Josehimar Granda M

[SERVIDOR DE AUDITORA]
Windows Server 2008

Introduccin
Un registro de auditora registrar una entrada siempre que los usuarios realicen determinadas acciones que usted especifica. El anlisis regular permite a un administrador hacer un seguimiento y garantizar un nivel adecuado de seguridad en cada equipo como parte de un programa de administracin de riesgos de la empresa La auditora de seguridad es extremadamente importante para cualquier sistema empresarial, ya que los registros de auditora puede que den la nica indicacin de que se ha producido una infraccin de seguridad. Si se descubre la infraccin de cualquier otra forma, la configuracin de auditora adecuada generar un registro de auditora que contenga informacin importante sobre la infraccin.

Objetivos
Utilice este mdulo para establecer las siguientes directivas de auditora:

Configuracin de auditora

Auditar sucesos de inicio de sesin de cuenta Auditar la administracin de cuentas Auditar el acceso del servicio de directorio Auditar sucesos de inicio de sesin Auditar el acceso a objetos Auditar el cambio de directivas Auditar el uso de privilegios Auditar el seguimiento de procesos Auditar suceso del sistema

Valores de auditora
Las vulnerabilidades, contramedidas y posibles impactos de todos los valores de configuracin de auditora son idnticos, por lo que slo se detallan una vez en los siguientes prrafos. Debajo de esos prrafos se incluyen breves explicaciones de cada valor.
Las opciones para los valores de configuracin de auditora son:

Correcto Errneo

Sin auditora

Vulnerabilidad
Si no se configura ninguna auditora, ser complicado o imposible determinar lo que sucedi durante un incidente de seguridad. No obstante, si se configura la auditora para que demasiadas actividades autorizadas generen sucesos, el registro de sucesos de seguridad se llenar de datos poco tiles. Configurar la auditora para un gran nmero de objetos puede influir tambin en el rendimiento general del sistema.

Comtramedida
Todos los equipos de su organizacin deberan tener directivas de auditora razonables habilitadas para que los usuarios legtimos puedan ser responsables de sus acciones y las actividades no autorizadas se puedan detectar y seguir.

Impacto Potencial
Si no se configura ninguna auditora o si la auditora tiene una configuracin muy baja en los equipos de la organizacin, no habr evidencias disponibles, o sern insuficientes, para el anlisis de la red despus de que se produzcan los incidentes de seguridad. Por otra parte, si se habilitan demasiadas auditoras el registro de seguridad se llenar de entradas carentes de sentido.

Implementacin Servidor de Auditora

Seleccionamos para poder editar

Mostramos como categora de auditoria:

Le damos clic derecho para poder seleccionar

En la unidad c:\ crearemos una carpeta llamada prueba ,la compartimos

Le asignamos permisos para el usuario Josehimar Granda Mantilla pueda acceder a esta carpeta y auditamos a este usuario

Carpeta ya creada y compartida \\192.168.123.2

Y dentro crearemos otra carpeta y lo eliminamos para que la accion se muestre en el visor de eventos

Iniciamos sesin con el usuario Yosehimar Granda Mantilla y en primera instancia ingresamos la contrasea errnea .para visualizarlo en el visor de eventos, luego ingresamos la contrasea correcta

La verificacin se muestra en el visor de eventos

Se muestra como sucede se puede verificar con hora y da de todo el transcurso:

Subcategora: Validacin de credenciales

ID. Mensaje

477 Se ha asignado una cuenta de inicio de sesin. 4 477 No se puede asignar una cuenta de inicio de sesin. 5 477 El equipo intenta validar las credenciales de una cuenta. 6 477 El controlador de dominio no se pudo validar las credenciales 7 de una cuenta.

Subcategora: Servicio de autenticacin de Kerberos

ID. Mensaje

476 Se solicit un vale de autenticacin de Kerberos 8 (TGT). 477 Error en la autenticacin previa Kerberos. 1 477 Ha fallado una solicitud de vale de autenticacin 2 de Kerberos.

Subcategora: Las operaciones de vale de servicio Kerberos

ID. Mensaje

476 Se solicit un vale de servicio de Kerberos. 9 477 Se ha renovado un vale de servicio de 0 Kerberos.

477 Ha fallado una solicitud de vale de servicio de 3 Kerberos.

Categora: Administracin de cuentas

Subcategora: Administracin de grupo de aplicaciones
ID. Mensaje

478 Ha creado un grupo de aplicaciones bsicas. 3 478 Se ha modificado un grupo de aplicaciones bsicas. 4 478 Se ha agregado un miembro a un grupo de aplicaciones 5 bsicas. 478 Se ha quitado un miembro de un grupo de aplicaciones 6 bsicas. 478 Que no sea miembro se ha agregado a un grupo de 7 aplicaciones bsicas. 478 Se quit un miembro de un grupo de aplicaciones bsicas. 8 478 Se ha eliminado un grupo de aplicaciones bsicas. 9 479 Se ha creado un grupo de consulta LDAP. 0 479 Se ha modificado un grupo de aplicaciones bsicas. 1 479 Se ha eliminado un grupo de consulta LDAP. 2

Subcategora: Administracin de cuentas de equipo

ID. Mensaje

474 Se ha creado una cuenta de 1 equipo. 474 Se ha modificado una cuenta de 2 equipo. 474 Se ha eliminado una cuenta de 3 equipo.

Subcategora: Administracin de grupo de distribucin

ID. Mensaje

474 Ha creado un grupo local con la seguridad deshabilitada. 4 474 Ha modificado un grupo local con la seguridad deshabilitada. 5 474 Se ha agregado un miembro a un grupo local con la seguridad 6 deshabilitada. 474 Se ha quitado un miembro de un grupo local con la seguridad 7 deshabilitada. 474 Se ha eliminado un grupo local con la seguridad deshabilitada. 8 474 Se cre un grupo global con la seguridad deshabilitada. 9 475 Ha modificado un grupo global con la seguridad deshabilitada. 0 475 Se ha agregado un miembro a un grupo global con la seguridad 1 deshabilitada.

475 Se ha quitado un miembro de un grupo global con la seguridad 2 deshabilitada. 475 Se ha eliminado un grupo global con la seguridad deshabilitada. 3 475 Ha creado un grupo universal con la seguridad deshabilitada. 9 476 Ha modificado un grupo universal con la seguridad deshabilitada. 0 476 Se ha agregado un miembro a un grupo universal con la 1 seguridad deshabilitada. 476 Se ha quitado un miembro de un grupo universal con la seguridad 2 deshabilitada.

Subcategora: Otros eventos de administracin de cuentas

ID. Mensaje

478 Se obtuvo acceso el valor de hash de contrasea 2 una cuenta. 479 Se llam a la API de comprobacin de directiva de 3 contrasea.

Subcategora: Administracin de grupo de seguridad

ID. Mensaje

472 Se ha creado un grupo global con seguridad habilitada. 7 472 Se ha agregado un miembro a un grupo global con seguridad 8 habilitada. 472 Se ha quitado un miembro de un grupo global con seguridad

habilitada.

473 Se ha eliminado un grupo global con seguridad habilitada. 0 473 Ha creado un grupo local con la seguridad habilitada. 1 473 Se ha agregado un miembro a un grupo local con la 2 seguridad habilitada. 473 Se ha quitado un miembro de un grupo local con la 3 seguridad habilitada. 473 Se ha eliminado un grupo local con la seguridad habilitada. 4 473 Se ha modificado un grupo local con la seguridad habilitada. 5 473 Se ha modificado un grupo global con seguridad habilitada. 7 475 Ha creado un grupo universal con seguridad habilitada. 4 475 Se ha modificado un grupo universal con seguridad 5 habilitada. 475 Se ha agregado un miembro a un grupo universal con 6 seguridad habilitada. 475 Se ha quitado un miembro de un grupo universal con 7 seguridad habilitada. 475 Se ha eliminado un grupo universal con seguridad habilitada. 8 476 Tipo de grupo se ha cambiado. 4

Subcategora: Administracin de cuentas de usuario

ID. Mensaje

472 Se ha creado una cuenta de usuario. 0 472 Se habilit una cuenta de usuario. 2 472 Se ha intentado cambiar la contrasea de cuenta. 3 472 Se ha intentado restablecer la contrasea de cuenta. 4 472 Se ha deshabilitado una cuenta de usuario. 5 472 Se ha eliminado una cuenta de usuario. 6 473 Se ha modificado una cuenta de usuario. 8 474 Se ha bloqueado una cuenta de usuario. 0 476 SID History se ha agregado a una cuenta. 5 476 Error al intentar agregar SID History a una cuenta. 6 476 Se ha desbloqueado una cuenta de usuario. 7 478 La ACL se ha establecido en las cuentas que son miembros de grupos de 0 administradores.

478 Se cambi el nombre de una cuenta: 1 479 Se ha intentado establecer el modo de restauracin de servicios de 4 directorio. 537 Las credenciales de administrador de credenciales realiz la copia. 6 537 Las credenciales de administrador de credenciales se restauran desde una 7 copia de seguridad.

Categora: Realizar un seguimiento detallado

Subcategora: Actividad DPAPI
ID. Mensaje

469 Se ha intentado efectuar copia de seguridad de clave de sesin de 2 proteccin de datos. 469 Se ha intentado iniciar la recuperacin de clave de sesin de 3 proteccin de datos. 469 Se intent realizar la proteccin de datos protegidos auditables. 4 469 Se intent realizar la desproteccin de los datos protegidos auditables. 5

Subcategora: La creacin del proceso

ID. Mensaje

468 Se ha creado un nuevo proceso. 8 469 Un smbolo (token) primario se ha asignado 6 al proceso.

Subcategora: Finalizacin del proceso

ID. Mensaje

468 Un proceso ha 9 terminado.

Subcategora: Eventos RPC

ID. Mensaje

571 Se intent realizar una llamada a procedimiento 2 remoto (RPC).

Categora: Acceso DS
Subcategora: Replicacin del servicio de directorio detallada
ID. Mensaje

492 Se ha establecido un contexto de nomenclatura de la fuente de rplica de 8 Active Directory. 492 Se ha quitado un contexto de nomenclatura de la fuente de rplica de 9 Active Directory. 493 Se modific un contexto de nomenclatura de la fuente de rplica de 0 Active Directory. 493 Se modific un contexto de nombres de destino de rplica de Active 1 Directory. 493 Se han replicado los atributos de un objeto de Active Directory. 4 493 Error de replicacin se inicia. 5 493 Errores de replicacin de los extremos.

6 493 Un objeto persistente se ha quitado una rplica. 7

Subcategora: Acceso al servicio de directorio

ID. Mensaje

466 Se realiz una operacin en un 2 objeto.

Subcategora: Los cambios de servicio de directorio

ID. Mensaje

513 Se modific un objeto de servicio de 6 directorio. 513 Se cre un objeto de servicio de directorio. 7 513 No se ha borrado un objeto de servicio de 8 directorio. 513 Se ha movido un objeto de servicio de 9 directorio. 514 Se ha eliminado un objeto de servicio de 1 directorio.

Subcategora: Replicacin del servicio de directorio

ID. Mensaje

493 Ha comenzado la sincronizacin de una rplica de un contexto de 2 nomenclatura de Active Directory.

493 Ha finalizado la sincronizacin de una rplica de un contexto de 3 nomenclatura de Active Directory.

Categora: Inicio de sesin/cierre de sesin

Subcategora: Modo extendido de IPsec
ID. 4881 Mensaje Durante la negociacin de modo extendido, IPsec ha recibido un paquete de negociacin no vlido. Si el problema persiste, puede indicar un problema de red o un intento de modificar o volver a reproducir esta negociacin. 4882

Detienen servicios de Certificate Server.

Puede cambiar los 4883 permisos de seguridad para servicios de Certificate Server. Servicios de Certificate 4884 Server recuperaron una clave archivada. Servicios de Certificate 4885 Server importaron un certificado a su base de datos. Puede cambiar el filtro Una IPsec extiende la negociacin de modo no se de auditora para pudo. Se elimin la asociacin de seguridad de modo servicios de Certificate principal correspondiente. Server. 4886 Servicios de Certificate Server recibieron una solicitud de certificado.

Subcategora: Modo de principal de IPsec

ID. Mensaje

464 Iniciada el modo de prevencin de denegacin de servicio de IKE. 6 465 Se ha establecido una asociacin de seguridad de modo principal IPsec. No 0 se habilit el modo extendido. No se utiliz la autenticacin de certificado. 465 Se ha establecido una asociacin de seguridad de modo principal IPsec. No 1 se habilit el modo extendido. Un certificado se utiliza para la autenticacin. 465 Error en una negociacin de modo principal IPsec. 2 465 Error en una negociacin de modo principal IPsec. 3 465 Una asociacin de seguridad de IPsec de modo principal finaliz. 5 497 Durante la negociacin de modo principal IPsec recibi un paquete de 6 negociacin no vlido. Si el problema persiste, puede indicar un problema de red o un intento de modificar o volver a reproducir esta negociacin. 504 Se ha eliminado una asociacin de seguridad de IPsec. 9 545 Agente de directivas IPsec aplica Directiva de IPsec de almacenamiento de 3 informacin de Active Directory en el equipo.

Subcategora: Modo rpido de IPsec

ID. Mensaje

465 Error en una negociacin de modo rpido IPsec. 4 497 Durante la negociacin de modo rpido, IPsec ha recibido un paquete de

negociacin no vlido. Si el problema persiste, puede indicar un problema de red o un intento de modificar o volver a reproducir esta negociacin.

545 Se ha establecido una asociacin de seguridad de modo rpido IPsec. 1 545 Una asociacin de seguridad de IPsec de modo rpido finalizado. 2

Subcategora: cierre de sesin

ID. Mensaje

463 Una cuenta se ha cerrado la 4 sesin. 464 Cierre de sesin iniciada por el 7 usuario.

Subcategora: inicio de sesin

ID. Mensaje

462 Una cuenta se ha iniciado una sesin. 4 462 No se pudo iniciar sesin una cuenta. 5 464 Se ha intentado efectuar un inicio de sesin mediante 8 credenciales explcitas. 467 Se han filtrado los SID. 5

Subcategora: Servidor de directivas de red

ID. Mensaje

627 Servidor de directivas de red haba concedido acceso a un usuario.

2 627 Servidor de directivas de red haba denegado el acceso a un usuario. 3 627 Servidor de directivas de red descarta la solicitud de un usuario. 4 627 Servidor de directivas de red descarta la solicitud de administracin de 5 cuentas para un usuario. 627 Servidor de directivas de red en cuarentena a un usuario. 6 627 Servidor de directivas de red haba concedido acceso a un usuario pero 7 colocar en perodo de prueba porque el host no cumpla con la directiva de mantenimiento definidas. 627 Servidor de directivas de red acceso completo a un usuario debido a que el 8 host cumple la directiva de mantenimiento definidas. 627 Servidor de directivas de red haba bloqueada la cuenta de usuario debido 9 a intentos errneos de autenticacin repetidas. 628 Servidor de directivas de red desbloquear la cuenta de usuario. 0

Subcategora: Otros eventos de inicio de sesin/cierre de sesin

ID. Mensaje

464 Se detect un ataque de reproduccin. 9 477 Se volvi a conectar una sesin a una estacin de ventana. 8 477 Se ha desconectado una sesin desde una estacin de 9 ventana.

480 Se bloque la estacin de trabajo. 0 480 La estacin de trabajo se ha desbloqueado. 1 480 Se ha invocado el protector de pantalla. 2 480 Se cerr el protector de pantalla. 3 537 La delegacin de credenciales solicitado no se ha permitido 8 por la directiva. 563 Se realiz una solicitud para autenticar a una red 2 inalmbrica. 563 Se realiz una solicitud para autenticarse en una red con 3 cable.

Subcategora: Inicio de sesin especial

ID. Mensaje

496 Grupos especiales se han asignado a un nuevo 4 inicio de sesin.

Categora: El acceso a objetos

Subcategora: Aplicacin generada
ID. Mensaje

466 Se ha intentado crear un contexto de cliente de 5 aplicacin. 466 Una aplicacin intent una operacin: 6

466 Se ha eliminado un contexto de cliente de 7 aplicacin. 466 Una aplicacin se puede inicializar. 8

Subcategora: Servicios de certificacin

ID. Mensaje

486 El Administrador de certificados ha denegado una peticin de certificado 8 pendiente. 486 Servicios de Certificate Server recibieron una solicitud de certificado 9 reenviada. 487 Servicios de Certificate Server revocan un certificado. 0 487 Servicios de Certificate Server recibieron una solicitud para publicar la lista 1 de revocacin de certificados (CRL). 487 Servicios de Certificate Server publican la lista de revocacin de 2 certificados (CRL). 487 Puede cambiar una extensin de solicitud de certificado. 3 487 Puede cambiar los atributos de solicitud de certificado. 4 487 Servicios de Certificate Server recibieron una solicitud para apagar. 5 487 Inicia la copia de seguridad de servicios de certificado. 6 487 Certificado de copia de seguridad de servicios realizada. 7 487 Inici la restauracin de servicios de certificado.

8 487 Completada la restauracin de servicios Certificate Server. 9 488 Inician servicios de Certificate Server. 0 488 Servicios de Certificate Server aprob una solicitud de certificado y emiti 7 un certificado. 488 Servicios de Certificate Server ha denegado una peticin de certificado. 8 488 Servicios de Certificate Server sea el estado de una solicitud de certificado 9 pendiente. 489 Puede cambiar la configuracin del Administrador de certificados para 0 servicios de Certificate Server. 489 Una entrada de configuracin puede cambiada en servicios de Certificate 1 Server. 489 Cambia una propiedad de servicios de Certificate Server. 2 489 Servicios de Certificate Server archivan una clave. 3 489 Servicios de Certificate Server importaron y archivaron una clave. 4 489 Servicios de Certificate Server publican el certificado de entidad emisora 5 de certificados en servicios de dominio de Active Directory. 489 Se eliminaron una o varias filas de la base de datos de certificado. 6 489 Funcin de separacin habilitada: 7 489 Servicios de Certificate Server cargan una plantilla.

8 489 Se actualiz una plantilla de servicios de Certificate Server. 9 490 Seguridad de plantillas de servicios de certificado se ha actualizado. 0 512 Se inici el servicio de Respondedor OCSP. 0 512 Detener el servicio de Respondedor OCSP. 1 512 Una entrada de configuracin puede cambiada en el servicio de 2 Respondedor de OCSP. 512 Una entrada de configuracin puede cambiada en el servicio de 3 Respondedor de OCSP. 512 Una configuracin de seguridad se actualiz de servicio de Respondedor 4 de OCSP. 512 Se envi una solicitud al servicio de Respondedor de OCSP. 5 512 Certificado de firma se actualiz automticamente por el servicio de 6 Respondedor de OCSP. 512 El proveedor de revocacin de OCSP haba actualizado correctamente la 7 informacin de revocacin. 515 La plataforma de filtrado de Windows ha bloqueado un paquete. 2 515 Un filtro ms restrictivo de plataforma de filtrado de Windows ha 3 bloqueado un paquete. 494 La siguiente directiva de estaba activa cuando se inici el servidor de 4 seguridad de Windows. 494 Una regla se mostr cuando inicia el servidor de seguridad de Windows.

5 494 Se realiza un cambio en la lista de excepciones de Firewall de Windows. Se 6 ha agregado una regla. 494 Se realiza un cambio en la lista de excepciones de Firewall de Windows. Se 7 ha modificado una regla.

Subcategora: Recurso compartido de archivos detallados

ID. Mensaje

514 Un objeto de recurso compartido de red se comprueba para ver si se 5 puede conceder el cliente desea acceso.

Subcategora: Recurso compartido de archivos

ID. Mensaje

514 Se tiene acceso a un objeto de recurso 0 compartido de red. 514 Se ha agregado un objeto de recurso 2 compartido de red. 514 Se modific un objeto de recurso compartido de 3 red. 514 Se ha eliminado un objeto de recurso 4 compartido de red. 516 Comprobacin de SPN de SMB/SMB2 fall. 8

Subcategora: Sistema de archivos

ID. Mensaje

4664

Se ha intentado crear un vnculo fsico. El estado de una transaccin ha cambiado. Un archivo fue una solucin virtualizado.

4985

5051 para

Subcategora: Conexin de Filtering Platform

ID. 5031 Mensaje El servicio de Firewall de Windows bloquea una aplicacin acepte conexiones entrantes en la red. La plataforma de filtrado de Windows ha detectado un ataque de denegacin de servicio y entrado en un modo defensivo; se descartarn los paquetes asociados con este ataque. El ataque de denegacin de servicio se haya eliminado y se est reanudando el procesamiento normal. La plataforma de filtrado de Windows ha bloqueado un paquete. Un filtro ms restrictivo de plataforma de filtrado de Windows ha bloqueado un paquete. Windows Filtering Platform haya permitido que una aplicacin o servicio para escuchar en un puerto para las conexiones entrantes. La plataforma de filtrado de Windows ha bloqueado una aplicacin o un servicio de escucha en un puerto para las conexiones entrantes. Windows Filtering Platform haya permitido que una conexin. La plataforma de filtrado de Windows ha bloqueado una conexin. Windows Filtering Platform haya permitido que un enlace a un puerto local.

5148 en caja 5149

5150 5151

5154

5155

5156 5157 5158

5159

La plataforma de filtrado de Windows ha bloqueado un enlace a un puerto local.

Subcategora: Colocacin de paquetes de plataforma de filtrado

ID. Mensaje

494 Se realiza un cambio en la lista de excepciones de Firewall de Windows. Se 8 ha eliminado una regla. 494 Configuracin de Firewall de Windows se restaur a los valores 9 predeterminados.

Subcategora: Identificador de manipulacin

ID. Mensaje

465 Se ha solicitado un identificador para 6 un objeto. 465 Se ha cerrado el identificador para un 8 objeto. 469 Se intent duplicar un controlador a un 0 objeto.

Subcategora: Otros eventos de acceso de objeto

ID. Mensaje

467 Una aplicacin intent obtener acceso a un ordinal bloqueado a 1 travs de TBS. 469 Se ha solicitado acceso indirecto a un objeto. 1 469 Se cre una tarea programada. 8

469 Se ha eliminado una tarea programada. 9 470 Se habilit una tarea programada. 0 470 Se ha deshabilitado una tarea programada. 1 470 Se ha actualizado una tarea programada. 2 470 Se ha actualizado una tarea programada. 2 588 Ha modificado un objeto en el catlogo COM +. 8 588 Un objeto se ha eliminado del catlogo de COM +. 9 589 Se agreg un objeto en el catlogo COM +. 0

Subcategora: registro
ID. Mensaje

465 Un valor del registro se 7 modific. 503 Una clave del registro se 9 virtualiza.

Subcategora: subcategora varios uso especial

Nota El siguiente suceso puede generarse mediante algn administrador de recursos cuando se habilita la subcategora. Por ejemplo, el suceso siguiente puede generarse por el Administrador de recursos del registro o por el Administrador de recursos de sistema de archivos. El el acceso a objetos: objeto de Kernel y el acceso a objetos: SAM subcategoras son ejemplos de las subcategoras que utilizar estos eventos de forma exclusiva.

ID.

Mensaje

465 Se ha solicitado un identificador para un objeto con la 9 intencin de eliminar. 466 Se ha eliminado un objeto. 0 466 Se ha solicitado un identificador para un objeto. 1 466 Se ha intentado tener acceso a un objeto. 3

Categora: Cambio de directiva

Subcategora: Cambio de directiva de auditora
ID. Mensaje

471 Se ha cambiado la directiva de auditora (SACL) en un 5 objeto. 471 Se ha cambiado la directiva de auditora del sistema. 9 481 Se han cambiado la configuracin de auditora en un 7 objeto. 490 Se cre la tabla de normas de auditora por usuario. 2 490 Se ha intentado registrar un origen de eventos de 4 seguridad. 490 Se ha intentado anular el registro de un origen de eventos 5 de seguridad. 490 El valor de CrashOnAuditFail ha cambiado. 6

490 Se han cambiado la configuracin de auditora en objeto. 7 490 Tabla de grupos de inicio de sesin especial por ltima 8 vez. 491 Se ha cambiado por directiva de auditora de usuario. 2

Subcategora: Cambio de directiva de autenticacin

ID. Mensaje

470 Se cre una nueva confianza a un dominio. 6 470 Se ha quitado una confianza a un dominio. 7 471 Se ha cambiado la directiva Kerberos. 3 471 Se ha modificado la informacin de dominio de 6 confianza. 471 Se ha concedido acceso al sistema de seguridad a una 7 cuenta. 471 Acceso al sistema de seguridad se ha quitado una 8 cuenta. 473 Se ha cambiado la directiva de dominio. 9 486 Se ha detectado una colisin de espacio de nombres. 4 486 Se ha agregado una entrada de informacin de bosque 5 de confianza. 486 Se quit una entrada de informacin de bosque de

confianza.

486 Se modific una entrada de informacin de bosque de 7 confianza.

Subcategora: Cambio de directiva de autorizacin

ID. Mensaje

470 Se asign un derecho de usuario. 4 470 Se ha quitado un derecho de usuario. 5 471 Directiva de grupo de agente de recuperacin de datos para el sistema de 4 archivos cifrados (EFS) ha cambiado. Se han aplicado los cambios nuevos.

Subcategora: Cambio de Filtering Platform directiva

ID. Mensaje

470 Se inici el servicio de agente de directivas IPsec. 9 471 Se deshabilit el servicio de agente de directivas IPsec. 0 471 Puede contener cualquiera de estos procedimientos: 1 El motor PAStore aplic copia en cach local de la directiva IPsec de almacenamiento de Active Directory en el equipo. El motor PAStore aplic la directiva IPsec de almacenamiento de informacin de Active Directory en el equipo. El motor PAStore aplic la directiva IPsec de almacenamiento de informacin de registro local en el equipo. Error del motor PAStore al aplicar copia en cach local de la directiva IPsec de almacenamiento de Active Directory en el equipo. Error del motor PAStore al aplicar directiva IPsec de almacenamiento de Active Directory en el equipo. Error del motor PAStore al aplicar directiva IPsec de almacenamiento del registro local en el equipo. Error del motor PAStore al aplicar algunas reglas de la directiva

IPsec activa en el equipo. Error del motor PAStore al cargar directiva de IPsec en el equipo de almacenamiento de informacin de directorio. El motor PAStore carg directiva de IPsec en el equipo de almacenamiento de informacin de directorio. Error del motor PAStore al cargar directiva de IPsec en el equipo de almacenamiento local. El motor PAStore carg almacenamiento local de directiva de IPsec en el equipo. El motor PAStore realiz un sondeo de cambios en la directiva IPsec activa y no detect ningn cambio. 471 Agente de directivas IPsec ha encontrado un error potencialmente grave. 2 504 Se ha modificado la configuracin IPsec. Se ha agregado un conjunto de 0 autenticacin. 504 Se ha modificado la configuracin IPsec. Se modific un conjunto de 1 autenticacin. 504 Se ha modificado la configuracin IPsec. Se ha eliminado un conjunto de 2 autenticacin. 504 Se ha modificado la configuracin IPsec. Se ha agregado una regla de 3 seguridad de conexin. 504 Se ha modificado la configuracin IPsec. Se ha modificado una regla de 4 seguridad de conexin. 504 Se ha modificado la configuracin IPsec. Se ha eliminado una regla de 5 seguridad de conexin. 504 Se ha modificado la configuracin IPsec. Se ha agregado un conjunto de 6 cifrado. 504 Se ha modificado la configuracin IPsec. Se modific un conjunto de 7 cifrado. 504 Se ha modificado la configuracin IPsec. Se ha eliminado un conjunto de 8 cifrado. 544 La siguiente llamada estaba presente cuando se ha iniciado la plataforma 0 de filtrado de Windows motor de filtrado de Base.

544 El siguiente filtro estaba presente cuando se ha iniciado la plataforma de 1 filtrado de Windows motor de filtrado de Base. 544 El proveedor de la siguiente estaba presente cuando se ha iniciado la 2 plataforma de filtrado de Windows motor de filtrado de Base. 544 El contexto de proveedor siguiente estaba presente cuando se ha iniciado 3 la plataforma de filtrado de Windows motor de filtrado de Base. 544 La subcapa siguiente estaba presente cuando se ha iniciado la plataforma 4 de filtrado de Windows motor de filtrado de Base. 544 Se ha cambiado una llamada de Windows Filtering Platform. 6 544 Se ha cambiado un proveedor de Windows Filtering Platform. 8 544 Ha cambiado un contexto de proveedor Windows Filtering Platform. 9 545 Se ha cambiado una subcapa de Windows Filtering Platform. 0 545 El motor PAStore aplic la directiva IPsec de almacenamiento de 6 informacin de Active Directory en el equipo. 545 Agente de directivas IPsec no se pudo aplicar la directiva IPsec de 7 almacenamiento de informacin de Active Directory en el equipo. 545 Aplicar localmente el agente de directivas de IPsec copia de la directiva de 8 IPsec en el equipo de almacenamiento de Active Directory almacenada en cach. 545 Agente de directivas IPsec no se pudo aplicar la copia en cach local de la 9 directiva IPsec de almacenamiento de Active Directory en el equipo. 546 Agente de directivas IPsec aplica la directiva IPsec de almacenamiento de 0 informacin de registro local en el equipo.

546 Agente de directivas IPsec no se pudo aplicar la directiva IPsec de 1 almacenamiento de informacin de registro local en el equipo. 546 Agente de directivas IPsec no se pudo aplicar algunas reglas de la directiva 2 IPsec activa en el equipo. Utilice el complemento Monitor de seguridad IP para diagnosticar el problema. 546 Agente de directivas IPsec sondeo de cambios en la directiva IPsec activa y 3 no detect ningn cambio. 546 Agente de directivas IPsec sondeo de cambios en la directiva IPsec activa, 4 detect cambios y aplicado el usuario. 546 Agente de directivas IPsec recibi un control para la recarga forzada de 5 directiva IPsec y proces el control correctamente. 546 Agente de directivas IPsec un sondeo de cambios en la directiva IPsec de 6 Active Directory, determinada que no se puede conectar Active Directory y utilizar la copia en cach de la directiva IPsec de Active Directory en su lugar. Los cambios realizados en la directiva IPsec de Active Directory ya que no se pudo aplicar el ltimo sondeo. 546 Agente de directivas IPsec un sondeo de cambios en la directiva IPsec de 7 Active Directory, determinada que Active Directory puede ser alcanzado y no encontr cambios en la directiva. No se que se utiliza la copia en cach de la directiva IPsec de Active Directory. 546 Sondeo de cambios en la directiva IPsec de Active Directory, el agente de 8 directivas de IPsec determina que Active Directory se puede alcanzar, encontr cambios en la directiva y aplicar esos cambios. No se que se utiliza la copia en cach de la directiva IPsec de Active Directory. 547 Agente de directivas IPsec carga almacenamiento local de directiva de 1 IPsec en el equipo. 547 Agente de directivas IPsec no se pudo cargar directiva de IPsec en el 2 equipo de almacenamiento local. 547 Agente de directivas IPsec carga directiva de IPsec en el equipo de 3 almacenamiento de informacin de directorio. 547 Agente de directivas IPsec no se pudo cargar directiva de IPsec en el

equipo de almacenamiento de informacin de directorio.

547 Agente de directivas IPsec no se pudo agregar el filtro de modo rpido. 7

Subcategora: Cambio de directiva de nivel de reglas MPSSVC

ID. Mensaje

495 Se ha cambiado una configuracin de Firewall de Windows. 0 495 Firewall de Windows pasa por alto una regla debido a que no se reconoce 1 su nmero de versin principal. 495 Firewall de Windows pasa por alto las partes de una regla debido a que no 2 se reconoce su nmero de versin secundaria. Otras partes de la regla se aplicar. 495 Firewall de Windows pasa por alto una regla debido a que no se hubiera 3 analizado. 495 Configuracin de directiva de grupo para Firewall de Windows se han 4 cambiado y se han aplicado la nueva configuracin. 495 Firewall de Windows puede cambiar el perfil activo. 6 495 Firewall de Windows no aplic la siguiente regla: 7 495 Firewall de Windows no aplic la siguiente regla porque la regla que se 8 refiere a los elementos no configurados en este equipo: 505 Se rechaz un intento de deshabilitar Firewall de Windows mediante una 0 llamada a INetFwProfile.FirewallEnabled(FALSE) interfaz mediante programacin porque esta API no es compatible con esta versin de Windows. Esto suele deberse a un programa que no es compatible con esta versin de Windows. Por favor, pngase en contacto con el fabricante del programa para asegurarse de que tiene una versin de programa

compatible. 495 Firewall de Windows, se omite una regla porque no se pudo analizar. 3 495 Se han cambiado la configuracin de directiva de grupo para Firewall de 4 Windows y se han aplicado la nueva configuracin. 495 Firewall de Windows cambia el perfil activo. 6 495 Firewall de Windows no aplic la siguiente regla: 7 495 Firewall de Windows no aplic la siguiente regla porque la regla hace 8 referencia a los elementos no configurados en este equipo: 505 Se rechaz un intento para deshabilitar Firewall de Windows con una 0 llamada a INetFwProfile.FirewallEnabled(FALSE) interfaz mediante programacin porque esta API no es compatible con esta versin de Windows. Esto es ms probable es que se deba a un programa que no es compatible con esta versin de Windows. Pngase en contacto con el fabricante del programa para asegurarse de que tiene una versin del programa compatible.

Subcategora: Otros eventos de cambio de directiva

ID. Mensaje

490 Se han cambiado la configuracin de directiva local para el TBS. 9 491 Se han cambiado la configuracin de directiva de grupo para el TBS. 0 506 Se intent una operacin de proveedor de servicios criptogrficos. 3 506 Se intent una operacin de contexto de cifrado. 4

506 Se ha intentado efectuar una modificacin de contexto de cifrado. 5 506 Se intent una operacin de funcin criptogrfica. 6 506 Se ha intentado efectuar una modificacin de la funcin criptogrfica. 7 506 Se intent una operacin de proveedor de funcin criptogrfica. 8 506 Se intent una operacin de propiedad de funcin criptogrfica. 9 507 Se ha intentado efectuar una modificacin de la propiedad de funcin 0 criptogrfica. 544 Ha cambiado un filtro de Windows Filtering Platform. 7 614 Directiva de seguridad en los objetos de directiva de grupo se ha aplicado 4 correctamente. 614 Se ha producido uno o ms errores al procesar la directiva de seguridad en 5 los objetos de directiva de grupo.

Subcategora: subcategora varios uso especial

Nota El siguiente suceso puede generarse mediante algn administrador de recursos cuando se habilita la subcategora. Por ejemplo, el suceso siguiente puede generarse por el Administrador de recursos del registro o por el Administrador de recursos de sistema de archivos.

ID.

Mensaje

467 Se cambiaron los permisos en un 0 objeto.

Categora: El uso de privilegios

Subcategora: Uso de privilegios entre maysculas y minsculas y el uso de privilegios no es de vital importancia
ID. Mensaje

467 Privilegios especiales asignados al nuevo inicio 2 de sesin. 467 Se llama a un servicio con privilegios. 3 467 Se intent una operacin en un objeto con 4 privilegios.

Categora: sistema
Subcategora: Controlador de IPsec
ID. Mensaje

496 IPsec descart un paquete de entrada que no se pudo una comprobacin 0 de integridad. Si el problema persiste, eso podra significar que un problema de red o que los paquetes se estn modificando en trnsito a este equipo.Compruebe que los paquetes enviados desde el equipo remoto son las mismas que las recibidas por este equipo.Este error tambin puede indicar problemas de interoperabilidad con otras implementaciones de IPsec. 496 IPsec descart un paquete de entrada que no se pudo una comprobacin 1 de la reproduccin. Si el problema persiste, podra indicar un ataque de reproduccin con respecto a este equipo. 496 IPsec descart un paquete de entrada que no se pudo una comprobacin 2 de la reproduccin. El paquete de entrada tena un nmero demasiado bajo secuencia para asegurarse de no era una repeticin. 496 IPsec descart un paquete de entrada de texto sin cifrar que deba haberse 3 establecido. Si el equipo remoto est configurado con una directiva de

solicitud saliente IPsec, podra resultar benignos y esperadas. Tambin puede deberse a que ste remoto cambiando su directiva IPsec sin que le informa de este equipo. Esto tambin podra ser un intento de ataque de suplantacin de identidad. 496 IPsec ha recibido un paquete desde un equipo remoto con un ndice de 5 parmetro de seguridad (SPI) incorrecto.Normalmente, se debe a hardware defectuoso que se est daando paquetes. Si los errores persisten, compruebe que los paquetes enviados desde el equipo remoto son las mismas que las recibidas por este equipo. Este error tambin puede indicar problemas de interoperabilidad con otras implementaciones de IPsec. En ese caso, si no se impide la conectividad, pueden ignorar estos eventos. 547 Se inici el servicio de agente de directivas IPsec. 8 547 Servicios IPsec se cerr correctamente. El cierre de los servicios IPsec 9 puede suponer un mayor riesgo de ataque de red o el equipo expuesto a posibles riesgos de seguridad. 548 Agente de directivas IPsec no se pudo obtener la lista completa de 0 interfaces de red en el equipo. Esto supone un riesgo de seguridad ya que algunas de las interfaces de red pueden no obtener la proteccin proporcionada por los filtros IPsec aplicados. Utilice el complemento Monitor de seguridad IP para diagnosticar el problema. 548 El servicio de agente de directivas IPsec no se pudo inicializar su servidor 3 RPC. No se pudo iniciar el servicio. 548 El servicio de agente de directivas IPsec un error grave y se ha cerrado. El 4 cierre de este servicio puede suponer un mayor riesgo de ataque de red o el equipo expuesto a posibles riesgos de seguridad. 548 Agente de directivas IPsec no pudo procesar algunos filtros IPsec en un 5 evento de plug-and-play para interfaces de red. Esto supone un riesgo de seguridad ya que algunas de las interfaces de red pueden no obtener la proteccin proporcionada por los filtros IPsec aplicados. Utilice el complemento Monitor de seguridad IP para diagnosticar el problema.

Subcategora: Otros eventos del sistema

ID. Mensaje

502 El servicio de Firewall de Windows se inici correctamente. 4 502 Se detuvo el servicio de Firewall de Windows. 5 502 El servicio de Firewall de Windows no pudo recuperar la directiva de 7 seguridad desde el almacenamiento local.Firewall de Windows seguir aplicando la directiva actual. 502 Firewall de Windows no pudo analizar la nueva directiva de 8 seguridad. Firewall de Windows seguir aplicando la directiva actual. 502 El servicio de Firewall de Windows no pudo inicializar el 9 controlador. Firewall de Windows seguir aplicando la directiva actual. 503 No se pudo iniciar el servicio de Firewall de Windows. 0 503 Firewall de Windows no puede notificar al usuario que ha bloqueado una 2 aplicacin acepte conexiones entrantes en la red. 503 El controlador de servidor de seguridad de Windows se inici 3 correctamente. 503 Se ha detenido el controlador de servidor de seguridad de Windows. 4 503 No se pudo iniciar el controlador de servidor de seguridad de Windows. 5 503 El controlador de servidor de seguridad de Windows detect un error en 7 tiempo de ejecucin crticos, terminar. 505 Operacin de archivo de clave. 8 505 Operacin de principales de la migracin.

9 640 BranchCache: Ha recibido una respuesta con formato incorrecto durante el 0 descubrimiento de disponibilidad del contenido. 640 BranchCache: Recibido datos no vlidos de un elemento del mismo 1 nivel. Se descartaron datos. 640 BranchCache: La memoria cach hospedada envi una respuesta con 3 formato incorrecto al cliente. 640 BranchCache: Memoria cach hospedada no se puede autenticar con el 4 certificado SSL con provisioning. 640 BranchCache: se ha producido todas las instancias de %2 de id. de suceso 5 %1. 640 puede registrar %1 a Firewall de Windows al control de filtrado para lo 6 siguiente: %2 640 % 1 7

Subcategora: Cambio de estado de seguridad

ID. Mensaje

460 Windows se est iniciando. 8 461 Se cambi la hora del sistema. 6 462 Administrador recuperado del sistema de CrashOnAuditFail. Los usuarios 1 que no son administradores ahora permitir iniciar sesin. Es posible que no se han registrado algunas actividades auditables.

Subcategora: Extensin de sistema de seguridad

ID. Mensaje

461 La autoridad de seguridad Local ha cargado un paquete de 0 autenticacin. 461 Un proceso de inicio de sesin confiable se registr con la autoridad de 1 seguridad Local. 461 Un paquete de notificacin se ha cargado por el Administrador de 4 cuentas de seguridad. 462 La autoridad de seguridad Local ha cargado un paquete de seguridad. 2 469 Un servicio se instal en el sistema. 7

Subcategora: Integridad del sistema

ID. Mensaje

461 Se han agotado los recursos internos asignados para la puesta en cola de 2 mensajes de auditora, provocando la prdida de algunas auditoras. 461 Uso no vlido de puerto LPC. 5 461 Se ha producido un modelo de eventos de seguridad supervisados. 8 481 RPC ha detectado una infraccin de integridad al descifrar un mensaje 6 entrante. 503 Integridad de cdigo determin que el valor de hash de imagen de un 8 archivo no es vlido. El archivo podra estar daado debido a la modificacin no autorizada o el valor de hash no vlido podra indicar un posible problema de dispositivo de disco. 505 Se realiz una prueba criptogrfica. 6 505 Error en una operacin primitiva criptogrfica. 7

506 Error en la operacin de verificacin. 0 506 Operacin criptogrfica. 1 506 Se ha realizado un cifrado de que pruebas automticas de encendido en 2 modo de ncleo. 628 Integridad de cdigo determin que los valores de hash de la pgina de un 1 archivo de imagen no son vlidos. El archivo se pudo convertir incorrectamente con signo sin los hash de pgina o est daado debido a la modificacin no autorizada. Los valores de hash no vlidos podran indicar un posible problema de dispositivo de disco

Anexo
http://www.microsoft.com/spain/technet/recursos/articul os/secmod50.mspx