Recoleccion Consolidacion Eventos W2008 R2 ENS

SIN CLASIFICAR
GUÍA DE SEGURIDAD DE LAS TIC

(CCN-STIC-859)
RECOLECCIÓN Y CONSOLIDACIÓN DE
EVENTOS CON WINDOWS SERVER 2008 R2
ENERO 2015
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-859 Recolección y consolidación de eventos con Windows Server 2008 R2
Edita:
 Editor y Centro Criptológico Nacional, 2015
NIPO: 002-15-001-0
Fecha de Edición: enero de 2015

El Ministerio de Hacienda y Administraciones Públicas ha financiado el desarrollo del presente documento y sus
anexos.
Sidertia Solutions S.L. ha participado en la elaboración y modificación del presente documento y sus anexos.
LIMITACIÓN DE RESPONSABILIDAD
El presente documento se proporciona de acuerdo con los términos en él recogidos, rechazando expresamente
cualquier tipo de garantía implícita que se pueda encontrar relacionada. En ningún caso, el Centro Criptológico
Nacional puede ser considerado responsable del daño directo, indirecto, fortuito o extraordinario derivado de la
utilización de la información y software que se indican incluso cuando se advierta de tal posibilidad.
AVISO LEGAL
Quedan rigurosamente prohibidas, sin la autorización escrita del Centro Criptológico Nacional, bajo las sanciones
establecidas en las leyes, la reproducción parcial o total de este documento por cualquier medio o procedimiento,
comprendidos la reprografía y el tratamiento informático, y la distribución de ejemplares del mismo mediante
alquiler o préstamo públicos.
Centro Criptológico Nacional 2

SIN CLASIFICAR
SIN CLASIFICAR
PRÓLOGO
Entre los elementos más característicos del actual escenario nacional e internacional figura el
desarrollo alcanzado por las Tecnologías de la Información y las Comunicaciones (TIC), así
como los riesgos emergentes asociados a su utilización. La Administración no es ajena a este
escenario, y el desarrollo, adquisición, conservación y utilización segura de las TIC por parte de
la Administración es necesario para garantizar su funcionamiento eficaz al servicio del
ciudadano y de los intereses nacionales.
Partiendo del conocimiento y la experiencia del Centro sobre amenazas y vulnerabilidades en

materia de riesgos emergentes, la Ley 11/2002, de 6 de mayo, reguladora del Centro Nacional
de Inteligencia, encomienda al Centro Nacional de Inteligencia el ejercicio de las funciones
relativas a la seguridad de las tecnologías de la información en su artículo 4.e), y de protección
de la información clasificada en su artículo 4.f), a la vez que confiere a su Secretario de Estado
Director la responsabilidad de dirigir el Centro Criptológico Nacional en su artículo 9.2.f).
Una de las funciones más destacables que, asigna al mismo, el Real Decreto 421/2004, de 12 de
marzo, por el que se regula el Centro Criptológico Nacional es la de elaborar y difundir normas,
instrucciones, guías y recomendaciones para garantizar la seguridad de los sistemas de las
tecnologías de la información y las comunicaciones de la Administración.
La ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los servicios públicos,
en su artículo 42.2 crea del Esquema Nacional de Seguridad (ENS), que establece las
condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas
para garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los servicios
electrónicos.
El Real Decreto 3/2010 de 8 de Enero desarrolla el Esquema Nacional de Seguridad y fija los
principios básicos y requisitos mínimos así como las medidas de protección a implantar en los
sistemas de la Administración. En su artículo 29 se autoriza que a través de la series CCN-STIC
el CCN desarrolle lo establecido en el mismo.
La serie de documentos CCN-STIC se ha elaborado para dar cumplimiento a esta función y a lo

reflejado en el ENS, conscientes de la importancia que tiene el establecimiento de un marco de
referencia en esta materia que sirva de apoyo para que el personal de la Administración lleve a
cabo su difícil, y en ocasiones, ingrata tarea de proporcionar seguridad a los sistemas de las TIC
bajo su responsabilidad.
Enero 2015
Félix Sanz Roldán

Secretario de Estado
Director del Centro Criptológico Nacional

SIN CLASIFICAR
SIN CLASIFICAR
ÍNDICE
1. INTRODUCCIÓN.................................................................................................................................... 7
2. OBJETO.................................................................................................................................................... 7
3. ALCANCE ................................................................................................................................................ 8
4. DESCRIPCIÓN DE USO DE ESTA GUÍA ........................................................................................... 9
4.1 AVISOS IMPORTANTES A LOS USUARIOS DE ESTA GUÍA ...................................................... 9
5. LA TRAZABILIDAD A TRAVÉS DEL ESQUEMA NACIONAL DE SEGURIDAD ................... 10
6. SERVICIO DE GESTIÓN DE EVENTOS .......................................................................................... 12
6.1 REGISTROS DE EVENTOS ............................................................................................................. 13
6.1.1 REGISTROS DE WINDOWS ....................................................................................................... 14
6.1.2 REGISTROS DE APLICACIONES Y SERVICIOS .................................................................... 15
6.2 EVENTOS Y ESTRUCTURA XML.................................................................................................. 16
6.3 VISTAS PERSONALIZADAS .......................................................................................................... 19
7. RECOLECCIÓN DE EVENTOS. SERVICIO WINRM ................................................................... 23
8. ENTORNO SEGURO PARA LA RECOLECCIÓN DE EVENTOS ............................................... 30
8.1 CONFIGURACIÓN DE CLIENTE WINRM .................................................................................... 32
8.2 CONFIGURACIÓN DEL SERVIDOR WINRM ............................................................................... 33
8.3 REENVÍO DE EVENTOS.................................................................................................................. 34
8.4 SHELL REMOTA DE WINDOWS ................................................................................................... 35
9. AUDITORÍA Y EVENTOS DE SEGURIDAD ................................................................................... 35
10. PLANIFICACIÓN PARA LA RECOLECCIÓN DE EVENTOS ..................................................... 41
10.1 ELECCIÓN DE SISTEMAS .............................................................................................................. 41
10.2 ELECCIÓN DE CATEGORÍAS Y SUBCATEGORÍAS .................................................................. 42
10.3 CRITERIOS PARA LA GENERACIÓN DE SUSCRIPCIONES ..................................................... 43
10.4 CREAR VISTAS PERSONALIZADAS ............................................................................................ 44

SIN CLASIFICAR
SIN CLASIFICAR
ANEXOS
ANEXO A. POLÍTICA DE SEGURIDAD DE SERVIDOR DE RECOLECCIÓN DE EVENTOS... 45

ANEXO B. POLÍTICA DE SEGURIDAD ORÍGENES DE EVENTOS WINDOWS SERVER 2008
R2 ............................................................................................................................................................. 48
ANEXO C. POLÍTICA DE SEGURIDAD ORÍGENES DE EVENTOS CLIENTES WINDOWS 7 . 51
ANEXO D. GUÍA PASO A PASO DE LA INSTALACIÓN DEL SISTEMA DE RECOLECCIÓN
DE LOGS ................................................................................................................................. 56
1. PREPARACIÓN DE DIRECTORIO ACTIVO ................................................................................. 56
2. CONFIGURACIÓN DEL RECOLECTOR DE EVENTOS .............................................................. 97
3. CONFIGURACIÓN DE SERVIDORES WINDOWS 2008 R2 COMO ORIGEN DE EVENTOS 100
4. CONFIGURACIÓN DE CLIENTES WINDOWS 7 COMO ORIGEN DE EVENTOS ................. 104
ANEXO E. GUÍA PASO A PASO DE LA CONFIGURACIÓN DE SUSCRIPCIONES EN EL
SERVIDOR DE RECOLECCIÓN DE EVENTOS............................................................ 110
1. CREACIÓN DE SUSCRIPCIONES ................................................................................................ 110
2. ANÁLISIS DE INFORMACIÓN DE SUSCRIPCIONES Y GENERACIÓN DE VISTAS
PERSONALIZADAS ....................................................................................................................... 120
3. GENERACIÓN DE UNA ACCIÓN ANTE UN EVENTO ............................................................. 124
ANEXO F. TAREAS DE GESTIÓN RELATIVAS A LA RECOLECCIÓN Y CONSOLIDACIÓN
DE EVENTOS ....................................................................................................................... 135
1. AMPLIACIÓN DE TAMAÑO DEL REGISTRO DE EVENTOS REENVIADO .......................... 135
2. MOVER LA UBICACIÓN DEL FICHERO DE REGISTRO DE EVENTOS REENVIADO ....... 138
3. ABRIR FICHEROS DE EVENTOS ANTIGUOS ........................................................................... 149
4. ESTABLECER COMUNICACIONES HTTPS PARA EL SERVICIO DE WINRM ..................... 152
5. OPTIMIZACIÓN DE ENTREGA DE EVENTO............................................................................. 162
6. ACCESO A EVENTOS REENVIADOS DE UN RECOLECTOR DE EVENTOS DESDE
WINDOWS 7 .................................................................................................................................... 169
ANEXO G. EJEMPLO DE FILTROS BASADOS EN XPATH PARA LA CONSTRUCCIÓN DE
SUSCRIPCIONES O VISTAS ............................................................................................. 188
1. ACCESO A RECURSO DE RED PARA ELIMINAR FICHEROS ................................................ 188
2. MODIFICACIÓN DE POLÍTICAS DE GRUPO ............................................................................. 192
3. CAMBIO DE CONTRASEÑA POR PARTE DEL USUARIO ....................................................... 192
4. CAMBIO DE CONTRASEÑA REALIZADO POR OTRO USUARIO DIFERENTE AL
PROPIETARIO DE LA CUENTA ................................................................................................... 193
5. CAMBIO DE LA MEMBRESÍA DE UN GRUPO .......................................................................... 194
6. IDENTIFICACIÓN DE CAMPOS DE FILTRADO PARA UN EVENTO .................................... 196
ANEXO H. LISTA DE COMPROBACIÓN DEL SERVICIO DE RECOLECCIÓN DE EVENTOS199
ANEXO I. EVENTOS DE SEGURIDAD DE WINDOWS SERVER 2008 R2 Y WINDOWS 7 ....... 216
1. CATEGORÍA. INICIO DE SESIÓN DE CUENTA ........................................................................ 216
1.1 SUBCATEGORÍA. VALIDACIÓN DE CREDENCIALES ...................................................... 216
1.2 SUBCATEGORÍA. SERVICIO DE AUTENTICACIÓN KERBEROS..................................... 216
1.3 SUBCATEGORÍA. OPERACIONES DE TICKETS DEL SERVICIO KERBEROS................ 216
2. CATEGORÍA. GESTIÓN DE CUENTA ......................................................................................... 216
2.1 SUBCATEGORÍA. GESTIÓN DE GRUPO DE APLICACIONES ........................................... 216
2.2 SUBCATEGORÍA. GESTIÓN DE CUENTAS DE EQUIPO .................................................... 217
2.3 SUBCATEGORÍA. GESTIÓN DE GRUPOS DE DISTRIBUCIÓN ......................................... 217
2.4 SUBCATEGORÍA. OTROS EVENTOS DE GESTIÓN DE CUENTA..................................... 218
2.5 SUBCATEGORÍA. GESTIÓN DE GRUPO DE SEGURIDAD ................................................ 218
2.6 SUBCATEGORÍA. GESTIÓN DE CUENTAS DE USUARIO ................................................. 218
3. CATEGORÍA. SEGUIMIENTO DE PROCESOS ........................................................................... 219
3.1 SUBCATEGORÍA. ACTIVIDAD DPAPI .................................................................................. 219

SIN CLASIFICAR
SIN CLASIFICAR
3.2 SUBCATEGORÍA. CREACIÓN DE PROCESOS ..................................................................... 219

3.3 SUBCATEGORÍA. TERMINACIÓN DE PROCESOS ............................................................. 219
3.4 SUBCATEGORÍA. EVENTOS RPC .......................................................................................... 219
4. CATEGORÍA. ACCESO AL SERVICIO DE DIRECTORIO ......................................................... 219
4.1 SUBCATEGORÍA. REPLICACIÓN DEL SERVICIO DE DIRECTORIO ............................... 219
4.2 SUBCATEGORÍA. ACCESO AL SERVICIO DE DIRECTORIO ............................................ 220
4.3 SUBCATEGORÍA. CAMBIOS EN EL SERVICIO DE DIRECTORIO ................................... 220
5. CATEGORÍA. INICIO Y CIERRE DE SESIÓN ............................................................................. 220
5.1 SUBCATEGORÍA. MODO EXTENDIDO IPSEC..................................................................... 220
5.2 SUBCATEGORÍA. MODO PRINCIPAL IPSEC ....................................................................... 221
5.3 SUBCATEGORÍA. MODO RÁPIDO IPSEC ............................................................................. 221
5.4 SUBCATEGORÍA. CIERRE DE SESIÓN ................................................................................. 221
5.5 SUBCATEGORÍA. INICIO DE SESIÓN ................................................................................... 221
5.6 SUBCATEGORÍA. SERVIDOR DE POLÍTICAS DE RED ...................................................... 222
5.7 SUBCATEGORÍA. OTROS EVENTOS DE INICIO O CIERRE DE SESIÓN ........................ 222
5.8 SUBCATEGORÍA. VALIDACIÓN ESPECIAL ........................................................................ 222
6. CATEGORÍA. ACCESO A OBJETOS ............................................................................................ 222
6.1 SUBCATEGORÍA. APLICACIÓN ............................................................................................ 222
6.2 SUBCATEGORÍA. SERVICIO DE CERTIFICADOS .............................................................. 223
6.3 SUBCATEGORÍA. DETALLE DE FICHEROS COMPARTIDOS........................................... 224
6.4 SUBCATEGORÍA. FICHEROS COMPARTIDOS .................................................................... 224
6.5 SUBCATEGORÍA. SISTEMA DE FICHEROS ......................................................................... 224
6.6 SUBCATEGORÍA. CONEXIÓN A LA PLATAFORMA DE FILTRADO ............................... 225
6.7 SUBCATEGORÍA. DESCARTES DE LA PLATAFORMA DE FILTRADO .......................... 225
6.8 SUBCATEGORÍA. MANIPULACIÓN DE MANEJADORES ................................................. 225
6.9 SUBCATEGORÍA. OTROS EVENTOS DE ACCESO A OBJETOS ....................................... 225
6.10 SUBCATEGORÍA. REGISTRO ................................................................................................. 226
6.11 SUBCATEGORÍA. MULTIUSO ESPECIAL ............................................................................ 226
7. CATEGORÍA. CAMBIO DE DIRECTIVAS................................................................................... 226
7.1 SUBCATEGORÍA. CAMBIOS EN LA POLÍTICA DE AUDITORÍAS ................................... 226
7.2 SUBCATEGORÍA. CAMBIOS EN LA POLÍTICA DE AUTENTICACIÓN ........................... 227
7.3 SUBCATEGORÍA. CAMBIOS EN LA POLÍTICA DE AUTORIZACIÓN ............................. 227
7.4 SUBCATEGORÍA. CAMBIOS EN LA POLÍTICA DE LA PLATAFORMA DE FILTRADO227
7.5 SUBCATEGORÍA. CAMBIOS EN LA POLÍTICA DE NIVEL DE REGLAS MPSSVC ........ 228
7.6 SUBCATEGORÍA. OTROS EVENTOS DE POLITICA DE CAMBIOS ................................. 229
7.7 SUBCATEGORÍA. ESPECIAL MULTIUSO ............................................................................ 229
8. CATEGORÍA. USO DE PRIVILEGIOS .......................................................................................... 229
8.1 SUBCATEGORÍA. USO DE PRIVILEGIOS ............................................................................. 229
9. CATEGORÍA. SISTEMA ................................................................................................................ 230
9.1 SUBCATEGORÍA. DRIVER IPSEC .......................................................................................... 230
9.2 SUBCATEGORÍA. OTROS EVENTOS DEL SISTEMA.......................................................... 230
9.3 SUBCATEGORÍA. CAMBIO DE ESTADO DE LA SEGURIDAD ......................................... 230
9.4 SUBCATEGORÍA. SEGURIDAD DEL SISTEMA EXTENDIDA ........................................... 231
9.5 SUBCATEGORÍA. INTEGRIDAD DEL SISTEMA ................................................................. 231

SIN CLASIFICAR
SIN CLASIFICAR
1. INTRODUCCIÓN
1. Este documento forma parte del conjunto de normas desarrolladas por el Centro
Criptológico Nacional para el cumplimiento del Esquema Nacional de Seguridad.
2. La aplicación de medidas técnicas se ha diseñado de manera incremental. Así que
dependiendo del sistema, se aplicarán consecutivamente varias de las posibles guías
técnicas aplicables a Sistemas Operativos Windows de la serie 800. Por ejemplo, para la
implementación del sistema de consolidación de registros de eventos, será necesaria la
implementación de las siguientes guías en función del escenario:
– CCN-STIC-850A Implantación del ENS en Windows 7.
– CCN-STIC-851A Implantación del ENS en Windows Server 2008 R2 (Controlador
de dominio y servidor miembro).
– La presente guía.
2. OBJETO
3. El propósito de este documento consiste en proporcionar los procedimientos para la
implementación y garantizar la seguridad de un sistema de recopilación de eventos de
sistemas operativos Microsoft, haciendo uso del servicio recolector de Windows y la
tecnología de gestión remota. Se establece para ello la necesidad de implementar un
sistema centralizado de recolección de eventos de tal forma que pueda ser utilizado en
tareas de auditoría, análisis de incidencias o como metodología de análisis forense digital,
permitiendo la preservación de la información proporcionada por los diferentes sistemas
críticos de la organización.
4. La presente guía presenta como objeto la implementación de un sistema de repositorio
centralizado de recolección de eventos sobre una plataforma de Windows Server 2008 R2.
También plantea la configuración de los diferentes sistemas con los que puede contar una
organización para la recuperación de sus registros de actividad. Como punto final se
mostrarán diversos ejemplos de análisis de eventos y correlación de los mismos, así como
diversas tareas administrativas para el mantenimiento del servicio.
5. Aunque las tareas de recuperación de eventos basados en suscripciones permiten recuperar
cualquier tipo de eventos, la guía fundamentará la funcionalidad en los eventos de
seguridad. Se proporcionarán, tantos ejemplos para realizar esas tareas, como la
descripción de los eventos de seguridad más significativos que pueden darse en los
sistemas operativos gestionados por la presente guía.
6. La implementación de la solución se ha diseñado para que la implementación sea lo más
restrictiva posible minimizando la superficie de ataque, y por lo tanto, los riesgos que
pudieran existir. Es factible que el uso de determinadas funcionalidades, requieran
modificar las configuraciones de la presente guía en función de cómo se encuentren
implementados los escenarios en la organización.

SIN CLASIFICAR
SIN CLASIFICAR
3. ALCANCE
7. Se toma en consideración en la aplicación del Esquema Nacional de Seguridad, el atender
a una de sus dimensiones de seguridad: la trazabilidad. A través de la aplicación de las
diferentes medidas asignables a dicha dimensión, las organizaciones deberá ser capaces de
saber aquellas acciones permitidas o indebidas que puedan estar dándose en el uso de la
tecnología. Se contempla por lo tanto la necesidad de establecer mecanismos para la
consolidación de los registros, así como para poder analizarlos.
8. La guía se ha elaborado para proporcionar información específica con objeto de realizar
una implementación del servicio de recolección de eventos a través de un sistema
centralizado y la configuración de servidores y clientes para hacer posible dicha recogida.
La implementación del sistema centralizado se realizará en un servidor con sistema
operativo Windows Server 2008 R2 Enterprise. Los diferentes orígenes de eventos podrán
ser sistemas Windows Server 2008 R2 y Windows 7. Se plantea a través de la presenta
guía las posibles operaciones de administración y aquellas acciones que deben ser llevadas
a cabo para el mantenimiento de la solución. Se facilitan también ejemplos para el análisis
y correlación de eventos de seguridad que puedan derivar de una posible incidencia de
seguridad.
9. Este documento incluye:
– Características de los sistemas de recopilación de registros. Completa descripción
del sistema de recolección de registros y el servicio de gestión remota de Windows
(WinRM).
– Consideraciones de seguridad para la recopilación de registros. Definición de los
mecanismos y sistemas necesarios para el aseguramiento y mantenimiento de los
diferentes eventos recopilados.
– Auditoría y eventos de seguridad. Descripción y relación entre el sistema de
auditoría de los sistemas operativos de Microsoft y los diferentes eventos de
seguridad que pueden identificarse por la activación de los mismos.
– Mecanismos para la planificación de configuraciones. Se incorporan mecanismos
para la planificación de las configuraciones de seguridad susceptibles de ello, tales
como las plantillas de seguridad.
– Guía paso a paso. Va a permitir implantar y establecer las configuraciones de
seguridad en el servidor de recolección de logs así como los diferentes clientes de
dicho servicio.
– Guía de administración. Que va a permitir realizar tareas de administración en el
entorno de seguridad establecido.
– Ejemplos de análisis de eventos. Va a permitir a través del análisis de logs, la
interpretación de diferentes incidencias de seguridad tipo.
– Lista de comprobación. Permitirá verificar el grado de cumplimiento de los
servidores y clientes con respecto a las condiciones de seguridad que se establecen en
la presente guía.

SIN CLASIFICAR
SIN CLASIFICAR
4. DESCRIPCIÓN DE USO DE ESTA GUÍA

10. Para entender esta guía de seguridad es conveniente explicar el proceso de securización
que describe, así como los recursos que proporciona. Este procedimiento constará de los
siguientes pasos:
– Será recomendable la configuración del servidor de consolidación de registros
haciendo uso de las plantillas definidas en la guía codificada como CCN-STIC-
851A. Debe tenerse en consideración la necesidad de establecer trazabilidad en el
nivel alto de la seguridad. Por lo tanto a este servidor le serán de aplicación las
condiciones de seguridad de nivel alto.
– Será recomendable la configuración de los servidores de los que se recuperarán los
registros haciendo uso de las plantillas definidas en la guía codificada como CCN-
STIC-851A.
– Será recomendable la configuración de los clientes de los que se recuperarán los
registros haciendo uso de las plantillas definidas en la guía codificada como CCN-
STIC-850A.
– Instalar, configurar y aplicar la plantilla de seguridad tal y como se describe en la
presente guía.
– Configurar los diferentes sistemas de acorde a los mecanismos definidos en la
presente guía.
4.1 AVISOS IMPORTANTES A LOS USUARIOS DE ESTA GUÍA

11. Los contenidos de esta guía son de aplicación para la implementación de un servidor
central de recopilación de eventos con el Sistema Operativo Windows Server 2008 R2
versión Enterprise.
12. La recopilación de los registros serán de aplicación sobre sistemas Windows Server 2008
R2 y Windows 7 que hayan sido implementados con los mecanismos descritos en las guías
correspondientes. La información aquí recogida puede ser también de aplicación sobre
sistemas Windows Server 2012, Windows Server 2012 R2, Windows 8 y Windows 8.1,
aunque podrían diferir los procedimientos que esta guía muestra.
13. Esta guía se ha diseñado para reducir la superficie de exposición de los servidores y
puestos de trabajo, aplicando aquellas contramedidas que permitan garantizar un uso
correcto y seguro del sistema de gestión y recolección de los eventos de seguridad.
14. La guía de seguridad ha sido elaborada utilizando un laboratorio basado en una plataforma
de virtualización tipo Hyper-V de Windows Server 2012 Datacenter con las siguientes
características técnicas:
– Servidor Dell PowerEdge™ T320
 Intel Pentium Xeon Quad Core.
 HDD 1 TB.
 32 GB de RAM.
 Interfaz de Red 1 GB.
 Sistema de tecnología iSCSI para el almacenamiento compartido.

SIN CLASIFICAR
SIN CLASIFICAR
15. Esta guía de seguridad no funcionará con hardware que no cumpla con los requisitos de
seguridad mínimos de MS Windows Server 2008 R2 x64 Enterprise. Esto quiere decir que
se requieren equipos con procesadores Intel o AMD de 64 bits (x64), con más de 512 MB
de memoria RAM.
16. La implementación de esta guía tiene en cuenta la existencia de una infraestructura de
Directorio Activo. Ésta se utilizará tanto para la aplicación de los objetos de políticas de
grupo, así como de los procesos de recolección de los eventos y el mantenimiento seguro
de los mismos.
17. Para garantizar la seguridad de los servidores y puestos de trabajo, deberán instalarse las
actualizaciones recomendadas por el fabricante y que se encuentran disponibles a través
del servicio de Microsoft Update.
18. Dependiendo de la naturaleza de las actualizaciones aplicadas sobre los sistemas en
producción, el lector podrá encontrar algunas diferencias con lo descrito en esta guía. Esto
viene motivado por los cambios que, en ocasiones, se realizan para las diferentes
actualizaciones de seguridad.
19. Antes de aplicar esta guía en el entorno de producción, deberá asegurarse de haber probado
en un entorno aislado y controlado donde se habrán ejecutado los diferentes test y cambios
en la configuración que se ajusten a los criterios específicos de cada organización.
20. El espíritu de estas guías no está dirigido a remplazar políticas consolidadas y probadas de
las organizaciones, sino servir como la línea base de seguridad que deberá ser adaptada a
las necesidades propias de cada organización.
5. LA TRAZABILIDAD A TRAVÉS DEL ESQUEMA NACIONAL DE

SEGURIDAD
21. El Esquema Nacional de seguridad nace teniendo como objetivo el ofrecer una respuesta a
la obligación que tienen las Administraciones Públicas para adoptar medidas de seguridad
adecuadas en función de la naturaleza de la información y los servicios que se ofrecen.
Esta acción viene definida por las mejoras introducidas en la Ley 11/2007 sobre la relación
entra la Administración Pública con los ciudadanos, así como entre ellas, haciendo uso de
la tecnología.
22. Para el cumplimiento de los objetivos previstos en el ENS, se valoran aquellos
fundamentos que permitirán categorizar los servicios y sistemas. Esta categorización
permitirá definir, en función del nivel de los mismos, la necesidad de implementar
diferentes mecanismos de seguridad que irán incrementándose en función del nivel exigido
para los mismos.
23. Atendiendo a la capacidad para establecer mecanismos y controles sobre los sistemas y
servicios, se definió la figura de las dimensiones de seguridad. Éstas diferencian y
determinan el impacto para que una amenaza pueda afectar a los activos de la
organización, planteando medidas para limitar o paliar el riesgo. Las dimensiones de
seguridad recogidas en el ENS, son cinco:
– Disponibilidad (D).
– Autenticidad (A).
– Integridad (I).

SIN CLASIFICAR
SIN CLASIFICAR
– Confidencialidad (C).
– Trazabilidad (T).
24. La presente guía basa su funcionalidad sobre la dimensión de trazabilidad, tomando como
referencia la necesidad de la organización para conocer las condiciones en que se han
producido las diferentes acciones en el uso de la tecnología. Debe tomarse en
consideración que las medidas de trazabilidad no solo son exigibles en el Esquema
Nacional de Seguridad, sino que otras normativas como la Ley Orgánica 15/1999 de
Protección de Datos de Carácter Personal, a través del R.D. 1720/2007 de desarrollo de la
misma, establece la necesidad de mantener un registro de actividades en el tratamiento de
los datos de nivel alto. Por lo tanto, la trazabilidad se establece como uno de los
mecanismos significativos que deben considerar las organizaciones en el tratamiento de los
datos.
25. Como en el caso de la L.O.P.D, la trazabilidad en el ENS es exigida solo en los niveles
más críticos de valoración para los servicios o información supeditados a su cumplimiento
por parte de la Administración Pública, aunque las organizaciones con niveles de
requerimiento de seguridad más bajo podrían tomar en consideración implementar
mecanismos para conocer qué pasa en su organización con respecto a los accesos a
servicios o información. Esto facilitará, en caso de incidencias, afrontar los casos con la
mayor información factible, permitiendo así resolver positivamente las circunstancias que
condujeron al problema y aplicando los mecanismos para que la problemática no se vuelva
a dar.
26. Se considera una medida necesaria conocer qué usuarios han accedido a una determinada
información, quién ha alterado el comportamiento de un servicio o qué usuario con
privilegios administrativos ha modificado la configuración de las cuentas de usuario o
incluso ha podido detener los sistemas de registro de actividad.
27. Dentro de las medidas a implementar y que se recogen en el RD 3/2010, aquellas que de
forma significativa afectan a la dimensión de seguridad de la trazabilidad, se encuentran
definidas en el Marco Operacional de Explotación 8 y el Marco Operacional de
Explotación. 10.

SIN CLASIFICAR
SIN CLASIFICAR
28. Se hace, por lo tanto, necesario registrar y consolidar los accesos realizados por parte de
los usuarios en el manejo de información y servicios de nivel alto, y especialmente de
aquel personal que posea los privilegios para administrar los sistemas tecnológicos de la
organización.
29. La presente guía permite implementar mecanismos proporcionados por los sistemas
operativos Microsoft Windows 2008 R2 y Windows 7 para recuperar y consolidar los
registros que, almacenados en múltiples sistemas, permitirán identificar accesos y acciones
realizadas en los servidores y puestos de trabajo. También se facilita información sobre los
registros que proporcionan los sistemas y cómo tratar dichos datos.
30. Los sistemas aquí definidos son limitados en cuanto a su alcance, puesto que solo registra
información almacenada en los sistemas operativos. Si la organización cuenta con otros
registros adicionales, tales como de aplicaciones Web o Bases de Datos, deberá también
implementar medidas para registrar y consolidar dicha información. Existen en el mercado
diferentes herramientas para la consolidación de registros que podrían ser empleadas en
lugar de los procedimientos descritos en la presente guía. Será la organización la que debe
valorar qué mecanismos deberá emplear, con objeto de garantizar la trazabilidad, tal y
como queda establecido en el Esquema Nacional de Seguridad.
6. SERVICIO DE GESTIÓN DE EVENTOS

31. Los eventos constituyen el sistema a través del cual el Sistema Operativo proporciona la
información de más bajo nivel sobre lo que está sucediendo internamente en el propio
sistema. Aspectos tan importantes y diversos como el estado del kernel, incidencias a nivel
del Firewall, el comportamiento del módulo de control de cuentas de usuario o la
funcionalidad de los servicios como el del Directorio Activo, se manifiestan a través de los
diferentes eventos.
32. El sistema de eventos ha ido pasando por diferentes etapas según iban apareciendo nuevos
sistemas operativos, incorporando nuevas funcionalidades e incluyendo mecanismos para
recoger la información e interpretarla.
33. Estas funcionalidades surgen, no solo de la necesidad de mostrar la información de los
nuevos componentes que incorporan los nuevos sistemas operativos, sino también de la
gestión como resultado de las apreciaciones que los usuarios y organizaciones realizan al
fabricante.
34. Con Windows Server 2008 y Windows Vista, apareció la última versión de sistema de
gestión de eventos que incorporan también Windows Server 2008 R2 y Windows 7. En su

SIN CLASIFICAR
SIN CLASIFICAR
versión 6.0, Windows Eventing, permite una mejora para la gestión de eventos de
seguridad estableciendo un mecanismo de recogida y correlación de los mismos.
35. Windows Eventing 6.0 basa su funcionalidad en un motor de XML que le permite una
mayor escalabilidad y accesibilidad a la que se gestionaba de forma tradicional. Almacena
la información en formato XML, permitiendo que soluciones de terceros puedan acceder a
dicha información, aprovechando las características y potencia de este sistema.
36. Otra de las características que otorgan una potencia mayor al servicio, consiste en la
capacidad de establecer asociaciones administrativas frente a eventos específicos. Esto va a
permitir disponer de un sistema reactivo ante determinados tipos de incidencias. El sistema
que permite estos desencadenadores es la integración del Servicio de Recopilación de
Eventos y el nuevo Programador de Tareas. A través del nuevo asistente contextual, para
cualquier evento generado en el Visor de Sucesos, se permite iniciar un programa, enviar
un correo electrónico o generar un mensaje cuando se dé un tipo de evento específico.
37. Adicionalmente, en el nuevo sistema de eventos, se realiza la incorporación de una nueva
consola que permite la generación de vistas personalizadas y la adopción de un texto
descriptivo mejorado con respecto a la información mostrada en versiones previas.
6.1 REGISTROS DE EVENTOS

38. El servicio de eventos de Windows se basa en una estructura jerarquizada de canales. Éstos
se encuentran divididos en dos categorías fundamentales: registros de Windows y registros
de aplicaciones y servicios.
39. Estos eventos se muestran a través de diferentes canales. Un canal es un mecanismo
encargado de llevar los eventos de un publicador de eventos hacia un archivo de registros
de eventos. Desde allí, el usuario puede tener acceso a los mismos. Los canales vienen
diferenciados en función del destinatario del evento, de tal forma que pueda granularse su
presentación.
40. Aunque la mayor parte de los canales están vinculados a los editores de eventos específicos
(se crean cuando los editores se instalan y se borran cuando se desinstalan), hay algunos
que son independientes de cualquier editor. Por ejemplo, tanto los canales de registros de
eventos como los de sistema, aplicación y seguridad se instalan con el sistema operativo y
no se pueden borrar. Sin embargo, el correspondiente al Internet Information Services (IIS)
solo se encuentra presente si el rol se encuentra instalado en el sistema.
41. Los canales son definidos por los editores de eventos y se identifican por un nombre
basado en el identificador del editor. Un usuario podría crear sus propios canales, de tal
forma que podrían definir eventos independientes de seguimientos. Los nombres de los
canales presentan restricciones para la asignación de nombres de canal. Éste no puede tener
más de 255 caracteres y aunque puede contener espacio, no puede contener los siguientes
caracteres '>', '<', '&', ' " ', '|', '\', ':', '`', '?', '*'.
42. En esencia aunque exista una diferenciación real entre un canal y los registros de eventos,
tienden a equipararse e identificarse de una forma común. Así, cuando exista una
referencia a una categoría de evento, se puede estar refiriendo indistintamente al canal o a
los registros de eventos que le corresponda.
43. En el visor de eventos pueden diferenciarse dos categorizaciones diferentes para los
eventos: registros de Windows y registros de aplicaciones y servicios.

SIN CLASIFICAR
SIN CLASIFICAR
6.1.1 REGISTROS DE WINDOWS

44. La categoría de Registros de Windows incluye los registros que ya estaban presentes en
versiones anteriores de Windows: sistema, seguridad y aplicación. Incluye además otros
dos nuevos canales: el registro de instalación y el registro de eventos reenviados.
45. Debe tenerse en cuenta que los registros de Windows fueron diseñados para almacenar
eventos de aplicaciones heredadas y eventos que se aplican a todo el sistema.
46. El registro de aplicación contiene los eventos registrados por aplicaciones o programas.
Por ejemplo, un programa de base de datos podría registrar un error de archivo en el
registro de la aplicación. Los programadores deciden en este sentido qué eventos deben
registrarse.
47. El registro de seguridad guarda eventos relativos a la seguridad del sistema o del acceso a
recurso. Esta categoría es una de las más importantes y, como tal, será una de las bases
fundamentales de la presente guía. A partir de Windows Vista puede establecerse qué
grupos de registros es o no necesario tener habilitados dentro de todas las subcategorías
existentes.
48. El registro del sistema contiene los eventos registrados por componentes del sistema de
Windows. Por ejemplo el error cuando se produce la carga de un controlador o hay un
problema en el arranque de Windows.
49. El registro de instalación incluye los eventos relacionados con la instalación de una
aplicación.
50. El registro de eventos reenviados es una nueva funcionalidad que se usa para almacenar
eventos de equipos remotos. Esta funcionalidad opera a través de la suscripción de eventos
y permite almacenar localmente eventos de varios equipos remotos. La suscripción a
eventos especifica los eventos que se van a recopilar así como el registro local en el que se
almacenarán. Una vez que una suscripción está activa y los eventos se encuentren
recopilándose, podrá verlos y hacer uso de ellos tal y como se haría con cualquier otro
evento almacenado de forma local. Este servicio requiere de una configuración especial y
será objeto fundamental de tratamiento en la presente guía.

SIN CLASIFICAR
SIN CLASIFICAR
6.1.2 REGISTROS DE APLICACIONES Y SERVICIOS

51. Esta nueva categoría almacena eventos de una aplicación específica (no heredada) o bien
componentes que pueden tener un impacto en todo el sistema. Las categorías incluyen
cuatro subtipos: administración, operativos, analíticos y de depuración.
52. Los registros administrativos están destinados fundamentalmente a los usuarios finales,
administradores y personal de soporte. Los eventos que se encuentran en los canales de
administración indican un problema y una solución definida, de tal forma que un
administrador pueda operar consecuentemente.
53. Los registros administrativos se encuentran correctamente documentados, o bien facilitan
la suficiente información asociada para hallar una solución al problema que se plantea a
través de los eventos.
54. Los eventos de tipo operativo se usan para analizar y diagnosticar un problema o
condición. También se usan para activar herramientas o tareas basadas en el diagnóstico.
55. Los eventos analíticos son registros publicados en grandes volúmenes y describen el
funcionamiento de programas. A menudo indican problemas de alto nivel que un usuario
no puede controlar.
56. Los eventos de depuración son empleados por los programadores para solucionar
problemas con las aplicaciones.
57. Los eventos analíticos y de depuración no son tan fáciles de usar como los eventos
operativos y administrativos. Además, vuelcan mucha información de seguimiento de
problemas que hay que identificar y analizar correctamente.
58. Los registros analíticos y de depuración están ocultos y deshabilitados de forma
predeterminada. Para mostrar los eventos asociados a estos registros debe seleccionarse la
opción correspondiente dentro del menú ver.

SIN CLASIFICAR
SIN CLASIFICAR
59. Puesto que estos registros devuelven mucha información y esto puede implicar un uso
excesivo del sistema, se encuentran deshabilitados de forma predeterminada. Para
activarlos deberán modificarse las propiedades del registro correspondiente y, de ese
modo, será posible recuperar la información pertinente.
6.2 EVENTOS Y ESTRUCTURA XML

60. De forma predeterminada, al igual que en el caso de los registros tradicionales de
Windows, la información de los eventos se almacena en formato binario. Sin embargo, se
ha modificado la forma de representación de los eventos con objeto de ayudar a encontrar
y recuperar los mensajes más relevantes.
61. El sistema tradicional del visor de sucesos permitía filtrar los sucesos en función de
criterios tales como su nivel y el origen para el mismo. Aunque se mantiene la posibilidad
de realizar un filtrado similar, se permite además crear vistas guardadas, de tal forma que
pueden agregarse tantos eventos como se desee.

SIN CLASIFICAR
SIN CLASIFICAR
62. El problema que planteaba el sistema tradicional era la limitación de capacidad de las
consultas sin ofrecer una capacidad casi real para cruzar eventos en función de múltiples
criterios.
63. El nuevo sistema para filtrado de información se basa en consultas de tipología XPath
ofreciendo como resultado una salida en formato XML.
64. Las vistas personalizadas utilizan el filtrado XML como un mecanismo potente para
realizar minería de datos y mostrar solamente la información deseada. Así, puede llegarse a
un nivel de detalle mucho mayor, personalizando significativamente las consultas que
desean realizarse.
65. Los eventos se representan a través de expresiones XPath, siguiendo una estructura regular.
66. Los eventos mantienen dos elementos principales: System y EventData. El primero
incluye, no solo la información acerca del propio evento sino también el entorno en el que
se generó dicho evento. EventData representa el lugar donde se ubican los parámetros del
evento.
67. La siguiente tabla proporciona la información de las propiedades mostradas habitualmente
en los diferentes eventos.
Nombre de propiedad Descripción
Origen o nombre del Software que registró el evento, que puede ser un nombre de
proveedor programa como "SQL Server", un componente del sistema o un
componente de un programa grande como un nombre de controlador.

SIN CLASIFICAR
SIN CLASIFICAR
Id. de evento Número que identifica el tipo de evento concreto. La primera línea de
la descripción suele contener el nombre del tipo de evento. Por
ejemplo, 6005 es el identificador del evento que se produce al iniciar el
servicio Registro de eventos. La primera línea de la descripción de
este evento es “Se inició el servicio de Registro de eventos”. El
personal de soporte técnico puede utilizar el identificador y el origen
del evento para solucionar problemas del sistema.
Nivel Clasificación de la gravedad del evento. Pueden producirse los
siguientes niveles de gravedad del evento en los registros de la
aplicación y del sistema:
– Información. Indica que se ha producido un cambio en una
aplicación o componente como, por ejemplo, que una operación
se ha completado correctamente, que se ha creado un recurso o
que se ha iniciado un servicio.
– Advertencia. Indica que se ha producido un problema que puede
afectar al servicio o que puede dar lugar a un problema más
grave si no se toman medidas.
– Error. Indica que se ha producido un problema que puede afectar
a la funcionalidad externa a la aplicación o al componente que
desencadenó el evento.
– Crítico. Indica que se ha producido un error del que no puede
recuperarse automáticamente la aplicación o el componente que
desencadenó el evento.
Pueden producirse los siguientes niveles de gravedad del evento en el
registro de seguridad:
– Auditoría de aciertos. Indica que se han aplicado correctamente
los derechos de un usuario.
– Auditoría de errores. Indica que se ha producido un error en el
ejercicio de los derechos de un usuario.
En la vista de lista normal del visor de eventos, cada nivel está
representado por un símbolo.
Usuario Nombre del usuario en cuyo nombre se produjo el evento. Este
nombre es el identificador del cliente si el evento se produjo por un
proceso de servidor, o el ID principal si no se realiza suplantación.
Cuando sea aplicable, las entradas del registro de seguridad
contienen los identificadores principal y de suplantación. La
suplantación se produce cuando un proceso adopta los atributos de
seguridad de otro proceso.
Código operativo Contiene un valor numérico que identifica la actividad o un punto de
una actividad que la aplicación estaba realizando cuando se provocó
el evento. Por ejemplo, la inicialización o el cierre.
Registro El nombre del registro en el que se registró el evento.
Categoría de tarea Se usa para representar un subcomponente o una actividad del
publicador de eventos.
Palabras clave Conjunto de categorías o etiquetas que se pueden usar para filtrar o
buscar eventos. Algunos ejemplos son las de "Red", "Seguridad" o
"Recurso no encontrado".

SIN CLASIFICAR
SIN CLASIFICAR
Equipo Nombre del equipo en el que se produjo el evento. El nombre del

equipo suele ser el nombre del equipo local, pero puede ser el nombre
de un equipo que reenvió el evento o el nombre del equipo local antes
de que cambiara de nombre.
Fecha y hora Fecha y hora en que se registró el evento
68. La siguiente tabla enumera las propiedades que se pueden mostrar agregando columnas al
visor de eventos.
Id. del proceso Número de identificación del proceso que generó el evento.
Id. de subproceso Número de identificación del subproceso que generó el evento.
Id. de procesador Número de identificación del procesador que procesó el evento.
Id. de sesión Número de identificación de la sesión de Terminal Server en la que
ocurrió el evento.
Tiempo de kernel Tiempo de ejecución transcurrido en instrucciones en modo kernel en
unidades de tiempo de CPU.
Tiempo de usuario Tiempo de ejecución transcurrido en instrucciones en modo de
usuario en unidades de tiempo de CPU.
Tiempo de procesador Tiempo de ejecución transcurrido en instrucciones en modo de
usuario en marcas de la CPU.
Id. de correlación Identifica la actividad en el proceso en el que está implicado el evento.
Este identificador se usa para especificar relaciones simples entre
eventos.
Id. de correlación relativa Identifica una actividad relacionada en un proceso en el que está
implicado el evento.
6.3 VISTAS PERSONALIZADAS

69. Uno de los problemas fundamentales en la resolución de incidencias, es centrar el
problema. El visor de sucesos tiende a proporcionar mucha información que es difícil de
cribar adecuadamente. En la evolución del mismo y haciendo uso del sistema de XML,
surgió la estrategia de hacer uso de búsquedas ampliando las funcionalidades tradicionales.
70. A partir de Windows Vista se establece el mecanismo de vistas personalizadas, como
mecanismo para la búsqueda de eventos y resolución de incidencias. Las vistas
personalizadas permiten el uso de filtros estándar.

SIN CLASIFICAR
SIN CLASIFICAR
71. No obstante, para mejores resultados es mucho más útil si las vistas se apoyan en XPath.
Éste permite una mayor versatilidad en las consultas, constituyendo así un mecanismo más
útil para centrar las búsquedas en lo realmente importante. Adicionalmente, ofrece
capacidades para la generación de filtrado basado en condiciones múltiples.

SIN CLASIFICAR
SIN CLASIFICAR
72. No obstante el uso de XML, como mecanismos de filtrado, requiere ciertos conocimientos
de cómo realizar estas consultas de forma adecuada. Realmente, una vista personalizada es
una serie de consultas de tipo XPath que el sistema de eventos utilizará para mostrar la
información.
73. Cada elemento de tipo “Select” presenta una ruta de acceso. Esto indica el registro con el
que se ejecutará la consulta. En el ejemplo anterior puede observarse que se realiza una
búsqueda sobre los eventos de “System”, filtrada a través del proveedor “WacomPen”,
mostrando aquellos eventos de nivel 2. Tal y como se identificó en párrafos previos, el
atributo nivel es la representación numérica del tipo de evento: crítico, error, advertencia o
información.
74. La versatilidad reside en la capacidad de enlazar eventos y realizar búsquedas acordes a las
necesidades. El siguiente ejemplo mostrará, de forma incremental, una vista personalizada
donde se busquen posibles objetos eliminados por los usuarios auditor1 y auditor2.
75. El primero de los pasos consiste en definir la estructura XML. Para ello, se va a mostrar el
proceso de forma esquematizada y a través de diferentes pantallas.
76. En esta primera pantalla, puede observarse cómo se define el canal sobre el que realizar la
consulta: Seguridad. A través de éste, se recogen los resultados de la auditoría de seguridad
de acceso a objetos entre los que se incluye la eliminación de ficheros. Posteriormente, se
identifica sobre qué usuario se quiere realizar la consulta estableciendo como filtro el
atributo „SubjectUserName‟ de la clase „@Name‟ y como dato el nombre del usuario
„Auditor1‟.
77. En la siguiente pantalla, se muestra cómo se agrega un nuevo usuario de tal forma que lo
que se está buscando es la información tanto del usuario auditor1, como del usuario
auditor2. Para ello se hace uso del operador lógico “OR”.

SIN CLASIFICAR
SIN CLASIFICAR
78. Por último, y como solo se están buscando resultados de objetos eliminados, debe
realizarse un filtrado para este tipo de eventos. Para ello, se hace uso del operador “AND”,
estableciendo el análisis sobre los eventos con identificador 4660, que establece que un
objeto ha sido eliminado.
79. La consulta se guardará de tal forma que puede establecerse una jerarquía y una estructura
de búsqueda de acuerdo a las necesidades de la organización.
80. Evidentemente, tal y como se puede intuir, este sistema permite una granularidad y una
capacidad para afinar las búsquedas de tal forma que esta consulta podría incrementarse
para poder llegar a conocer lo que ha podido pasar con un fichero concreto o bien en
fechas específicas. En páginas posteriores, se facilitará la información de eventos de
seguridad que pueden emplearse para construir consultas. Se proporcionarán también a
través de la presenta guía, ejemplos que pueden ser útiles para la organización.
81. Debe tener en cuenta que, aunque el sistema de filtrado para la generación de suscripciones
y vistas personalizadas en el visor de eventos ofrece funcionalidad basada en XPath, ésta
se encuentra limitada con respecto a las especificaciones de la versión 1. Dichas
limitaciones pueden encontrarse en la siguiente URL.
http://msdn.microsoft.com/en-
us/library/windows/desktop/dd996910(v=vs.85).aspx#limitations

SIN CLASIFICAR
SIN CLASIFICAR
7. RECOLECCIÓN DE EVENTOS. SERVICIO WINRM

82. Una de las grandes capacidades aportadas por los últimos sistemas operativos corresponde
a la capacidad, a través del servicio de suscripción, para recuperar y consolidar eventos de
sistemas remotos. Una organización debe ser consciente de que tener miles de eventos
repartidos entre sus múltiples servidores y puestos de trabajo implica un esfuerzo
desmedido cuando se requiere la realización de un análisis de seguridad motivado por la
identificación de incidencias.
83. Las nuevas capacidades aportadas por el servicio de subscripción permiten recuperar
eventos de sistemas remotos. Esto resulta aún más importante cuando se conoce el hecho
de que los sistemas recogen multitud de eventos que ocupan mucho espacio y, debido a la
limitación del mismo, acaban superponiéndose. De esta forma, muchos eventos sensibles
se pierden porque son sobrescritos por otros más recientes y que pueden ser más
intranscendentes.
84. La recolección y consolidación de eventos es un sistema, incorporado a partir de Windows
Vista, que funciona en una arquitectura sin agente puesto que es una funcionalidad propia
del sistema operativo. Aunque aparece a partir de Windows Vista, un servidor Windows
Server 2003 puede ser parte de la arquitectura enviando datos a un recolector central,
aunque nunca podrá asumir este rol de recolector o almacén central de eventos
recolectados.
85. El modelo está pensado para ofrecer capacidades de escalabilidad, centralizando parte de
su administración a través de la implementación de políticas de grupo.
86. El sistema de envío de eventos está basado en el servicio WinRM (Windows Remote
Management). Éste es parte de la implementación de protocolos WS-Management basados
en SOAP y que proporcionan un medio para acceder a los sistemas e intercambiar
información dentro de una infraestructura TI.
87. El estándar WS-Management proporciona un mecanismo para el intercambio de mensajes
construidos en XML haciendo uso de un servicio web tipo WS-Adressing y WS-Tranfers.
88. Aunque las especificaciones de WinRM presentan un gran alcance para la gestión remota
(obtención de información remota de un equipo vía WMI, modificación de parámetros,
configuración de hardware, etc.), en esta guía se tendrán en consideración solamente las
características para el intercambio de eventos. La siguiente imagen representa la
arquitectura completa del servicio WinRM.

SIN CLASIFICAR
SIN CLASIFICAR
89. La arquitectura de recolección de eventos requiere de un almacén central que será utilizado
como repositorio de todos los eventos recopilados desde los sistemas origen. Para la
implementación de este repositorio se podría emplear tanto Windows 7 como Windows
Server 2008 R2, aunque la recomendación es Windows Server 2008 R2 por la eficiencia en
la arquitectura de servidor y la escalabilidad que éste puede proporcionar frente a un
sistema operativo de puesto de trabajo.
90. Aunque, dependiendo del volumen, este almacén central podrá ser o no un sistema
dedicado. Por recomendaciones de seguridad y escalabilidad, se recomienda la
implementación en un servidor exclusivo para este servicio. La presente guía establecerá
Windows Server 2008 R2 como almacén central y sistema dedicado.

SIN CLASIFICAR
SIN CLASIFICAR
91. El mínimo sistema operativo que puede ser origen de datos es Windows XP SP2. Los
equipos deberían tener al menos el servicio de WinRM 1.1, aunque es aconsejable la
implementación de la versión 2.0. La siguiente tabla muestra la versión por defecto que
incorporan las diferentes versiones de sistemas operativos de Microsoft.
Sistema Operativo Versión WinRM por defecto
Windows XP No instalado. Requiere instalación adicional de componentes.

Windows Server 2003/R2 No instalado. Requiere instalación adicional de componentes.
Windows Vista 1.1
Windows 2008 1.1
Windows 7 2.0
Windows 2008 R2 2.0
Windows 2012 3.0
Windows 8 3.0
Windows 2012 R2 3.0
Windows 8.1 3.0
92. Existen versiones instalables para Windows 2003/R2 de WinRM 1.1 y WinRM 2.0. Para
Windows Vista y Windows 2008 existe versión instalable de WinRM 2.0. La versión de
WinRM 2.0 incluye de forma adicional Windows Powershell 2.0. Existen versiones
instalables de WinRM 3.0 para Windows 7 y Windows 2008 R2.

SIN CLASIFICAR
SIN CLASIFICAR
93. Para el correcto funcionamiento de la solución, es necesario que el servicio de WinRM se

encuentre activo y ejecutándose en modo automático. Si dicho servicio no es funcional, el
origen de datos no podrá hacer la entrega de eventos al servidor recolector de datos.
94. El servicio de WinRM permite actuar como cliente y como servidor. En el caso de actuar
como servidor, deben establecerse los procesos para poder escuchar peticiones procedentes
de otros equipos. Aunque existen múltiples entornos de configuración, la más típica es la
conexión desde el origen a través de comunicaciones estándar HTTP o HTTPS y
establecidas con el rol de recolector de eventos.
95. Debido a la gran cantidad de información que se puede generar, se pueden establecer
limitaciones tanto en el procesamiento de eventos que afecta al rendimiento del procesador
como en el envío de tráfico a través de la red que puede impactar significativamente.
Existen mecanismos para establecer controles que limiten las operaciones del tratamiento
de eventos y envíos de los mismos al almacén central
96. Como se ha comentado previamente, WinRM está basado en WS-Management (Web
Services for Management). Éste es un protocolo desarrollado por un grupo de hardware y
software, como un estándar abierto, para el intercambio de información con cualquier otra
máquina que implemente el mismo protocolo. WinRM hace uso de este sistema para enviar
desde el origen, los eventos al repositorio central haciendo uso de una implementación de
tipo HTTP.
97. Para hacer uso del servicio de recolección de eventos, debe activarse el componente
WinRM en las máquinas de orígenes de eventos. Adicionalmente, en la máquina
recolectora de eventos debe activarse el servicio WEC (Web Event Collection). Ambos
componentes se pueden activar desde consola de forma manual o ser configurados de
forma centralizada a través de las políticas de grupo.
98. Una vez inicializados deben configurarse ambos sistemas tanto para que uno pueda
reenviar los eventos recogidos como que el otro tenga la capacidad de recogerlos y
almacenarlos.
99. El componente WinRM, en el origen, puede activarse desde consola con privilegios de
administrador a través de la aplicación WinRM. Éste se configurará en los sistemas origen
de los eventos y el servidor de recolección.

SIN CLASIFICAR
SIN CLASIFICAR
100.El servicio WEC se configura a través de la aplicación WECutil. Éste se configurará

exclusivamente en el servidor central de recolección que recogerá y almacenará los eventos
reenviados por los diferentes sistemas de origen de eventos. Será el servicio encargado de
la gestión de las suscripciones y de la recogida de eventos.
101.Adicionalmente a estos dos servicios, el otro componente importante, es el de suscripción

de eventos. Este componente es accesible a través del visor de sucesos en el árbol de
suscripción.
102.La suscripción se puede establecer en función de su tipología. Así, la recolección de
registros puede realizarse iniciada por el recopilador o bien establecida desde el equipo que
es origen de los eventos.
103.La suscripción iniciada desde el equipo de origen, es empleada cuando no se tienen
claramente definidos cuáles pueden ser los sistemas que van a originar los eventos, o bien
son tantos que requieren de procesos de identificación por políticas de grupo. La base
consiste en definir como origen de datos todos los equipos del dominio o un grupo
determinado y, a posteriori, aplicar una política de grupo que indique a dichos servidores
cuál es el sistema de recolección que servirá las suscripciones. Este sistema tiene el
inconveniente de que no puede granularse la generación de suscripciones, en función de
diferentes criterios, y no existe un control centralizado de los sistemas desde los que se
recopilarán eventos sino que se deberá basar todo en membresía.
104.En el mecanismo basado en la recolección iniciada por el recopilador, establece un control
mayor pero requiere un mayor esfuerzo administrativo, al tener que definir desde el
recolector de eventos cuáles serán los sistemas de origen de datos. Sin embargo, permite,
tal y como se ha definido anteriormente, un mayor control al poder crear diferentes
suscripciones en las que se filtran los diferentes eventos o características para cada grupo
de servidores. Debe tenerse en cuenta que no serán los mismos requisitos de recolección de
eventos para un controlador de dominio, para un servidor de ficheros o para un servidor de
terminal. Al generar las diferentes suscripciones podrán recuperarse eventos concretos y
necesarios para cada grupo de servidores.
105.Esta guía establece como estrategia de funcionalidad la recolección iniciada por el
recopilador. Se deberán generar las suscripciones necesarias, en función de los tipos de
equipos y los objetivos que se persigan a la hora de recuperar eventos.

SIN CLASIFICAR
SIN CLASIFICAR
106.Todas las suscripciones podrán monitorizarse a través de la configuración de suscripciones

existentes en el visor de sucesos.
107.El análisis en tiempo de ejecución permitirá determinar si una determinada suscripción,

está o no operativa. En caso de error permitirá identificar cuál es la problemática: problema
de autenticación, accesos denegados, fallos de comunicación con el servicio de WinRM,
etc.

SIN CLASIFICAR
SIN CLASIFICAR
108.Con objeto de limitar el tráfico de red en el reenvío de los eventos, y evitando colapsos de
los sistema, puede definirse qué eventos se recopilarán a través de un filtro de consulta
personalizable mediante el uso de XPath. Esto es sumamente importante, ya que constituye
el punto clave en la estrategia de la organización para que el servicio sea o no eficiente.
Recopilar todos los eventos de todos los sistemas, aunque resulta factible, supone, además
del inevitable colapso, un problema para analizar correctamente la información existente.
Debe tenerse en cuenta que el sistema de recopilación de logs almacena los eventos en
carpetas comunes y luego, posteriormente, deberán establecerse vistas personalizadas para
la búsqueda de información. Si el conjunto de datos recopilados es excesivo, los resultados
no serán adecuados.
109.Si no se define lo contrario, los eventos serán almacenados de forma predeterminada en el
contenedor de eventos reenviados.

SIN CLASIFICAR
SIN CLASIFICAR
110.Puesto que la información se encontrará totalmente mezclada en el contenedor, se deberá

hacer uso de las vistas administrativas para recuperar, del contenedor, la información
correctamente cribada. Así, a través de las vistas administrativas, se podrán establecer
filtros para recuperar eventos significativos y que puedan ser esenciales para la
organización. Por ejemplo, identificar a través de las vistas si el administrador de dominio
ha iniciado sesión cuando ésta sea una acción no permitida por la organización o solo
cuando se den determinadas condiciones. La organización podría querer ser consciente de
este hecho.
8. ENTORNO SEGURO PARA LA RECOLECCIÓN DE EVENTOS

111.La información que se maneja a través de este sistema, es altamente sensible y por lo tanto
se requiere un entorno de seguridad elevado. Adicionalmente, debe tenerse en cuenta que
el servicio WinRM ofrece muchas funcionalidades al equipo para la gestión remota, de tal
forma que deberá limitarse su operativa para lo mínimo indispensable: recolección y
tratamiento de eventos.
112.Dentro de los mecanismos involucrados en la implementación de este servicio deben
tenerse en consideración, para garantizar la seguridad, los siguientes elementos:
– Protección de las comunicaciones.
– Filtrado de puertos.
– Autenticación de sistemas remotos.
– Protección de Shell remota.
113.Tal y como se ha comentado de forma previa, el sistema de WinRM está basado en una
arquitectura de tipo Web Service. El servicio WEC se implementa en escucha para recibir
las peticiones de los clientes, en esta circunstancia el envío de eventos.
114.Como tal deben plantearse dos estrategias de seguridad independientes:
– Establecer comunicaciones seguras a través de HTTPS cuando la comunicación no se
realice de forma segura e ilegible (comunicación entre máquinas que no pertenecen
al dominio y no empleen autenticación Kerberos).
– Limitar el acceso a través de direcciones IP o rango de direcciones IP.
115.De forma predeterminada, el servicio de WinRM emplea una comunicación de tipo HTTP.
Debe conocerse que en caso de utilizar un mecanismo basado en Kerberos, tal y como
define la presente guía, la información intercambiada debe ser realizará empleando, de
forma nativa, mecanismos de cifrado. Esto no será así cuando el mecanismo de
autenticación empleado no sea de tipo Kerberos, por ejemplo, en autenticación básica
empleada para la comunicación con sistemas que no son de dominio. En esa circunstancia,
podría emplearse comunicación de tipo HTTPS haciendo uso de la sintaxis
correspondiente.
WinRM quickconfig –transport:https

SIN CLASIFICAR
SIN CLASIFICAR
116.No obstante, para que el servicio pueda trabajar en modo HTTPS, el servidor necesita un
certificado válido. Éste debe ser de tipo “Autenticación de Servidor”, su nombre debe
corresponder con el nombre cualificado del servidor y deberá estar vigente y no revocado.
El sistema no permite el uso de certificados autofirmados, por lo que dicho certificado
deberá ser emitido a través de una entidad certificadora autorizada. En el caso de que se
fuerce el transporte en HTTP, pero no haya un certificado válido para el servicio de
WinRM los datos no serán cifrados.
117.Otro de los mecanismos de seguridad, que se deben emplear para garantizar una
comunicación segura, es la limitación a través la configuración de las direcciones IP o
redes que podrán establecer comunicación con el servidor. De esta forma, se limita el
acceso impidiendo que un potencial atacante, desde un sistema ajeno al propio servicio,
pueda acceder de forma remota al mismo. La organización podrá establecer, como
estrategia fundamental de seguridad, un filtrado a través del Firewall de Windows.
118.La presenta guía empleará este mecanismo, basado en la aplicación de políticas de grupo,
para una mayor protección en los accesos remotos al servicio. Adicionalmente, la
configuración del Firewall de Windows se empleará también para limitar el acceso remoto,
no solo para el conjunto de direcciones IP válidas sino estableciendo el filtro para el acceso
a los puertos exclusivamente necesarios. El puerto predeterminado de escucha para la
versión WinRM 2.0 es el TCP 5985 para comunicaciones HTTP y TCP 5986 para
comunicaciones HTTPS. Las versiones anteriores empleaban el puerto 80 para
comunicaciones HTTP y 443 para las comunicaciones HTTPS. En caso de compatibilidad
de un servidor Windows 2008 R2 con clientes ejecutando versiones previas de WinRM,
como la 1.1, deberá habilitarse la escucha de compatibilidad y establecer las excepciones
correspondientes a través del firewall.
119.Otros de los puntos importantes, dentro de la configuración del sistema de WinRM, lo
constituye el proceso de autenticación. Aunque exista un sistema basado en Web, éste va
completamente autenticado. Existen diferentes posibilidades admitidas para el proceso de
autenticación:
– Autenticación básica.
– Autenticación digest.
– CredSSP (Credential Security Support Provider).
– Autenticación negociada.
– Kerberos.
– Con certificado de cliente.
– Token de canal.
120.En el modelo de autenticación debe tenerse en cuenta la compatibilidad entre el cliente
WinRM y el servicio WinRM. Una configuración errónea impedirá una comunicación
correcta entre el cliente que reenvía los eventos y el servidor encargado de su recepción.
121.En la seguridad establecida en la presente guía y, con motivo de que la implementación de
los sistemas se basa en una arquitectura de dominio, se empleará el mecanismo de
autenticación Kerberos. Adicionalmente a que ofrece las mejores garantías de seguridad en
los procesos de autenticación de entornos Windows, aporta la capacidad nativa de que el
proceso de intercambio de información a través de WinRM se realice cifrando los datos.

SIN CLASIFICAR
SIN CLASIFICAR
122.Tal y como se ha comentado en páginas previas, el servicio de WinRM ofrece unas

capacidades interesantes para la administración remota. No obstante, si no se configura
convenientemente, éstas pueden suponer un riesgo de seguridad significativo. Dentro de
éstas destaca el componente de la Shell Remota. A través de la misma, un sistema puede
acceder en modo Shell a un sistema remoto y a través del servicio de WinRM.
123.Para evitar efectos negativos se establecerá este componente como deshabilitado a todos
los efectos aplicando esta guía. Esta operación se establecerá a través de políticas aunque
puede realizarse manualmente, mediante la ejecución de la siguiente sintaxis, en un
intérprete de comando lanzado con privilegios administrativos:
Winrm set winrm/config/winrm @{AllowRemoteShellAccess=”false”}
8.1 CONFIGURACIÓN DE CLIENTE WINRM

124.Los valores de configuración del cliente WinRM, a través de la configuración de políticas
de grupo, permiten las siguientes opciones:
Nombre de la Si la opción es habilitada Si la opción se deshabilita o
opción de no se configura
configuración
Autenticación Si se habilita esta configuración de directiva, el El cliente WinRM no usará la

básica cliente WinRM usará la autenticación básica. Si el autenticación básica.
cliente utiliza el transporte HTTP, el nombre de
usuario y la contraseña se envían a través de la
red como texto sin cifrar.
Autenticación Si habilita está configuración, el cliente WinRM El cliente no hará uso de la
CredSSP usará la autenticación CredSSP. Este mecanismo autenticación CredSSP.
de autenticación es empleado por servicios como
el de escritorio remoto.
Permitir tráfico Esta configuración permite que el cliente WinRM El cliente WinRM no enviará
sin cifrar envíe y reciba mensajes sin cifrar a través de la o aceptará mensajes que no
red. se encuentren cifrados.
No permitir Si habilita esta configuración, el cliente WinRM no El cliente WinRM podrá
autenticación usará la autenticación de tipo Digest contra el utilizar la autenticación Digest
implícita servidor.
No permitir la El cliente WinRM no usará la autenticación El cliente WinRM utilizará la
autenticación Kerberos directamente. Kerberos todavía podría autenticación Kerberos
Kerberos emplearse si el cliente usa la autenticación directamente
negociada y selecciona Kerberos.
No permitir El cliente WinRM no usará la autenticación El cliente usará la
autenticación negociada. autenticación negociada.
negociada Implícitamente intentará
hacer uso de la autenticación
Kerberos o la de tipo NTLM

SIN CLASIFICAR
SIN CLASIFICAR
Nombre de la Si la opción es habilitada Si la opción se deshabilita o

configuración
Hosts de Esta configuración le permite determinar la lista El cliente no utilizará la lista

confianza de sistemas remotos que son de confianza. El de forma centralizada. Si
cliente WinRM usa esta lista cuando no se usa ni necesita usar una lista de
HTTPS ni Kerberos para autenticar la identidad hosts de confianza porque no
del host. se hace uso de HTTPS o
Kerberos para la
autenticación, deberá
configurarse esta lista de
forma local en cada equipo.
8.2 CONFIGURACIÓN DEL SERVIDOR WINRM

125.Los valores de configuración del servidor WinRM, a través de la configuración de políticas
de grupo, permiten las siguientes opciones:
Nombre de la Opciones disponibles si la función es habilitada Si la opción se deshabilita o
configuración
Permitir Esta opción permite administrar si el servicio de El servicio WinRM no

configuración WinRM escucha automáticamente peticiones en el realizará escuchas de forma
automática de transporte HTTP o a través del puerto HTTP automática y deberán
escuchas predeterminado. Al habilitarlo, el servicio escucha establecerse escuchas de
automáticamente peticiones en el puerto 5985. El forma manual.
servicio de escucha presenta opciones para
establecer filtros de unos o varios intervalos de:
– Direcciones IPv4.
– Direcciones IPv6.
Autenticación Si se habilita esta configuración de directiva, el El servidor WinRM no
básica servidor WinRM aceptará la autenticación básica por aceptará la autenticación
parte de un cliente. básica.
Autenticación Si habilita está configuración, el servidor WinRM El servidor no aceptará la
CredSSP aceptará la autenticación CredSSP de un cliente autenticación CredSSP.
remoto.
Permitir tráfico Esta configuración permite que el servidor WinRM El servidor WinRM no enviará
sin cifrar envíe y reciba mensajes sin cifrar a través de la red. o aceptará mensajes que no
se encuentren cifrados.
Especifique el Si habilita esta configuración se podrá establecer el No se establecerán
nivel de nivel de protección de WinRM respecto a los token mecanismos de protección de
protección de de enlace de canal. Los niveles admitidos son: token y podrá configurar el
token de – Estricto. Se rechazará cualquier solicitud que nivel localmente en cada
enlace local contenga un token de enlace de canal no válido. equipo.
– Relajado (valor predeterminado). Se rechazará
cualquier token de enlace de canal no válido.
Sin embargo se aceptará una solicitud aunque
no contenga un token de enlace de canal.
– Ninguno. Se aceptarán todas las solicitudes,
aunque el sistema no quedará protegido frente
a ataques de reenvío de credenciales.

SIN CLASIFICAR
SIN CLASIFICAR

configuración
No permitir la El servidor WinRM no aceptará la autenticación El servidor WinRM aceptará

autenticación Kerberos a través de la red. la autenticación Kerberos de
Kerberos un cliente remoto.
No permitir El servidor WinRM no aceptará la autenticación El servidor negociará la
autenticación negociada. autenticación con el cliente
negociada remoto. Implícitamente
intentará hacer uso de la
autenticación Kerberos o la
de tipo NTLM
Activar la Esta configuración habilita una escucha HTTP El servidor no escucha en el
escucha HTTP creada por motivos de compatibilidad con versiones puerto 80.
de anteriores en el servicio Administración remota de
compatibilidad Windows. WinRM en su versión 2.0 utiliza el puerto
de escucha 5985. Si habilita esta opción se produce
la escucha también por el puerto 80.
Activar la Esta configuración habilita una escucha HTTPS El servidor no escucha en el
escucha creada por motivos de compatibilidad con versiones puerto 443.
HTTPS de anteriores en el servicio de Administración remota
compatibilidad de Windows. WinRM, en su versión 2.0, utiliza el
puerto de escucha 5985. Si habilita esta opción se
produce la escucha también por el puerto 443
8.3 REENVÍO DE EVENTOS

126.Los valores de configuración del componente de reenvío de eventos, a través de la
configuración de políticas de grupo, permiten las siguientes opciones:
configuración
ForwarderResour Controla el uso de recursos para el reenviador. El enviador no tendrá limitado

ceUsage el número de eventos
máximos permitidos por
segundo.
Configurar la La directiva permite la configuración de diferentes El administrador podrá
dirección del parámetros para el envío de eventos al repositorio configurar el nivel localmente
servidor, el central. en cada equipo.
intervalo de
actualización y la
entidad de
certificación
emisora de un
administrado de
suscripciones de
destino

SIN CLASIFICAR
SIN CLASIFICAR
8.4 SHELL REMOTA DE WINDOWS

127.Los valores de configuración de la Shell remota de Windows, a través de la configuración
de políticas de grupo, permiten las siguientes opciones:
configuración
Permitir acceso a El servidor permitirá conexiones de Shell remoto. El servidor rechazará

shell remoto conexiones de Shell remoto.
9. AUDITORÍA Y EVENTOS DE SEGURIDAD

128.Un aspecto importante, dentro del marco de la seguridad, lo comprende la trazabilidad de
sucesos que ocurren en los sistemas de la información. A través de éste, puede evaluarse
que ha sucedido en una incidencia o bien determinar de forma proactiva que se está
produciendo la misma. Para que esto sea factible, se hace necesaria, de forma inicial, que
los sistemas se encuentren auditados.
129.En los sistemas operativos Microsoft el establecimiento de la trazabilidad se realiza a
través de las auditorías. Aplicadas mediante directivas de seguridad, pueden realizarse
tanto a nivel local como a nivel de dominio, mediante la aplicación de políticas de grupo.
Los sistemas de auditoría han venido aplicándose de forma invariable desde Windows
2000, pero en las últimas versiones de sistema operativo se ha establecido una mayor
granularidad para su aplicación.
130.Las categorías tradicionales para el establecimiento de registro son:
– Inicio/Cierre de sesión.
– Inicio de sesión de la cuenta.
– Administración de cuentas.
– Acceso de objetos.
– Accesos del servicio de directorio.
– Uso de privilegios.
– Seguimientos de procesos.
– Sistema.
– Cambio de directivas.
131.Estas categorías pueden habilitarse o deshabilitarse mediante la aplicación de directivas de
grupo.

SIN CLASIFICAR
SIN CLASIFICAR
132.Los eventos de inicio de sesión tienen como objetivo determinar cuándo una instancia de
inicio o cierre de sesión se ha establecido en un equipo. Existe una diferencia importante
entre este tipo de eventos y los de tipo de inicio y cierre de cuenta. Estos últimos se
establecen, para cuentas de dominio o eventos, cuando se produce un inicio o cierre de
sesión con una cuenta de tipo remota. Así, por ejemplo, cuando un usuario de dominio
inicie sesión en una máquina, se establecerá un registro de eventos a nivel local como
evento de inicio de sesión y como un inicio de sesión de cuenta en los controladores de
dominio.
133.Los eventos de inicio de sesión de cuenta establecen instancias de inicio o cierre de sesión
de cuenta en otro equipo distinto del utilizado para validar la cuenta. Por ejemplo, cuando
un usuario de dominio inicia una sesión en un equipo, queda registrada esta acción en el
controlador de dominio.
134.Los eventos de administración de cuentas permiten determinar quién está realizando
cambios en las cuentas de usuario, grupos de seguridad o incluso un uso indebido de
credenciales administrativas.
135.La auditoría de acceso a objetos recoge el más amplio espectro de registros de sucesos.
Abarcan servicios tan diferentes como el acceso a ficheros o carpetas, el registro o la base
de datos de seguridad. El sistema permite la supervisión de objetos siempre y cuando se
tengan habilitados las SACL (listas de control de acceso al sistema) correspondientes.
136.Los eventos relacionados con el uso de privilegios permiten determinar quién está
haciendo uso de una serie de derechos concedidos para poder interactuar con el propio
sistema. Entre estos pueden incluirse los correspondientes a la realización de copias de
seguridad o poder cambiar la hora del equipo.
137.Los eventos de seguimiento de procesos, se utilizan fundamentalmente para procesos de
depuración de aplicaciones o la resolución de problemas del sistema o de las aplicaciones y
servicios que se ejecutan en el mismo. Hay que tener precaución al habilitar esta auditoría
debido a la gran cantidad de eventos que se generan, que pueden llegar a saturar el fichero
de registros, descartando eventos esenciales.

SIN CLASIFICAR
SIN CLASIFICAR
138.Los eventos de sucesos del sistema controlan cuándo se inicia o se apaga un equipo y todos
aquellos sucesos relacionados con la seguridad del sistema o el propio registro de
seguridad. Estos eventos son altamente críticos ya que reportan información que afectan a
la seguridad general de todo el equipo.
139.La auditoría de cambios de directivas permite determinar cuándo se realizan cambios en
las políticas. Esta acción es sensible sobre todo en lo que respecta a la propia auditoría,
puesto que si la auditoría de cambios de directivas no se encontrara auditada, una persona
podría cambiar el plan de auditoría, pudiendo realizar así una acción que no quedara
correctamente registrada. Esta categoría, activada, permitirá que los eventos recogidos
muestren, al menos, que una cuenta determinada ha cambiado la configuración de la
auditoría de seguridad.
140.El problema tradicional de la auditoría consistía en que no se podía realizar sobre
elementos específicos sino sobre el conjunto de elementos de la categoría. Así, cuando se
establecía una auditoría de eventos de inicio de sesión, no podía establecerse la
diferenciación entre el inicio o el cierre de la sesión. Era obligatorio, por tanto, auditar
todas las subcategorías.
141.Sin embargo, desde Windows Vista se introdujo un nuevo modelo de auditoría
denominado GAP (Directivas de Auditoría Granular). Mediante GAP es factible habilitar o
deshabilitar subcategorías dentro del conjunto principal de la categoría. De esta forma, se
pueden dimensionar mejor los registros de auditoría, afinando más qué auditar o qué no
auditar. Evidentemente, esta funcionalidad no aplica a versiones anteriores, como
Windows 2003 o Windows XP.
142.El control de las subcategorías se puede realizar a través de la aplicación “Auditpol.exe”,
pudiendo así controlarse qué elementos de la auditoría se encuentran habilitados o no.

SIN CLASIFICAR
SIN CLASIFICAR
143.Los siguientes subapartados recogen la información de las categorías, así como las
diferentes subcategorías en las que se dividen las principales. Deberá tenerse en cuenta que
estas no son de aplicación para Windows Server 2003.
144.Habilitar o deshabilitar determinadas subcategorías puede realizarse a través de políticas de
grupo, mediante la configuración de directiva de auditoría avanzada.
145.Las subcategorías correspondientes a eventos de inicio de sesión de cuenta son:

– Validación de credenciales.
– Servicio de autenticación Kerberos.
– Operaciones de tickets Kerberos.
– Otros eventos de inicio de sesión de cuentas.
146.Las subcategorías correspondientes a los eventos de administración de cuenta:
– Administración de grupos de aplicaciones.
– Administración de cuentas de equipo.
– Administración de cuentas de usuario.
– Administración de grupos de distribución.
– Administración de grupos de seguridad.
– Otros eventos de administración de cuentas.
147.Las subcategorías correspondientes a los eventos de seguimiento detallado son:
– Actividad DPAPI.
– Creación de procesos.
– Finalización de procesos.
– Eventos RPC.
148.Las subcategorías correspondientes a los eventos de acceso DS (servicio de directorio) son:
– Replicación del servicio de directorio.

SIN CLASIFICAR
SIN CLASIFICAR
– Acceso al servicio de directorio.

– Cambios en el servicio de directorio.
– Replicación del servicio de directorio detallado.
149.Las subcategorías correspondientes a los eventos de inicio y cierre de sesión son:
– Modo extendido IPsec.
– Modo principal IPsec.
– Modo rápido IPsec.
– Bloqueo de cuentas.
– Cierre de sesión.
– Inicio de sesión.
– Servidor de directivas de redes.
– Otros eventos de cierre e inicio de sesión.
– Eventos de inicio de sesión especial.
150.Las subcategorías correspondientes a los eventos de acceso de objetos:
– Sistema de archivos.
– Registro.
– Objeto de kernel.
– SAM.
– Servicios de certificación.
– Aplicación generada.
– Manipulación de identificadores.
– Recurso compartido de archivos.
– Colocación de paquetes de plataforma de filtrado.
– Conexión de plataforma de filtrado.
– Recurso compartido de archivos detallado.
– Otros eventos de acceso a objetos.
151.Las subcategorías correspondientes a los eventos de cambio de directiva son:
– Cambio de la directiva de autenticación.
– Cambio de la directiva de autorización.
– Cambio de la directiva del nivel de reglas de MPSSVC.
– Cambio de la directiva de Plataforma de filtrado.
– Cambio en la directiva de auditoría.
– Otros eventos de cambio de directivas.
152.Las subcategorías correspondientes a los eventos de administración de uso de privilegios
son:

SIN CLASIFICAR
SIN CLASIFICAR
– Uso de privilegio no confidencial.

– Uso de privilegio confidencial.
– Otros eventos de uso de privilegio.
153.Las subcategorías correspondientes a los eventos de sistema son:
– Extensión del sistema de seguridad.
– Integridad del sistema.
– Controlador IPsec.
– Otros eventos de sistema.
– Cambio de estado de seguridad.
154.El detalle de los eventos que puedan derivarse para cada categoría serán recogidos en un
anexo de la presente guía. Debe tenerse en consideración que altamente recogido en las
diferentes guías CCN-STIC de la serie 800, requiere también de explicación por su
importancia. Con respecto a la aplicación de la auditoría de acceso a objetos, hay una serie
de objetos que son definidos de forma predeterminada por Microsoft para que sean
auditados. Sin embargo, otros muchos que serán críticos para una organización, no serán
auditados salvo que se habilite dicha acción de forma predeterminada. Es el caso, por
ejemplo, del acceso a ficheros y a carpetas.
155.Auditar, de forma correcta o errónea, eventos de acceso a objetos, no implica de forma
automática que las acciones sobre determinadas carpetas o ficheros allí existentes quedarán
registradas. Es necesario habilitar las SACL correspondientes para que estos puedan
auditarse correctamente.
156.En dichas auditorías deberá habilitarse, no solo sobre qué objetos es de aplicación, sino a
quién se audita y cómo se audita. El punto 1 del anexo H recoge como materializar dicho
proceso.

SIN CLASIFICAR
SIN CLASIFICAR
10. PLANIFICACIÓN PARA LA RECOLECCIÓN DE EVENTOS

157.Una organización, que plantee la implantación del sistema para la recolección de eventos,
debe tener en mente en una primera instancia la planificación. El primer planteamiento que
tiene, suele ser la recolección de todos los eventos. Esto permite asegurar que no se pierde
nada de información. Sin embargo, hay que ser conscientes de que a veces más es menos.
158.Más eventos pueden repercutir negativamente en tres aspectos:
– Consumo de recursos locales para el almacenamiento de eventos y reenvío de los
mismos.
– Uso elevado de la red por la gran cantidad de datos en tráfico.
– Un gran número de eventos recolectados que deben ser analizados
convenientemente.
159.Claro está que no todos los eventos recolectados aportan información interesante y, por lo
tanto, debe cribarse convenientemente. Para ello, la organización deberá tomar en
consideración una serie de circunstancias importantes:
– Qué servidores y puestos de la organización son críticos y por lo tanto, resulta
esencial que la información de eventos de seguridad quede almacenada y pueda ser
tratada adecuadamente.
– De esos sistemas, será necesario determinar qué elementos hay que salvaguardar o
bien qué condiciones dentro de la operativa podrían suponer un riesgo o contravenir
las normas de uso de la organización.
– Una vez recogidos los eventos, deberá determinarse su forma de presentación y, si
existiera la necesidad, establecer un mecanismo para la notificación ante
determinadas circunstancias dadas.
160.La presente guía se centra en los eventos de seguridad. No obstante, debe tenerse en cuenta
que el proceso de recolección de eventos se puede establecer también para eventos de
sistema o de aplicación.
10.1 ELECCIÓN DE SISTEMAS

161.A la hora de determinar de qué sistemas se recopilaran los eventos, deben tenerse en cuenta
fundamentalmente los criterios de criticidad. Hay una serie de condiciones que son
comunes a las organizaciones, por ejemplo, si alguien modifica las políticas de grupo
porque podría anular la propia recolección de eventos o bien la autenticación de
determinadas cuentas. Así, los controladores de dominio constituyen una opción más que
es necesaria dentro de la selección.
162.Los servidores de ficheros en los que, por su criticidad, se manejen datos sensibles o
especialmente críticos para la funcionalidad de la organización, también deberían ser
tenidos en consideración.
163.A continuación, se deben destacar aquellos servidores de aplicaciones, servidores de
terminal u otros que reúnan las condiciones de criticidad necesarias que estimara la
organización.
164.Dentro de los puestos de trabajo, cabría destacar aquellos en los que, mediante su uso, se
trata información muy sensible o bien que pertenezcan a personas que, por el tipo de
información que pueden manejar, requieren un control especial.

SIN CLASIFICAR
SIN CLASIFICAR
165.En el agrupamiento, tendrán que ver fundamentalmente las condiciones de seguridad y

atenderán al tipo de eventos y características que se vayan a recuperar. Debe tenerse en
cuenta que el reenvío de eventos se basará en los filtros de las suscripciones que se creen,
de tal forma que es conveniente crear suscripciones por categorización de servicios o
sistemas.
166.En cuanto al número de sistemas soportado, no es tanta la limitación existente sino el llegar
a entender el número de eventos que se generan y, por lo tanto, que hay que tratar. Un
número menor de sistemas podría llegar a generar muchos más eventos que un número
mayor de servidores. Dependiendo de las categorías y subcategorías habilitadas, los
sistemas generarán más o menos eventos y, por lo tanto, necesitarán una mayor capacidad
de procesamiento y, en caso de suscripción, el reenviarlos por la red.
167.Por lo tanto, delimitar el número de sistemas de los cuales se recuperará la información,
dependerá de factores tales como las categorías y subcategorías habilitadas o los filtros
definidos.
10.2 ELECCIÓN DE CATEGORÍAS Y SUBCATEGORÍAS

168.Como se definió en el punto 8 de la presente guía, un elemento esencial a la hora de
recoger eventos es definir las categorías y subcategorías a auditar. Las diferentes guías
CCN-STIC de la serie 800 proponen determinadas condiciones de auditoría, no obstante, la
organización debe valorar si debe habilitar uno y deshabilitar otros o manejar las diferentes
subcategorías existentes para cada categoría de auditoría.
169.No existen normas establecidas que determinen si un tipo de servidor debe o no tener
habilitado un tipo de categoría. Sí existen buenas prácticas y, como tal, quedan recogidas a
través de las diferentes guías. No obstante, en lo relativo a las subcategorías, las
organizaciones podrán definir en mayor medida qué quedará o no auditado.
170.Para una referencia sobre auditoría y servidores se puede consultar la guía de auditoría de
seguridad que ha emitido Microsoft:
http://technet.microsoft.com/es-es/library/cc771395(v=ws.10).aspx
171.La identificación de categorías y subcategorías puede establecerse por políticas de grupo o
bien localmente. No obstante, como las guías de seguridad definen la aplicación de
auditorías por políticas de grupo, deberían definirse nuevas políticas que prevalezcan sobre
las ya aplicadas, en caso de necesidad, por parte de la organización o bien para cubrir unos
criterios diferentes a los ya planteados.
172.Se debe recordar que, en la aplicación de políticas de seguridad y en caso de contradicción
de dos o más objetos de GPO, tendrán siempre prioridad las más cercanas al objeto (en esta
circunstancia el equipo). Así, si hay una política aplicable en una unidad organizativa
donde se encuentra el servidor, sus directivas prevalecerán sobre las del dominio. Si dos
directivas de seguridad se contradicen, prevalecerá la directiva existente en la GPO
aplicada sobre la Unidad Organizativa más cercana al objeto. En caso de dos o más
políticas aplicadas en una misma unidad organizativa, prevalecerán aquellas directivas de
la política con mayor prioridad. No obstante, en caso de querer conocer la prioridad final
aplicada, puede atender a la información suministrada en la herencia de directivas de grupo
que facilita para cada unidad organizativa la herramienta de administración de directivas de
grupo.

SIN CLASIFICAR
SIN CLASIFICAR
173.En caso de tener que aplicar diferentes políticas de grupo, por criterios de categorización, a
diferentes tipos de sistemas que se encuentren dentro de una misma unidad organizativa,
podrán aplicarse mediante filtros por pertenencia a grupo. Podrá tomarse como ejemplo el
modo en el que se aplican las políticas en la presente guía.
10.3 CRITERIOS PARA LA GENERACIÓN DE SUSCRIPCIONES

174.Uno de los elementos esenciales a la hora de establecer los mecanismos de recogida de
eventos, los constituyen las suscripciones. Mientras que las categorizaciones sirven para
definir los eventos a recoger, las suscripciones deberán emplearse para filtrar la
información que se almacenará.
175.La organización deberá hacer un análisis de las necesidades de criticidad y transformarlas
en suscripciones. Por ejemplo, un elemento esencial para la organización lo podría
constituir el hecho de que unos documentos determinados de una carpeta accesible por un
conjunto de usuarios fueran modificados. En este sentido, podría transformarse este hecho
en una suscripción donde deberá tenerse en cuenta:
– La acción para identificar los eventos a recuperar.
– El o los servidores donde se puede producir este hecho.
– Los criterios de objeto y/o usuario si existieran.
176.Existe, no obstante, otro mecanismo para realizar esta operación que consistiría en crear
una suscripción genérica que recupere toda la información de los servidores y luego
haciendo uso de las vistas obtener esta información. No obstante, esta forma de operar
incide negativamente en el rendimiento general: consumo de ancho de banda de red,
consumo de almacenamiento y procesamiento en el repositorio central.
177.En anexos de la presente guía, se tratarán mecanismos y ejemplos para generar
suscripciones asociadas a eventos que requieran la auditoría por parte de una organización.

SIN CLASIFICAR
SIN CLASIFICAR
10.4 CREAR VISTAS PERSONALIZADAS

178.Debido a que la información recogida por las suscripciones se almacenará en el mismo
contenedor, para poder hacer un análisis detallado podrán crearse vistas personalizadas que
muestren la información filtrada y podrán establecerse eventos como, por ejemplo, generar
mensajes o enviar correos electrónicos.
179.Las vistas personalizadas pueden seguir criterios similares a las suscripciones, pero
permiten su diferenciación en contenedores diferentes, por lo que pueden categorizarse y
generarse en un árbol de visualización acorde a las necesidades de la organización.
180.Se especificará con detalle, en el Anexo F de la presente guía, la identificación y creación
de las vistas personalizadas así como el análisis de los resultados.

SIN CLASIFICAR
SIN CLASIFICAR
ANEXO A. POLÍTICA DE SEGURIDAD DE SERVIDOR DE

RECOLECCIÓN DE EVENTOS
Con esta guía, se entrega una política de seguridad que será aplicada según procedimiento a los
servidores Windows 2008 R2 que cumplan con el rol de recolectores de eventos.
CCN-STIC-899 Recolector de eventos
Configuración de seguridad
Servicios del sistema
Recopilador de eventos de Windows (Modo de inicio: Automático)
Permisos
Tipo Nombre Permiso
Permitir BUILTIN\Administradores Control total
Permitir NT AUTHORITY\SYSTEM Control total
Permitir NT AUTHORITY\INTERACTIVE Leer
Auditoría
Tipo Nombre Acceso
Aciertos Todos Control total
Administración remota de Windows (WS-Management) (Modo de inicio: Automático)

Permisos
Tipo Nombre Permiso
Auditoría
Tipo Nombre Acceso
Firewall de Windows con seguridad avanzada

Configuración global
Directiva Configuración
Versión de directivas 2.10
Deshabilitar FTP con estado No configurado
Deshabilitar PPTP con estado No configurado
Exención de IPsec No configurado
IPsec a través de NAT No configurado
Codificación de clave previamente compartida No configurado
Tiempo inactivo de SA No configurado
Comprobación CRL fuerte No configurado

SIN CLASIFICAR
SIN CLASIFICAR
Reglas de entrada
Nombre Descripción
WinRM recolector de eventos
Esta regla puede incluir algunos elementos que la versión

actual del módulo de informe GPMC no pueda interpretar
Habilitado Verdadero
Programa Cualquiera
Acción Permitir
Seguridad Requerir autenticación
Equipos autorizados
Usuarios autorizados
Protocolo 6
Puerto local 5985
Puerto remoto Cualquiera
Configuración ICMP Cualquiera
Ámbito local Cualquiera
Ámbito remoto Cualquiera
Perfil Dominio, Privado
Tipo de interfaz de red Todo
Servicio Todos los programas y servicios
Permitir cruce seguro del perímetro Falso
Grupo
Configuración de seguridad de conexión

Plantillas administrativas
Definiciones de directiva (archivos ADMX) recuperados del equipo local.
Componentes de Windows/Administración remota de Windows (WinRM)/Cliente WinRM
Directiva Configuración Comentario
Hosts de confianza Deshabilitado
No permitir autenticación implícita Habilitado
No permitir autenticación Kerberos Deshabilitado
No permitir autenticación Negotiate Deshabilitado
Permitir autenticación básica Deshabilitado
Permitir autenticación CredSSP Deshabilitado
Permitir tráfico sin cifrar Deshabilitado

SIN CLASIFICAR
SIN CLASIFICAR
Componentes de Windows/Administración remota de Windows (WinRM)/Servicio WinRM
Activar escucha HTTP de compatibilidad Deshabilitado
Activar escucha HTTPS de compatibilidad Deshabilitado
Especifique el nivel de protección de Habilitado
token de enlace de canal
Nivel de protección: Estricto
Permitir configuración automática de Habilitado
escuchas
Filtro IPv4: *
Filtro IPv6:
Sintaxis:
Escriba "*" para permitir mensajes de cualquier dirección IP o deje el campo vacío para no escuchar en ninguna dirección
IP. Puede especificar uno o varios intervalos de direcciones IP.
Filtros IPv4 de ejemplo:
2.0.0.1-2.0.0.20, 24.0.0.1-24.0.0.22
3FFE:FFFF:7654:FEDA:1245:BA98:0000:0000-3FFE:FFFF:7654:FEDA:1245:BA98:3210:4562

Componentes de Windows/Shell remoto de Windows
Permitir acceso a shell remoto Deshabilitado

SIN CLASIFICAR
SIN CLASIFICAR
ANEXO B. POLÍTICA DE SEGURIDAD ORÍGENES DE

EVENTOS WINDOWS SERVER 2008 R2
servidores Windows 2008 R2 que sean orígenes de eventos.
CCN-STIC-899 Orígenes de eventos Servidores Windows 2008 R2
Permisos
Tipo Nombre Permiso
Auditoría
Tipo Nombre Acceso

Deshabilitar FTP con estado No configurado
Deshabilitar PPTP con estado No configurado
Exención de IPsec No configurado

Reglas de entrada
Nombre Descripción
Conexión a WinRM desde Colector de evento

Programa Cualquiera
Acción Permitir

SIN CLASIFICAR
SIN CLASIFICAR
Equipos autorizados
Protocolo 6
Puerto local 5985
Ámbito remoto 192.168.1.201
Perfil Todo
Grupo
Configuración de seguridad de conexión



SIN CLASIFICAR
SIN CLASIFICAR
escuchas
Filtro IPv4: *
Filtro IPv6:
Sintaxis:
2.0.0.1-2.0.0.20, 24.0.0.1-24.0.0.22


SIN CLASIFICAR
SIN CLASIFICAR
ANEXO C. POLÍTICA DE SEGURIDAD ORÍGENES DE

EVENTOS CLIENTES WINDOWS 7
clientes Windows 7 que sean orígenes de eventos.
CCN-STIC-899 Orígenes de eventos clientes Windows 7
Grupos restringidos
Agrupar Miembros Miembro de
BUILTIN\Lectores del registro de eventos NT AUTHORITY\Servicio de red

Permisos
Tipo Nombre Permiso
Auditoría
Tipo Nombre Acceso

Deshabilitar FTP con estado Falso
Deshabilitar PPTP con estado Falso
Exención de IPsec Detección de vecinos, Desconocido

Configuración de perfil de dominio
Estado del firewall Activado
Conexiones entrantes Bloquear
Conexiones salientes Permitir
Aplicar reglas de firewall local Sí

SIN CLASIFICAR
SIN CLASIFICAR
Aplicar reglas de seguridad de conexión local Sí
Mostrar notificaciones No configurado
Permitir respuestas de unidifusión No configurado
Registrar paquetes perdidos No
Registrar conexiones correctas No
Ruta de acceso del archivo de registro %systemroot%\system32\LogFiles\Firewall\pfirewall.log
Tamaño máximo del archivo de registro (KB) 4096

Configuración de perfil privado

Configuración de perfil público

SIN CLASIFICAR
SIN CLASIFICAR
Reglas de entrada
Nombre Descripción
Conexión a WinRM desde colector de eventos

Programa Cualquiera
Acción Permitir
Equipos autorizados
Protocolo 6
Puerto local 5985
Ámbito remoto 192.168.1.201
Perfil Todo
Grupo

SIN CLASIFICAR
SIN CLASIFICAR
escuchas
Filtro IPv4: *
Filtro IPv6:
Sintaxis:
2.0.0.1-2.0.0.20, 24.0.0.1-24.0.0.22


Red/Conexiones de red/Firewall de Windows/Perfil de dominio

Firewall de Windows: no permitir Deshabilitado
excepciones

SIN CLASIFICAR
SIN CLASIFICAR
Firewall de Windows: permitir registro Habilitado
Registro de paquetes perdidos Deshabilitado
Registrar conexiones correctas Deshabilitado
Ruta y nombre de archivo de registro: %systemroot%\system32\LogFiles\Firewall\pfirewall.log
Límite de tamaño (KB): 4096
Firewall de Windows: proteger todas las Habilitado
conexiones de red

SIN CLASIFICAR
SIN CLASIFICAR
ANEXO D. GUÍA PASO A PASO DE LA INSTALACIÓN DEL

SISTEMA DE RECOLECCIÓN DE LOGS
Este anexo se ha diseñado para ayudar a los operadores a implementar un servidor de recolección
de eventos, así como los diferentes sistemas de origen de datos con los que puede contar la
organización.
1. PREPARACIÓN DE DIRECTORIO ACTIVO

Los pasos que se describen a continuación se realizarán en un controlador de dominio de la
infraestructura a la que pertenece el servidor de recolección de eventos.
Paso Descripción
1. Inicie sesión, en un servidor Controlador de Dominio del dominio en el que se encuentre el

servidor de recolección de eventos, con una cuenta administrador de dominio.
2. Cree el directorio “C:\scripts”.
3. Copie las carpetas, ficheros y plantillas de seguridad asociadas a esta guía (CCN-STIC-899
Recolección y consolidación de eventos con Windows Server 2008 R2) en el directorio
“C:\Scripts”.
4. Vaya a la carpeta “c:\scripts” y pulsando con el botón derecho del ratón sobre el fichero “CCN-
STIC-899 creacion grupos”, seleccione la opción “Ejecutar como administrador”.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
5. Introduzca la cuenta y contraseña de un administrador de dominio para continuar.
6. El script creará los grupos necesarios para la aplicación posterior de políticas de grupos y de
los que se deberá hacer miembros a los equipos correspondientes. Una vez iniciado el script,
pulse una tecla para continuar.
7. Una vez ejecutado el script, pulse una tecla para finalizar.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
8. Abra la herramienta de usuarios y equipos de Active Directory. Para ello vaya al “Menú inicio \
herramientas administrativas \ usuarios y equipo de Active Directory.”
9. Introduzca cuando se le solicite, la cuenta y contraseña de un administrador con los privilegios

suficientes para poder administrar el dominio.
10. Una vez abierta la herramienta, vaya a la carpeta “users”.

Usuarios y equipos de Active Directory \ (dominio) \ users
11. Haga miembros del grupo al servidor o servidores que asumirán el rol de recolector de eventos,
(en el laboratorio, el nombre es “ServidorAC”). Para ello, abra el nuevo grupo creado haciendo
doble clic sobre el mismo.
12. En la nueva ventana abierta, vaya a la pestaña miembros y seleccione la opción “Agregar…”.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
13. Seleccione la opción “Tipos de objeto…”.
14. En la nueva ventana abierta marque el tipo de objeto “equipos” y desmarque el resto.
Pulse el botón “Aceptar”.

15. Introduzca el nombre del servidor o servidores (separados por coma) que realizará la
funcionalidad de recolección de eventos. Si no conoce los nombres podrá hacer uso de la
función “Opciones avanzadas” para buscar los servidores.
.
Una vez introducidos pulse el botón “Aceptar”.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
16. Una vez que se han agregado el o los servidores, pulse el botón “Aceptar”.
17. A continuación, acceda a las propiedades del grupo “origen de eventos 2008R2” que
encontrará en la carpeta “Users”. Haga miembros del nuevo grupo al servidor o servidores
Windows Server 2008 R2 de los que se van a recoger eventos. Para ello siga el mismo proceso
realizado en los pasos 11 a 16 previos, agregando en este caso los servidores Windows Server
2008 R2, que serán origen de eventos.
Nota: No olvide incluir en dicho grupo a los servidores controladores de dominio si desea recuperar
también los eventos de seguridad de los mismos. Esta opción es totalmente aconsejable.
18. A continuación, acceda a las propiedades del grupo “origen de eventos W7” que encontrará en
la carpeta “Users”. Haga miembros del nuevo grupo a los puestos de trabajo Windows 7 de los
que se van a recoger eventos. Para ello, siga el mismo proceso realizado en los pasos 11 a 16
previos agregando en este caso los puestos de trabajo Windows 7 que serán origen de datos.
19. Vaya a la carpeta contenedora “Builtin”.
Usuarios y equipos de Active Directory \ (dominio) \ Builtin

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
20. Seleccione el grupo “Lectores del registro de eventos” y haga doble clic sobre él para acceder a
sus propiedades.
21. En la nueva ventana abierta, vaya a la pestaña miembros y seleccione la opción “Agregar…”.
22. Introduzca el nombre “Servicio de red”.
.
Una vez introducido pulse el botón “Aceptar”.
23. La cuenta deberá quedar agregada tal y como aparece en la siguiente pantalla.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
24. A continuación deberá hacerse miembro del mismo grupo al servidor o servidores de
recolección de logs. Para ello, vuelva a pulsar el botón agregar para añadir una nueva cuenta.
25. En la pantalla de selección de usuarios, contactos, equipos o cuentas de servicio o grupo,
pulse el botón “Tipos de objeto…”.
26. Marque el tipo de objeto “Equipo” y pulse el botón “Aceptar”.
27. Introduzca el nombre del servidor de recolección de logs, en el ejemplo es ServidorAC. En el

caso de que hubiera más de uno, puede introducirlos separándolos por comas. En caso de que
no conozca el nombre exacto, puede hacer uso de las “Opciones avanzadas” para realizar la
búsqueda correspondiente.
.
Una vez introducidos los nombres de los servidores pulse el botón “Aceptar”.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
28. Pulse finalmente el botón “Aceptar” para hacer efectivos los cambios.
29. Cierre la herramienta de “Usuarios y equipos de Active Directory”.

30. Inicie la herramienta de administración de directivas de grupo. Dicha herramienta, la localizará
en el “Menú inicio \ Herramientas administrativas \ Administración de directivas de grupo.”
31. Introduzca, cuando se le solicite, la cuenta y contraseña de un administrador con los privilegios

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
32. Expanda el contenedor:
Administración de directivas de grupo \ Bosque:<nombre de su bosque> \ Dominios \

<nombre de su dominio>.
A continuación, proceda a realizar los pasos siguientes para crear, configurar y asignar los
objetos GPOs correspondientes. Hasta que se indique lo contrario, los contenedores a los que
se hará referencia serán subcontenedores de este contenedor recién expandido (<nombre de
su dominio>).
Nota: En el laboratorio empleado para la creación de la guía su nombre es “dominio.local”.
33. Expanda y seleccione el contenedor “Objetos de directiva de grupo”. Marcando con el botón
derecho en él elija la opción “Nuevo” del menú contextual que aparecerá.
34. Asigne el siguiente nombre a la nueva política GPO que se está creando: “CCN-STIC-899
Recolector de eventos”.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
35. Una vez creada la nueva política, se va a proceder a importar la política de seguridad
correspondiente. Para ello, sobre la nueva política creada y pulsando botón derecho sobre la
misma, seleccione la opción “Importar configuración…”.
36. Pulse “Siguiente >” en el asistente para importar configuración.
37. Pulse “Siguiente >” en la pantalla para la realización de copia de seguridad de GPO.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
38. En la pantalla de ubicación de la copia de seguridad pulse “Examinar”.
39. Seleccione la carpeta “c:\scripts\Recolector de eventos” y pulse “Aceptar”.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
40. Pulse “Siguiente >”.
41. En la pantalla de Objetos de directiva de grupo con copia de seguridad, pulse “Siguiente >”.
Nota: Si existe un error y no se identifican políticas para la importación, compruebe que en la carpeta
“c:\scripts\recolector de eventos” exista el fichero “manifest.xml”. Éste es un fichero oculto y protegido
del sistema, por lo tanto, habilite las opciones de carpeta necesarias para poder ver todos los ficheros. Si
no encuentra dicho fichero, vaya nuevamente al DVD que tendrá en su poder para la aplicación de guías o
en la descarga realizada, y copie el fichero “manifest.xml” correspondiente. En caso de ocurrir este
problema, se dará también en las otras tres políticas de grupo que deberán crearse en pasos posteriores.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
42. En la pantalla “Examinar copia de seguridad”, pulse “Siguiente >”.
43. Pulse el botón “Finalizar” para completar el asistente de importación de la configuración.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
44. Una vez que se haya completado el proceso de importación, pulse el botón “Aceptar”.
45. Se va a proceder a modificar la política creada para importar la plantilla de seguridad y realizar
la configuración del firewall para los equipos correspondientes. Para ello, pulse botón derecho
sobre la política “CCN-STIC-899 Recolector de eventos” y seleccione la opción “Editar…”.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
46. Despliegue la política y sitúese en la siguiente ruta:
Directiva CCN-STIC-899 Recolector de eventos \ Configuración de equipo \ Directivas \

Configuración de Windows \ Configuración de seguridad.
Pulse botón derecho y seleccione la opción “Importar directiva…”.
47. Seleccione el fichero “CCN-STIC-899 Recolector de eventos.inf” que encontrará la carpeta

“c:\scripts\recolector de eventos” y pulse el botón “Abrir”.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
48. A continuación sitúese en la siguiente ruta:
Directiva CCN-STIC-899 Recolector de eventos \ Configuración de equipo \ Directivas \

Configuración de Windows \ Configuración de seguridad.
Vaya al nodo “Firewall de Windows seguridad avanzada” y despliéguelo.

49. Pulse el botón derecho sobre la directiva Firewall de Windows con seguridad avanzada.
Seleccione la opción “Importar directiva…”.
50. Pulse el botón “Sí” de la advertencia que aparecerá indicando si desea importar ahora una
directiva.
51. Seleccione el fichero “CCN-STIC-899 Firewall recolector de eventos.wfw” que encontrará en la
carpeta “C:\scripts\recolector de eventos”, y pulse sobre “Abrir”.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
52. Una vez importada la configuración, aparecerá un mensaje indicando “Directiva correctamente
importada”. Pulse el botón “Aceptar”.
53. Se deberá proceder, a continuación, a asegurar el acceso al servicio WinRM del servidor de
recolección de eventos. Debe tener en cuenta el direccionamiento IP empleado en su
organización o bien las direcciones IP de todos los sistemas de los que se van a recolectar
eventos. Para ello, despliegue “Firewall de Windows con seguridad avanzada” y pulse en
“Reglas de entrada”.
54. Pulse el botón derecho del ratón sobre la regla “WinRM recolector de eventos” y seleccione la
opción “Propiedades”.
55. En las propiedades de la regla seleccione la pestaña “Ámbito”.

56. En la configuración de Dirección IP remota, marque la opción “Estas direcciones IP” y pulse el
botón “Agregar…”.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
57. En la pantalla de Dirección IP deberá indicar la dirección IP de uno de los sistemas de los que
se recopilará eventos. Y luego deberá pulsar “Aceptar”.
58. Agregue tantas direcciones IP como sea necesario hasta incluir todas las direcciones IP de
sistemas desde los que serán orígenes de eventos.
Nota: Aunque es factible agregar todo un conjunto de intervalos de direcciones IP o múltiples subredes,
esto implica ampliar la posibilidad de conexión más de lo necesario. Utilice estas opciones solo en el caso
de que el número de orígenes de eventos pueda ser indeterminado o bien vaya a agregar con posterioridad
múltiples sistemas.
59. Una vez agregadas todas las direcciones IP necesarias, deberá pulsar el botón “Aceptar” para
que la configuración sea efectiva.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
60. Ya puede cerrar el editor de administración de directivas de grupo de la política sobre la que ha
realizado la importación y modificación de la configuración del firewall.
61. Puesto que la nueva política debe aplicarse exclusivamente a los servidores que vayan a
cumplir con el rol de recolector de eventos y ésta se encuentra vinculada a una unidad
organizativa donde se pueden encontrar numerosos servidores, se va establecer un filtro para
que aplique solo al grupo de servidores correspondientes, que fue creado en pasos previos de
este mismo anexo.
Para ello deberá seleccionar la política “CCN-STIC-899 Recolector de eventos”.
62. Deberá modificarse el filtrado de seguridad, en la pestaña de ámbito, para que la política se
aplique sobre el grupo “Recolectores de eventos” y no sobre el grupo “Usuarios autenticados”
como se hace de forma predeterminada.
Para realizar esa modificación, seleccione el grupo “Usuarios autenticados” y pulse el botón
“Quitar”.
63. Aparecerá el mensaje “¿Desea quitar este privilegio de delegación?”.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
64. A continuación deberá agregarse el grupo “recolectores de eventos”. Para ello pulse el botón
“Agregar…”
65. En la nueva ventana que aparece, escriba “recolectores de eventos” y pulse “Aceptar”.
66. La política para los recolectores de eventos se encontrará ya perfectamente configurada. A

posteriori, se asignará a la unidad organizativa correspondiente. A continuación, se crearán
políticas de grupo para los diferentes sistemas de orígenes de eventos que contempla la
presente guía: Windows 2008 R2 y Windows 7. Los procedimientos son similares a los
empleados de forma previa.
derecho en él y elija la opción “Nuevo” del menú contextual que aparecerá.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
Orígenes de eventos Servidores Windows 2008 R2”.

69. Una vez creada la nueva política se va a proceder a importar la política de seguridad
correspondiente. Para ello, sobre la nueva política creada y pulsando el botón derecho sobre la
71. Pulse “Siguiente >” en la pantalla para la realización de copia de seguridad de GPO.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
73. Seleccione la carpeta “c:\scripts\origen de eventos servidores Windows 2008 R2” y pulse
“Aceptar”.

75. En la pantalla “Objetos de directiva de grupo con copia de seguridad”, pulse “Siguiente >”.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
79. Se va a proceder a modificar la política creada para realizar la importación de la plantilla de

seguridad y la configuración del firewall para los equipos correspondientes. Para ello, pulse
botón derecho sobre la política “CCN-STIC-899 Orígenes de eventos Servidores Windows
2008 R2” y seleccione la opción “Editar…”.
Directiva CCN-STIC-899 Origenes de eventos Servidores Windows 2008 R2 \

Configuración de equipo \ Directivas \ Configuración de Windows \ Configuración de
seguridad.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
81. Seleccione el fichero “CCN-STIC-899 Origen de eventos 2008 R2.inf” que encontrará la carpeta
“c:\scripts\origen de eventos servidores Windows 2008 R2” y pulse el botón “Abrir”.
Directiva CCN-STIC-899 Orígenes de eventos Servidores Windows 2008 R2 \

Configuración de equipo \ Directivas \ Configuración de Windows \ Configuración de
seguridad.
Vaya al nodo “Firewall de Windows con seguridad avanzada” y despliéguelo.

83. Pulse el botón derecho sobre la directiva Firewall de Windows con seguridad avanzada.
84. Pulse el botón “Sí” a la advertencia que aparecerá indicando si desea importar ahora una
directiva.
85. Seleccione el fichero “CCN-STIC-899 Firewall orígenes de eventos Windows 2008 R2.wfw” que
encontrará en la carpeta C:\scripts\origenes de eventos Windows 2008 R2, y pulse sobre
“Abrir”.
86. Una vez importada la configuración aparecerá un mensaje indicando “Directiva correctamente

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
87. Se deberá proceder, a continuación, a asegurar el acceso, al servicio WinRM, de los servidores
de orígenes de datos para permitir el acceso el desde servidor de recolección de eventos.
Deberá conocer, para ello, la dirección IP del servidor o servidores de recolección de eventos.
Despliegue “Firewall de Windows con seguridad avanzada” y pulse en “Reglas de entrada”.
88. Pulse botón derecho sobre la regla “Conexión a WinRM desde recolector de eventos” y
seleccione la opción “Propiedades”.
89. En las propiedades de la regla seleccione la pestaña de ámbito.

90. Seleccione la dirección IP que aparece y pulse el botón “Quitar”.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
91. A continuación deberá agregar la dirección IP del servidor o servidores de recolección de

eventos que tendrá en su organización. En la configuración de Dirección IP remota, marque la
opción “Estas direcciones IP” y pulse el botón “Agregar…”.
92. En la pantalla de Dirección IP deberá indicar la dirección IP del servidor de recolección de
eventos. Y luego deberá pulsar “Aceptar”.
Nota: En el laboratorio de ejemplo, el servidor de recolección de eventos tiene la dirección IP

192.168.1.201.
servidores que, con el rol de recolectores de logs, vaya a tener la organización.
94. Una vez agregadas todas las direcciones IP necesarias, deberá aceptar la configuración para
que ésta sea efectiva.
realizado la importación y modificación de la plantilla.
96. Puesto que la nueva política debe aplicarse exclusivamente a los servidores Windows 2008 R2
que van a ser orígenes de datos y ésta se encuentra vinculada a una unidad organizativa
donde se pueden encontrar numerosos servidores, se va establecer un filtro para que aplique
solo al grupo de servidores correspondientes. Este grupo fue creado en pasos previos de este
mismo anexo. Para proceder deberá seleccionar la política “CCN-STIC-899 Orígenes de
eventos Windows 2008 R2”.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
97. Deberá modificarse el filtrado de seguridad en la pestaña de ámbito para que la política se
aplique sobre el grupo “Origen de eventos 2008 R2” y no al grupo “Usuarios autenticados”
como se hace de forma predeterminada.
Para realizar esa modificación, seleccione el grupo de “Usuarios autenticados” y pulse el botón
“Quitar”.
98. Aparecerá el mensaje “¿Desea quitar este privilegio de delegación?”.

99. A continuación deberá agregarse el grupo “origen de eventos 2008R2”. Para ello pulse el botón
“Agregar…”.
100. En la nueva ventana que aparece, escriba el grupo “origen de eventos 2008R2” y pulse sobre
“Aceptar”.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
101. En el caso de que la organización cuente con clientes Windows 7 y desee recuperar eventos
de los mismos, deberá crear una política específica para ellos. Siga con el siguiente paso.
En el caso de que la organización no cuente con clientes Windows 7 o bien no vaya a
recuperar eventos de los mismos, salte al paso 137.
derecho en él, elija la opción “Nuevo” del menú contextual que aparecerá.
Orígenes de eventos clientes Windows 7”.

104. Una vez creada la nueva política se va a proceder a importar la política de seguridad
correspondiente. Para ello, sobre la nueva política creada y pulsando botón derecho sobre la

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
106. Pulse “Siguiente >” en la pantalla “Hacer copia de seguridad de GPO”.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
108. Seleccione la carpeta “c:\scripts\origen de eventos clientes Windows 7” y pulse “Aceptar”.

110. En la pantalla “Objetos de directiva de grupo con copia de seguridad”, pulse “Siguiente >”.
112. En la pantalla “Migración de referencias”, pulse “Siguiente >”.
115. Se va a proceder a modificar la política creada para realizar la importación de la plantilla de
seguridad y la configuración del firewall para los equipos correspondientes. Para ello pulse
botón derecho sobre la política “CCN-STIC-899 Orígenes de eventos clientes Windows 7” y
seleccione la opción “Editar…”.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
Directiva CCN-STIC-899 Origenes de eventos clientes Windows 7 \ Configuración de

equipo \ Directivas \ Configuración de Windows \ Configuración de seguridad.
117. Seleccione el fichero “CCN-STIC-899 Origen de eventos W7.inf” que encontrará la carpeta
“c:\scripts\origen de eventos clientes Windows 7” y pulse el botón “Abrir”.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
Directiva CCN-STIC-899 Orígenes de eventos Clientes Windows 7 \ Configuración de

equipo \ Directivas \ Configuración de Windows \ Configuración de seguridad.
Vaya al nodo “Firewall de Windows con seguridad avanzada” y despliéguelo.

119. Pulse el botón derecho sobre la directiva “Firewall de Windows con seguridad avanzada”.
120. Pulse el botón “Sí” a la advertencia que aparecerá indicando si desea importar ahora una
directiva.
121. Seleccione el fichero “CCN-STIC-899 Firewall orígenes de eventos clientes Windows 7.wfw”
que encontrará en la carpeta “C:\scripts\origen de eventos clientes Windows 7”.
122. Una vez importada la configuración, aparecerá un mensaje indicando “Directiva correctamente
123. Se deberá proceder, a continuación, a asegurar el acceso al servicio WinRM de los servidores
de orígenes de datos para permitir el acceso al servidor de recolección de eventos. Deberá
conocer, para ello, la dirección IP del servidor o servidores de recolección de eventos.
Despliegue “Firewall de Windows con seguridad avanzada” y pulse en “Reglas de entrada”.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
124. Pulse botón derecho sobre la regla “Conexión a WinRM desde recolector de eventos” y

126. Seleccione la dirección IP que aparece y pulse el botón “Quitar”.
127. A continuación deberá agregar la dirección IP del servidor o servidores de recolección de

eventos que tendrá en su organización. En la configuración de Dirección IP remota, marque la
opción “Estas direcciones IP” y pulse el botón “Agregar…”.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
128. En la pantalla de Dirección IP deberá indicar la dirección IP del servidor de recolección de

eventos. Seguidamente deberá pulsar “Aceptar”.
Nota: En el laboratorio de ejemplo el servidor de recolección de eventos tiene la dirección IP

192.168.1.201.
servidores que, con el rol de recolectores de logs, vaya a tener la organización.
realizado la importación y modificación de la plantilla.
132. Puesto que la nueva política debe aplicarse exclusivamente a los clientes Windows 7 que van a
ser orígenes de datos y ésta se encuentra vinculada a una unidad organizativa donde se
pueden encontrar numerosos clientes, se va establecer un filtro para que aplique solo al grupo
de clientes correspondientes, que fue creado en pasos previos de este mismo anexo.
Para ello deberá seleccionar la política “CCN-STIC-899 Orígenes de eventos clientes
Windows 7”.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
133. Deberá modificarse el filtrado de seguridad en la pestaña de ámbito, para que la política se
aplique sobre el grupo de Origen de eventos W7 y no al grupo de usuarios autenticados como
se hace de forma predeterminada.
Para realizar esa modificación, seleccione el grupo de “Usuarios autenticados” y pulse el botón
“quitar”.
134. Aparecerá el mensaje “¿Desea quitar este privilegio de delegación?”

135. A continuación deberá agregarse el grupo “Origen de eventos W7”. Para ello pulse el botón
“Agregar…”.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
136. En la nueva ventana que aparece, escriba el grupo de “Origen de eventos W7” y pulse aceptar.
La política para orígenes de eventos de clientes Windows 7 estará configurada.

137. Una vez creadas las políticas, es momento de asignarlas a las unidades organizativas
correspondientes. Para ello, en primera instancia, marque la unidad organizativa de
“Servidores” y pulsando botón derecho, seleccione la opción “Vincular un GPO existente…”.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
138. Seleccione la política “CCN-STIC-899 Recolector de eventos” y pulse el botón “Aceptar”.
139. Seleccione la política “CCN-STIC-899 Recolector de eventos” que ha vinculado y cambie el

orden pulsando el icono de “Subir” hasta situarse al menos en un orden de vínculo por encima
de la política “CCN-STIC-851A incremental Servidores miembro alto”.
140. Nuevamente sobre la unidad organizativa de “Servidores” pulse botón derecho y seleccione la
opción “Vincular un GPO existente…”.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
141. Seleccione la política “CCN-STIC-899 Orígenes de eventos Servidores 2008 R2” y pulse el
botón “Aceptar”.
142. Seleccione la política “CCN-STIC-899 Orígenes de eventos Servidores Windows 2008 R2” que
ha vinculado y cambie el orden pulsando el icono de “Subir” hasta situarse al menos en un
orden de vínculo por encima de la política “CCN-STIC-851A Incremental Servidores miembro
alto”.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
143. Para que los controladores de dominio Windows 2008 R2 se puedan configurar como orígenes
de eventos, deberá vincular la política “CCN-STIC-899 Orígenes de eventos Servidores 2008
R2” en la unidad organizativa correspondiente. Marque la unidad organizativa de
“Controladores de dominio” pulse botón derecho y seleccione la opción “Vincular un GPO
existente…”.
144. Seleccione la política “CCN-STIC-899 Orígenes de eventos Servidores 2008 R2” y pulse el

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
145. Seleccione la política “CCN-STIC-899 Orígenes de eventos Servidores Windows 2008 R2” que
ha vinculado y cambie el orden pulsando el icono de “Subir” hasta situarse al menos en un
orden de vínculo por encima de la política “CCN-STIC-851A Incremental Controladores de
Dominio alto”.
146. En el caso de tener clientes Windows 7 de los que desea recoger eventos, deberá vincular la
política de orígenes de datos de clientes Windows 7. Seleccione la Unidad Organizativa con los
equipos clientes Windows 7, desde los que desea recoger eventos, pulse botón derecho y
seleccione la opción “Vincular un GPO existente…”.
Nota: En este ejemplo nuestros clientes se encuentran en la Unidad Organizativa “Clientes”

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
147. Seleccione la política “CCN-STIC-899 Orígenes de eventos clientes Windows 7” y pulse el

148. Seleccione la política “CCN-STIC-899 Orígenes de eventos clientes Windows 7” que ha

vinculado y cambie el orden pulsando el icono de “Subir” hasta situarse al menos en un orden
de vínculo por encima de la política “CCN-STIC-850A ENS incremental puestos de trabajo alto
- Equipos”.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
149. Las políticas ya se encuentran creadas y asignadas de forma correcta a los servidores y
clientes a los que corresponden.
Nota: Tenga en cuenta que si los servidores y clientes que pueden ser orígenes de eventos, se encuentran
en otras unidades organizativas diferentes a las definidas en las guías, deberá vincular las políticas de
seguridad necesarias en dichas ubicaciones.
150. Ya puede cerrar las consolas abiertas y eliminar la carpeta “c:\scripts” del controlador de
dominio.
2. CONFIGURACIÓN DEL RECOLECTOR DE EVENTOS

Los siguientes pasos describen el proceso para la configuración del servidor que hará la
funcionalidad de recolector de eventos. Aunque la guía define un único recolector de eventos
podría utilizar el mismo mecanismo, dispuesto en este anexo, para configurar un mayor número
de servidores que asuman esta funcionalidad.
Paso Descripción
151. Inicie sesión con una cuenta de administrador en el servidor que vaya a asumir el rol de
recolector de eventos.
153. Copie los ficheros existentes en la carpeta “Recolector de eventos” asociados a esta guía en
la carpeta “c:\scripts”.
154. Si el servidor se encontraba iniciado, reinícielo. Esto permitirá que se asuma la pertenencia al
grupo “Recolectores de eventos” generado en el punto primero de este anexo y que se le
aplique la política necesaria para este rol de servidor.
155. Inicie sesión con una cuenta de administrador de dominio.
156. Ejecute con permisos de administrador (opción “Ejecutar como administrador”) el script “CCN-
STIC-899 Recolector de eventos – Paso 1.bat”. Para ello, visualice la carpeta “c:\scripts” en el
explorador de Windows, marque con el botón derecho el script y seleccione la opción
“Ejecutar como administrador” del menú contextual, como se muestra en la siguiente figura:

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
157. Introduzca las credenciales del administrador cuando se le solicite.
158. Cuando aparezca la ejecución del script, pulse una tecla para continuar.
159. A la pregunta “¿Desea realizar estos cambios [y/n]?” responda escribiendo “n” y pulsando la
tecla “Enter”.
El script finalizará bruscamente, no se preocupe es el cierre convencional puesto que la

ejecución de la aplicación WinRM no continúa.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
160. Del mismo modo que en el paso anterior, ejecute con permisos de administrador (opción
“Ejecutar como administrador”) el script “CCN-STIC-899 Recolector de eventos – Paso 2.bat”.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
163. A la pregunta “El modo de inicio del servicio se cambiará a retrasar el inicio. ¿Desea continuar
(S – sí o N –no)?”, introduzca “S” y pulse la tecla “Enter”.
164. Pulse una tecla para finalizar el script.

165. El servidor se encontrará ya correctamente configurado. Borre la carpeta “c:\scripts” y cierre
sesión.
3. CONFIGURACIÓN DE SERVIDORES WINDOWS 2008 R2 COMO

ORIGEN DE EVENTOS
Los siguientes pasos describen el proceso para la configuración de los servidores Windows
Server 2008 R2 de los cuales se recogerán los eventos. Estos pasos deberán realizarse en cada
servidor Windows Server 2008 R2 que tenga el rol de origen de eventos.
Paso Descripción
166. Inicie sesión con una cuenta de administrador en el servidor Windows Server 2008 R2 que
vaya a asumir el rol de origen de eventos.
168. Copie los ficheros existentes en la carpeta “Origen de eventos servidores 2008 R2” asociados
a esta guía en la carpeta “c:\scripts”.
169. Si el servidor se encontraba iniciado, reinícielo. Esto permitirá que se asuma la pertenencia al
grupo “Origen de eventos 2008R2” generado en el primer punto de este anexo y que se le
aplique la política necesaria para este rol de servidor.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
STIC-899 Origen eventos Servidor 2008 R2 – Paso 1.bat”. Para ello, visualice la carpeta
“c:\scripts” en el explorador de Windows, marque con el botón derecho el script y seleccione la
opción “Ejecutar como administrador” del menú contextual, como se muestra en la siguiente
figura:

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
tecla “Enter”.
El script finalizará bruscamente, no se preocupe es el cierre convencional puesto que no

continúa la ejecución de la aplicación WinRM.
STIC-899 Origen eventos Servidor 2008 R2 – Paso 2.bat” que se encuentra también en la
carpeta “c:\scripts”. Para ello pulse con el botón derecho el script y seleccione la opción
“Ejecutar como administrador” del menú contextual, como se muestra en la siguiente figura.
Nota: Este script no es necesario que se ejecute en los controladores de dominio si estos son de servidores
de origen de eventos Windows Server 2008 R2. Continúe en el paso 199.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
178. Introduzca el nombre de dominio Netbios. Si el dominio se llama dominio.local, el dominio

Netbios será “DOMINIO”. Pulse la tecla “Enter” para continuar la ejecución del script.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
179. A continuación, introduzca el nombre del equipo con el rol de recolector de eventos. Pulse la
tecla “Enter” para continuar la ejecución de script.
Nota: En el ejemplo el servidor recibe el nombre de “ServidorAC”.
180. El script se habrá ejecutado. Pulse una tecla para continuar y cerrar la consola.
181. El servidor se encontrará ya correctamente configurado. Borre la carpeta “c:\scripts” y cierre
sesión.
182. Reinicie el Servidor Windows Server 2008 R2.
4. CONFIGURACIÓN DE CLIENTES WINDOWS 7 COMO ORIGEN DE

EVENTOS
Los siguientes pasos describen el proceso para la configuración de los clientes Windows 7 de los
cuales se recogerán los eventos. Estos pasos deberán realizarse por cada cliente Windows 7 de
los que se realizará la recuperación de eventos.
Paso Descripción
183. Inicie sesión con una cuenta de administrador en el Cliente Windows 7 que vaya a asumir el rol
de origen de eventos.
184. Cree el directorio “c:\scripts”.
185. Copie los ficheros existentes en la carpeta “Origen de eventos cliente W7” asociados a esta
guía en la carpeta “c:\scripts".
186. Si el cliente se encontraba iniciado, reinícielo. Esto permitirá que se asuma la pertenencia al
grupo “Origen de eventos W7” generado en el primer punto de este anexo y que se le aplique
la política necesaria para este rol de cliente.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
188. Ejecute, con permisos de administrador (opción “Ejecutar como administrador”), el script “CCN-
STIC-899 Origen eventos Clientes W7 – Paso 1.bat”. Para ello, visualice la carpeta “c:\scripts”
en el explorador de Windows, marque con el botón derecho el script y seleccione la opción
“Ejecutar como administrador” del menú contextual como se muestra en la siguiente figura:
189. Introduzca las credenciales del administrador cuando el sistema se lo solicite.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
tecla “Enter”.
El script finalizará bruscamente, no se preocupe, es el cierre convencional puesto que no

continúa la ejecución de la aplicación WinRM.
192. Del mismo modo que en el paso anterior, ejecute con permisos de administrador (opción
“Ejecutar como administrador”) el script “CCN-STIC-899 Origen eventos Clientes W7 – Paso
2.bat”.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
195. Pulse una tecla para finalizar y salir del script.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
196. Ejecute, con permisos de administrador (opción “Ejecutar como administrador”), el script “CCN-
STIC-899 Origen eventos Clientes W7 – Paso 3.bat” que se encuentra también en la carpeta
c:\scripts. Para ello, pulse con el botón derecho el script y seleccione la opción “Ejecutar como
administrador” del menú contextual como se muestra en la siguiente figura.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
199. Introduzca el nombre de dominio Netbios. Si el dominio se llama dominio.local, el dominio

Netbios será “DOMINIO”. Pulse la tecla “Enter” para continuar la ejecución del script.
200. A continuación introduzca el nombre del equipo con el rol de recolector de eventos. Pulse la
tecla “Enter” para continuar la ejecución de script.
Nota: En el ejemplo el servidor recibe el nombre de “ServidorAC”.
201. El script se habrá ejecutado, pulse una tecla para continuar y cerrar la consola.
202. El cliente se encontrará ya correctamente configurado. Borre la carpeta “c:\scripts” y cierre

sesión.
203. Reinicie el cliente Windows 7.

SIN CLASIFICAR
SIN CLASIFICAR
ANEXO E. GUÍA PASO A PASO DE LA CONFIGURACIÓN DE

SUSCRIPCIONES EN EL SERVIDOR DE
Este anexo se ha diseñado para ayudar a los operadores a implementar suscripciones en un

servidor de recolección de logs. A través del anexo, se va a crear un ejemplo para evaluar cuando
el usuario administrador del dominio inicia sesión. El Anexo H recoge otros ejemplos que
pueden ser empleados por la organización.
1. CREACIÓN DE SUSCRIPCIONES
Los pasos que se describen a continuación se realizarán en un servidor de recolección de
eventos.
Paso Descripción
1. Inicie sesión en el servidor de recolección de eventos con una cuenta de administrador de

dominio.
2. Acceda al visor de eventos, para ello escriba en la ayuda “eventvwr” y pulse la tecla “Enter”.
3. Introduzca la cuenta y contraseña del administrador para continuar.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
4. Una vez abierto el visor de eventos, seleccione el módulo de “Suscripciones”.
5. Pulse con el botón derecho sobre el módulo de suscripciones y seleccione la opción “Crear
suscripción…”.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
6. Una vez abiertas las propiedades de la suscripción, introduzca un “Nombre de suscripción” y

una “Descripción”. En este ejemplo se va a crear una suscripción que recupere los eventos
relacionados con el inicio de sesión del administrador de dominio. Podrá encontrar otros
ejemplos en el Anexo H de la presente guía.
7. A continuación se deberán indicar los equipos de origen de eventos de los cuales se deberá
recuperar la información. Para ello, deberá pulsar el botón “Seleccionar equipos…” en el tipo de
suscripción “Iniciada por el recopilador”.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
8. En la ventana de equipos que se ha abierto, pulse sobre el botón “Agregar equipos de

dominio…”.
9. Introduzca el nombre del equipo y pulse el botón aceptar. Si desconoce el nombre exacto,
puede usar “Opciones avanzadas…” para realizar la búsqueda de equipos.
10. EI equipo quedará asociado a la suscripción. En el ejemplo, los eventos de inicio de sesión de
administrador de dominio quedan recogidos en los controladores de dominio, por lo tanto,
debería agregar todos los controladores de dominio de la organización.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
11. Si desea probar si la conexión con el equipo para el envío de la suscripción es satisfactoria,
seleccione el equipo y pulse el botón “Probar”.
12. En el caso de que la conexión sea satisfactoria recibirá el siguiente mensaje.
En el caso de que haya problemas de conexión, recibirá un mensaje de error similar a la

siguiente imagen. Tenga en cuenta que la información podría variar en función de la incidencia
detectada.
En caso de problema, evalúe la posible incidencia. Las causas más probables son que al
equipo no se le haya aplicado la política correspondiente, que pueda haber un problema en la
configuración del firewall o bien que el servicio de “Administración remota de Windows (WS-
Management)” del sistema origen de eventos no se encuentra iniciado. Este servicio se
encuentra definido de forma automática para su arranque, pero en modo de inicio retrasado.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
13. Pulse el botón “Aceptar” para cerrar el mensaje.

14. Pulse el botón “Aceptar” para cerrar la ventana de selección de equipos.
15. Una vez introducidos los equipos a los que afectará la suscripción, deberá establecer el filtro de
la misma. Ésta indica las condiciones que decidirán qué eventos serán reenviados desde los
sistemas seleccionados. Para ello, pulse el botón “Seleccionar eventos…” de la pantalla de
propiedades de suscripción.
16. El primero de los filtros debe establecer el origen de los eventos, en este caso de seguridad.
Para ello, despliegue la lista “Registro de eventos” de la opción “Por registro” y marque la
opción “Registros de Windows > Seguridad” tal y como se muestra a continuación.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
17. El segundo de los filtros a aplicar, lo comprende el identificador de eventos. En esta

circunstancia, el evento 4624 corresponde al de inicio de sesión. Para ello, en los eventos
introdúzcalo tal y como se muestra en la siguiente imagen.
18. Por último y puesto que el objetivo es identificar un usuario concreto, se debe establecer el filtro
de usuario. La circunstancia es que este elemento no puede introducirse directamente en el
campo usuario puesto que los eventos de inicio de sesión no utilizan este campo para indicar el
usuario que ha iniciado la sesión. Es un dato, dentro del evento, el que refleja esta información
y requiere generar la consulta de forma manual en formato XPath tal y como se trató en el
punto 5.3 de la presente guía. Para ello, vaya a la pestaña XML.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
19. Marque la opción “Editar consulta manualmente”. Aparecerá una ventana de advertencia
indicando que una vez activa esta opción, no podrá modificarla usando los controles que se
habían empleado previamente. Pulse el botón “Sí” para continuar.
20. La siguiente imagen muestra la consulta construida hasta la fecha con los datos introducidos
en la ficha de filtro.
21. Modifique la consulta para que quede tal y como se muestra a continuación. Esta consulta la
podrá copiar del fichero ejemplo_xpath_admin.txt. Este fichero se encuentra en la carpeta de
ejemplos que acompaña a los scripts de la presente guía.
Nota: En el ejemplo la cuenta de usuario administrador de dominio es “administrador”.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
22. Pulse el botón “Aceptar” para finalizar la creación del filtro.

23. Pulse el botón “Aceptar” para finalizar la creación de la suscripción.
24. Para comprobar que la suscripción está funcionando y ha sido entregada a los equipos
correspondientes, puede comprobar el tiempo de ejecución de la misma. Pulse con el botón
derecho la suscripción creada y utilice la opción “Estado en tiempo de ejecución”.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
25. Si hay algún problema recibirá un mensaje de error como el siguiente. El ejemplo mostrado en
la siguiente imagen se debe a un problema de acceso porque la cuenta de “Servicio de red” no
ha sido incluida en el grupo correspondiente. También podrían darse problemas porque la
consulta no haya sido creada correctamente.
26. Si todo ha ido bien, recibirá la siguiente información en pantalla.
27. Pulse el botón “Cerrar” para cerrar la ventana.

SIN CLASIFICAR
SIN CLASIFICAR
2. ANÁLISIS DE INFORMACIÓN DE SUSCRIPCIONES Y

GENERACIÓN DE VISTAS PERSONALIZADAS
eventos.
Paso Descripción
28. Una vez que las suscripciones se encuentran activas, éstas se recogerán en el nodo de
“Registros de Windows > Eventos reenviados” del visor de eventos.
29. En el ejemplo de prueba definido previamente, el objeto consistía en identificar posibles

validaciones realizadas por la cuenta del administrador de dominio. La suscripción realizada ha
permitido que el controlador de dominio “DC.dominio.local” reporte eventos relativos a este
hecho. Si quiere comprobar que todo está funcionando correctamente, pruebe a realizar una
validación con el usuario administrador sujeto a análisis. La información tardará un tiempo en
aparecer. Estos tiempos aunque no son totalmente definibles, pueden agilizarse modificando
las opciones de rendimiento de una suscripción que se detallarán en el siguiente Anexo.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
30. En la información pueden identificarse datos interesantes como los siguientes: fecha y hora del
evento, equipo donde se ha producido, usuario, pertenencia de la misma a un dominio, en este
caso al dominio “Dominio” y corresponde a un inicio de sesión de cuenta.
31. Puesto que toda la información recogida (ésta y la de múltiples eventos de éste y otros
servidores) quedará almacenada en el mismo contenedor “Eventos reenviados”. Sería
interesante crear vistas personalizadas para cribar la información y poder tener diferenciada la
misma en base a categorías. Para ello, y a través del visor de eventos, deberá dirigirse al
componente de “Vistas personalizadas”.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
32. Pulsando con el botón derecho sobre “Vistas personalizadas” seleccione la opción “Crear vista
personalizada…”.
33. El asistente es similar al utilizado para la creación del filtro en la suscripción. El método más
rápido consiste ir a la ventana de “XML”, seleccionar la opción “Editar consulta manualmente” e
introducir la consulta empleada en la suscripción. Nótese, no obstante, que hay una serie de
cambios a realizar con respecto al filtro de la suscripción. En este caso, el “Path” (origen de
datos) corresponde a “ForewardedEvents” (Eventos reenviados), en contraposición a “Security”
(Seguridad) empleado en el filtro de la suscripción. Esto es debido a que en la suscripción los
eventos se recuperan de la carpeta de seguridad de los sistemas de origen, lugar donde se
dejan todos los eventos de seguridad. Sin embargo, las vistas van a mostrar los eventos ya
recuperados y que se alojan, por lo tanto, en la carpeta de “Eventos reenviados”. Siguiendo con
el ejemplo previo, se generará una vista de inicios de sesión con la cuenta de dominio “Admin”.
34. Pulse el botón “Aceptar” una vez introducida la consulta.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
35. Se mostrará una ventana para introducir un nombre que permita identificar la vista
personalizada y definir la ruta donde se almacenará. Introduzca, en primer lugar, el nombre y
descripción de la vista.
36. Para mantener una estructura ordenada de los eventos, puede generar un árbol de carpetas
donde almacenar las vistas. Puede generar la estructura en función de sus necesidades. En
este sentido y para el ejemplo, se va a crear una carpeta con el nombre de “Inicios de sesión”.
Para ello pulse el botón “Nueva carpeta”.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
37. En la nueva ventana escriba el nombre de la carpeta.
38. Pulse “Aceptar” para crear la carpeta.

39. Pulse “Aceptar” finalmente para crear la vista.
40. Ya puede ver los eventos que cumplan con la consulta en la nueva vista personalizada que se
ha creado.
3. GENERACIÓN DE UNA ACCIÓN ANTE UN EVENTO

eventos.
Paso Descripción
41. Una de las posibilidades que permite el sistema, es la realización de una acción ante la
generación de un evento en una vista personalizada. Éstas pueden ser básicas o avanzadas.
En primera instancia, se va mostrar cómo se genera una acción de tipo básica. Para ello, en la
vista correspondiente deberá pulsar con el botón derecho y seleccionar la opción “Adjuntar
tarea a esta vista personalizada…”.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
42. En el inicio del asistente, asigne un nombre a la tarea y pulse “Siguiente >”.
43. Puesto que la vista tenía personalizado el filtro, no puede establecerse ninguna modificación en
el asistente para la ventana de registro de eventos. Pulse el botón “Siguiente >” para continuar.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
44. A continuación, indique la acción a realizar cuando se genera el evento. En esta circunstancia,
se empleará “Enviar un correo electrónico” para anunciar al auditor el proceso de un inicio de
sesión indebido. Una vez seleccionada la opción adecuada, pulse el botón “Siguiente >”.
45. Introduzca la información de envío de correo electrónico indicando el origen y destinatarios, así
como el asunto y el texto descriptivo. Agregue también la información de un servidor SMTP
válido para el envío de los correos. Una vez introducida la información, pulse “Siguiente >” para
continuar.
Nota: Deberá configurar correctamente el servidor de correo electrónico para aceptar correos del servidor
de recolección de eventos. Esto requerirá la configuración del servicio SMTP en la plataforma de correo
que será empleada por este módulo.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
46. Pulse el botón “Finalizar” para cerrar el asistente y crear la acción correspondiente.
47. Al finalizar la creación de la acción, se mostrará un mensaje de información indicando que,

para la modificación de la acción, deberá realizarlo modificando la tarea programada que habrá
creado automáticamente el visor de eventos en el Programador de tareas. Pulse “Aceptar” para
finalizar.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
48. En el caso de una necesidad más compleja, como la generación de una acción ante un
conjunto de desencadenadores diversos, la generación básica de una tarea no será válida. Sí
se puede crear una tarea más avanzada, aunque ésta no se puede generar desde el visor de
eventos, sino desde la herramienta de tareas programadas. Para acceder a la misma, se
deberá invocar desde el Menú inicio -> Todos los programas -> Herramientas
administrativas -> Programador de tareas.
49. Introduzca las credenciales de un administrador para poder cargar el Programador de tareas.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
50. Despliegue la “Biblioteca del Programador de Tareas” y podrá ver dos carpetas una
correspondiente a las tareas del sistema y otra propia del Visor de Eventos. Pulse sobre esta
última.
Podrá observar que se creó una tarea básica, como la definida en los anteriores pasos, ésta se
encontrará aquí ubicada. Si quiere eliminarla o bien modificarla, lo podrá realizar desde esta
ubicación.
51. Para crear una tarea avanzada, seleccione la opción “Crear tarea…” tal y como se remarca en
la siguiente imagen.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
52. Introduzca en primera instancia los parámetros generales: nombre y descripción.
53. Establezca, a continuación, en las “Opciones de seguridad” la opción “Ejecutar tanto si el

usuario inició sesión como si no”. Marque también la opción “No almacenar contraseña. La
tarea sólo tendrá acceso a los recursos del equipo local”.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
54. A continuación vaya a la pestaña “Desencadenadores”.

55. Cree un nuevo desencadenador pulsando el botón “Nuevo…”.
56. Dentro del desplegable “Iniciar la tarea:” defina la correspondiente a “Al producirse un evento”.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
57. La configuración del desencadenador (inicio) de la tarea, podrá ser básica (asignación de un
único identificador de evento) o bien personalizada, donde podrá definirse un filtro siguiendo las
mismas pautas de generación que las definidas en el punto 2 del presente anexo. Para ello y
una vez seleccionada la configuración en “Personalizada”, deberá pulsarse el botón “Nuevo
filtro de evento…”.
58. En el filtro de evento, se podrá hacer uso del asistente gráfico o bien de la construcción
avanzada del filtro a través de XPath. Cree el filtro que necesite. La guía, en este punto, define
exclusivamente el proceso a seguir pero no define un ejemplo por ser considerado un hecho
particular para cada organización. Si quiere crear solo un ejemplo para ver su funcionalidad,
puede hacer uso del ejemplo de XPath empleado en el filtro de la vista personalizada del
presente anexo.
59. Una vez creado el filtro, podrá cerrar el desencadenador pulsando el botón “Aceptar”. A
continuación, podrá agregar tantos desencadenadores como sean necesarios para el
cumplimiento de los objetivos. Si quiere crear nuevos desencadenadores, siga los pasos
nuevamente, desde el número 54, volviendo a generar un nuevo desencadenador.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
60. Una vez agregados los desencadenadores necesarios, vaya a la pestaña de “Acciones”.
61. Cree una nueva acción pulsando el botón “Nueva…”.
62. Seleccione la acción “Enviar un correo electrónico” y rellene todos los campos necesarios.
63. Pulse el botón “Aceptar” cuando haya completado todos los campos necesarios.
64. Por último, vaya a la pestaña de “Configuración”.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
65. Desmarque la opción “Detener la tarea si se ejecuta más de tres días”.
66. Pulse el botón “Aceptar” para finalizar la tarea.
67. Cierre el programador de tareas, si no va a crear ninguna tarea nueva.

SIN CLASIFICAR
SIN CLASIFICAR
ANEXO F. TAREAS DE GESTIÓN RELATIVAS A LA

RECOLECCIÓN Y CONSOLIDACIÓN DE
EVENTOS
Este anexo se ha diseñado para ayudar a los operadores en la realización de determinadas tareas,
de índole administrativa, relacionadas con la recolección y consolidación de eventos. Aunque la
mayor parte de operaciones son realizadas en los servidores de recolección de eventos,
determinadas de ellas serán de aplicación en el dominio a través de la modificación de las
políticas de grupo. Se indicará, al iniciar cada proceso, donde será de aplicación cada operativa a
llevar a efecto.
1. AMPLIACIÓN DE TAMAÑO DEL REGISTRO DE EVENTOS

REENVIADO
De forma predeterminada, el tamaño establecido para el registro de eventos reenviados es de
20.480 kB. Aunque en principio puede parecer un tamaño adecuado, es factible que, en función
de las suscripciones implementadas, pueda ser necesario aumentar dicho valor. Para ello, se
establece el siguiente procedimiento que deberá llevar a cabo en los recolectores de eventos.
Paso Descripción
1. Inicie sesión en el servidor de recolección de eventos con una cuenta administrador.

2. Acceda al visor de eventos. Para ello, escriba en la ayuda “eventvwr” y pulse la tecla “Enter”.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
4. Una vez abierta la herramienta, despliegue la carpeta de “Registros de Windows” y, pulsando

botón derecho sobre “Eventos reenviados”, seleccione la opción de “Propiedades”.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
5. En el parámetro “Tamaño máx. del registro (KB):” establezca el valor deseado.
Nota: En versiones previas a Windows 2008, el valor máximo recomendado para la suma de todos los
registros era de 300 MB. En Windows 2008 R2 el valor máximo recomendado es de 4 GB por fichero. No
supere nunca este tamaño para el registro de eventos reenviados. Como dato adicional, debe tener en
cuenta también que la tasa de registros máximos de eventos por segundo que puede gestionarse es de
5000.
6. Para mantener los ficheros recolectados, cuando se haya superado el tamaño máximo
especificado, se establecerá la opción de “Archivar el registro cuando esté lleno; no sobrescribir
eventos”. Esto permitirá almacenar el fichero lleno en la misma ruta donde se almacenen los
registros reenviados, especificándose de forma automática un nombre donde se incluye la
fecha y hora del mismo. A partir de ese momento, se recreará un nuevo registro con los nuevos
eventos recuperados.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
7. Pulse “Aceptar” para guardar y hacer efectivos los cambios.
8. Cierre la herramienta del visor de eventos.
2. MOVER LA UBICACIÓN DEL FICHERO DE REGISTRO DE

EVENTOS REENVIADO
De forma predeterminada, la ruta para el fichero de registro de eventos reenviados es
“%SystemRoot%\System32\Winevt\Logs\ForwardedEvents.evtx”. Es factible que, existiendo
otra unidad de disco, desee mover la ubicación de dicho fichero a la nueva unidad. Si es así,
realice los siguientes pasos en el servidor recolector de eventos.
Paso Descripción

10. Inicie el explorador de archivos.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
11. Seleccione la unidad donde vaya a ubicar la nueva ruta del fichero de eventos reenviados y,
sobre ella (en la imagen siguiente se encuentra vacía ya que es un disco nuevo), pulse botón
derecho y seleccione la opción “Nuevo -> Carpeta”.
12. Asigne un nombre para crear finalmente la carpeta.
13. A continuación se modificarán los permisos para que el visor de eventos pueda crear el fichero
y escribir los eventos, pero no puedan acceder usuarios no autorizados. Para ello acceda a las
propiedades de la carpeta pulsando con el botón derecho del ratón y seleccionando la opción
“Propiedades”.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
14. Una vez abierta la ventana de propiedades, acceda a la pestaña de seguridad.
15. Acceda a las “Opciones avanzadas” pulsando el botón correspondiente.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
16. Pulse el botón “Cambiar permisos”.
17. En la nueva pantalla de configuración de seguridad avanzada, desmarque la selección “Incluir

todos los permisos heredables del objeto primario de este objeto”. Ante la nueva ventana de
advertencia de seguridad, pulse el botón “Agregar”.
18. Pulse el botón “Aceptar”.

19. Pulse nuevamente el botón “Aceptar”.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
20. A continuación, se van a modificar los permisos existentes. Para ello, en la pantalla de
seguridad, pulse el botón “Editar”.
21. En la nueva pantalla, seleccione el grupo “Usuarios” y pulse el botón “Quitar”.
Nota: Si la carpeta tuviese usuarios adicionales, deberá eliminar todos aquellos usuarios a los que desee
restringir el acceso a la carpeta.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
22. A continuación, deberá agregarse el grupo de “Servicio Local” con permisos de modificar,
puesto que es la cuenta que gestiona el servicio del visor de eventos. Para ello, pulse el botón
“Agregar…”.
23. Pulse el botón “Ubicaciones…”, puesto que la cuenta de usuario a agregar no es de dominio,
sino del servidor de recolección de eventos.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
24. En “Ubicaciones” seleccione el nombre del servidor y pulse el botón “Aceptar”.
25. En el apartado del nombre de objeto, escriba “Servicio local” y pulse el botón “Aceptar”.
26. Seleccione el grupo “Servicio local” y marque la opción “Permitir” del permiso “Modificar”.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
27. A continuación, se deberán asignar permisos al grupo de auditores del dominio. Para ello,
vuelva a pulsar el botón “Agregar…”.
28. Pulse el botón “Ubicaciones…”, puesto que el grupo de auditores a agregar es miembro del
dominio.
29. Seleccione su dominio y pulse “Aceptar”.
30. En el apartado del nombre de objeto, escriba “Auditores” y pulse el botón “Aceptar”.
31. Deje los permisos de auditores tal cual aparecen y pulse el botón “Aceptar” para hacer
efectivos los nuevos permisos.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
32. Pulse el botón “Aceptar”, nuevamente, para aceptar el cambio en las propiedades de la
carpeta.
33. Cierre el explorador de Windows.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
36. Una vez abierta la herramienta, despliegue la carpeta “Registros de Windows” y pulsando
botón derecho sobre “Eventos reenviados” seleccione la opción de “Propiedades”.
37. En la pantalla de propiedades, cambie el valor de la “Ruta del registro”. Ponga la ruta completa
y no olvide indicar un nombre de fichero con la extensión .evtx.
38. Pulse el botón “Aceptar” para hacer efectivo el cambio.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
39. Si aparece una advertencia de que el sistema no puede encontrar la ruta especificada, será
debido a que ha escrito mal la ruta y ésta no existe. Si aparece indicada una advertencia de
acceso denegado, puede ser debido a que no ha asignado correctamente los permisos.
Compruebe los mismos para ver que están asignados, tal y como se detallan en este
procedimiento. Si no existe ninguna advertencia, el cambio será efectivo. Puede comprobar
que, en la nueva ruta asignada, se habrá creado el nuevo fichero especificado.
40. Este fichero se encontrará vacío. Los antiguos eventos habrán quedado almacenados en los
ficheros de la antigua ruta. Que de forma predeterminada es:
c:\windows\system32\winevents\logs\forwardedevents.evtx.
Si desea abrir ficheros antiguos, consulte el siguiente punto del anexo.

SIN CLASIFICAR
SIN CLASIFICAR
3. ABRIR FICHEROS DE EVENTOS ANTIGUOS

De forma predeterminada, el visor de eventos muestra la información manejada en tiempo real y
los eventos que se encuentran almacenados en los ficheros activos. En el caso de que haya
movido la ruta o bien los ficheros de eventos se hayan llenado y, por lo tanto, se generen nuevos
ficheros, será posible recuperar la información antigua existente. Para ello, siga el siguiente
procedimiento.
Paso Descripción

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
44. Una vez abierta la herramienta, seleccione, del panel de “Acciones”, la opción “Abrir registro
guardado…”.
45. Seleccione el fichero que desea abrir. En el ejemplo, se va a seleccionar el antiguo fichero de
eventos reenviados que quedó después de que se produjera el cambio en la ruta mostrado en
el punto anterior de este mismo anexo.
46. Una vez seleccionado, pulse el botón “Abrir”.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
47. Asigne un nombre identificativo a este registro para que pueda localizarlo en la consola del
visor de eventos. Si lo desea, puede crear una carpeta para separar los diferentes eventos.
Pulse el botón “Aceptar” para finalizar.
48. Los eventos almacenados, podrá consultarlos en la nueva ruta, dentro de los “Registros
guardados”.
49. Estos registros, podrá tratarlos como el resto de eventos, pudiendo hacer vistas personalizadas
de los mismos para identificar un detalle o acción concreta.

SIN CLASIFICAR
SIN CLASIFICAR
4. ESTABLECER COMUNICACIONES HTTPS PARA EL SERVICIO DE

WINRM
De forma predeterminada, el sistema de reenvío de eventos usa el protocolo HTTP para el
intercambio de información. No obstante, debe tener en cuenta que el envío de eventos, tal y
como queda configurado en la presente guía, no se realiza en claro puesto que se utiliza el
mecanismo de Kerberos y de ticket para establecer una codificación y firma de los diferentes
paquetes intercambiados. El sistema de HTTPS es aconsejado por Microsoft para la recuperación
de eventos con equipos que no son del domino y, por lo tanto, no puede emplearse la
autenticación de tipo Kerberos. No obstante, puede establecerse el protocolo de HTTPS en lugar
de HTTP, para las comunicaciones, durante todo el proceso de comunicación de la subscripción
y la recolección de eventos de sistemas. Si desea realizarlo, siga el siguiente procedimiento.
Deberá tener en cuenta que, para que el proceso sea adecuado, debería contar con una entidad
certificadora de tipo empresa. Bajo ninguna circunstancia se pueden emplear certificados de tipo
auto-firmados.
Paso Descripción
50. Inicie sesión en el servidor de recolección de eventos, con una cuenta administrador.
51. Deberá tener un certificado de autenticación de servidor con el nombre DNS del servidor de
recolección de eventos en el contenedor de certificados del equipo. Este certificado no puede
ser de tipo autofirmado y, por tanto, deberá haber sido emitido por una entidad certificadora, en
la cual confíe el servidor, para que pueda ser válido. Los orígenes de datos también deberán
confiar en dicha entidad certificadora y tener certificado de autenticación emitido a su nombre
DNS. La presente guía no define el procedimiento de creación de certificados. La siguiente
imagen, muestra un certificado válido empleado en el escenario de ejemplo por el ServidorAC.
52. Cuando el certificado se encuentre ubicado en el equipo, inicie una sesión de comandos con
privilegios de administrador.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
53. En el intérprete de comandos abierto, escriba:” winrm quickconfig –transport:https” tal y como
se muestra en la imagen y pulse la tecla “Enter”.
En caso de recibir un error como el que se muestra en la siguiente imagen, será debido a que
no existe un certificado válido para emplear en el servicio WinRM. Revise los certificados para
comprobar que existe un certificado de equipo o de autenticación de servidor con el mismo
nombre completo del equipo y que confía en la entidad certificadora que lo ha emitido.
54. A la pregunta que solicita la configuración de WinRM, pulse la tecla “y” y seguidamente la tecla
“Enter”.
55. Cierre el intérprete de comandos.

56. Realice los pasos 50 a 55 en cada sistema origen de eventos. Recuerde que cada máquina
deberá tener un certificado válido.
57. Inicie sesión en un controlador de dominio.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
58. Inicie la herramienta de administración de directivas de grupo. Dicha herramienta la localizará

en la siguiente ruta:
Menú inicio \ Herramientas administrativas \ Administración de directivas de grupo.
60. Expanda el contenedor

A continuación, proceda a realizar los pasos siguientes con el objeto de modificar la política
existente para los servidores de recolección de logs. Hasta que se indique lo contrario, los
contenedores a los que se hará referencia serán subcontenedores de este contenedor recién
expandido (<nombre de su dominio>).

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
61. Despliegue el contenedor de “Objetos de directivas de grupo”.
62. Pulse con el botón derecho la política “CCN-STIC-899 Recolector de eventos” y seleccione la
opción “Editar”.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
63. Despliegue el menú hasta llegar a las reglas de entradas del firewall con seguridad avanzada
que encontrará en:
Configuración del equipo -> Directivas -> Configuración de Windows -> Configuración de
seguridad -> Firewall de Windows con seguridad avanzada -> Reglas de entrada
64. Edite la regla “WinRM recolector de eventos” pulsando botón derecho sobre ella y
seleccionando la opción “Propiedades”.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
65. Acceda a la pestaña de “Protocolos y puertos”.
66. Modifique el puerto local para incluir el puerto SSL empleado por WinRM. El valor deberá
quedar así: “5985, 5986”.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
67. Pulse el botón “Aceptar” para cerrar y aplicar los cambios.

68. Cierre el editor de administración de la directiva de grupo abierta.
69. Realice la misma modificación siguiendo los pasos del 58 al 68 en las políticas “CCN-STIC-899
Orígenes de eventos Servidores Windows 2008 R2” y “CCN-STIC-899 Orígenes de eventos
Windows 7”. La regla de entrada a editar es “Conexión a WinRM desde Colector de evento”.
70. Cierre la herramienta “Administración de directivas de grupo”.
71. Cierre sesión en el controlador de dominio.
72. Recupere la sesión en el servidor de recolección de logs.
73. Inicie una consola de símbolo del sistema con privilegios de administrador.
74. Introduzca las credenciales con privilegios de administración del dominio cuando se le solicite.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
75. Escriba “gpupdate /force” y pulse la tecla “Enter" para forzar la aplicación de los cambios
realizados en la política.
Nota: Esta operación de actualización de política de grupo, deberá realizarse también en los sistemas
orígenes de eventos Windows Server 2008 R2 y Windows 7 para que se le aplique la nueva configuración
de Firewall.
76. Cierre la consola del símbolo del sistema.


SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
79. Vaya a la carpeta de suscripciones y acceda a las propiedades de las suscripciones para
modificar el protocolo. Para ello pulse, sobre la suscripción deseada, el botón derecho y
80. En las propiedades abiertas, pulse el botón “Opciones avanzadas…”.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
81. En “Protocolo” despliegue y seleccione “HTTPS”. Compruebe que el puerto queda establecido
en “5986”.
82. Pulse “Aceptar” para cerrar y guardar los cambios.

83. Vuelva a pulsar “Aceptar” para finalizar y guardar las propiedades.
84. Compruebe, mediante el estado en tiempo de ejecución, que la suscripción está funcionando
correctamente. Para ello, pulse botón derecho sobre la suscripción y seleccione la opción
“Estado en tiempo de ejecución”.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
85. Compruebe que el estado de la suscripción se encuentra en Activo.
86. Modifique todas las suscripciones para las que desee establecer una comunicación de tipo
HTTPS.
87. Cierre el visor de eventos y por último la sesión del servidor.
5. OPTIMIZACIÓN DE ENTREGA DE EVENTO

Puede configurar la manera de entregar eventos recopilados a través de tres opciones de
optimización: normal, minimizar ancho de banda y minimizar latencia.
La opción normal asegura una entrega confiable de los eventos y no intenta conservar el ancho
de banda. Es la opción predeterminada y la adecuada a menos que se necesite un mayor control
sobre el uso del ancho de banda o bien deban reenviarse eventos entregados tan rápidamente
como sea posible. Este método establece lotes de entrega de 5 elementos a la vez y configura un
tiempo de espera de lote de 15 minutos.
La opción minimizar el ancho de banda asegura un uso del ancho de banda. Usa el modo de
entrega de inserción y establece un tiempo de espera de lote de 6 horas. Además, usa un intervalo
de latido de 6 horas.
La opción minimizar latencia asegura que los eventos se entreguen con un retraso mínimo. Usa
el modo de entrega de inserción y establece un tiempo de espera de lote de 30 segundos.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
91. Vaya a la carpeta de suscripciones y saque las propiedades de las suscripciones para
modificar el protocolo. Para ello pulse, sobre la suscripción deseada, el botón derecho y
92. En las propiedades abiertas pulse el botón “Opciones avanzadas…”.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
93. Modifique la opción de “Optimización de entrega de evento” según las necesidades.
94. El valor personalizado no es seleccionable y solo se encuentra activo cuando se han

modificado los parámetros de tiempo de entrega con la aplicación “wecutil”. Pulse el botón
“Aceptar” para guardar la configuración avanzada de la suscripción.
95. Vuelva a pulsar el botón “Aceptar” para cerrar la suscripción y aplicar los cambios.
Nota: En caso de que aparezca este mensaje de confirmación, pulse sobre “Sí” y continúe con los casos
siguientes. Se mostrará un icono de advertencia junto al nombre de la suscripción. En caso de que no pida
esta confirmación, vaya al paso 22.
96. Abra el Firewall de Windows con seguridad avanzada. Para ello, siga la siguiente ruta:
Menú Inicio / Herramientas administrativas / Firewall de Windows con seguridad

avanzada.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
97. Introduzca las credenciales de un usuario administrador.
98. Expanda el nodo “Firewall de Windows con seguridad avanzada / Reglas de entrada”. Se habrá
creado la regla “Administración remota de Windows (HTTP de entrada)”.
99. Pulse botón derecho sobre la regla “Administración remota de Windows (HTTP de entrada)” y

101. En la sección “Dirección IP remota”, marque la opción “Estas direcciones IP”.
102. A continuación, deberá agregar la dirección IP del servidor o clientes que son orígenes de
eventos que tendrá en su organización. En la configuración de Dirección IP remota, pulse el
botón “Agregar…”.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
103. En la pantalla de Dirección IP deberá indicar la dirección IP de servidores o clientes orígenes

de eventos. Y luego, deberá pulsar “Aceptar”. En el laboratorio de ejemplo, el servidor de
recolección de eventos tiene la dirección IP 192.168.1.200.
servidores o clientes que, con el rol de orígenes de eventos, vaya a tener la organización.
106. Ya puede cerrar el editor del firewall de Windows.
107. A continuación, en la consola del visor de eventos, seleccione la suscripción, abra el menú
contextual con el botón derecho y pulse sobre “Reintentar”. Posteriormente, vuelva a mostrar el
menú contextual y compruebe el estado de la suscripción seleccionando “Estado en tiempo de
ejecución”.
108. Cierre la consola del visor de eventos.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
109. De forma predeterminada, el número de elementos de entrega por lotes al mismo tiempo es de
5. Aunque es un valor adecuado, puede modificarse dicho valor para permitir una entrega
mayor. Para ello, deberá iniciar un intérprete de comandos con privilegios de administrador.
110. En la consola abierta, ejecute la sintaxis “Winrm set winrm/config @{MaxBatchItems=”número

de lotes”}” y pulse posteriormente la tecla “Enter”.
La siguiente imagen muestra el cambio del valor a 10.
111. Cierre la consola y a continuación la sesión de usuario abierta en el servidor.

SIN CLASIFICAR
SIN CLASIFICAR
6. ACCESO A EVENTOS REENVIADOS DE UN RECOLECTOR DE

EVENTOS DESDE WINDOWS 7
Puede acceder a los eventos reenviados en el servidor de recolección de eventos desde un cliente
Windows 7. No obstante, deberá tener en consideración una serie de cuestiones. No puede
realizar la administración de las suscripciones desde el cliente Windows 7, sólo lo podrá hacer
desde el propio servidor de recolección de eventos. Si quiere configurar las suscripciones, deberá
iniciar sesión en el servidor de recolección de eventos o bien realizar una conexión de
administración remota para realizarlo.
Las vistas personalizadas son siempre de origen local. Si accede al visor de eventos del servidor
de recolección de eventos no verá las vistas personalizadas que allí existieran, siendo necesario
crearlas de nuevo.
Para garantizar el acceso, será necesario realizar una configuración de firewall que permita
acceder al visor de eventos. Para ello, en primera instancia, deberá realizarse una reconfiguración
de la política de grupo de los servidores recolectores de eventos.
Paso Descripción
112. Inicie sesión en un controlador de dominio con una cuenta administrador de dominio.
113. Inicie la herramienta de administración de directivas de grupo. Dicha herramienta la localizará
en la ruta siguiente:
Menú inicio \ Herramientas administrativas \ Administración de directivas de grupo.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
115. Expanda el siguiente contenedor:

A continuación, proceda a realizar los pasos siguientes con el fin de modificar la política
existente para los servidores de recolección de logs. Hasta que se indique lo contrario, los
contenedores a los que se hará referencia serán subcontenedores de este contenedor recién
expandido (<nombre de su dominio>).
116. Despliegue el contenedor de “Objetos de directivas de grupo”.
117. Pulse con el botón derecho la política “CCN-STIC-899 Recolector de eventos” y seleccione la
opción “Editar”.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
118. Despliegue el menú hasta llegar a las reglas de entradas del firewall con seguridad avanzada
que encontrará en la siguiente ruta:
Configuración del equipo -> Directivas -> Configuración de Windows -> Configuración de
seguridad -> Firewall de Windows con seguridad avanzada -> Reglas de entrada
119. Pulse botón derecho sobre “Reglas de entrada” y seleccione la opción “Nueva regla”.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
120. En el asistente seleccione “Personalizada” y pulse el botón “Siguiente >”.
121. En el panel de programas, seleccione “Esta ruta de acceso del programa:” y escriba
“%SystemRoot%\System32\svchost.exe”.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
122. Pulse el botón “Personalizar…” en “Servicios”.
123. Marque la opción “Aplicar a este servicio” y seleccione el servicio “Llamada a procedimiento
remoto (RPC)”.
A continuación pulse el botón “Aceptar”.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
124. Pulse el botón “Siguiente >” para continuar con el asistente.

125. En la advertencia del firewall de Windows que aparecerá, pulse el botón “Sí”.
126. En primer lugar, en tipo de protocolo, seleccione “TCP”.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
127. En “Puerto local:” despliegue y seleccione la opción “Asignador de extremos de RPC” y en

puerto remoto mantenga la opción “Todos los puertos”.
128. Pulse el botón “Siguiente >” para continuar.

129. En las opciones de ámbito, seleccione en “¿A qué direcciones IP remotas se aplica esta regla?”
la opción “Estas direcciones IP”.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
130. Pulse el botón “Agregar…”.
131. Introduzca la dirección IP del puesto de trabajo Windows 7 que va a realizar conexión remota al
visor de eventos del servidor de recolección de logs.
132. Pulse el botón “Aceptar” para aplicar la dirección IP.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
133. Si va a realizarse el acceso desde más de un puesto de trabajo, introduzca las direcciones IP
necesarias empleando los pasos previos.
134. Pulse el botón “Siguiente >” para continuar el asistente.
135. En el panel de acción, pulse “Siguiente >”.

136. En el panel de perfil, deje marcadas solo las opciones “Dominio” y “Privado”.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción

138. En “Nombre”, escriba “Permitir asignador de extremos de RPC” y pulse el botón “Finalizar”.
139. Una vez creada la regla del asignador de extremos de RPC, deberá crearse una nueva regla
para permitir el acceso al servicio de registro remoto de eventos. Para ello, pulse de nuevo el
botón derecho sobre “Reglas de entrada” y seleccione la opción “Nueva regla”.
140. En el asistente, seleccione “Personalizada” y pulse el botón “Siguiente >”.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
141. En el panel de programas, seleccione “Esta ruta de acceso del programa:” y escriba lo
siguiente:
“%SystemRoot%\System32\svchost.exe”.
142. Pulse el botón “Personalizar” en “Servicios”.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
143. Marque la opción “Aplicar a este servicio” y seleccione el servicio “Registro de eventos de
Windows”.
A continuación pulse el botón “Aceptar”.

144. Pulse el botón “Siguiente >” para continuar con el asistente.
145. En la advertencia del firewall de Windows que aparecerá, pulse el botón “Sí”.
146. En primer lugar, en tipo de protocolo, seleccione “TCP”.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
147. En “Puerto local:” despliegue y seleccione la opción “Puertos dinámicos RPC” y en puerto
remoto deje “Todos los puertos”.

149. En las opciones de ámbito, seleccione en “¿A qué direcciones IP remotas se aplica esta regla?”
la opción “Estas direcciones IP”.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
150. Pulse el botón “Agregar…”.
151. Introduzca la IP del puesto de trabajo Windows 7 que va a realizar la conexión remota al visor
de eventos del servidor de recolección de logs.
152. Pulse el botón “Aceptar” para aplicar la dirección IP.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
153. Si va a realizarse el acceso desde más de un puesto de trabajo, introduzca las direcciones IP
necesarias empleando los pasos previos.
154. Pulse el botón “Siguiente >” para continuar el asistente.
155. En el panel de acción, pulse “Siguiente >”.

156. En el panel de perfil, deje marcadas solo las opciones “Dominio” y “Privado”.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción

158. En “Nombre” escriba, “Permitir servicio de registro remoto de eventos” y pulse el botón
“Finalizar”.
159. Una vez creada la regla puede cerrar la política abierta.
160. Cierre el administrador de directivas de grupo.

161. Cierre la sesión en el controlador de dominio.
162. Inicie sesión en el servidor de recolección de eventos con un administrador.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
163. En la ayuda, escriba “cmd” y, en la aplicación que aparecerá, pulse botón derecho y seleccione
la opción “Ejecutar como administrador”.
164. Introduzca las credenciales de un administrador de dominio.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
165. En el intérprete de comandos abiertos, escriba “gpupdate /force” y pulse la tecla “Enter”.
166. Cierre el intérprete de comandos.

167. Cierre la sesión en el servidor.
168. Inicie sesión con una cuenta de administrador de dominio en el cliente Windows 7 desde el que
se van a revisar los eventos reenviados.
169. Pulse la combinación de teclas “Windows + R”, escriba “eventvwr.msc” y pulse el botón
“Aceptar”.
170. Seleccione la opción “Deseo escribir mis credenciales en la pantalla de autenticación del inicio
de Windows para completar esta acción”.
171. Presione control + alt + suprimir.
172. Introduzca las credenciales de un administrador de dominio.
173. En el visor de eventos abiertos, pulse con el botón derecho sobre el componente “Visor de
eventos (local)” y seleccione la opción “Conectarse a otro equipo…”.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
174. En la ventana de selección de equipo, introduzca el nombre del servidor de recolección de

eventos y pulse el botón “Aceptar”.
175. Se cargará el visor de eventos del servidor de recolección de eventos.
176. Podrá observar, en la carpeta de “Eventos reenviados”, todos los eventos recolectados en el
servidor. No podrá, sin embargo, administrar las suscripciones.

SIN CLASIFICAR
SIN CLASIFICAR
ANEXO G. EJEMPLO DE FILTROS BASADOS EN XPATH

PARA LA CONSTRUCCIÓN DE SUSCRIPCIONES O
VISTAS
Este anexo se ha diseñado para mostrar diferentes ejemplos de filtros construidos y que pueden
ayudar bien a buscar diferentes eventos de seguridad en la organización, a través de las
suscripciones, o bien a mostrar información a través de las vistas personalizadas. Debe tenerse en
cuenta que determinados valores, empleados en los filtros, son propios del escenario creado para
genera la guía. Por lo tanto, deberá adaptar los valores a las necesidades de su organización.
Adicionalmente a los ejemplos aquí mostrados, tiene también el ejemplo de acceso con la cuenta
de administrador, empleado como ejemplo en el Anexo de construcción de suscripciones y vistas
personalizadas.
1. ACCESO A RECURSO DE RED PARA ELIMINAR FICHEROS

Esta primera consulta tiene como objeto recuperar todos los eventos, relativos a accesos a un
recurso de red concreto, con objeto de eliminar contenido en el mismo. La consulta puede
recuperarla del fichero “01_eliminacion_por_red.txt” que encontrará en la carpeta de ejemplos
adjunta a la presente guía.
La siguiente imagen muestra la consulta XPath correspondiente al ejemplo. Este filtro
corresponde a la suscripción. En el caso de creación de vista personalizada, deberá realizar la
modificación correspondiente para realizar la consulta sobre el “Path=ForwardedEvents” en
lugar de “Security” como establece el ejemplo.
El evento con identificador 5145 establece la conectividad con un recurso compartido en red
accesible por un usuario. Identifica, además, si se puede conceder el acceso deseado al cliente.
El elemento “Sharename” con el dato “\\*\confidencial” establece que en la consulta analizará
los accesos al recurso de red “confidencial” que el servidor origen de eventos tendrá compartido.
El elemento “AccessMask” con el dato “0x10080” establece un acceso de tipo eliminación.
Debe recordar que, para que estos eventos sean recuperables, deberá haberse establecido una
auditoría sobre la carpeta compartida “Confidencial”. Para ello, deberá realizar los siguientes
pasos.
Paso Descripción
1. Inicie sesión en el servidor origen de datos que tenga la carpeta compartida que desea auditar.
2. Inicie el explorador de Windows.
3. Acceda a las propiedades del recurso compartido correspondiente. Para ello, pulse con el
botón derecho en la carpeta correspondiente y seleccione la opción “Propiedades”.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
4. Acceda a la pestaña de seguridad.
5. Pulse el botón de “Opciones avanzadas”.

6. Acceda a la pestaña de “Auditoría”.
7. Pulse el botón “Continuar”.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
8. Introduzca las credenciales de un administrador y pulse el botón “Aceptar”.

9. Pulse el botón “Agregar” para establecer las condiciones de auditoría.
10. Agregue a los usuarios o grupo de usuarios que desee añadir. Si quiere a todos los usuarios
escriba el grupo “Usuarios del dominio” y pulse el botón “Aceptar”.

SIN CLASIFICAR
SIN CLASIFICAR
Paso Descripción
11. A continuación, establezca los controles de auditoría que quiera auditar. Estos se corresponden
con permisos. Si solo desea controlar la eliminación de ficheros o carpetas, que es el objeto de
filtro de los eventos, active los accesos que aparecen en la siguiente imagen. Una vez definidos
los accesos, pulse el botón “Aceptar”.
12. Pulse el botón “Aceptar” para guardar la configuración de seguridad avanzada.

13. Pulse para finalizar “Aceptar” nuevamente para guardar las propiedades de la carpeta.
14. Cuando se produzca un evento relativo a la carpeta auditada, en la vista personalizada que
cree a partir del filtro aparecerán eventos de forma similar a como aparecen en la siguiente
imagen.

SIN CLASIFICAR
SIN CLASIFICAR
2. MODIFICACIÓN DE POLÍTICAS DE GRUPO

La siguiente consulta tiene como objeto recuperar todos los eventos relativos a modificaciones
realizadas en las políticas de grupo. La consulta generada, puede recuperarla del fichero
“02_modificacion_gpo.txt” que encontrará, en la carpeta de ejemplos, adjunta a la presente guía.
El evento con identificador 5136 indica una modificación de objeto del servicio de directorio
(Directorio Activo).
El elemento “ObjectClass” con el dato GroupPolicyContainer” establece que el filtro
corresponde a objetos GPO dentro de todos los posibles elementos existentes en el servicio de
directorio.
3. CAMBIO DE CONTRASEÑA POR PARTE DEL USUARIO

La siguiente consulta tiene como objeto recuperar todos los eventos relativos a cambios de
contraseñas realizados por los usuarios. La consulta generada, puede recuperarla del fichero
“03_cambio_contraseña_por_usuario.txt” que encontrará en la carpeta de ejemplos adjunta a la
presente guía.

SIN CLASIFICAR
SIN CLASIFICAR
En el caso de que se desee realizar una búsqueda concreta de un usuario, podrá utilizarse la
consulta que puede recuperar del fichero
“03_cambio_contraseña_por_usuario_consulta_usuario.txt”.
A diferencia del ejemplo anterior, en éste se establece un filtro para el campo “TargetUserName”
donde se buscan exclusivamente cambios de contraseña realizados por el usuario “usuario1”.
En este sentido, ya como planteamiento de estrategia de gestión de credenciales podría
plantearse la recuperación de todos los eventos relativos a cambios de contraseña mediante
subscripción. Posteriormente, establecer vistas personalizadas, bajo demanda, para cuando
existan incidencias relacionadas con una cuenta y poder realizar así búsquedas concretas.
4. CAMBIO DE CONTRASEÑA REALIZADO POR OTRO USUARIO

DIFERENTE AL PROPIETARIO DE LA CUENTA
La siguiente consulta tiene como objeto recuperar todos los eventos relativos a cambios de
contraseñas realizados por otro usuario (por ejemplo, un reseteo de contraseña realizada por un
administrador) diferente al propietario de la cuenta. La consulta generada, puede recuperarla del
fichero “04_cambio_contraseña_de_usuario.txt” que encontrará en la carpeta de ejemplos
adjunta a la presente guía.

SIN CLASIFICAR
SIN CLASIFICAR
En el caso de que se desee realizar una búsqueda concreta de un usuario, podrá utilizarse la
consulta que puede recuperar del fichero
“04_cambio_contraseña_de_usuario_consulta_usuario.txt”.
A diferencia del ejemplo anterior, en éste se establece un filtro para el campo “TargetUserName”
donde se buscan exclusivamente cambios de contraseña realizadas en la cuenta del usuario
“usuario1”.
5. CAMBIO DE LA MEMBRESÍA DE UN GRUPO

La siguiente consulta tiene como objeto recuperar los eventos relativos a cambios en la
membresía de un grupo. En esta circunstancia, se evalúan cambios en el grupo de “Admins. del
dominio”. La consulta generada, puede recuperarla del fichero “05_cambio_grupo_admins.txt”
que encontrará en la carpeta de ejemplos adjunta a la presente guía.
La sintaxis “(EventID=4728) or “(EventID=4729)” filtra todos los eventos relativos a agregar o

quitar miembros de un grupo de seguridad.
El elemento “TargetUserName” del ejemplo, filtra todos los eventos que tienen como resultado
el grupo “Admins. del dominio” (grupo global administradores del dominio).
La siguiente imagen muestra el resultado de haber agregado al usuario “usuario1” como
miembro del grupo y haberlo quitado con posterioridad.

SIN CLASIFICAR
SIN CLASIFICAR

SIN CLASIFICAR
SIN CLASIFICAR
6. IDENTIFICACIÓN DE CAMPOS DE FILTRADO PARA UN EVENTO

Los ejemplos previos muestran algunas de las posibilidades para generar filtros para
suscripciones y vistas personalizadas. En general, un filtro siempre se basa en eventos y los datos
del mismo. En el Anexo I se mostrarán los identificadores de eventos más significativos para
Windows 2008 R2 y Windows 7.
Para conocer los datos relativos a los eventos, puede consultarse cualquier evento generado en un
equipo. La siguiente imagen muestra un evento de acceso a un recurso compartido.
La pestaña “General” muestra la información relativa al evento de una forma descriptiva. Sin
embargo, en esta circunstancia la pestaña que interesa es la de detalles, puesto que muestra los
campos por los que realizar los filtros.

SIN CLASIFICAR
SIN CLASIFICAR
A continuación, se expone un ejemplo en XPath que podría generarse donde se estaría

estableciendo un filtro para identificar todos los accesos, que se estuvieran realizando por red, al
recurso compartido C$ del sistema, que ha generado la auditoría. En este caso, el servidor es
“dc.dominio.local”.
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">
*[System[(EventID=5145)]]
and
*[EventData[Data[@Name='ShareName'] = '\\*\c$']]
</Select>
</Query>
</QueryList>
El encabezado “[System]” del código, corresponde a los campos existentes en el apartado
correspondiente del evento.
Aunque podrían extraerse otros datos importantes, como la fecha y hora del evento
(TimeCreated), el dato más significativo corresponde al identificador del evento. En este caso,
corresponde con el “5145”. La representación en el filtro es:
*[System[(EventID=5145)]]

SIN CLASIFICAR
SIN CLASIFICAR
El otro elemento dentro del filtro, que hay que buscar, es el que corresponde al dato. En este
caso, el dato corresponde a accesos al recurso compartido c$. Analizando los datos relativos al
evento, puede identificarse claramente tanto el nombre del campo como el resultado.
Tal y como se identifica en el código de ejemplo, el filtro para el recurso compartido quedaría
como se muestra a continuación.
*[EventData[Data[@Name='ShareName'] = '\\*\c$']]
El sistema de consulta permitiría agregar otras condiciones como la dirección IP de origen del
acceso (IpAaddress) o el usuario que la realiza (SubjectUserName)."

SIN CLASIFICAR
SIN CLASIFICAR
ANEXO H. LISTA DE COMPROBACIÓN DEL SERVICIO DE

Este anexo se ha diseñado para ayudar a los operadores a verificar que se han aplicado las
distintas configuraciones de seguridad en los servidores que implementan el servicio de
recolección de logs y los diferentes sistemas de orígenes de eventos.
En primer lugar, deberá iniciar sesión en un controlador de dominio con una cuenta de usuario
que tenga privilegios de administración en el dominio. En esta fase, se comprobará la
configuración del directorio activo con respecto a la configuración de elementos necesarios para
la funcionalidad del servicio de recolección de eventos.
Posteriormente, se deberán realizar las comprobaciones en el servidor de recolección de eventos,
así como en cada uno de los diferentes orígenes de eventos que pudieran existir en la
organización.
Las consolas y herramientas que se utilizarán son las siguientes:
– En el controlador de dominio:
 Explorador de Windows (explorer.exe).
 Usuarios y equipos de Active Directory (dsa.msc).
 Administrador de directivas de grupo (gpmc.msc).
– En el servidor de recolección de eventos:
 Intérprete de comandos.
 Servicios (services.msc).
 Consola de visor de eventos.
– En los servidores y clientes orígenes de eventos:
 Intérprete de comandos
 Servicios (services.msc).
 Administrador de usuarios y grupos locales (lusrmgr.msc).

SIN CLASIFICAR
SIN CLASIFICAR
Los siguientes pasos ayudan a verificar la correcta configuración del dominio en el que se ha
desplegado el sistema de recolección de eventos.
Comprobación OK/NOK Cómo hacerlo
1. Inicie sesión en un En uno de los controladores de dominio, inicie sesión con una
controlador de cuenta que tenga privilegios de administración del dominio.
dominio.
2. Verifique que el Ejecute la herramienta “Usuarios y Equipos de Directorio Activo”.
grupo de seguridad Inicio  Herramientas administrativas  Usuarios y equipos
global “Recolectores de Active Directory
de eventos” existe en
Seleccionando la carpeta “Users”, verifique que existe un grupo
el dominio.
de seguridad global denominado “Recolectores de eventos”. El
sistema solicitará elevación de privilegios.
servidor de Inicio  Herramientas administrativas  Usuarios y equipos
recolección de de Active Directory
eventos es miembro
Acceda a las propiedades del grupo “Recolectores de eventos”.
del grupo
Compruebe que el servidor o los servidores de recolección de
“Recolectores de
eventos son miembros del grupo.
eventos”
grupo de seguridad Inicio  Herramientas administrativas  Usuarios y equipos
global “Origen de de Active Directory
eventos 2008R2”
Seleccionando la carpeta “Users”,, verifique que existe un grupo
existe en el dominio.
de seguridad global denominado “Origen de eventos 2008R2”.
5. Verifique que los Ejecute la herramienta “Usuarios y Equipos de Directorio Activo”.
servidores de origen Inicio  Herramientas administrativas  Usuarios y equipos
de eventos Windows de Active Directory
2008 R2 son
Acceda a las propiedades del grupo “Origen de eventos
miembros del grupo
2008R2”. Compruebe que los servidores Windows 2008 R2 que
“Origen de eventos
son orígenes de eventos son miembros del grupo.
2008R2”
6. Verifique que el En el caso de que cuente con clientes Windows 7 como orígenes
grupo de seguridad de eventos, ejecute la herramienta” Usuarios y Equipos de
global “Origen de Directorio Activo”.
eventos W7” existe Inicio  Herramientas administrativas  Usuarios y equipos
en el dominio. de Active Directory
Seleccionando la carpeta “Users”, verifique que existe un grupo
de seguridad global denominado “Origen de eventos W7”.

SIN CLASIFICAR
SIN CLASIFICAR

servidores a asegurar Inicio  Herramientas administrativas  Usuarios y equipos
y configurar están de Active Directory
dentro de la unidad
Seleccionando la unidad organizativa “Servidores”, verifique que
organizativa
dentro de dicha Unidad Organizativa o bien en unidades
“Servidores”.
organizativas colgando de ésta, se encuentran los servidores de
recolección de eventos y de orígenes de eventos Windows
Server 2008 R2. El sistema solicitará elevación de privilegios.
Nota: La jerarquía de las unidades organizativas dependerá de su

organización.

clientes a asegurar y Inicio  Herramientas administrativas  Usuarios y equipos
configurar están de Active Directory
dentro de la unidad
Seleccionando la unidad organizativa correspondiente, verifique
organizativa
que dentro de dicha Unidad Organizativa, o bien en unidades
correspondiente.
organizativas colgando de ésta, se encuentran los clientes de
orígenes de eventos Windows 7. El sistema solicitará elevación
de privilegios.
Nota: En el ejemplo, el cliente Windows 7 se encuentra en la unidad

organizativa “Clientes”.

SIN CLASIFICAR
SIN CLASIFICAR
9. Verifique que está Ejecute la herramienta “Administración de directivas de grupo”.

creada la directiva de Inicio  Herramientas administrativas  Administración de
servidores de directivas de grupo
recolección de
El sistema le solicitará elevación de privilegios.
eventos (CCN-STIC-
899 Recolector de Compruebe que existe la unidad organizativa “Servidores”. A
eventos). continuación, verifique que el objeto de directiva de grupo
denominado “CCN-STIC-899 Recolector de eventos” está
vinculado con la unidad organizativa. El sistema solicitará
elevación de privilegios.
Compruebe, a través del “filtrado de seguridad”, que existe en la
pestaña de ámbito y que el GPO se encuentra aplicado
exclusivamente al grupo “Servidores_recolección_eventos”.
Seleccionando dicha directiva y pulsando sobre la opción

“Editar…” del menú contextual, se abrirá la herramienta “Editor de
administración de directiva de grupo” que permitirá verificar los
valores de la directiva “CCN-STIC-899 Recolector de eventos”.
10. Verifique los valores Utilizando el editor de directiva de grupo, verifique que la
de la directiva del directiva “CCN-STIC-899 Recolector de eventos” tiene los
perfil del dominio del siguientes valores en la directiva del perfil de dominio del Firewall
Firewall de Windows dentro de:
de la directiva “CCN- CCN-STIC-899 Recolector de eventos \ Configuración del
STIC-899 Recolector equipo \ Directivas \ Configuración de Windows \
de eventos”. Configuración de seguridad \ Firewall de Windows con
seguridad avanzada \ Firewall de Windows con seguridad
avanzada \ Reglas de entrada
Directiva Valor OK/NOK
Servicio WinRM (entrada TCP a 5985) Habilitada

SIN CLASIFICAR
SIN CLASIFICAR
11. Verifique los valores Utilizando el “editor de objetos de directiva de grupo”, verifique
de los servicios del que la directiva “CCN-STIC-899 Recolector de eventos” tiene los
sistema de la siguientes valores de servicios de sistema dentro de:
directiva “CCN-STIC- Directiva CCN-STIC-899 Recolector de eventos \
899 Recolector de Configuración del equipo\ Directivas \ Configuración de
eventos”. Windows \ Configuración de seguridad \ Servicios del
sistema
Administración remota de Windows (WS- Automático

Management)
Recopilador de eventos de Windows Automático
de la configuración directiva “CCN-STIC-899 Recolector de eventos” tiene los
de cliente WinRM siguientes valores en las directivas de cliente WinRM de:
“CCN-STIC-899 Directiva CCN-STIC-899 Recolector de eventos \
Recolector de Configuración del equipo \ Directivas \ Plantillas
eventos”. administrativas \ Componentes de Windows \ Administración
remota de Windows (WinRM) \ Cliente WinRM
Permitir autenticación básica Deshabilitada

Permitir autenticación CredSSP Deshabilitada
Permitir tráfico sin cifrar Deshabilitada
No permitir autenticación implícita Habilitada
No permitirá autenticación Kerberos Deshabilitada
No permitirá autenticación Negociate Deshabilitada
Host de confianza Deshabilitada

SIN CLASIFICAR
SIN CLASIFICAR
13. Verifique los valores Utilizando el “editor de directivas de grupo”, verifique que la
de servicio WinRM siguientes valores en las directivas de servicio WinRM de:
“CCN-STIC-899 Directiva CCN-STIC-899 Recolector de eventos \
Recolector de Configuración del equipo \ Directivas \ Plantillas
eventos”. administrativas \ Componentes de Windows \ Administración
remota de Windows (WinRM) \ Servicio WinRM

Permitir configuración automática de Habilitada
escuchas
Especificar el nivel de protección de token Habilitada
de enlace de canal
Activar escucha HTTP de compatibilidad Deshabilitada
Activar escucha HTTPS de compatibilidad Deshabilitada
de Shell remoto de siguientes valores en las directivas de asignación de Shell
Windows “CCN- remoto en:
STIC-899 Recolector Directiva CCN-STIC-899 Recolector de eventos \
de eventos”. Configuración del equipo \ Directivas \ Plantillas
administrativas \ Componentes de Windows \ Shell remoto
de Windows
Permitir acceso a shell remoto Deshabilitada

SIN CLASIFICAR
SIN CLASIFICAR
15. Verifique que está Ejecute la herramienta de “Administración de directivas de

creada la directiva de grupo”.
servidores origen de Inicio  Herramientas administrativas  Administración de
eventos 2008 R2 directivas de grupo
(CCN-STIC-899
Compruebe que existe la unidad organizativa “Servidores”. A
Orígenes de eventos
continuación, verifique que el objeto de directiva de grupo
Windows 2008 R2).
denominado “CCN-STIC-899 Orígenes de eventos Windows
2008R2” está vinculado con la unidad organizativa. El sistema
solicitará elevación de privilegios.
exclusivamente al grupo “Origen de eventos 2008R2”.
Nota: En el caso de que los controladores de dominio sean también

orígenes de eventos Windows 2008 R2, compruebe que esta política se
encuentra aplicada también en la unidad organizativa de controladores
de dominio.
valores de la directiva “CCN-STIC-899 Orígenes de eventos
Windows 2008 R2”.
de la directiva del directiva “CCN-STIC-899 Orígenes de eventos Servidores
perfil del dominio del Windows 2008 R2” tiene los siguientes valores en la directiva del
Firewall de Windows perfil de dominio del Firewall dentro de:
de la directiva “CCN- CCN-STIC-899 Orígenes de eventos Windows Servidores
STIC-899 Orígenes 2008 R2\ Configuración del equipo \ Directivas \
de eventos Configuración de Windows \ Configuración de seguridad \
Servidores Windows Firewall de Windows con seguridad avanzada \ Firewall de
2008 R2”. Windows con seguridad avanzada \ Reglas de entrada
Conexión a WinRM desde colector de Habilitada

evento (entrada TCP a 5985)

SIN CLASIFICAR
SIN CLASIFICAR
de los servicios del que la directiva “CCN-STIC-899 Orígenes de eventos Servidores
sistema de la Windows 2008 R2” tiene los siguientes valores de servicios de
directiva “CCN-STIC- sistema dentro de:
899 Servidores Directiva CCN-STIC-899 Orígenes de eventos Servidores
Orígenes de eventos Windows 2008 R2\ Configuración del equipo\ Directivas \
Servidores Windows Configuración de Windows (WinRM) \ Configuración de
2008 R2”. seguridad \ Servicios del sistema
Servicio Valor OK/NOK
Administración remota de Windows (WS- Automático

Management)
de la configuración directiva “CCN-STIC-899 Orígenes de eventos Servidores
de cliente WinRM Windows 2008 R2” tiene los siguientes valores en las directivas
“CCN-STIC-899 de asignación del cliente WinRM de:
Orígenes de eventos Directiva CCN-STIC-899 Orígenes de eventos Servidores
Servidores Windows Windows 2008 R2\ Configuración del equipo \ Directivas \
2008 R2”. Plantillas administrativas \ Componentes de Windows \
Administración remota de Windows (WinRM) \ Cliente
WinRM


SIN CLASIFICAR
SIN CLASIFICAR
del servicio WinRM Windows 2008 R2” tiene los siguientes valores en las directivas
“CCN-STIC-899 de asignación del servicio WinRM de:
Orígenes de eventos Directiva CCN-STIC-899 Orígenes de eventos Servidores
Servidores Windows Windows 2008 R2\ Configuración del equipo \ Directivas \
2008 R2”. Plantillas administrativas \ Componentes de Windows \
Administración remota de Windows \ Servicio WinRM

escuchas
de enlace de canal
de Shell remoto de Windows 2008 R2” tiene los siguientes valores en las directivas
Windows “CCN- de asignación de shell remoto.
STIC-899 Servidores Directiva CCN-STIC-899 Orígenes de eventos Servidores
Orígenes de eventos Windows 2008 R2\ Configuración del equipo \ Directivas \
Windows 2008 R2”. Plantillas administrativas \ Componentes de Windows \ Shell
remoto de Windows


SIN CLASIFICAR
SIN CLASIFICAR
21. Verifique que está Ejecute la herramienta de “Administración de directivas de

creada la directiva de grupo”.
servidores origen de Inicio  Herramientas administrativas  Administración de
eventos 2008 R2 directivas de grupo
(CCN-STIC-899
Compruebe que existe la unidad organizativa correspondiente a
los clientes Windows 7 origen de eventos. A continuación,
Clientes Windows 7).
verifique que el objeto de directiva de grupo denominado “CCN-
STIC-899 Orígenes de eventos Clientes Windows 7” está
vinculado con la unidad organizativa. El sistema solicitará
exclusivamente al grupo “Origen de eventos W7”.

valores de la directiva “CCN-STIC-899 Orígenes de eventos
Clientes Windows 7”.
Nota: En el ejemplo, los clientes Windows 7 origen de eventos se
encuentran alojados en la unidad organizativa “Clientes”.
de la directiva del directiva “CCN-STIC-899 Orígenes de eventos Clientes Windows
perfil del dominio del 7” tiene los siguientes valores en la directiva del perfil de dominio
Firewall de Windows del Firewall dentro de:
de la directiva “CCN- CCN-STIC-899 Orígenes de eventos Windows Clientes
STIC-899 Orígenes Windows 7\ Configuración del equipo \ Directivas \
de eventos Clientes Configuración de Windows \ Configuración de seguridad \
Windows 7”. Firewall de Windows con seguridad avanzada \ Firewall de
Windows con seguridad avanzada \ Reglas de entrada


SIN CLASIFICAR
SIN CLASIFICAR
de los servicios del que la directiva “CCN-STIC-899 Orígenes de eventos Clientes
sistema de la Windows 7” tiene los siguientes valores de servicios de sistema
directiva “CCN-STIC- dentro de:
899 Servidores Directiva CCN-STIC-899 Orígenes de eventos Clientes
Orígenes de eventos Windows 7\ Configuración del equipo\ Directivas \
Clientes Windows 7”. Configuración de Windows \ Configuración de seguridad \

de la configuración directiva “CCN-STIC-899 Orígenes de eventos Clientes Windows
de cliente WinRM 7” tiene los siguientes valores en las directivas de asignación del
“CCN-STIC-899 cliente WinRM en:
Clientes Windows 7”.
Directiva CCN-STIC-899 Orígenes de eventos Clientes
Windows 7\ Configuración del equipo \ Directivas \ Plantillas
administrativas \ Componentes de Windows \ Administración
remota de Windows (WinRM) \ Cliente WinRM


SIN CLASIFICAR
SIN CLASIFICAR
del servicio WinRM 7” tiene los siguientes valores en las directivas de asignación del
“CCN-STIC-899 servicio WinRM en:
Orígenes de eventos Directiva CCN-STIC-899 Orígenes de eventos Clientes
Clientes Windows 7”. Windows 7\ Configuración del equipo \ Directivas \ Plantillas
administrativas \ Componentes de Windows \ Administración
remota de Windows (WinRM) \ Servicio WinRM

escuchas
de enlace de canal
de Shell remoto de 7” tiene los siguientes valores en las directivas de asignación de
Windows “CCN- shell remoto.
STIC-899 Servidores Directiva CCN-STIC-899 Orígenes de eventos Clientes
Orígenes de eventos Windows 7\ Configuración del equipo \ Directivas \ Plantillas
Clientes Windows 7”. administrativas \ Componentes de Windows \ Shell remoto
de Windows

SIN CLASIFICAR
SIN CLASIFICAR
del perfil de dominio 7” tiene los siguientes valores en la configuración del perfil de
del firewall de dominio del firewall de Windows.
Windows “CCN- Directiva CCN-STIC-899 Orígenes de eventos Clientes
STIC-899 Servidores Windows 7\ Configuración del equipo \ Directivas \ Plantillas
Orígenes de eventos administrativas \ Red \ Conexiones de red \ Firewall de
Clientes Windows 7”. Windows \ Perfil de dominio
Firewall de Windows: proteger todas las Habilitada

conexiones de red
Firewall de Windows: no permitir Deshabilitada
excepciones
Firewall de Windows: permitir registro Habilitada
28. Verifique que la Utilizando el explorador de archivos de Windows 2008 R2,
carpeta “C:\scripts” acceda a la unidad “C:\” y compruebe que la carpeta “scripts” no
no existe en el se encuentra en el directorio raíz de la unidad.
sistema.
El siguiente procedimiento verifica la configuración del servidor de recolección de eventos.

Nota: Deberá ejecutar los siguientes pasos de comprobación en cada servidor Windows Server 2008 R2 que tenga el
rol de recolección de eventos.
29. Inicie sesión en el En el servidor inicie sesión con una cuenta que sea
servidor de administrador del dominio o administrador local del sistema.
recolección de eventos

SIN CLASIFICAR
SIN CLASIFICAR
30. Verifique que las Ejecute como administrador la consola de línea de comandos.
directivas de grupo se Inicio  Todos los programas  Accesorios  Símbolo
están aplicando del sistema
correctamente.
El sistema solicitará elevación de privilegios.
Escriba “GPRESULT /R /SCOPE COMPUTER” y presione la
tecla “Enter”. Compruebe que en la sección “Objetos de
directiva de grupo aplicados”, aparece la política “CCN-STIC-
899 Recolector de eventos” y que ésta se aplica antes que la
política “CCN-STIC-851A Servidor Miembro”.
31. Verifique que el Inicie el administrador de servicios y compruebe que el servicio
servicio de de recopilador de eventos de Windows se encuentra iniciado y
recopilación de configurado en modo automático.
eventos de Windows Escriba en la ayuda “services.msc” y pulse la tecla “Enter”. El
está activo sistema solicitará elevación de privilegios.
32. Verifique que el Inicie el administrador de servicios y compruebe que el servicio

servicio de WinRM de administración remota de Windows (WS-management) se
está activo encuentra iniciado y configurado en modo “Automático (inicio
retrasado)”.
Escriba en la ayuda “services.msc” y pulse la tecla “Enter”. El
33. Compruebe que puede Inicie el visor de eventos y acceda a las suscripciones.
acceder a las Escriba en la ayuda “eventvwr.msc” y pulse la tecla “Enter”. El
suscripciones sistema solicitará elevación de privilegios.
existentes en la
consola del visor de
eventos

SIN CLASIFICAR
SIN CLASIFICAR
34. Compruebe la Si tiene creada alguna suscripción, proceda a comprobar que

funcionalidad de una existe conectividad con el servidor o cliente de origen de
suscripción eventos.
Pulse con el botón derecho sobre la suscripción y use la opción
estado en tiempo de ejecución.
35. Verifique que la Utilizando el explorado de archivos de Windows, acceda a la

carpeta “C:\scripts” no unidad “C:\” y compruebe que la carpeta “scripts” no se
existe en el sistema. encuentra en el directorio raíz de la unidad.
El siguiente procedimiento verifica la configuración de los servidores de orígenes de eventos

Windows Server 2008 R2.
Nota: Deberá ejecutar los siguientes pasos de comprobación en cada servidor Windows Server 2008 R2 que sea
origen de eventos Windows Server 2008 R2.
36. Inicie sesión en el En el servidor, inicie sesión con una cuenta que sea
servidor de origen de administrador del dominio o administrador local del sistema.
eventos Windows
Server 2008 R2.
37. Verifique que las Ejecute como administrador la consola de línea de comandos.
correctamente.
El sistema solicitará elevación de privilegios.
899 Orígenes de eventos Windows Server 2008 R2” y que ésta
se aplica antes que la política “CCN-STIC-851A Servidor
Miembro”.
Nota: En el caso de los controladores de dominio esta política deberá
aplicarse antes que la política”CCN-STIC-851 Incremental DC”.

SIN CLASIFICAR
SIN CLASIFICAR
38. Compruebe que el Inicie el administrador de usuario y grupos locales y

servidor de compruebe accediendo a los miembros del grupo de lectores
recolección de eventos del registro de eventos que el servidor de recolección de
es miembro del grupo eventos pertenece a este grupo.
local de “Lectores del
registro de eventos” Nota: Esta comprobación no será necesaria realizarla en los
controladores de dominio.
Escriba en la ayuda “lusrmgr.msc” y pulse la tecla “Enter”. El
Posteriormente vaya a la carpeta de grupos y haga doble clic
sobre el grupo “Lectores del registro de eventos”.

El siguiente procedimiento verifica la configuración de los clientes Windows 7 de origen de

eventos.
Nota: Deberá ejecutar los siguientes pasos de comprobación en cada cliente Windows 7 que sea origen de eventos
Windows 7.
40. Inicie sesión en el En el puesto de trabajo inicie sesión con una cuenta que sea
cliente de origen de administrador del dominio o administrador local del sistema.
eventos Windows 7.
41. Verifique que las Ejecute como administrador la consola de línea de comando.
correctamente. El sistema solicitará elevación de privilegios.
899 Orígenes de eventos Clientes Windows 7” y que ésta se
aplica antes que la política “CCN-STIC-850A Windows 7 -
Equipos”.

SIN CLASIFICAR
SIN CLASIFICAR
42. Compruebe que el Inicie el administrador de usuario y grupos locales y

servidor de compruebe accediendo a los miembros del grupo de lectores
recolección de eventos del registro de eventos que el servidor de recolección de
es miembro del grupo eventos pertenece a este grupo.
local de “Lectores del Pulse la combinación de teclas “Windows + R” y escriba
registro de eventos”. “lusrmgr.msc” y pulse la tecla “Enter”. El sistema solicitará
Posteriormente vaya a la carpeta de grupos y haga doble clic
sobre el grupo “Lectores del registro de eventos”.


SIN CLASIFICAR
SIN CLASIFICAR
ANEXO I. EVENTOS DE SEGURIDAD DE WINDOWS SERVER

2008 R2 Y WINDOWS 7
Este anexo ofrece la información de los eventos más significativos que pueden aparecer como
resultado de las diferentes auditorías de seguridad en Windows Server 2008 R2 y Windows 7.
Los eventos se han agrupado en las categorías y subcategorías existentes.
1. CATEGORÍA. INICIO DE SESIÓN DE CUENTA
1.1 SUBCATEGORÍA. VALIDACIÓN DE CREDENCIALES

ID Mensaje
4774 Se ha asignado una cuenta de inicio de sesión.

4775 No se pudo asignar una cuenta de inicio de sesión.
4776 El equipo ha intentado validar las credenciales de una cuenta.
4777 El controlador de dominio no pudo validar las credenciales de una cuenta.
1.2 SUBCATEGORÍA. SERVICIO DE AUTENTICACIÓN KERBEROS

ID Mensaje
4768 Se ha requerido un ticket de autenticación Kerberos.

4771 Ha fallado la pre-autenticación Kerberos.
4772 Ha fallado una petición de ticket de autenticación Kerberos.
1.3 SUBCATEGORÍA. OPERACIONES DE TICKETS DEL SERVICIO KERBEROS

ID Mensaje
4769 Se ha solicitado un ticket de servicio Kerberos.

4770 Se ha renovado un ticket de servicio Kerberos.
4773 Ha fallado una solicitud de ticket de servicio Kerberos.
2. CATEGORÍA. GESTIÓN DE CUENTA
2.1 SUBCATEGORÍA. GESTIÓN DE GRUPO DE APLICACIONES

ID Mensaje
4783 Un grupo de aplicaciones básicas ha sido creado.

4784 Un grupo de aplicaciones básicas se ha cambiado.
4785 Un miembro ha sido agregado a un grupo de aplicaciones básicas.

SIN CLASIFICAR
SIN CLASIFICAR
ID Mensaje
4786 Un miembro ha sido quitado de un grupo de aplicaciones básicas.

4787 Un no-miembro ha sido agregado a un grupo de aplicaciones básicas.
4788 Un no-miembro ha sido quitado de un grupo de aplicaciones básicas.
4789 Un grupo de aplicaciones básicas se ha eliminado.
4790 Se ha creado una consulta LDAP de grupo de aplicaciones básicas.
4791 Un grupo de aplicaciones básicas ha cambiado.
4792 Se ha creado una consulta LDAP de grupo de aplicaciones básicas.
2.2 SUBCATEGORÍA. GESTIÓN DE CUENTAS DE EQUIPO

ID Mensaje
4741 Una cuenta de equipo ha sido creada.

4742 Una cuenta de equipo se ha cambiado.
4743 Una cuenta de equipo se ha eliminado.
2.3 SUBCATEGORÍA. GESTIÓN DE GRUPOS DE DISTRIBUCIÓN

ID Mensaje
4744 Un grupo local de distribución se ha creado.

4745 Un grupo local de distribución se ha cambiado.
4746 Se ha agregado un miembro a un grupo de distribución local.
4747 Se ha eliminado un miembro de un grupo de distribución local.
4748 Un grupo local de distribución se ha eliminado.
4749 Un grupo global de distribución se ha creado.
4750 Un grupo global de distribución se ha cambiado.
4751 Se ha agregado un miembro a un grupo de distribución global.
4752 Se ha eliminado un miembro de un grupo de distribución global.
4753 Un grupo global de distribución se ha eliminado.
4759 Un grupo universal de distribución se ha creado.
4760 Un grupo universal de distribución se ha cambiado.
4761 Se ha agregado un miembro a un grupo de distribución universal.
4762 Se ha eliminado un miembro de un grupo de distribución universal.
4763 Un grupo universal de distribución se ha eliminado.

SIN CLASIFICAR
SIN CLASIFICAR
2.4 SUBCATEGORÍA. OTROS EVENTOS DE GESTIÓN DE CUENTA

ID Mensaje
4782 Se ha accedido al hash de una cuenta.

4793 Se ha llamado a la API de comprobación de la política de contraseñas.
2.5 SUBCATEGORÍA. GESTIÓN DE GRUPO DE SEGURIDAD

ID Mensaje
4727 Un grupo global de seguridad se ha creado.

4728 Se ha agregado un miembro a un grupo de seguridad global.
4729 Se ha eliminado un miembro de un grupo de seguridad global.
4730 Un grupo global de seguridad se ha eliminado.
4731 Un grupo local de seguridad se ha creado.
4732 Se ha agregado un miembro a un grupo de seguridad local.
4733 Se ha eliminado un miembro de un grupo de seguridad local.
4734 Un grupo local de seguridad se ha eliminado.
4735 Un grupo local de seguridad se ha cambiado.
4737 Un grupo global de seguridad se ha cambiado.
4754 Un grupo universal de seguridad se ha creado.
4755 Un grupo universal de seguridad se ha cambiado.
4756 Se ha agregado un miembro a un grupo de seguridad universal.
4757 Se ha eliminado un miembro de un grupo de seguridad universal.
4758 Un grupo universal de seguridad se ha eliminado.
4764 Se ha cambiado el tipo del grupo.
2.6 SUBCATEGORÍA. GESTIÓN DE CUENTAS DE USUARIO

ID Mensaje
4720 Se ha creado una cuenta de usuario.

4722 Se ha habilitado una cuenta de usuario.
4723 Se ha realizado un intento de cambio de contraseña de una cuenta de usuario.
4724 Se ha realizado un intento de reseteo de contraseña de una cuenta de usuario.
4725 Se ha deshabilitado una cuenta de usuario.
4726 Se ha eliminado una cuenta de usuario.
4738 Se ha realizado un cambio en una cuenta de usuario.
4740 Se ha bloqueado una cuenta de usuario.
4765 Un histórico de SID se ha agregado a una cuenta de usuario.

SIN CLASIFICAR
SIN CLASIFICAR
ID Mensaje
4766 Ha fallado un intento de agregar un histórico de SID a una cuenta de usuario.

4647 Se ha desbloqueado una cuenta de usuario.
4780 Se ha aplicado una ACL a una cuenta que es miembro del grupo de administradores.
4781 Se ha cambiado el nombre de una cuenta de usuario.
3. CATEGORÍA. SEGUIMIENTO DE PROCESOS
3.1 SUBCATEGORÍA. ACTIVIDAD DPAPI

ID Mensaje
4692 Se ha realizado un intento de copia de seguridad de la clave maestra de protección de

datos.
4693 Se ha realizado un intento de recuperación de la clave maestra de protección de datos.
4694 Se ha realizado un intento de protección de datos protegidos auditables.
4695 Se ha realizado un intento de desprotección de datos protegidos auditables.
3.2 SUBCATEGORÍA. CREACIÓN DE PROCESOS

ID Mensaje
4688 Un nuevo proceso ha sido creado.

4696 Un Token primario ha sido asignado a un proceso
3.3 SUBCATEGORÍA. TERMINACIÓN DE PROCESOS

ID Mensaje
4689 Un proceso ha terminado.
3.4 SUBCATEGORÍA. EVENTOS RPC

ID Mensaje
5712 Se ha intentado una llamada de RPC
4. CATEGORÍA. ACCESO AL SERVICIO DE DIRECTORIO
4.1 SUBCATEGORÍA. REPLICACIÓN DEL SERVICIO DE DIRECTORIO

ID Mensaje
4928 Se ha establecido un origen de réplica de Directorio Activo.

4929 Se ha eliminado un origen de réplica de Directorio Activo.
4930 Se ha modificado un origen de réplica de Directorio Activo.

SIN CLASIFICAR
SIN CLASIFICAR
ID Mensaje
4931 Se ha establecido un destino de réplica de Directorio Activo.

4932 Se ha iniciado una réplica del Directorio Activo.
4933 Ha finalizado una réplica del Directorio Activo.
4934 Se han replicado atributos de objetos del Directorio Activo.
4935 Ha fallado un inicio de replicación.
4936 Ha fallado una finalización de replicación.
4937 Un objeto ha sido eliminado de una replicación.
4.2 SUBCATEGORÍA. ACCESO AL SERVICIO DE DIRECTORIO

ID Mensaje
4662 Se ha realizado una operación en un objeto.
4.3 SUBCATEGORÍA. CAMBIOS EN EL SERVICIO DE DIRECTORIO

ID Mensaje
5136 Se ha modificado un objeto del servicio de directorio.

5137 Se ha creado un objeto del servicio de directorio.
5138 Se ha restaurado un objeto del servicio de directorio.
5139 Se ha movido un objeto del servicio de directorio.
5141 Se ha eliminado un objeto del servicio de directorio.
5. CATEGORÍA. INICIO Y CIERRE DE SESIÓN
5.1 SUBCATEGORÍA. MODO EXTENDIDO IPSEC

ID Mensaje
4978 Durante la negociación del modo extendido, IPsec ha recibido un paquete inválido.
4979 Se ha establecido una asociación con los modos principal y extendido de IPsec.
4983 Una negociación del modo extendido de IPsec ha fallado. Se ha eliminado la asociación
principal correspondiente.
4984 Una negociación del modo extendido de IPsec ha fallado. Se ha eliminado la asociación
principal correspondiente.

SIN CLASIFICAR
SIN CLASIFICAR
5.2 SUBCATEGORÍA. MODO PRINCIPAL IPSEC

ID Mensaje
4646 Se ha iniciado el modo de prevención de DoS IKE.

4650 Se ha establecido una asociación de seguridad principal. El modo extendido no ha sido
habilitado. No se ha utilizado certificado para la autenticación.
4651 Se ha establecido una asociación de seguridad principal. El modo extendido no ha sido
habilitado. Se ha utilizado certificado para la autenticación.
4652 Ha fallado la negociación IPsec con el modo principal.
4653 Ha fallado la negociación IPsec con el modo principal.
4655 Una asociación de seguridad principal ha finalizado.
4976 Durante el modo de negociación principal, IPsec ha recibido un paquete de negociación
inválido.
5049 Una asociación de seguridad IPsec ha sido eliminada.
5.3 SUBCATEGORÍA. MODO RÁPIDO IPSEC

ID Mensaje
4654 Ha fallado una negociación IPsec en modo rápido.

4977 Durante el modo de negociación rápido, IPsec ha recibido un paquete de negociación
inválido.
5451 Una asociación de IPsec en modo rápido se ha establecido.
5452 Una asociación de IPsec en modo rápido ha finalizado.
5.4 SUBCATEGORÍA. CIERRE DE SESIÓN

ID Mensaje
4634 Una cuenta ha cerrado la sesión.

4647 Un usuario ha iniciado el cierre de sesión.
5.5 SUBCATEGORÍA. INICIO DE SESIÓN

ID Mensaje
4624 Una cuenta se ha validado satisfactoriamente.

4625 Una cuenta no ha podido validarse.
4648 Una validación se ha intentado usando credenciales explícitas.
4675 SIDs han sido filtrados.

SIN CLASIFICAR
SIN CLASIFICAR
5.6 SUBCATEGORÍA. SERVIDOR DE POLÍTICAS DE RED

ID Mensaje
6272 El servidor NPS ha concedido el acceso a un usuario.

6273 El servidor NPS ha denegado el acceso a un usuario.
6274 El servidor NPS ha descartado la petición de un usuario.
6275 El servidor NPS ha descartado la petición de autenticación de un usuario.
6276 El servidor NPS ha puesto en cuarentena a un usuario.
6277 El servidor NPS ha permitido el acceso a un usuario pero éste ha sido puesto a prueba,
puesto que el equipo no cumplía con la política de salud.
6278 El servidor NPS ha permitido el acceso completo a un usuario porque el equipo cumplía
con la política de salud.
6279 El servidor NPS ha bloqueado una cuenta de usuario debido a los intentos reiterados de
autenticación fallidos.
6280 El servidor NPS ha desbloqueado una cuenta de usuario.
5.7 SUBCATEGORÍA. OTROS EVENTOS DE INICIO O CIERRE DE SESIÓN

ID Mensaje
4649 Un ataque de réplica se ha detectado.

4778 Una sesión se ha reconectado a una estación Windows.
4779 Una sesión se ha desconectado de una estación Windows.
4800 El puesto de trabajo se ha bloqueado.
4801 El puesto de trabajo se ha desbloqueado.
4802 El salvapantallas ha sido invocado.
4803 El salvapantallas se ha cancelado.
5632 Se ha realizado una petición de autenticación en una red inalámbrica.
5633 Se ha realizado una petición de autenticación en una red cableada.
5.8 SUBCATEGORÍA. VALIDACIÓN ESPECIAL

ID Mensaje
4964 Un grupo especial ha sido asignado a una nueva validación.
6. CATEGORÍA. ACCESO A OBJETOS
6.1 SUBCATEGORÍA. APLICACIÓN

ID Mensaje
4665 Se ha realizado un intento de crear una aplicación en el contexto del cliente.

SIN CLASIFICAR
SIN CLASIFICAR
ID Mensaje
4666 Una aplicación ha intentado una operación.

4667 Una aplicación en el contexto del cliente ha sido eliminada.
4668 Una aplicación se ha iniciado.
6.2 SUBCATEGORÍA. SERVICIO DE CERTIFICADOS

ID Mensaje
4868 El administrador de certificados ha denegado una petición pendiente.

4869 El servicio de certificados ha recibido una petición de certificados reenviada.
4870 El servicio de certificados ha revocado un certificado.
4871 El servicio de certificados ha recibido una petición para publicar la lista de revocación de
certificados.
4872 El servicio de certificados ha publicado la lista de certificados revocados.
4873 Se ha cambiado una extensión de una petición de certificado.
4874 Han cambiado unos o más atributos de una petición de certificado.
4875 El servicio de certificados ha recibido una petición de cerrarse.
4876 Se ha iniciado una copia de seguridad del servicio de certificados.
4877 Se ha completado una copia de seguridad del servicio de certificados.
4878 Se ha iniciado una restauración de una copia de seguridad del servicio de certificados.
4879 Se ha completado una restauración de una copia de seguridad del servicio de certificados.
4880 El servicio de certificados se ha iniciado.
4881 El servicio de certificados se ha parado.
4882 Los permisos de seguridad del servicio de certificados han cambiado.
4883 El servicio de certificados ha recuperado una clave almacenada.
4884 El servicio de certificados ha importado un certificado en su base de datos.
4885 El filtro de auditoría del servicio de certificados ha cambiado.
4886 El servicio de certificados ha recibido una petición de certificados.
4887 El servicio de certificados ha aprobado una petición de certificado y lo ha emitido.
4889 El servicio de certificados ha establecido el estado de una petición de certificado en
pendiente.
4890 El administrador de certificados ha cambiado las propiedades del servicio de certificados.
4891 Una entrada de configuración se ha cambiado en el servicio de certificados.
4892 Una propiedad del servicio de certificados se ha cambiado.
4893 El servicio de certificados ha almacenado una clave.
4894 El servicio de certificados ha importado y almacenado una clave.
4895 El servicio de certificados ha publicado el certificado CA en el directorio activo.

SIN CLASIFICAR
SIN CLASIFICAR
ID Mensaje
4896 Una o más líneas han sido eliminadas de la base de datos de certificados.
4897 Se ha habilitado la separación de roles.
4898 El servicio de certificados ha cargado una plantilla.
4899 Una plantilla del servicio de certificados ha sido actualizada.
4900 Una plantilla de seguridad del servicio de certificados ha sido actualizada.
5120 Se ha iniciado el servicio OCSP Responder.
5121 Se ha parado el servicio OCSP Responder.
5122 Se ha producido un cambio de configuración en el servicio OCSP Responder.
5123 Se ha producido un cambio de configuración en el servicio OCSP Responder.
5124 Una propiedad de seguridad ha sido actualizada en el servicio OCSP Responder.
5125 Una petición ha sido enviada al servicio OCSP Responder.
5126 Un certificado firmado ha sido actualizado automáticamente por el servicio OCSP
Responder.
5127 El proveedor de revocación OCSP ha actualizado satisfactoriamente una información de
revocación.
6.3 SUBCATEGORÍA. DETALLE DE FICHEROS COMPARTIDOS

ID Mensaje
5145 Se ha comprobado un objeto de red compartido para ver si el cliente tenía concedido el
acceso deseado.
6.4 SUBCATEGORÍA. FICHEROS COMPARTIDOS

ID Mensaje
5140 Se ha accedido a un objeto de red compartido.

5140 Se ha añadido un objeto de red compartido.
5140 Se ha modificado un objeto de red compartido.
5140 Se ha eliminado un objeto de red compartido.
5168 El SPN ha fallado la comprobación SMB/SMB2.
6.5 SUBCATEGORÍA. SISTEMA DE FICHEROS

ID Mensaje
4664 Se ha realizado un intento de crear un vínculo duro.

4985 Ha cambiado el estado de una transacción.
5051 Se ha virtualizado un fichero.

SIN CLASIFICAR
SIN CLASIFICAR
6.6 SUBCATEGORÍA. CONEXIÓN A LA PLATAFORMA DE FILTRADO

ID Mensaje
5031 El servicio de firewall de Windows ha bloqueado intentos de conexión de red entrantes a

una aplicación.
5148 La plataforma de filtrado ha detectado un ataque de tipo DoS y ha entrado en modo
defensivo. Los paquetes asociados al ataque son descartados.
5149 El ataque DoS ha cesado y se produce un procesamiento normal.
5150 La plataforma de filtrado ha bloqueado un paquete.
5151 Un filtro más restrictivo de la plataforma de filtrado ha bloqueado un paquete.
5154 La plataforma de filtrado ha permitido a una aplicación o servicio escuchar en un puerto
peticiones entrantes.
5155 La plataforma de filtrado ha permitido a una aplicación o servicio escuchar peticiones
entrantes provenientes de un puerto.
5156 La plataforma de filtrado ha permitido una conexión.
5157 La plataforma de filtrado ha bloqueado una conexión.
5158 La plataforma de filtrado ha permitido una vinculación a un puerto local.
5159 La plataforma de filtrado ha bloqueado la vinculación a un puerto local.
6.7 SUBCATEGORÍA. DESCARTES DE LA PLATAFORMA DE FILTRADO

ID Mensaje
5152 La plataforma de filtrado ha bloqueado un paquete.

5153 Un filtro más restrictivo de la plataforma de filtrado ha bloqueado un paquete.
6.8 SUBCATEGORÍA. MANIPULACIÓN DE MANEJADORES

ID Mensaje
4656 Se ha solicitado un manejador de objeto.

4658 Se ha cerrado un manejador de objeto.
4690 Se ha producido un intento de duplicación de un manejador de objeto.
6.9 SUBCATEGORÍA. OTROS EVENTOS DE ACCESO A OBJETOS

ID Mensaje
4671 Una aplicación ha intentado un acceso a un ordinal bloqueado a través del TBS.
4691 Se ha solicitado un acceso indirecto a un objeto.
4698 Se ha programado una tarea.
4699 Se ha eliminado una tarea.
4700 Se ha habilitado una tarea.
4701 Se ha deshabilitado una tarea.

SIN CLASIFICAR
SIN CLASIFICAR
ID Mensaje
4702 Se ha actualizado una tarea.

5888 Se ha modificado un objeto en el catálogo COM+.
5889 Se ha eliminado un objeto en el catálogo COM+.
5890 Se ha agregado un objeto en el catálogo COM+.
6.10 SUBCATEGORÍA. REGISTRO

ID Mensaje
4657 Un valor de registro se ha modificado.

5039 Una clave de registro ha sido virtualizada.
6.11 SUBCATEGORÍA. MULTIUSO ESPECIAL

ID Mensaje
4659 Se ha solicitado un intento de eliminación de un manejador de objeto.

4660 Un objeto se ha eliminado.
4661 Se ha solicitado un manejador de objeto.
4663 Se ha realizado un intento de acceso a un objeto.
7. CATEGORÍA. CAMBIO DE DIRECTIVAS
7.1 SUBCATEGORÍA. CAMBIOS EN LA POLÍTICA DE AUDITORÍAS

ID Mensaje
4715 La SACL de un objeto ha cambiado.

4719 La política de auditoría de sistema ha cambiado.
4817 Las propiedades de auditoría de un objeto han cambiado.
4902 La tabla de política de auditoría por usuario ha cambiado.
4904 Se ha realizado un intento de registrar el origen de un evento de seguridad.
4905 Se ha realizado un intento de des registrar el origen de un evento de seguridad.
4906 Ha cambiado el valor de CrachOnAuditFail.
4907 Las propiedades de auditoría de un objeto han cambiado.
4908 Se ha modificado la tabla de validación de grupos especiales.
4912 Se ha cambiado la política de auditoría por usuario.

SIN CLASIFICAR
SIN CLASIFICAR
7.2 SUBCATEGORÍA. CAMBIOS EN LA POLÍTICA DE AUTENTICACIÓN

ID Mensaje
4715 Se ha creado una nueva confianza con un dominio.

4707 Se ha eliminado una confianza con un dominio.
4713 Ha cambiado la política de Kerberos.
4716 La información de dominios de confianza se ha modificado.
4717 Se ha concedido a una cuenta accesos al sistema de seguridad.
4718 Se ha quitado a una cuenta, accesos al sistema de seguridad.
4739 La política de dominio ha sido cambiada.
4864 Se ha detectado una colisión en el espacio de nombres.
4865 Se ha agregado una entrada en la información de confianza del bosque.
4866 Se ha eliminado una entrada en la información de confianza del bosque.
4867 Se ha modificado una entrada en la información de confianza del bosque.
7.3 SUBCATEGORÍA. CAMBIOS EN LA POLÍTICA DE AUTORIZACIÓN

ID Mensaje
4704 Se ha asignado un derecho de usuario.

4705 Se ha quitado un derecho de usuario.
4714 La política de grupo del agente de recuperación de datos para EFS ha cambiado. El nuevo
cambio ha sido aplicado.
7.4 SUBCATEGORÍA. CAMBIOS EN LA POLÍTICA DE LA PLATAFORMA DE

FILTRADO
ID Mensaje
4709 El servicio del agente de políticas IPsec se ha iniciado.

4710 El servicio del agente de políticas IPsec se ha deshabilitado.
4712 El agente de políticas IPsec ha encontrado un potencial fallo.
5440 Se ha realizado un cambio en las propiedades IPs. Se ha agregado una autenticación.
5441 Se ha realizado un cambio en las propiedades IPs. Se ha modificado una autenticación.
5442 Se ha realizado un cambio en las propiedades IPs. Se ha eliminado una autenticación.
5443 Se ha realizado un cambio en las propiedades IPs. Se ha agregado una regla de
seguridad.
5444 Se ha realizado un cambio en las propiedades IPs. Se ha modificado una regla de
seguridad.
5445 Se ha realizado un cambio en las propiedades IPs. Se ha eliminado una regla de
seguridad.
5046 Se ha realizado un cambio en las propiedades IPs. Se ha agregado un conjunto Crypto.

SIN CLASIFICAR
SIN CLASIFICAR
ID Mensaje
5047 Se ha realizado un cambio en las propiedades IPs. Se ha modificado un conjunto Crypto.

5048 Se ha realizado un cambio en las propiedades IPs. Se ha eliminado un conjunto Crypto.
5440 La siguiente llamada estaba presente cuando el motor de la plataforma de filtrado base se
inició.
5441 El siguiente filtro estaba presente cuando el motor de la plataforma de filtrado base se
inició.
5442 El siguiente proveedor estaba presente cuando el motor de la plataforma de filtrado base
se inició.
5443 El siguiente contexto de proveedor estaba presente cuando el motor de la plataforma de
filtrado base se inició.
5444 La siguiente subcapa estaba presente cuando el motor de la plataforma de filtrado base se
inició.
5446 Se ha cambiado una llamada de la plataforma de filtrado Windows.
5448 Se ha cambiado un proveedor de la plataforma de filtrado Windows.
5449 Se ha cambiado un contexto de proveedor de la plataforma de filtrado Windows.
5450 Se ha cambiado una subcapa de la plataforma de filtrado Windows.
7.5 SUBCATEGORÍA. CAMBIOS EN LA POLÍTICA DE NIVEL DE REGLAS

MPSSVC
ID Mensaje
4944 La siguiente política estaba activa cuando el firewall de Windows se inició.

4945 Una regla ha sido enumerada cuando el firewall de Windows se inició.
4946 Se ha realizado un cambio en la lista de excepciones del firewall de Windows. Una regla
ha sido añadida.
ha sido modificada.
ha sido eliminada.
4949 Las propiedades del firewall de Windows se han restaurado a los valores por defecto.
4950 Se ha cambiado una propiedad del Firewall de Windows.
4951 El firewall de Windows ignora una regla porque el número mayor de versión no es
reconocido.
4952 El firewall de Windows ignora parte de una regla porque el número menor de versión no es
reconocido.
4953 El firewall de Windows ignora una regla porque ésta no puede ser macheada.
4954 La política de grupo del firewall de Windows ha cambiado y las nuevas propiedades han
sido aplicadas.
4956 El firewall de Windows ha cambiado el perfil activo.
4957 El firewall de Windows no aplica la siguiente regla.

SIN CLASIFICAR
SIN CLASIFICAR
ID Mensaje
4948 El firewall de Windows no aplica la siguiente regla porque refiere a un ítem no configurado
en el equipo.
7.6 SUBCATEGORÍA. OTROS EVENTOS DE POLITICA DE CAMBIOS

ID Mensaje
4909 Se han cambiado las propiedades de la política local para el TBS.

4910 Se han cambiado las propiedades de la política de grupo para el TBS.
5063 Se ha intentado una operación del proveedor criptográfico.
5064 Se ha intentado una operación del contexto criptográfico.
5065 Se ha intentado una modificación del contexto criptográfico.
5066 Se ha intentado una operación de función criptográfica.
5067 Se ha intentado una modificación de la función criptográfica.
5068 Se ha intentado una operación de propiedad de la función criptográfica.
5069 Se ha intentado una operación de propiedad de la función criptográfica.
5070 Se ha intentado una modificación de la propiedad de la función criptográfica.
5447 Se ha cambiado un filtro de la plataforma de filtrado de Windows.
6144 La política de seguridad de una GPO se ha aplicado satisfactoriamente.
6145 Uno o más errores han ocurrido mientras se procesaba la política de seguridad de una
GPO.
7.7 SUBCATEGORÍA. ESPECIAL MULTIUSO

ID Mensaje
4670 Se han cambiado los permisos de un objeto.
8. CATEGORÍA. USO DE PRIVILEGIOS
8.1 SUBCATEGORÍA. USO DE PRIVILEGIOS

ID Mensaje
4672 Se han asignado privilegios especiales a una nueva validación.

4673 Ha sido llamado un servicio privilegiado.
4674 Se ha intentado una operación en un objeto privilegiado.

SIN CLASIFICAR
SIN CLASIFICAR
9. CATEGORÍA. SISTEMA
9.1 SUBCATEGORÍA. DRIVER IPSEC

ID Mensaje
4960 IPsec descartó un paquete entrante que falló la comprobación de integridad.

4961 IPsec descartó un paquete entrante que falló la comprobación de reproducción.
4962 IPsec descartó un paquete entrante que falló la comprobación de reproducción.
4963 IPsec descartó un paquete entrante en claro y que debería haber sido securizado.
4965 IPsec descartó un paquete de un equipo remoto con un SPI incorrecto.
5478 Se ha iniciado el agente de políticas de IPsec.
5479 Se ha cerrado satisfactoriamente el servicio de IPsec.
5480 El agente de políticas de IPsec ha fallado al obtener la lista completa de dispositivos de red
del equipo.
5483 El agente de políticas de IPsec ha fallado al inicializar el servidor RPC.
5484 El agente de políticas de IPsec ha experimentado un fallo crítico y ha tenido que cerrarse.
9.2 SUBCATEGORÍA. OTROS EVENTOS DEL SISTEMA

ID Mensaje
5024 El servicio de firewall de Windows se ha iniciado satisfactoriamente.

5025 El servicio de firewall de Windows se ha parado.
5027 El servicio de firewall de Windows no ha podido recuperar la política de seguridad del
almacén local. Windows continuará forzando la política actual.
5028 El firewall de Windows no puede analizar la nueva política de seguridad.
5029 El servicio de firewall de Windows ha fallado al inicializar el controlador.
5030 El servicio de firewall de Windows ha fallado al iniciarse.
5032 El firewall de Windows no puede notificar al usuario que está bloqueando que una
aplicación acepte conexiones provenientes de la red.
5033 El controlador del firewall de Windows se ha iniciado satisfactoriamente.
5034 El controlador del firewall de Windows se parado.
5035 El controlador del firewall de Windows ha fallado al iniciarse.
5037 El controlador del firewall de Windows ha detectado un error en tiempo de ejecución y se
ha parado.
9.3 SUBCATEGORÍA. CAMBIO DE ESTADO DE LA SEGURIDAD

ID Mensaje
4608 Windows se está iniciando.

4616 La hora del sistema ha cambiado.

SIN CLASIFICAR
SIN CLASIFICAR
ID Mensaje
4621 Un administrador ha recuperado el sistema de un CrahOnAuditFail.
9.4 SUBCATEGORÍA. SEGURIDAD DEL SISTEMA EXTENDIDA

ID Mensaje
4608 Un paquete de autenticación ha sido cargado por la LSA.

4611 Un proceso de validación confiado ha sido registrado en la LSA.
4614 Un paquete de notificación ha sido cargado en la SAM.
4622 Un paquete de seguridad ha sido cargado por la LSA.
4697 Un servicio ha sido instalado en el sistema.
9.5 SUBCATEGORÍA. INTEGRIDAD DEL SISTEMA

ID Mensaje
4615 Uso inválido de puerto LPC.

4618 Ha ocurrido un patrón de eventos de seguridad.
4816 El RPC ha detectado una violación de integridad cuando estaba descifrando un mensaje
entrante.
5038 El código de integridad ha determinado que la firma de un fichero no es válida.
5060 Ha fallado una operación de verificación.
5061 Operación criptográfica.

SIN CLASIFICAR

Recoleccion Consolidacion Eventos W2008 R2 ENS

Diunggah oleh

Informasi Dokumen

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Recoleccion Consolidacion Eventos W2008 R2 ENS

Diunggah oleh

Hak Cipta:

Format Tersedia

SIN CLASIFICAR

GUÍA DE SEGURIDAD DE LAS TIC

 Editor y Centro Criptológico Nacional, 2015

Fecha de Edición: enero de 2015

Centro Criptológico Nacional 2

Partiendo del conocimiento y la experiencia del Centro sobre amenazas y vulnerabilidades en

La serie de documentos CCN-STIC se ha elaborado para dar cumplimiento a esta función y a lo

Félix Sanz Roldán

Centro Criptológico Nacional 3

Centro Criptológico Nacional 4

ANEXO A. POLÍTICA DE SEGURIDAD DE SERVIDOR DE RECOLECCIÓN DE EVENTOS... 45

Centro Criptológico Nacional 5

3.2 SUBCATEGORÍA. CREACIÓN DE PROCESOS ..................................................................... 219

Centro Criptológico Nacional 6

Centro Criptológico Nacional 7

Centro Criptológico Nacional 8

4. DESCRIPCIÓN DE USO DE ESTA GUÍA

4.1 AVISOS IMPORTANTES A LOS USUARIOS DE ESTA GUÍA

Centro Criptológico Nacional 9

5. LA TRAZABILIDAD A TRAVÉS DEL ESQUEMA NACIONAL DE

Centro Criptológico Nacional 10

Centro Criptológico Nacional 11

6. SERVICIO DE GESTIÓN DE EVENTOS

Centro Criptológico Nacional 12

6.1 REGISTROS DE EVENTOS

Centro Criptológico Nacional 13

6.1.1 REGISTROS DE WINDOWS

Centro Criptológico Nacional 14

6.1.2 REGISTROS DE APLICACIONES Y SERVICIOS

Centro Criptológico Nacional 15

6.2 EVENTOS Y ESTRUCTURA XML

Centro Criptológico Nacional 16

Centro Criptológico Nacional 17

Nombre de propiedad Descripción

Centro Criptológico Nacional 18

Nombre de propiedad Descripción

Equipo Nombre del equipo en el que se produjo el evento. El nombre del

6.3 VISTAS PERSONALIZADAS

Centro Criptológico Nacional 19

Centro Criptológico Nacional 20

Centro Criptológico Nacional 21

Centro Criptológico Nacional 22

7. RECOLECCIÓN DE EVENTOS. SERVICIO WINRM

Centro Criptológico Nacional 23

Centro Criptológico Nacional 24

Windows XP No instalado. Requiere instalación adicional de componentes.

Centro Criptológico Nacional 25

93. Para el correcto funcionamiento de la solución, es necesario que el servicio de WinRM se

Centro Criptológico Nacional 26

100.El servicio WEC se configura a través de la aplicación WECutil. Éste se configurará

101.Adicionalmente a estos dos servicios, el otro componente importante, es el de suscripción

Centro Criptológico Nacional 27

106.Todas las suscripciones podrán monitorizarse a través de la configuración de suscripciones

107.El análisis en tiempo de ejecución permitirá determinar si una determinada suscripción,

Centro Criptológico Nacional 28

Centro Criptológico Nacional 29

110.Puesto que la información se encontrará totalmente mezclada en el contenedor, se deberá

8. ENTORNO SEGURO PARA LA RECOLECCIÓN DE EVENTOS

Centro Criptológico Nacional 30

Centro Criptológico Nacional 31

122.Tal y como se ha comentado en páginas previas, el servicio de WinRM ofrece unas

8.1 CONFIGURACIÓN DE CLIENTE WINRM

Autenticación Si se habilita esta configuración de directiva, el El cliente WinRM no usará la

Centro Criptológico Nacional 32