SlideShare una empresa de Scribd logo

Auditoria en la RED

Descargar como DOCX, PDF
Hugo Rios
Hugo Rios

Este documento describe los diferentes tipos de auditoría que se pueden realizar en una red, incluyendo la auditoría de hardware, software, seguridad y desempeño. También explica cómo configurar la auditoría para monitorear eventos como inicio de sesión, acceso a objetos y cambios en el directorio de servicios. Finalmente, proporciona una lista detallada de los diferentes eventos que se pueden auditar, agrupados por categoría y subcategoría.

1 de 19
2012 SERVIDOR DE AUDITORIA Ríos Alegre Víctor Hugo
1 AUDITORIA EN LA RED La realización de una auditoria en una red es para poder visualizar el estado de la red, así se evalúa el desempeño y la seguridad con el propósito de una utilización más eficiente y segura de la información empresarial. Las directivas de auditoría determinan los sucesos de seguridad de los que se va a informar al administrador de la red. Razones para configurar una directiva de auditoría: -Realizar el seguimiento del error o no de los sucesos -Minimizar el uso no autorizado de los recursos -Mantener un registro de actividad Una auditoria en una empresa puede evaluar: Estructura física (HARDWARE) Estructura lógica (SOFTWARE) Algunos principales puntos de auditoria en la red: Análisis de vulnerabilidad Plan de contención ante posibles incidentes Seguimiento continúo del desempeño del sistema Configuración de auditoría Auditar sucesos de inicio de sesión de cuenta Auditar la administración de cuentas Auditar el acceso del servicio de directorio Auditar sucesos de inicio de sesión Auditar el acceso a objetos Auditar el cambio de directivas Auditar el uso de privilegios Auditar el seguimiento de procesos Auditar suceso del sistema 1 RIOS ALEGRE, VICTOR HUGO Página 1
AUDITORÍA EVENTOS POR CATEGORÍA Y SUBCATEGORÍA. Categoría: Inicio de sesión de cuenta Subcategoría: Validación de credenciales ID. Mensaje 4774 Se ha asignado una cuenta de inicio de sesión. 4775 No se puede asignar una cuenta de inicio de sesión. 4776 El equipo intenta validar las credenciales de una cuenta. 4777 El controlador de dominio no se pudo validar las credenciales de una cuenta. Subcategoría: Servicio de autenticación de Kerberos ID. Mensaje 4768 Se solicitó un vale de autenticación de Kerberos (TGT). 4771 Error en la autenticación previa Kerberos. 4772 Ha fallado una solicitud de vale de autenticación de Kerberos. Subcategoría: Las operaciones de vale de servicio Kerberos ID. Mensaje 4769 Se solicitó un vale de servicio de Kerberos. 4770 Se ha renovado un vale de servicio de Kerberos. 4773 Ha fallado una solicitud de vale de servicio de Kerberos. Categoría: Administración de cuentas Subcategoría: Administración de grupo de aplicaciones ID. Mensaje 4783 Ha creado un grupo de aplicaciones básicas. 4784 Se ha modificado un grupo de aplicaciones básicas. 4785 Se ha agregado un miembro a un grupo de aplicaciones básicas. 4786 Se ha quitado un miembro de un grupo de aplicaciones básicas. 4787 Que no sea miembro se ha agregado a un grupo de aplicaciones básicas. 4788 Se quitó un miembro de un grupo de aplicaciones básicas. 4789 Se ha eliminado un grupo de aplicaciones básicas. 4790 Se ha creado un grupo de consulta LDAP. 4791 Se ha modificado un grupo de aplicaciones básicas. 4792 Se ha eliminado un grupo de consulta LDAP. RIOS ALEGRE, VICTOR HUGO Página 2
Subcategoría: Administración de cuentas de equipo ID. Mensaje 4741 Se ha creado una cuenta de equipo. 4742 Se ha modificado una cuenta de equipo. 4743 Se ha eliminado una cuenta de equipo. Subcategoría: Administración de grupo de distribución ID. Mensaje 4744 Ha creado un grupo local con la seguridad deshabilitada. 4745 Ha modificado un grupo local con la seguridad deshabilitada. 4746 Se ha agregado un miembro a un grupo local con la seguridad deshabilitada. 4747 Se ha quitado un miembro de un grupo local con la seguridad deshabilitada. 4748 Se ha eliminado un grupo local con la seguridad deshabilitada. 4749 Se creó un grupo global con la seguridad deshabilitada. 4750 Ha modificado un grupo global con la seguridad deshabilitada. 4751 Se ha agregado un miembro a un grupo global con la seguridad deshabilitada. 4752 Se ha quitado un miembro de un grupo global con la seguridad deshabilitada. 4753 Se ha eliminado un grupo global con la seguridad deshabilitada. 4759 Ha creado un grupo universal con la seguridad deshabilitada. 4760 Ha modificado un grupo universal con la seguridad deshabilitada. 4761 Se ha agregado un miembro a un grupo universal con la seguridad deshabilitada. 4762 Se ha quitado un miembro de un grupo universal con la seguridad deshabilitada. Subcategoría: Otros eventos de administración de cuentas ID. Mensaje 4782 Se obtuvo acceso el valor de hash de contraseña una cuenta. 4793 Se llamó a la API de comprobación de directiva de contraseña. Subcategoría: Administración de grupo de seguridad ID. Mensaje 4727 Se ha creado un grupo global con seguridad habilitada. 4728 Se ha agregado un miembro a un grupo global con seguridad habilitada. 4729 Se ha quitado un miembro de un grupo global con seguridad habilitada. 4730 Se ha eliminado un grupo global con seguridad habilitada. 4731 Ha creado un grupo local con la seguridad habilitada. 4732 Se ha agregado un miembro a un grupo local con la seguridad habilitada. 4733 Se ha quitado un miembro de un grupo local con la seguridad habilitada. 4734 Se ha eliminado un grupo local con la seguridad habilitada. 4735 Se ha modificado un grupo local con la seguridad habilitada. 4737 Se ha modificado un grupo global con seguridad habilitada. 4754 Ha creado un grupo universal con seguridad habilitada. 4755 Se ha modificado un grupo universal con seguridad habilitada. RIOS ALEGRE, VICTOR HUGO Página 3
4756 Se ha agregado un miembro a un grupo universal con seguridad habilitada. 4757 Se ha quitado un miembro de un grupo universal con seguridad habilitada. 4758 Se ha eliminado un grupo universal con seguridad habilitada. 4764 Tipo de grupo se ha cambiado. Subcategoría: Administración de cuentas de usuario ID. Mensaje 4720 Se ha creado una cuenta de usuario. 4722 Se habilitó una cuenta de usuario. 4723 Se ha intentado cambiar la contraseña de cuenta. 4724 Se ha intentado restablecer la contraseña de cuenta. 4725 Se ha deshabilitado una cuenta de usuario. 4726 Se ha eliminado una cuenta de usuario. 4738 Se ha modificado una cuenta de usuario. 4740 Se ha bloqueado una cuenta de usuario. 4765 SID History se ha agregado a una cuenta. 4766 Error al intentar agregar SID History a una cuenta. 4767 Se ha desbloqueado una cuenta de usuario. La ACL se ha establecido en las cuentas que son miembros de grupos de 4780 administradores. 4781 Se cambió el nombre de una cuenta: 4794 Se ha intentado establecer el modo de restauración de servicios de directorio. 5376 Las credenciales de administrador de credenciales realizó la copia. Las credenciales de administrador de credenciales se restauran desde una copia de 5377 seguridad. Categoría: Realizar un seguimiento detallado Subcategoría: Actividad DPAPI ID. Mensaje Se ha intentado efectuar copia de seguridad de clave de sesión de protección de 4692 datos. 4693 Se ha intentado iniciar la recuperación de clave de sesión de protección de datos. 4694 Se intentó realizar la protección de datos protegidos auditables. 4695 Se intentó realizar la desprotección de los datos protegidos auditables. Subcategoría: La creación del proceso ID. Mensaje 4688 Se ha creado un nuevo proceso. 4696 Un símbolo (token) primario se ha asignado al proceso. Subcategoría: Finalización del proceso ID. Mensaje RIOS ALEGRE, VICTOR HUGO Página 4
4689 Un proceso ha terminado. Subcategoría: Eventos RPC ID. Mensaje 5712 Se intentó realizar una llamada a procedimiento remoto (RPC). Categoría: Acceso DS Subcategoría: Replicación del servicio de directorio detallada ID. Mensaje Se ha establecido un contexto de nomenclatura de la fuente de réplica de Active 4928 Directory. Se ha quitado un contexto de nomenclatura de la fuente de réplica de Active 4929 Directory. Se modificó un contexto de nomenclatura de la fuente de réplica de Active 4930 Directory. 4931 Se modificó un contexto de nombres de destino de réplica de Active Directory. 4934 Se han replicado los atributos de un objeto de Active Directory. 4935 Error de replicación se inicia. 4936 Errores de replicación de los extremos. 4937 Un objeto persistente se ha quitado una réplica. Subcategoría: Acceso al servicio de directorio ID. Mensaje 4662 Se realizó una operación en un objeto. Subcategoría: Los cambios de servicio de directorio ID. Mensaje 5136 Se modificó un objeto de servicio de directorio. 5137 Se creó un objeto de servicio de directorio. 5138 No se ha borrado un objeto de servicio de directorio. 5139 Se ha movido un objeto de servicio de directorio. 5141 Se ha eliminado un objeto de servicio de directorio. Subcategoría: Replicación del servicio de directorio ID. Mensaje Ha comenzado la sincronización de una réplica de un contexto de nomenclatura de 4932 Active Directory. Ha finalizado la sincronización de una réplica de un contexto de nomenclatura de 4933 Active Directory. Categoría: Inicio de sesión/cierre de sesión RIOS ALEGRE, VICTOR HUGO Página 5
Subcategoría: Modo extendido de IPsec ID. Mensaje Durante la negociación de modo extendido, IPsec ha recibido un paquete de 4978 negociación no válido. Si el problema persiste, puede indicar un problema de red o un intento de modificar o volver a reproducir esta negociación. Se han establecido de modo principal IPsec y las asociaciones de seguridad de 4979 modo extendido. Se han establecido de modo principal IPsec y las asociaciones de seguridad de 4980 modo extendido. Se han establecido de modo principal IPsec y las asociaciones de seguridad de 4981 modo extendido. Se han establecido de modo principal IPsec y las asociaciones de seguridad de 4982 modo extendido. Una IPsec extiende la negociación de modo no se pudo. Se eliminó la asociación 4983 de seguridad de modo principal correspondiente. Una IPsec extiende la negociación de modo no se pudo. Se eliminó la asociación 4984 de seguridad de modo principal correspondiente. Subcategoría: Modo de principal de IPsec ID. Mensaje 4646 Iniciada el modo de prevención de denegación de servicio de IKE. Se ha establecido una asociación de seguridad de modo principal IPsec. No se 4650 habilitó el modo extendido. No se utilizó la autenticación de certificado. Se ha establecido una asociación de seguridad de modo principal IPsec. No se 4651 habilitó el modo extendido. Un certificado se utiliza para la autenticación. 4652 Error en una negociación de modo principal IPsec. 4653 Error en una negociación de modo principal IPsec. 4655 Una asociación de seguridad de IPsec de modo principal finalizó. Durante la negociación de modo principal IPsec recibió un paquete de negociación 4976 no válido. Si el problema persiste, puede indicar un problema de red o un intento de modificar o volver a reproducir esta negociación. 5049 Se ha eliminado una asociación de seguridad de IPsec. Agente de directivas IPsec aplica Directiva de IPsec de almacenamiento de 5453 información de Active Directory en el equipo. Subcategoría: Modo rápido de IPsec ID. Mensaje 4654 Error en una negociación de modo rápido IPsec. Durante la negociación de modo rápido, IPsec ha recibido un paquete de 4977 negociación no válido. Si el problema persiste, puede indicar un problema de red o un intento de modificar o volver a reproducir esta negociación. 5451 Se ha establecido una asociación de seguridad de modo rápido IPsec. 5452 Una asociación de seguridad de IPsec de modo rápido finalizado. Subcategoría: cierre de sesión RIOS ALEGRE, VICTOR HUGO Página 6
ID. Mensaje 4634 Una cuenta se ha cerrado la sesión. 4647 Cierre de sesión iniciada por el usuario. Subcategoría: inicio de sesión ID. Mensaje 4624 Una cuenta se ha iniciado una sesión. 4625 No se pudo iniciar sesión una cuenta. 4648 Se ha intentado efectuar un inicio de sesión mediante credenciales explícitas. 4675 Se han filtrado los SID. Subcategoría: Servidor de directivas de red ID. Mensaje 6272 Servidor de directivas de red había concedido acceso a un usuario. 6273 Servidor de directivas de red había denegado el acceso a un usuario. 6274 Servidor de directivas de red descarta la solicitud de un usuario. Servidor de directivas de red descarta la solicitud de administración de cuentas 6275 para un usuario. 6276 Servidor de directivas de red en cuarentena a un usuario. Servidor de directivas de red había concedido acceso a un usuario pero colocar en 6277 período de prueba porque el host no cumplía con la directiva de mantenimiento definidas. Servidor de directivas de red acceso completo a un usuario debido a que el host 6278 cumple la directiva de mantenimiento definidas. Servidor de directivas de red había bloqueada la cuenta de usuario debido a 6279 intentos erróneos de autenticación repetidas. 6280 Servidor de directivas de red desbloquear la cuenta de usuario. Subcategoría: Otros eventos de inicio de sesión/cierre de sesión ID. Mensaje 4649 Se detectó un ataque de reproducción. 4778 Se volvió a conectar una sesión a una estación de ventana. 4779 Se ha desconectado una sesión desde una estación de ventana. 4800 Se bloqueó la estación de trabajo. 4801 La estación de trabajo se ha desbloqueado. 4802 Se ha invocado el protector de pantalla. 4803 Se cerró el protector de pantalla. 5378 La delegación de credenciales solicitado no se ha permitido por la directiva. 5632 Se realizó una solicitud para autenticar a una red inalámbrica. 5633 Se realizó una solicitud para autenticarse en una red con cable. Subcategoría: Inicio de sesión especial ID. Mensaje RIOS ALEGRE, VICTOR HUGO Página 7
4964 Grupos especiales se han asignado a un nuevo inicio de sesión. Categoría: El acceso a objetos Subcategoría: Aplicación generada ID. Mensaje 4665 Se ha intentado crear un contexto de cliente de aplicación. 4666 Una aplicación intentó una operación: 4667 Se ha eliminado un contexto de cliente de aplicación. 4668 Una aplicación se puede inicializar. Subcategoría: Servicios de certificación ID. Mensaje El Administrador de certificados ha denegado una petición de certificado 4868 pendiente. 4869 Servicios de Certificate Server recibieron una solicitud de certificado reenviada. 4870 Servicios de Certificate Server revocan un certificado. Servicios de Certificate Server recibieron una solicitud para publicar la lista de 4871 revocación de certificados (CRL). Servicios de Certificate Server publican la lista de revocación de certificados 4872 (CRL). 4873 Puede cambiar una extensión de solicitud de certificado. 4874 Puede cambiar los atributos de solicitud de certificado. 4875 Servicios de Certificate Server recibieron una solicitud para apagar. 4876 Inicia la copia de seguridad de servicios de certificado. 4877 Certificado de copia de seguridad de servicios realizada. 4878 Inició la restauración de servicios de certificado. 4879 Completada la restauración de servicios Certificate Server. 4880 Inician servicios de Certificate Server. 4881 Detienen servicios de Certificate Server. 4882 Puede cambiar los permisos de seguridad para servicios de Certificate Server. 4883 Servicios de Certificate Server recuperaron una clave archivada. 4884 Servicios de Certificate Server importaron un certificado a su base de datos. 4885 Puede cambiar el filtro de auditoría para servicios de Certificate Server. 4886 Servicios de Certificate Server recibieron una solicitud de certificado. Servicios de Certificate Server aprobó una solicitud de certificado y emitió un 4887 certificado. 4888 Servicios de Certificate Server ha denegado una petición de certificado. Servicios de Certificate Server sea el estado de una solicitud de certificado 4889 pendiente. Puede cambiar la configuración del Administrador de certificados para servicios 4890 de Certificate Server. 4891 Una entrada de configuración puede cambiada en servicios de Certificate Server. 4892 Cambia una propiedad de servicios de Certificate Server. RIOS ALEGRE, VICTOR HUGO Página 8
4893 Servicios de Certificate Server archivan una clave. 4894 Servicios de Certificate Server importaron y archivaron una clave. Servicios de Certificate Server publican el certificado de entidad emisora de 4895 certificados en servicios de dominio de Active Directory. 4896 Se eliminaron una o varias filas de la base de datos de certificado. 4897 Función de separación habilitada: 4898 Servicios de Certificate Server cargan una plantilla. 4899 Se actualizó una plantilla de servicios de Certificate Server. 4900 Seguridad de plantillas de servicios de certificado se ha actualizado. 5120 Se inició el servicio de Respondedor OCSP. 5121 Detener el servicio de Respondedor OCSP. Una entrada de configuración puede cambiada en el servicio de Respondedor de 5122 OCSP. Una entrada de configuración puede cambiada en el servicio de Respondedor de 5123 OCSP. 5124 Una configuración de seguridad se actualizó de servicio de Respondedor de OCSP. 5125 Se envió una solicitud al servicio de Respondedor de OCSP. Certificado de firma se actualizó automáticamente por el servicio de Respondedor 5126 de OCSP. El proveedor de revocación de OCSP había actualizado correctamente la 5127 información de revocación. Subcategoría: Recurso compartido de archivos detallados ID. Mensaje Un objeto de recurso compartido de red se comprueba para ver si se puede 5145 conceder el cliente desea acceso. Subcategoría: Recurso compartido de archivos ID. Mensaje 5140 Se tiene acceso a un objeto de recurso compartido de red. 5142 Se ha agregado un objeto de recurso compartido de red. 5143 Se modificó un objeto de recurso compartido de red. 5144 Se ha eliminado un objeto de recurso compartido de red. 5168 Comprobación de SPN de SMB/SMB2 falló. Subcategoría: Sistema de archivos ID. Mensaje 4664 Se ha intentado crear un vínculo físico. 4985 El estado de una transacción ha cambiado. 5051 para Un archivo fue una solución virtualizado. Subcategoría: Conexión de FilteringPlatform ID. Mensaje RIOS ALEGRE, VICTOR HUGO Página 9
El servicio de Firewall de Windows bloquea una aplicación acepte conexiones 5031 entrantes en la red. La plataforma de filtrado de Windows ha detectado un ataque de denegación de 5148 en servicio y entrado en un modo defensivo; se descartarán los paquetes asociados caja con este ataque. El ataque de denegación de servicio se haya eliminado y se está reanudando el 5149 procesamiento normal. 5150 La plataforma de filtrado de Windows ha bloqueado un paquete. Un filtro más restrictivo de plataforma de filtrado de Windows ha bloqueado un 5151 paquete. Windows FilteringPlatform haya permitido que una aplicación o servicio para 5154 escuchar en un puerto para las conexiones entrantes. La plataforma de filtrado de Windows ha bloqueado una aplicación o un 5155 servicio de escucha en un puerto para las conexiones entrantes. 5156 Windows FilteringPlatform haya permitido que una conexión. 5157 La plataforma de filtrado de Windows ha bloqueado una conexión. 5158 Windows FilteringPlatform haya permitido que un enlace a un puerto local. La plataforma de filtrado de Windows ha bloqueado un enlace a un puerto 5159 local. Subcategoría: Colocación de paquetes de plataforma de filtrado ID. Mensaje 5152 La plataforma de filtrado de Windows ha bloqueado un paquete. Un filtro más restrictivo de plataforma de filtrado de Windows ha bloqueado un 5153 paquete. Subcategoría: Identificador de manipulación ID. Mensaje 4656 Se ha solicitado un identificador para un objeto. 4658 Se ha cerrado el identificador para un objeto. 4690 Se intentó duplicar un controlador a un objeto. Subcategoría: Otros eventos de acceso de objeto ID. Mensaje 4671 Una aplicación intentó obtener acceso a un ordinal bloqueado a través de TBS. 4691 Se ha solicitado acceso indirecto a un objeto. 4698 Se creó una tarea programada. 4699 Se ha eliminado una tarea programada. 4700 Se habilitó una tarea programada. 4701 Se ha deshabilitado una tarea programada. 4702 Se ha actualizado una tarea programada. 4702 Se ha actualizado una tarea programada. 5888 Ha modificado un objeto en el catálogo COM +. 5889 Un objeto se ha eliminado del catálogo de COM +. RIOS ALEGRE, VICTOR HUGO Página 10
5890 Se agregó un objeto en el catálogo COM +. Subcategoría: registro ID. Mensaje 4657 Un valor del registro se modificó. 5039 Una clave del registro se virtualiza. Subcategoría: subcategoría varios uso especial Nota El siguiente suceso puede generarse mediante algún administrador de recursos cuando se habilita la subcategoría. Por ejemplo, el suceso siguiente puede generarse por el Administrador de recursos del registro o por el Administrador de recursos de sistema de archivos. El el acceso a objetos: objeto de Kernel y el acceso a objetos: SAM subcategorías son ejemplos de las subcategorías que utilizar estos eventos de forma exclusiva. ID. Mensaje 4659 Se ha solicitado un identificador para un objeto con la intención de eliminar. 4660 Se ha eliminado un objeto. 4661 Se ha solicitado un identificador para un objeto. 4663 Se ha intentado tener acceso a un objeto. Categoría: Cambio de directiva Subcategoría: Cambio de directiva de auditoría ID. Mensaje 4715 Se ha cambiado la directiva de auditoría (SACL) en un objeto. 4719 Se ha cambiado la directiva de auditoría del sistema. 4817 Se han cambiado la configuración de auditoría en un objeto. 4902 Se creó la tabla de normas de auditoría por usuario. 4904 Se ha intentado registrar un origen de eventos de seguridad. 4905 Se ha intentado anular el registro de un origen de eventos de seguridad. 4906 El valor de CrashOnAuditFail ha cambiado. 4907 Se han cambiado la configuración de auditoría en objeto. 4908 Tabla de grupos de inicio de sesión especial por última vez. 4912 Se ha cambiado por directiva de auditoría de usuario. Subcategoría: Cambio de directiva de autenticación ID. Mensaje 4706 Se creó una nueva confianza a un dominio. 4707 Se ha quitado una confianza a un dominio. 4713 Se ha cambiado la directiva Kerberos. 4716 Se ha modificado la información de dominio de confianza. 4717 Se ha concedido acceso al sistema de seguridad a una cuenta. 4718 Acceso al sistema de seguridad se ha quitado una cuenta. RIOS ALEGRE, VICTOR HUGO Página 11
4739 Se ha cambiado la directiva de dominio. 4864 Se ha detectado una colisión de espacio de nombres. 4865 Se ha agregado una entrada de información de bosque de confianza. 4866 Se quitó una entrada de información de bosque de confianza. 4867 Se modificó una entrada de información de bosque de confianza. Subcategoría: Cambio de directiva de autorización ID. Mensaje 4704 Se asignó un derecho de usuario. 4705 Se ha quitado un derecho de usuario. Directiva de grupo de agente de recuperación de datos para el sistema de archivos 4714 cifrados (EFS) ha cambiado. Se han aplicado los cambios nuevos. Subcategoría: Cambio de FilteringPlatform directiva ID. Mensaje 4709 Se inició el servicio de agente de directivas IPsec. 4710 Se deshabilitó el servicio de agente de directivas IPsec. Puede contener cualquiera de estos procedimientos: El motor PAStore aplicó copia en caché local de la directiva IPsec de almacenamiento de Active Directory en el equipo. El motor PAStore aplicó la directiva IPsec de almacenamiento de información de Active Directory en el equipo. El motor PAStore aplicó la directiva IPsec de almacenamiento de información de registro local en el equipo. Error del motor PAStore al aplicar copia en caché local de la directiva IPsec de almacenamiento de Active Directory en el equipo. Error del motor PAStore al aplicar directiva IPsec de almacenamiento de Active Directory en el equipo. Error del motor PAStore al aplicar directiva IPsec de almacenamiento del 4711 registro local en el equipo. Error del motor PAStore al aplicar algunas reglas de la directiva IPsec activa en el equipo. Error del motor PAStore al cargar directiva de IPsec en el equipo de almacenamiento de información de directorio. El motor PAStore cargó directiva de IPsec en el equipo de almacenamiento de información de directorio. Error del motor PAStore al cargar directiva de IPsec en el equipo de almacenamiento local. El motor PAStore cargó almacenamiento local de directiva de IPsec en el equipo. El motor PAStore realizó un sondeo de cambios en la directiva IPsec activa y no detectó ningún cambio. 4712 Agente de directivas IPsec ha encontrado un error potencialmente grave. Se ha modificado la configuración IPsec. Se ha agregado un conjunto de 5040 autenticación. RIOS ALEGRE, VICTOR HUGO Página 12
Se ha modificado la configuración IPsec. Se modificó un conjunto de 5041 autenticación. Se ha modificado la configuración IPsec. Se ha eliminado un conjunto de 5042 autenticación. Se ha modificado la configuración IPsec. Se ha agregado una regla de seguridad de 5043 conexión. Se ha modificado la configuración IPsec. Se ha modificado una regla de seguridad 5044 de conexión. Se ha modificado la configuración IPsec. Se ha eliminado una regla de seguridad 5045 de conexión. 5046 Se ha modificado la configuración IPsec. Se ha agregado un conjunto de cifrado. 5047 Se ha modificado la configuración IPsec. Se modificó un conjunto de cifrado. 5048 Se ha modificado la configuración IPsec. Se ha eliminado un conjunto de cifrado. La siguiente llamada estaba presente cuando se ha iniciado la plataforma de 5440 filtrado de Windows motor de filtrado de Base. El siguiente filtro estaba presente cuando se ha iniciado la plataforma de filtrado 5441 de Windows motor de filtrado de Base. El proveedor de la siguiente estaba presente cuando se ha iniciado la plataforma de 5442 filtrado de Windows motor de filtrado de Base. El contexto de proveedor siguiente estaba presente cuando se ha iniciado la 5443 plataforma de filtrado de Windows motor de filtrado de Base. La subcapa siguiente estaba presente cuando se ha iniciado la plataforma de 5444 filtrado de Windows motor de filtrado de Base. 5446 Se ha cambiado una llamada de Windows FilteringPlatform. 5448 Se ha cambiado un proveedor de Windows FilteringPlatform. 5449 Ha cambiado un contexto de proveedor Windows FilteringPlatform. 5450 Se ha cambiado una subcapa de Windows FilteringPlatform. El motor PAStore aplicó la directiva IPsec de almacenamiento de información de 5456 Active Directory en el equipo. Agente de directivas IPsec no se pudo aplicar la directiva IPsec de 5457 almacenamiento de información de Active Directory en el equipo. Aplicar localmente el agente de directivas de IPsec copia de la directiva de IPsec 5458 en el equipo de almacenamiento de Active Directory almacenada en caché. Agente de directivas IPsec no se pudo aplicar la copia en caché local de la 5459 directiva IPsec de almacenamiento de Active Directory en el equipo. Agente de directivas IPsec aplica la directiva IPsec de almacenamiento de 5460 información de registro local en el equipo. Agente de directivas IPsec no se pudo aplicar la directiva IPsec de 5461 almacenamiento de información de registro local en el equipo. Agente de directivas IPsec no se pudo aplicar algunas reglas de la directiva IPsec 5462 activa en el equipo. Utilice el complemento Monitor de seguridad IP para diagnosticar el problema. Agente de directivas IPsec sondeo de cambios en la directiva IPsec activa y no 5463 detectó ningún cambio. Agente de directivas IPsec sondeo de cambios en la directiva IPsec activa, detectó 5464 cambios y aplicado el usuario. 5465 Agente de directivas IPsec recibió un control para la recarga forzada de directiva RIOS ALEGRE, VICTOR HUGO Página 13
IPsec y procesó el control correctamente. Agente de directivas IPsec un sondeo de cambios en la directiva IPsec de Active Directory, determinada que no se puede conectar Active Directory y utilizará la 5466 copia en caché de la directiva IPsec de Active Directory en su lugar. Los cambios realizados en la directiva IPsec de Active Directory ya que no se pudo aplicar el último sondeo. Agente de directivas IPsec un sondeo de cambios en la directiva IPsec de Active Directory, determinada que Active Directory puede ser alcanzado y no encontró 5467 cambios en la directiva. No seque se utiliza la copia en caché de la directiva IPsec de Active Directory. Sondeo de cambios en la directiva IPsec de Active Directory, el agente de directivas de IPsec determina que Active Directory se puede alcanzar, encontró 5468 cambios en la directiva y aplicar esos cambios. No seque se utiliza la copia en caché de la directiva IPsec de Active Directory. Agente de directivas IPsec carga almacenamiento local de directiva de IPsec en el 5471 equipo. Agente de directivas IPsec no se pudo cargar directiva de IPsec en el equipo de 5472 almacenamiento local. Agente de directivas IPsec carga directiva de IPsec en el equipo de 5473 almacenamiento de información de directorio. Agente de directivas IPsec no se pudo cargar directiva de IPsec en el equipo de 5474 almacenamiento de información de directorio. 5477 Agente de directivas IPsec no se pudo agregar el filtro de modo rápido. Subcategoría: Cambio de directiva de nivel de reglas MPSSVC ID. Mensaje La siguiente directiva de estaba activa cuando se inició el servidor de seguridad de 4944 Windows. 4945 Una regla se mostró cuando inicia el servidor de seguridad de Windows. Se realiza un cambio en la lista de excepciones de Firewall de Windows. Se ha 4946 agregado una regla. Se realiza un cambio en la lista de excepciones de Firewall de Windows. Se ha 4947 modificado una regla. Se realiza un cambio en la lista de excepciones de Firewall de Windows. Se ha 4948 eliminado una regla. 4949 Configuración de Firewall de Windows se restauró a los valores predeterminados. 4950 Se ha cambiado una configuración de Firewall de Windows. Firewall de Windows pasa por alto una regla debido a que no se reconoce su 4951 número de versión principal. Firewall de Windows pasa por alto las partes de una regla debido a que no se 4952 reconoce su número de versión secundaria. Otras partes de la regla se aplicará. 4953 Firewall de Windows pasa por alto una regla debido a que no se hubiera analizado. Configuración de directiva de grupo para Firewall de Windows se han cambiado y 4954 se han aplicado la nueva configuración. 4956 Firewall de Windows puede cambiar el perfil activo. 4957 Firewall de Windows no aplicó la siguiente regla: 4958 Firewall de Windows no aplicó la siguiente regla porque la regla que se refiere a RIOS ALEGRE, VICTOR HUGO Página 14
los elementos no configurados en este equipo: Se rechazó un intento de deshabilitar Firewall de Windows mediante una llamada a INetFwProfile.FirewallEnabled(FALSE) interfaz mediante programación porque esta API no es compatible con esta versión de Windows. Esto suele deberse a un 5050 programa que no es compatible con esta versión de Windows. Por favor, póngase en contacto con el fabricante del programa para asegurarse de que tiene una versión de programa compatible. Subcategoría: Otros eventos de cambio de directiva ID. Mensaje 4909 Se han cambiado la configuración de directiva local para el TBS. 4910 Se han cambiado la configuración de directiva de grupo para el TBS. 5063 Se intentó una operación de proveedor de servicios criptográficos. 5064 Se intentó una operación de contexto de cifrado. 5065 Se ha intentado efectuar una modificación de contexto de cifrado. 5066 Se intentó una operación de función criptográfica. 5067 Se ha intentado efectuar una modificación de la función criptográfica. 5068 Se intentó una operación de proveedor de función criptográfica. 5069 Se intentó una operación de propiedad de función criptográfica. Se ha intentado efectuar una modificación de la propiedad de función 5070 criptográfica. 5447 Ha cambiado un filtro de Windows FilteringPlatform. Directiva de seguridad en los objetos de directiva de grupo se ha aplicado 6144 correctamente. Se ha producido uno o más errores al procesar la directiva de seguridad en los 6145 objetos de directiva de grupo. Subcategoría: subcategoría varios uso especial Nota El siguiente suceso puede generarse mediante algún administrador de recursos cuando se habilita la subcategoría. Por ejemplo, el suceso siguiente puede generarse por el Administrador de recursos del registro o por el Administrador de recursos de sistema de archivos. ID. Mensaje 4670 Se cambiaron los permisos en un objeto. Categoría: El uso de privilegios Subcategoría: Uso de privilegios entre mayúsculas y minúsculas y el uso de privilegios no es de vital importancia ID. Mensaje 4672 Privilegios especiales asignados al nuevo inicio de sesión. 4673 Se llama a un servicio con privilegios. 4674 Se intentó una operación en un objeto con privilegios. RIOS ALEGRE, VICTOR HUGO Página 15
Categoría: sistema Subcategoría: Controlador de IPsec ID. Mensaje IPsec descartó un paquete de entrada que no se pudo una comprobación de integridad. Si el problema persiste, eso podría significar que un problema de red o que los paquetes se están modificando en tránsito a este equipo. Compruebe que 4960 los paquetes enviados desde el equipo remoto son las mismas que las recibidas por este equipo. Este error también puede indicar problemas de interoperabilidad con otras implementaciones de IPsec. IPsec descartó un paquete de entrada que no se pudo una comprobación de la 4961 reproducción. Si el problema persiste, podría indicar un ataque de reproducción con respecto a este equipo. IPsec descartó un paquete de entrada que no se pudo una comprobación de la 4962 reproducción. El paquete de entrada tenía un número demasiado bajo secuencia para asegurarse de no era una repetición. IPsec descartó un paquete de entrada de texto sin cifrar que debía haberse establecido. Si el equipo remoto está configurado con una directiva de solicitud 4963 saliente IPsec, podría resultar benignos y esperadas. También puede deberse a que éste remoto cambiando su directiva IPsec sin que le informa de este equipo. Esto también podría ser un intento de ataque de suplantación de identidad. IPsec ha recibido un paquete desde un equipo remoto con un índice de parámetro de seguridad (SPI) incorrecto. Normalmente, se debe a hardware defectuoso que se está dañando paquetes. Si los errores persisten, compruebe que los paquetes 4965 enviados desde el equipo remoto son las mismas que las recibidas por este equipo. Este error también puede indicar problemas de interoperabilidad con otras implementaciones de IPsec. En ese caso, si no se impide la conectividad, pueden ignorar estos eventos. 5478 Se inició el servicio de agente de directivas IPsec. Servicios IPsec se cerró correctamente. El cierre de los servicios IPsec puede 5479 suponer un mayor riesgo de ataque de red o el equipo expuesto a posibles riesgos de seguridad. Agente de directivas IPsec no se pudo obtener la lista completa de interfaces de red en el equipo. Esto supone un riesgo de seguridad ya que algunas de las 5480 interfaces de red pueden no obtener la protección proporcionada por los filtros IPsec aplicados. Utilice el complemento Monitor de seguridad IP para diagnosticar el problema. El servicio de agente de directivas IPsec no se pudo inicializar su servidor RPC. 5483 No se pudo iniciar el servicio. El servicio de agente de directivas IPsec un error grave y se ha cerrado. El cierre 5484 de este servicio puede suponer un mayor riesgo de ataque de red o el equipo expuesto a posibles riesgos de seguridad. Agente de directivas IPsec no pudo procesar algunos filtros IPsec en un evento de plug-and-play para interfaces de red. Esto supone un riesgo de seguridad ya que 5485 algunas de las interfaces de red pueden no obtener la protección proporcionada por los filtros IPsec aplicados. Utilice el complemento Monitor de seguridad IP para diagnosticar el problema. RIOS ALEGRE, VICTOR HUGO Página 16
Subcategoría: Otros eventos del sistema ID. Mensaje 5024 El servicio de Firewall de Windows se inició correctamente. 5025 Se detuvo el servicio de Firewall de Windows. El servicio de Firewall de Windows no pudo recuperar la directiva de seguridad 5027 desde el almacenamiento local. Firewall de Windows seguirá aplicando la directiva actual. Firewall de Windows no pudo analizar la nueva directiva de seguridad. Firewall de 5028 Windows seguirá aplicando la directiva actual. El servicio de Firewall de Windows no pudo inicializar el controlador. Firewall de 5029 Windows seguirá aplicando la directiva actual. 5030 No se pudo iniciar el servicio de Firewall de Windows. Firewall de Windows no puede notificar al usuario que ha bloqueado una 5032 aplicación acepte conexiones entrantes en la red. 5033 El controlador de servidor de seguridad de Windows se inició correctamente. 5034 Se ha detenido el controlador de servidor de seguridad de Windows. 5035 No se pudo iniciar el controlador de servidor de seguridad de Windows. El controlador de servidor de seguridad de Windows detectó un error en tiempo de 5037 ejecución críticos, terminar. 5058 Operación de archivo de clave. 5059 Operación de principales de la migración. BranchCache: Ha recibido una respuesta con formato incorrecto durante el 6400 descubrimiento de disponibilidad del contenido. BranchCache: Recibido datos no válidos de un elemento del mismo nivel. Se 6401 descartaron datos. BranchCache: La memoria caché hospedada envió una respuesta con formato 6403 incorrecto al cliente. BranchCache: Memoria caché hospedada no se puede autenticar con el certificado 6404 SSL con provisioning. 6405 BranchCache: se ha producido todas las instancias de %2 de id. de suceso %1. puede registrar %1 a Firewall de Windows al control de filtrado para lo siguiente: 6406 %2 6407 % 1 Subcategoría: Cambio de estado de seguridad ID. Mensaje 4608 Windows se está iniciando. 4616 Se cambió la hora del sistema. Administrador recuperado del sistema de CrashOnAuditFail. Los usuarios que no 4621 son administradores ahora permitirá iniciar sesión. Es posible que no se han registrado algunas actividades auditables. Subcategoría: Extensión de sistema de seguridad ID. Mensaje RIOS ALEGRE, VICTOR HUGO Página 17
4610 La autoridad de seguridad Local ha cargado un paquete de autenticación. Un proceso de inicio de sesión confiable se registró con la autoridad de seguridad 4611 Local. Un paquete de notificación se ha cargado por el Administrador de cuentas de 4614 seguridad. 4622 La autoridad de seguridad Local ha cargado un paquete de seguridad. 4697 Un servicio se instaló en el sistema. Subcategoría: Integridad del sistema ID. Mensaje Se han agotado los recursos internos asignados para la puesta en cola de mensajes 4612 de auditoría, provocando la pérdida de algunas auditorías. 4615 Uso no válido de puerto LPC. 4618 Se ha producido un modelo de eventos de seguridad supervisados. 4816 RPC ha detectado una infracción de integridad al descifrar un mensaje entrante. Integridad de código determinó que el valor de hash de imagen de un archivo no es 5038 válido. El archivo podría estar dañado debido a la modificación no autorizada o el valor de hash no válido podría indicar un posible problema de dispositivo de disco. 5056 Se realizó una prueba criptográfica. 5057 Error en una operación primitiva criptográfica. 5060 Error en la operación de verificación. 5061 Operación criptográfica. Se ha realizado un cifrado de que pruebas automáticas de encendido en modo de 5062 núcleo. Integridad de código determinó que los valores de hash de la página de un archivo de imagen no son válidos. El archivo se pudo convertir incorrectamente con signo 6281 sin los hash de página o está dañado debido a la modificación no autorizada. Los valores de hash no válidos podrían indicar un posible problema de dispositivo de disco NOTA:http://support.microsoft.com/kb/977519/es RIOS ALEGRE, VICTOR HUGO Página 18

Recomendados

ID DE EVENTO-AUDITORIA EXPOSICIÓN
ID DE EVENTO-AUDITORIA EXPOSICIÓNID DE EVENTO-AUDITORIA EXPOSICIÓN
ID DE EVENTO-AUDITORIA EXPOSICIÓN
JordyArce Vilchez T
 
Id de eventos de auditorias
Id de eventos de auditoriasId de eventos de auditorias
Id de eventos de auditoriasPercy Quintanilla
 
EVENTOS DE AUDITORIA
EVENTOS DE AUDITORIAEVENTOS DE AUDITORIA
EVENTOS DE AUDITORIASaul Curitomay
 
Auditoria juan carlos
Auditoria juan carlosAuditoria juan carlos
Auditoria juan carlosJuancito Rock
 
Controles iso27002 2005
Controles iso27002 2005Controles iso27002 2005
Controles iso27002 2005
Jhon Fredy Salazar
 
Auditoria-Vilchez Tixe J.
Auditoria-Vilchez Tixe J.Auditoria-Vilchez Tixe J.
Auditoria-Vilchez Tixe J.JordyArce Vilchez T
 
Descripción de los eventos de Auditoría y Terminal Services
Descripción de los eventos de Auditoría y Terminal ServicesDescripción de los eventos de Auditoría y Terminal Services
Descripción de los eventos de Auditoría y Terminal ServicesLarry Ruiz Barcayola
 
Administración de configuraciones de seguridad en windows server con group po...
Administración de configuraciones de seguridad en windows server con group po...Administración de configuraciones de seguridad en windows server con group po...
Administración de configuraciones de seguridad en windows server con group po...Miguel de la Cruz
 

Recomendados

ID DE EVENTO-AUDITORIA EXPOSICIÓN
ID DE EVENTO-AUDITORIA EXPOSICIÓNID DE EVENTO-AUDITORIA EXPOSICIÓN
ID DE EVENTO-AUDITORIA EXPOSICIÓN
JordyArce Vilchez T
 
Id de eventos de auditorias
Id de eventos de auditoriasId de eventos de auditorias
Id de eventos de auditoriasPercy Quintanilla
 
EVENTOS DE AUDITORIA
EVENTOS DE AUDITORIAEVENTOS DE AUDITORIA
EVENTOS DE AUDITORIASaul Curitomay
 
Auditoria juan carlos
Auditoria juan carlosAuditoria juan carlos
Auditoria juan carlosJuancito Rock
 
Controles iso27002 2005
Controles iso27002 2005Controles iso27002 2005
Controles iso27002 2005
Jhon Fredy Salazar
 
Auditoria-Vilchez Tixe J.
Auditoria-Vilchez Tixe J.Auditoria-Vilchez Tixe J.
Auditoria-Vilchez Tixe J.JordyArce Vilchez T
 
Descripción de los eventos de Auditoría y Terminal Services
Descripción de los eventos de Auditoría y Terminal ServicesDescripción de los eventos de Auditoría y Terminal Services
Descripción de los eventos de Auditoría y Terminal ServicesLarry Ruiz Barcayola
 
Administración de configuraciones de seguridad en windows server con group po...
Administración de configuraciones de seguridad en windows server con group po...Administración de configuraciones de seguridad en windows server con group po...
Administración de configuraciones de seguridad en windows server con group po...Miguel de la Cruz
 
S8-SCPC.pptx
S8-SCPC.pptxS8-SCPC.pptx
S8-SCPC.pptx
Luis Fernando Aguas Bucheli
 
Certificados Cacert
Certificados CacertCertificados Cacert
Certificados Cacert
Kevin MH
 
Modelo de Seguridad en MS Dynamics 365 for Operations
Modelo de Seguridad en MS Dynamics 365 for OperationsModelo de Seguridad en MS Dynamics 365 for Operations
Modelo de Seguridad en MS Dynamics 365 for Operations
Juan Fabian
 
Active directory
Active directoryActive directory
Active directory
detorres05
 
[2020] OSINTCity - Ciberinteligencia: Surface Crawling - Ivan Portillo y Gonz...
[2020] OSINTCity - Ciberinteligencia: Surface Crawling - Ivan Portillo y Gonz...[2020] OSINTCity - Ciberinteligencia: Surface Crawling - Ivan Portillo y Gonz...
[2020] OSINTCity - Ciberinteligencia: Surface Crawling - Ivan Portillo y Gonz...
Iván Portillo
 
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosCurso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Gonzalo de la Pedraja
 
2. administracion de la seguridad
2. administracion de la seguridad2. administracion de la seguridad
2. administracion de la seguridadNestor Lopez
 
Manual de instalación de Exchangey tmg 2010
Manual de instalación de Exchangey tmg 2010Manual de instalación de Exchangey tmg 2010
Manual de instalación de Exchangey tmg 2010Hugo Rios
 
Manual de instalación de EXCHANGE y TMG 2010
Manual de instalación de EXCHANGE y TMG 2010Manual de instalación de EXCHANGE y TMG 2010
Manual de instalación de EXCHANGE y TMG 2010Hugo Rios
 
Manual de instalación de EXCHANGE y TMG 2010
Manual de instalación de EXCHANGE y TMG 2010Manual de instalación de EXCHANGE y TMG 2010
Manual de instalación de EXCHANGE y TMG 2010Hugo Rios
 
Forefront TMG 2010
Forefront TMG 2010 Forefront TMG 2010
Forefront TMG 2010 Hugo Rios
 
Presentacion Exchange 2010
Presentacion Exchange 2010Presentacion Exchange 2010
Presentacion Exchange 2010Hugo Rios
 
Exchange server 2010
Exchange server 2010Exchange server 2010
Exchange server 2010Hugo Rios
 
Instalacion de exchange 2010
Instalacion de exchange 2010Instalacion de exchange 2010
Instalacion de exchange 2010Hugo Rios
 
Instalacion de exchange 2010
Instalacion de exchange 2010Instalacion de exchange 2010
Instalacion de exchange 2010Hugo Rios
 

Más contenido relacionado

Similar a Auditoria en la RED

Certificados Cacert
Certificados CacertCertificados Cacert
Certificados Cacert
Kevin MH
 
Modelo de Seguridad en MS Dynamics 365 for Operations
Modelo de Seguridad en MS Dynamics 365 for OperationsModelo de Seguridad en MS Dynamics 365 for Operations
Modelo de Seguridad en MS Dynamics 365 for Operations
Juan Fabian
 
Active directory
Active directoryActive directory
Active directory
detorres05
 
[2020] OSINTCity - Ciberinteligencia: Surface Crawling - Ivan Portillo y Gonz...
[2020] OSINTCity - Ciberinteligencia: Surface Crawling - Ivan Portillo y Gonz...[2020] OSINTCity - Ciberinteligencia: Surface Crawling - Ivan Portillo y Gonz...
[2020] OSINTCity - Ciberinteligencia: Surface Crawling - Ivan Portillo y Gonz...
Iván Portillo
 
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosCurso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Gonzalo de la Pedraja
 
2. administracion de la seguridad
2. administracion de la seguridad2. administracion de la seguridad
2. administracion de la seguridadNestor Lopez
 

Similar a Auditoria en la RED (7)

S8-SCPC.pptx
S8-SCPC.pptxS8-SCPC.pptx
S8-SCPC.pptx
 
Certificados Cacert
Certificados CacertCertificados Cacert
Certificados Cacert
 
Modelo de Seguridad en MS Dynamics 365 for Operations
Modelo de Seguridad en MS Dynamics 365 for OperationsModelo de Seguridad en MS Dynamics 365 for Operations
Modelo de Seguridad en MS Dynamics 365 for Operations
 
Active directory
Active directoryActive directory
Active directory
 
[2020] OSINTCity - Ciberinteligencia: Surface Crawling - Ivan Portillo y Gonz...
[2020] OSINTCity - Ciberinteligencia: Surface Crawling - Ivan Portillo y Gonz...[2020] OSINTCity - Ciberinteligencia: Surface Crawling - Ivan Portillo y Gonz...
[2020] OSINTCity - Ciberinteligencia: Surface Crawling - Ivan Portillo y Gonz...
 
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosCurso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
 
2. administracion de la seguridad
2. administracion de la seguridad2. administracion de la seguridad
2. administracion de la seguridad
 

Más de Hugo Rios

Manual de instalación de Exchangey tmg 2010
Manual de instalación de Exchangey tmg 2010Manual de instalación de Exchangey tmg 2010
Manual de instalación de Exchangey tmg 2010Hugo Rios
 
Manual de instalación de EXCHANGE y TMG 2010
Manual de instalación de EXCHANGE y TMG 2010Manual de instalación de EXCHANGE y TMG 2010
Manual de instalación de EXCHANGE y TMG 2010Hugo Rios
 
Manual de instalación de EXCHANGE y TMG 2010
Manual de instalación de EXCHANGE y TMG 2010Manual de instalación de EXCHANGE y TMG 2010
Manual de instalación de EXCHANGE y TMG 2010Hugo Rios
 
Forefront TMG 2010
Forefront TMG 2010 Forefront TMG 2010
Forefront TMG 2010 Hugo Rios
 
Presentacion Exchange 2010
Presentacion Exchange 2010Presentacion Exchange 2010
Presentacion Exchange 2010Hugo Rios
 
Exchange server 2010
Exchange server 2010Exchange server 2010
Exchange server 2010Hugo Rios
 
Instalacion de exchange 2010
Instalacion de exchange 2010Instalacion de exchange 2010
Instalacion de exchange 2010Hugo Rios
 
Instalacion de exchange 2010
Instalacion de exchange 2010Instalacion de exchange 2010
Instalacion de exchange 2010Hugo Rios
 

Más de Hugo Rios (8)

Manual de instalación de Exchangey tmg 2010
Manual de instalación de Exchangey tmg 2010Manual de instalación de Exchangey tmg 2010
Manual de instalación de Exchangey tmg 2010
 
Manual de instalación de EXCHANGE y TMG 2010
Manual de instalación de EXCHANGE y TMG 2010Manual de instalación de EXCHANGE y TMG 2010
Manual de instalación de EXCHANGE y TMG 2010
 
Manual de instalación de EXCHANGE y TMG 2010
Manual de instalación de EXCHANGE y TMG 2010Manual de instalación de EXCHANGE y TMG 2010
Manual de instalación de EXCHANGE y TMG 2010
 
Forefront TMG 2010
Forefront TMG 2010 Forefront TMG 2010
Forefront TMG 2010
 
Presentacion Exchange 2010
Presentacion Exchange 2010Presentacion Exchange 2010
Presentacion Exchange 2010
 
Exchange server 2010
Exchange server 2010Exchange server 2010
Exchange server 2010
 
Instalacion de exchange 2010
Instalacion de exchange 2010Instalacion de exchange 2010
Instalacion de exchange 2010
 
Instalacion de exchange 2010
Instalacion de exchange 2010Instalacion de exchange 2010
Instalacion de exchange 2010
 

Auditoria en la RED

  • 1. 2012 SERVIDOR DE AUDITORIA Ríos Alegre Víctor Hugo
  • 2. 1 AUDITORIA EN LA RED La realización de una auditoria en una red es para poder visualizar el estado de la red, así se evalúa el desempeño y la seguridad con el propósito de una utilización más eficiente y segura de la información empresarial. Las directivas de auditoría determinan los sucesos de seguridad de los que se va a informar al administrador de la red. Razones para configurar una directiva de auditoría: -Realizar el seguimiento del error o no de los sucesos -Minimizar el uso no autorizado de los recursos -Mantener un registro de actividad Una auditoria en una empresa puede evaluar: Estructura física (HARDWARE) Estructura lógica (SOFTWARE) Algunos principales puntos de auditoria en la red: Análisis de vulnerabilidad Plan de contención ante posibles incidentes Seguimiento continúo del desempeño del sistema Configuración de auditoría Auditar sucesos de inicio de sesión de cuenta Auditar la administración de cuentas Auditar el acceso del servicio de directorio Auditar sucesos de inicio de sesión Auditar el acceso a objetos Auditar el cambio de directivas Auditar el uso de privilegios Auditar el seguimiento de procesos Auditar suceso del sistema 1 RIOS ALEGRE, VICTOR HUGO Página 1
  • 3. AUDITORÍA EVENTOS POR CATEGORÍA Y SUBCATEGORÍA. Categoría: Inicio de sesión de cuenta Subcategoría: Validación de credenciales ID. Mensaje 4774 Se ha asignado una cuenta de inicio de sesión. 4775 No se puede asignar una cuenta de inicio de sesión. 4776 El equipo intenta validar las credenciales de una cuenta. 4777 El controlador de dominio no se pudo validar las credenciales de una cuenta. Subcategoría: Servicio de autenticación de Kerberos ID. Mensaje 4768 Se solicitó un vale de autenticación de Kerberos (TGT). 4771 Error en la autenticación previa Kerberos. 4772 Ha fallado una solicitud de vale de autenticación de Kerberos. Subcategoría: Las operaciones de vale de servicio Kerberos ID. Mensaje 4769 Se solicitó un vale de servicio de Kerberos. 4770 Se ha renovado un vale de servicio de Kerberos. 4773 Ha fallado una solicitud de vale de servicio de Kerberos. Categoría: Administración de cuentas Subcategoría: Administración de grupo de aplicaciones ID. Mensaje 4783 Ha creado un grupo de aplicaciones básicas. 4784 Se ha modificado un grupo de aplicaciones básicas. 4785 Se ha agregado un miembro a un grupo de aplicaciones básicas. 4786 Se ha quitado un miembro de un grupo de aplicaciones básicas. 4787 Que no sea miembro se ha agregado a un grupo de aplicaciones básicas. 4788 Se quitó un miembro de un grupo de aplicaciones básicas. 4789 Se ha eliminado un grupo de aplicaciones básicas. 4790 Se ha creado un grupo de consulta LDAP. 4791 Se ha modificado un grupo de aplicaciones básicas. 4792 Se ha eliminado un grupo de consulta LDAP. RIOS ALEGRE, VICTOR HUGO Página 2
  • 4. Subcategoría: Administración de cuentas de equipo ID. Mensaje 4741 Se ha creado una cuenta de equipo. 4742 Se ha modificado una cuenta de equipo. 4743 Se ha eliminado una cuenta de equipo. Subcategoría: Administración de grupo de distribución ID. Mensaje 4744 Ha creado un grupo local con la seguridad deshabilitada. 4745 Ha modificado un grupo local con la seguridad deshabilitada. 4746 Se ha agregado un miembro a un grupo local con la seguridad deshabilitada. 4747 Se ha quitado un miembro de un grupo local con la seguridad deshabilitada. 4748 Se ha eliminado un grupo local con la seguridad deshabilitada. 4749 Se creó un grupo global con la seguridad deshabilitada. 4750 Ha modificado un grupo global con la seguridad deshabilitada. 4751 Se ha agregado un miembro a un grupo global con la seguridad deshabilitada. 4752 Se ha quitado un miembro de un grupo global con la seguridad deshabilitada. 4753 Se ha eliminado un grupo global con la seguridad deshabilitada. 4759 Ha creado un grupo universal con la seguridad deshabilitada. 4760 Ha modificado un grupo universal con la seguridad deshabilitada. 4761 Se ha agregado un miembro a un grupo universal con la seguridad deshabilitada. 4762 Se ha quitado un miembro de un grupo universal con la seguridad deshabilitada. Subcategoría: Otros eventos de administración de cuentas ID. Mensaje 4782 Se obtuvo acceso el valor de hash de contraseña una cuenta. 4793 Se llamó a la API de comprobación de directiva de contraseña. Subcategoría: Administración de grupo de seguridad ID. Mensaje 4727 Se ha creado un grupo global con seguridad habilitada. 4728 Se ha agregado un miembro a un grupo global con seguridad habilitada. 4729 Se ha quitado un miembro de un grupo global con seguridad habilitada. 4730 Se ha eliminado un grupo global con seguridad habilitada. 4731 Ha creado un grupo local con la seguridad habilitada. 4732 Se ha agregado un miembro a un grupo local con la seguridad habilitada. 4733 Se ha quitado un miembro de un grupo local con la seguridad habilitada. 4734 Se ha eliminado un grupo local con la seguridad habilitada. 4735 Se ha modificado un grupo local con la seguridad habilitada. 4737 Se ha modificado un grupo global con seguridad habilitada. 4754 Ha creado un grupo universal con seguridad habilitada. 4755 Se ha modificado un grupo universal con seguridad habilitada. RIOS ALEGRE, VICTOR HUGO Página 3
  • 5. 4756 Se ha agregado un miembro a un grupo universal con seguridad habilitada. 4757 Se ha quitado un miembro de un grupo universal con seguridad habilitada. 4758 Se ha eliminado un grupo universal con seguridad habilitada. 4764 Tipo de grupo se ha cambiado. Subcategoría: Administración de cuentas de usuario ID. Mensaje 4720 Se ha creado una cuenta de usuario. 4722 Se habilitó una cuenta de usuario. 4723 Se ha intentado cambiar la contraseña de cuenta. 4724 Se ha intentado restablecer la contraseña de cuenta. 4725 Se ha deshabilitado una cuenta de usuario. 4726 Se ha eliminado una cuenta de usuario. 4738 Se ha modificado una cuenta de usuario. 4740 Se ha bloqueado una cuenta de usuario. 4765 SID History se ha agregado a una cuenta. 4766 Error al intentar agregar SID History a una cuenta. 4767 Se ha desbloqueado una cuenta de usuario. La ACL se ha establecido en las cuentas que son miembros de grupos de 4780 administradores. 4781 Se cambió el nombre de una cuenta: 4794 Se ha intentado establecer el modo de restauración de servicios de directorio. 5376 Las credenciales de administrador de credenciales realizó la copia. Las credenciales de administrador de credenciales se restauran desde una copia de 5377 seguridad. Categoría: Realizar un seguimiento detallado Subcategoría: Actividad DPAPI ID. Mensaje Se ha intentado efectuar copia de seguridad de clave de sesión de protección de 4692 datos. 4693 Se ha intentado iniciar la recuperación de clave de sesión de protección de datos. 4694 Se intentó realizar la protección de datos protegidos auditables. 4695 Se intentó realizar la desprotección de los datos protegidos auditables. Subcategoría: La creación del proceso ID. Mensaje 4688 Se ha creado un nuevo proceso. 4696 Un símbolo (token) primario se ha asignado al proceso. Subcategoría: Finalización del proceso ID. Mensaje RIOS ALEGRE, VICTOR HUGO Página 4
  • 6. 4689 Un proceso ha terminado. Subcategoría: Eventos RPC ID. Mensaje 5712 Se intentó realizar una llamada a procedimiento remoto (RPC). Categoría: Acceso DS Subcategoría: Replicación del servicio de directorio detallada ID. Mensaje Se ha establecido un contexto de nomenclatura de la fuente de réplica de Active 4928 Directory. Se ha quitado un contexto de nomenclatura de la fuente de réplica de Active 4929 Directory. Se modificó un contexto de nomenclatura de la fuente de réplica de Active 4930 Directory. 4931 Se modificó un contexto de nombres de destino de réplica de Active Directory. 4934 Se han replicado los atributos de un objeto de Active Directory. 4935 Error de replicación se inicia. 4936 Errores de replicación de los extremos. 4937 Un objeto persistente se ha quitado una réplica. Subcategoría: Acceso al servicio de directorio ID. Mensaje 4662 Se realizó una operación en un objeto. Subcategoría: Los cambios de servicio de directorio ID. Mensaje 5136 Se modificó un objeto de servicio de directorio. 5137 Se creó un objeto de servicio de directorio. 5138 No se ha borrado un objeto de servicio de directorio. 5139 Se ha movido un objeto de servicio de directorio. 5141 Se ha eliminado un objeto de servicio de directorio. Subcategoría: Replicación del servicio de directorio ID. Mensaje Ha comenzado la sincronización de una réplica de un contexto de nomenclatura de 4932 Active Directory. Ha finalizado la sincronización de una réplica de un contexto de nomenclatura de 4933 Active Directory. Categoría: Inicio de sesión/cierre de sesión RIOS ALEGRE, VICTOR HUGO Página 5
  • 7. Subcategoría: Modo extendido de IPsec ID. Mensaje Durante la negociación de modo extendido, IPsec ha recibido un paquete de 4978 negociación no válido. Si el problema persiste, puede indicar un problema de red o un intento de modificar o volver a reproducir esta negociación. Se han establecido de modo principal IPsec y las asociaciones de seguridad de 4979 modo extendido. Se han establecido de modo principal IPsec y las asociaciones de seguridad de 4980 modo extendido. Se han establecido de modo principal IPsec y las asociaciones de seguridad de 4981 modo extendido. Se han establecido de modo principal IPsec y las asociaciones de seguridad de 4982 modo extendido. Una IPsec extiende la negociación de modo no se pudo. Se eliminó la asociación 4983 de seguridad de modo principal correspondiente. Una IPsec extiende la negociación de modo no se pudo. Se eliminó la asociación 4984 de seguridad de modo principal correspondiente. Subcategoría: Modo de principal de IPsec ID. Mensaje 4646 Iniciada el modo de prevención de denegación de servicio de IKE. Se ha establecido una asociación de seguridad de modo principal IPsec. No se 4650 habilitó el modo extendido. No se utilizó la autenticación de certificado. Se ha establecido una asociación de seguridad de modo principal IPsec. No se 4651 habilitó el modo extendido. Un certificado se utiliza para la autenticación. 4652 Error en una negociación de modo principal IPsec. 4653 Error en una negociación de modo principal IPsec. 4655 Una asociación de seguridad de IPsec de modo principal finalizó. Durante la negociación de modo principal IPsec recibió un paquete de negociación 4976 no válido. Si el problema persiste, puede indicar un problema de red o un intento de modificar o volver a reproducir esta negociación. 5049 Se ha eliminado una asociación de seguridad de IPsec. Agente de directivas IPsec aplica Directiva de IPsec de almacenamiento de 5453 información de Active Directory en el equipo. Subcategoría: Modo rápido de IPsec ID. Mensaje 4654 Error en una negociación de modo rápido IPsec. Durante la negociación de modo rápido, IPsec ha recibido un paquete de 4977 negociación no válido. Si el problema persiste, puede indicar un problema de red o un intento de modificar o volver a reproducir esta negociación. 5451 Se ha establecido una asociación de seguridad de modo rápido IPsec. 5452 Una asociación de seguridad de IPsec de modo rápido finalizado. Subcategoría: cierre de sesión RIOS ALEGRE, VICTOR HUGO Página 6
  • 8. ID. Mensaje 4634 Una cuenta se ha cerrado la sesión. 4647 Cierre de sesión iniciada por el usuario. Subcategoría: inicio de sesión ID. Mensaje 4624 Una cuenta se ha iniciado una sesión. 4625 No se pudo iniciar sesión una cuenta. 4648 Se ha intentado efectuar un inicio de sesión mediante credenciales explícitas. 4675 Se han filtrado los SID. Subcategoría: Servidor de directivas de red ID. Mensaje 6272 Servidor de directivas de red había concedido acceso a un usuario. 6273 Servidor de directivas de red había denegado el acceso a un usuario. 6274 Servidor de directivas de red descarta la solicitud de un usuario. Servidor de directivas de red descarta la solicitud de administración de cuentas 6275 para un usuario. 6276 Servidor de directivas de red en cuarentena a un usuario. Servidor de directivas de red había concedido acceso a un usuario pero colocar en 6277 período de prueba porque el host no cumplía con la directiva de mantenimiento definidas. Servidor de directivas de red acceso completo a un usuario debido a que el host 6278 cumple la directiva de mantenimiento definidas. Servidor de directivas de red había bloqueada la cuenta de usuario debido a 6279 intentos erróneos de autenticación repetidas. 6280 Servidor de directivas de red desbloquear la cuenta de usuario. Subcategoría: Otros eventos de inicio de sesión/cierre de sesión ID. Mensaje 4649 Se detectó un ataque de reproducción. 4778 Se volvió a conectar una sesión a una estación de ventana. 4779 Se ha desconectado una sesión desde una estación de ventana. 4800 Se bloqueó la estación de trabajo. 4801 La estación de trabajo se ha desbloqueado. 4802 Se ha invocado el protector de pantalla. 4803 Se cerró el protector de pantalla. 5378 La delegación de credenciales solicitado no se ha permitido por la directiva. 5632 Se realizó una solicitud para autenticar a una red inalámbrica. 5633 Se realizó una solicitud para autenticarse en una red con cable. Subcategoría: Inicio de sesión especial ID. Mensaje RIOS ALEGRE, VICTOR HUGO Página 7
  • 9. 4964 Grupos especiales se han asignado a un nuevo inicio de sesión. Categoría: El acceso a objetos Subcategoría: Aplicación generada ID. Mensaje 4665 Se ha intentado crear un contexto de cliente de aplicación. 4666 Una aplicación intentó una operación: 4667 Se ha eliminado un contexto de cliente de aplicación. 4668 Una aplicación se puede inicializar. Subcategoría: Servicios de certificación ID. Mensaje El Administrador de certificados ha denegado una petición de certificado 4868 pendiente. 4869 Servicios de Certificate Server recibieron una solicitud de certificado reenviada. 4870 Servicios de Certificate Server revocan un certificado. Servicios de Certificate Server recibieron una solicitud para publicar la lista de 4871 revocación de certificados (CRL). Servicios de Certificate Server publican la lista de revocación de certificados 4872 (CRL). 4873 Puede cambiar una extensión de solicitud de certificado. 4874 Puede cambiar los atributos de solicitud de certificado. 4875 Servicios de Certificate Server recibieron una solicitud para apagar. 4876 Inicia la copia de seguridad de servicios de certificado. 4877 Certificado de copia de seguridad de servicios realizada. 4878 Inició la restauración de servicios de certificado. 4879 Completada la restauración de servicios Certificate Server. 4880 Inician servicios de Certificate Server. 4881 Detienen servicios de Certificate Server. 4882 Puede cambiar los permisos de seguridad para servicios de Certificate Server. 4883 Servicios de Certificate Server recuperaron una clave archivada. 4884 Servicios de Certificate Server importaron un certificado a su base de datos. 4885 Puede cambiar el filtro de auditoría para servicios de Certificate Server. 4886 Servicios de Certificate Server recibieron una solicitud de certificado. Servicios de Certificate Server aprobó una solicitud de certificado y emitió un 4887 certificado. 4888 Servicios de Certificate Server ha denegado una petición de certificado. Servicios de Certificate Server sea el estado de una solicitud de certificado 4889 pendiente. Puede cambiar la configuración del Administrador de certificados para servicios 4890 de Certificate Server. 4891 Una entrada de configuración puede cambiada en servicios de Certificate Server. 4892 Cambia una propiedad de servicios de Certificate Server. RIOS ALEGRE, VICTOR HUGO Página 8
  • 10. 4893 Servicios de Certificate Server archivan una clave. 4894 Servicios de Certificate Server importaron y archivaron una clave. Servicios de Certificate Server publican el certificado de entidad emisora de 4895 certificados en servicios de dominio de Active Directory. 4896 Se eliminaron una o varias filas de la base de datos de certificado. 4897 Función de separación habilitada: 4898 Servicios de Certificate Server cargan una plantilla. 4899 Se actualizó una plantilla de servicios de Certificate Server. 4900 Seguridad de plantillas de servicios de certificado se ha actualizado. 5120 Se inició el servicio de Respondedor OCSP. 5121 Detener el servicio de Respondedor OCSP. Una entrada de configuración puede cambiada en el servicio de Respondedor de 5122 OCSP. Una entrada de configuración puede cambiada en el servicio de Respondedor de 5123 OCSP. 5124 Una configuración de seguridad se actualizó de servicio de Respondedor de OCSP. 5125 Se envió una solicitud al servicio de Respondedor de OCSP. Certificado de firma se actualizó automáticamente por el servicio de Respondedor 5126 de OCSP. El proveedor de revocación de OCSP había actualizado correctamente la 5127 información de revocación. Subcategoría: Recurso compartido de archivos detallados ID. Mensaje Un objeto de recurso compartido de red se comprueba para ver si se puede 5145 conceder el cliente desea acceso. Subcategoría: Recurso compartido de archivos ID. Mensaje 5140 Se tiene acceso a un objeto de recurso compartido de red. 5142 Se ha agregado un objeto de recurso compartido de red. 5143 Se modificó un objeto de recurso compartido de red. 5144 Se ha eliminado un objeto de recurso compartido de red. 5168 Comprobación de SPN de SMB/SMB2 falló. Subcategoría: Sistema de archivos ID. Mensaje 4664 Se ha intentado crear un vínculo físico. 4985 El estado de una transacción ha cambiado. 5051 para Un archivo fue una solución virtualizado. Subcategoría: Conexión de FilteringPlatform ID. Mensaje RIOS ALEGRE, VICTOR HUGO Página 9
  • 11. El servicio de Firewall de Windows bloquea una aplicación acepte conexiones 5031 entrantes en la red. La plataforma de filtrado de Windows ha detectado un ataque de denegación de 5148 en servicio y entrado en un modo defensivo; se descartarán los paquetes asociados caja con este ataque. El ataque de denegación de servicio se haya eliminado y se está reanudando el 5149 procesamiento normal. 5150 La plataforma de filtrado de Windows ha bloqueado un paquete. Un filtro más restrictivo de plataforma de filtrado de Windows ha bloqueado un 5151 paquete. Windows FilteringPlatform haya permitido que una aplicación o servicio para 5154 escuchar en un puerto para las conexiones entrantes. La plataforma de filtrado de Windows ha bloqueado una aplicación o un 5155 servicio de escucha en un puerto para las conexiones entrantes. 5156 Windows FilteringPlatform haya permitido que una conexión. 5157 La plataforma de filtrado de Windows ha bloqueado una conexión. 5158 Windows FilteringPlatform haya permitido que un enlace a un puerto local. La plataforma de filtrado de Windows ha bloqueado un enlace a un puerto 5159 local. Subcategoría: Colocación de paquetes de plataforma de filtrado ID. Mensaje 5152 La plataforma de filtrado de Windows ha bloqueado un paquete. Un filtro más restrictivo de plataforma de filtrado de Windows ha bloqueado un 5153 paquete. Subcategoría: Identificador de manipulación ID. Mensaje 4656 Se ha solicitado un identificador para un objeto. 4658 Se ha cerrado el identificador para un objeto. 4690 Se intentó duplicar un controlador a un objeto. Subcategoría: Otros eventos de acceso de objeto ID. Mensaje 4671 Una aplicación intentó obtener acceso a un ordinal bloqueado a través de TBS. 4691 Se ha solicitado acceso indirecto a un objeto. 4698 Se creó una tarea programada. 4699 Se ha eliminado una tarea programada. 4700 Se habilitó una tarea programada. 4701 Se ha deshabilitado una tarea programada. 4702 Se ha actualizado una tarea programada. 4702 Se ha actualizado una tarea programada. 5888 Ha modificado un objeto en el catálogo COM +. 5889 Un objeto se ha eliminado del catálogo de COM +. RIOS ALEGRE, VICTOR HUGO Página 10
  • 12. 5890 Se agregó un objeto en el catálogo COM +. Subcategoría: registro ID. Mensaje 4657 Un valor del registro se modificó. 5039 Una clave del registro se virtualiza. Subcategoría: subcategoría varios uso especial Nota El siguiente suceso puede generarse mediante algún administrador de recursos cuando se habilita la subcategoría. Por ejemplo, el suceso siguiente puede generarse por el Administrador de recursos del registro o por el Administrador de recursos de sistema de archivos. El el acceso a objetos: objeto de Kernel y el acceso a objetos: SAM subcategorías son ejemplos de las subcategorías que utilizar estos eventos de forma exclusiva. ID. Mensaje 4659 Se ha solicitado un identificador para un objeto con la intención de eliminar. 4660 Se ha eliminado un objeto. 4661 Se ha solicitado un identificador para un objeto. 4663 Se ha intentado tener acceso a un objeto. Categoría: Cambio de directiva Subcategoría: Cambio de directiva de auditoría ID. Mensaje 4715 Se ha cambiado la directiva de auditoría (SACL) en un objeto. 4719 Se ha cambiado la directiva de auditoría del sistema. 4817 Se han cambiado la configuración de auditoría en un objeto. 4902 Se creó la tabla de normas de auditoría por usuario. 4904 Se ha intentado registrar un origen de eventos de seguridad. 4905 Se ha intentado anular el registro de un origen de eventos de seguridad. 4906 El valor de CrashOnAuditFail ha cambiado. 4907 Se han cambiado la configuración de auditoría en objeto. 4908 Tabla de grupos de inicio de sesión especial por última vez. 4912 Se ha cambiado por directiva de auditoría de usuario. Subcategoría: Cambio de directiva de autenticación ID. Mensaje 4706 Se creó una nueva confianza a un dominio. 4707 Se ha quitado una confianza a un dominio. 4713 Se ha cambiado la directiva Kerberos. 4716 Se ha modificado la información de dominio de confianza. 4717 Se ha concedido acceso al sistema de seguridad a una cuenta. 4718 Acceso al sistema de seguridad se ha quitado una cuenta. RIOS ALEGRE, VICTOR HUGO Página 11
  • 13. 4739 Se ha cambiado la directiva de dominio. 4864 Se ha detectado una colisión de espacio de nombres. 4865 Se ha agregado una entrada de información de bosque de confianza. 4866 Se quitó una entrada de información de bosque de confianza. 4867 Se modificó una entrada de información de bosque de confianza. Subcategoría: Cambio de directiva de autorización ID. Mensaje 4704 Se asignó un derecho de usuario. 4705 Se ha quitado un derecho de usuario. Directiva de grupo de agente de recuperación de datos para el sistema de archivos 4714 cifrados (EFS) ha cambiado. Se han aplicado los cambios nuevos. Subcategoría: Cambio de FilteringPlatform directiva ID. Mensaje 4709 Se inició el servicio de agente de directivas IPsec. 4710 Se deshabilitó el servicio de agente de directivas IPsec. Puede contener cualquiera de estos procedimientos: El motor PAStore aplicó copia en caché local de la directiva IPsec de almacenamiento de Active Directory en el equipo. El motor PAStore aplicó la directiva IPsec de almacenamiento de información de Active Directory en el equipo. El motor PAStore aplicó la directiva IPsec de almacenamiento de información de registro local en el equipo. Error del motor PAStore al aplicar copia en caché local de la directiva IPsec de almacenamiento de Active Directory en el equipo. Error del motor PAStore al aplicar directiva IPsec de almacenamiento de Active Directory en el equipo. Error del motor PAStore al aplicar directiva IPsec de almacenamiento del 4711 registro local en el equipo. Error del motor PAStore al aplicar algunas reglas de la directiva IPsec activa en el equipo. Error del motor PAStore al cargar directiva de IPsec en el equipo de almacenamiento de información de directorio. El motor PAStore cargó directiva de IPsec en el equipo de almacenamiento de información de directorio. Error del motor PAStore al cargar directiva de IPsec en el equipo de almacenamiento local. El motor PAStore cargó almacenamiento local de directiva de IPsec en el equipo. El motor PAStore realizó un sondeo de cambios en la directiva IPsec activa y no detectó ningún cambio. 4712 Agente de directivas IPsec ha encontrado un error potencialmente grave. Se ha modificado la configuración IPsec. Se ha agregado un conjunto de 5040 autenticación. RIOS ALEGRE, VICTOR HUGO Página 12
  • 14. Se ha modificado la configuración IPsec. Se modificó un conjunto de 5041 autenticación. Se ha modificado la configuración IPsec. Se ha eliminado un conjunto de 5042 autenticación. Se ha modificado la configuración IPsec. Se ha agregado una regla de seguridad de 5043 conexión. Se ha modificado la configuración IPsec. Se ha modificado una regla de seguridad 5044 de conexión. Se ha modificado la configuración IPsec. Se ha eliminado una regla de seguridad 5045 de conexión. 5046 Se ha modificado la configuración IPsec. Se ha agregado un conjunto de cifrado. 5047 Se ha modificado la configuración IPsec. Se modificó un conjunto de cifrado. 5048 Se ha modificado la configuración IPsec. Se ha eliminado un conjunto de cifrado. La siguiente llamada estaba presente cuando se ha iniciado la plataforma de 5440 filtrado de Windows motor de filtrado de Base. El siguiente filtro estaba presente cuando se ha iniciado la plataforma de filtrado 5441 de Windows motor de filtrado de Base. El proveedor de la siguiente estaba presente cuando se ha iniciado la plataforma de 5442 filtrado de Windows motor de filtrado de Base. El contexto de proveedor siguiente estaba presente cuando se ha iniciado la 5443 plataforma de filtrado de Windows motor de filtrado de Base. La subcapa siguiente estaba presente cuando se ha iniciado la plataforma de 5444 filtrado de Windows motor de filtrado de Base. 5446 Se ha cambiado una llamada de Windows FilteringPlatform. 5448 Se ha cambiado un proveedor de Windows FilteringPlatform. 5449 Ha cambiado un contexto de proveedor Windows FilteringPlatform. 5450 Se ha cambiado una subcapa de Windows FilteringPlatform. El motor PAStore aplicó la directiva IPsec de almacenamiento de información de 5456 Active Directory en el equipo. Agente de directivas IPsec no se pudo aplicar la directiva IPsec de 5457 almacenamiento de información de Active Directory en el equipo. Aplicar localmente el agente de directivas de IPsec copia de la directiva de IPsec 5458 en el equipo de almacenamiento de Active Directory almacenada en caché. Agente de directivas IPsec no se pudo aplicar la copia en caché local de la 5459 directiva IPsec de almacenamiento de Active Directory en el equipo. Agente de directivas IPsec aplica la directiva IPsec de almacenamiento de 5460 información de registro local en el equipo. Agente de directivas IPsec no se pudo aplicar la directiva IPsec de 5461 almacenamiento de información de registro local en el equipo. Agente de directivas IPsec no se pudo aplicar algunas reglas de la directiva IPsec 5462 activa en el equipo. Utilice el complemento Monitor de seguridad IP para diagnosticar el problema. Agente de directivas IPsec sondeo de cambios en la directiva IPsec activa y no 5463 detectó ningún cambio. Agente de directivas IPsec sondeo de cambios en la directiva IPsec activa, detectó 5464 cambios y aplicado el usuario. 5465 Agente de directivas IPsec recibió un control para la recarga forzada de directiva RIOS ALEGRE, VICTOR HUGO Página 13
  • 15. IPsec y procesó el control correctamente. Agente de directivas IPsec un sondeo de cambios en la directiva IPsec de Active Directory, determinada que no se puede conectar Active Directory y utilizará la 5466 copia en caché de la directiva IPsec de Active Directory en su lugar. Los cambios realizados en la directiva IPsec de Active Directory ya que no se pudo aplicar el último sondeo. Agente de directivas IPsec un sondeo de cambios en la directiva IPsec de Active Directory, determinada que Active Directory puede ser alcanzado y no encontró 5467 cambios en la directiva. No seque se utiliza la copia en caché de la directiva IPsec de Active Directory. Sondeo de cambios en la directiva IPsec de Active Directory, el agente de directivas de IPsec determina que Active Directory se puede alcanzar, encontró 5468 cambios en la directiva y aplicar esos cambios. No seque se utiliza la copia en caché de la directiva IPsec de Active Directory. Agente de directivas IPsec carga almacenamiento local de directiva de IPsec en el 5471 equipo. Agente de directivas IPsec no se pudo cargar directiva de IPsec en el equipo de 5472 almacenamiento local. Agente de directivas IPsec carga directiva de IPsec en el equipo de 5473 almacenamiento de información de directorio. Agente de directivas IPsec no se pudo cargar directiva de IPsec en el equipo de 5474 almacenamiento de información de directorio. 5477 Agente de directivas IPsec no se pudo agregar el filtro de modo rápido. Subcategoría: Cambio de directiva de nivel de reglas MPSSVC ID. Mensaje La siguiente directiva de estaba activa cuando se inició el servidor de seguridad de 4944 Windows. 4945 Una regla se mostró cuando inicia el servidor de seguridad de Windows. Se realiza un cambio en la lista de excepciones de Firewall de Windows. Se ha 4946 agregado una regla. Se realiza un cambio en la lista de excepciones de Firewall de Windows. Se ha 4947 modificado una regla. Se realiza un cambio en la lista de excepciones de Firewall de Windows. Se ha 4948 eliminado una regla. 4949 Configuración de Firewall de Windows se restauró a los valores predeterminados. 4950 Se ha cambiado una configuración de Firewall de Windows. Firewall de Windows pasa por alto una regla debido a que no se reconoce su 4951 número de versión principal. Firewall de Windows pasa por alto las partes de una regla debido a que no se 4952 reconoce su número de versión secundaria. Otras partes de la regla se aplicará. 4953 Firewall de Windows pasa por alto una regla debido a que no se hubiera analizado. Configuración de directiva de grupo para Firewall de Windows se han cambiado y 4954 se han aplicado la nueva configuración. 4956 Firewall de Windows puede cambiar el perfil activo. 4957 Firewall de Windows no aplicó la siguiente regla: 4958 Firewall de Windows no aplicó la siguiente regla porque la regla que se refiere a RIOS ALEGRE, VICTOR HUGO Página 14
  • 16. los elementos no configurados en este equipo: Se rechazó un intento de deshabilitar Firewall de Windows mediante una llamada a INetFwProfile.FirewallEnabled(FALSE) interfaz mediante programación porque esta API no es compatible con esta versión de Windows. Esto suele deberse a un 5050 programa que no es compatible con esta versión de Windows. Por favor, póngase en contacto con el fabricante del programa para asegurarse de que tiene una versión de programa compatible. Subcategoría: Otros eventos de cambio de directiva ID. Mensaje 4909 Se han cambiado la configuración de directiva local para el TBS. 4910 Se han cambiado la configuración de directiva de grupo para el TBS. 5063 Se intentó una operación de proveedor de servicios criptográficos. 5064 Se intentó una operación de contexto de cifrado. 5065 Se ha intentado efectuar una modificación de contexto de cifrado. 5066 Se intentó una operación de función criptográfica. 5067 Se ha intentado efectuar una modificación de la función criptográfica. 5068 Se intentó una operación de proveedor de función criptográfica. 5069 Se intentó una operación de propiedad de función criptográfica. Se ha intentado efectuar una modificación de la propiedad de función 5070 criptográfica. 5447 Ha cambiado un filtro de Windows FilteringPlatform. Directiva de seguridad en los objetos de directiva de grupo se ha aplicado 6144 correctamente. Se ha producido uno o más errores al procesar la directiva de seguridad en los 6145 objetos de directiva de grupo. Subcategoría: subcategoría varios uso especial Nota El siguiente suceso puede generarse mediante algún administrador de recursos cuando se habilita la subcategoría. Por ejemplo, el suceso siguiente puede generarse por el Administrador de recursos del registro o por el Administrador de recursos de sistema de archivos. ID. Mensaje 4670 Se cambiaron los permisos en un objeto. Categoría: El uso de privilegios Subcategoría: Uso de privilegios entre mayúsculas y minúsculas y el uso de privilegios no es de vital importancia ID. Mensaje 4672 Privilegios especiales asignados al nuevo inicio de sesión. 4673 Se llama a un servicio con privilegios. 4674 Se intentó una operación en un objeto con privilegios. RIOS ALEGRE, VICTOR HUGO Página 15
  • 17. Categoría: sistema Subcategoría: Controlador de IPsec ID. Mensaje IPsec descartó un paquete de entrada que no se pudo una comprobación de integridad. Si el problema persiste, eso podría significar que un problema de red o que los paquetes se están modificando en tránsito a este equipo. Compruebe que 4960 los paquetes enviados desde el equipo remoto son las mismas que las recibidas por este equipo. Este error también puede indicar problemas de interoperabilidad con otras implementaciones de IPsec. IPsec descartó un paquete de entrada que no se pudo una comprobación de la 4961 reproducción. Si el problema persiste, podría indicar un ataque de reproducción con respecto a este equipo. IPsec descartó un paquete de entrada que no se pudo una comprobación de la 4962 reproducción. El paquete de entrada tenía un número demasiado bajo secuencia para asegurarse de no era una repetición. IPsec descartó un paquete de entrada de texto sin cifrar que debía haberse establecido. Si el equipo remoto está configurado con una directiva de solicitud 4963 saliente IPsec, podría resultar benignos y esperadas. También puede deberse a que éste remoto cambiando su directiva IPsec sin que le informa de este equipo. Esto también podría ser un intento de ataque de suplantación de identidad. IPsec ha recibido un paquete desde un equipo remoto con un índice de parámetro de seguridad (SPI) incorrecto. Normalmente, se debe a hardware defectuoso que se está dañando paquetes. Si los errores persisten, compruebe que los paquetes 4965 enviados desde el equipo remoto son las mismas que las recibidas por este equipo. Este error también puede indicar problemas de interoperabilidad con otras implementaciones de IPsec. En ese caso, si no se impide la conectividad, pueden ignorar estos eventos. 5478 Se inició el servicio de agente de directivas IPsec. Servicios IPsec se cerró correctamente. El cierre de los servicios IPsec puede 5479 suponer un mayor riesgo de ataque de red o el equipo expuesto a posibles riesgos de seguridad. Agente de directivas IPsec no se pudo obtener la lista completa de interfaces de red en el equipo. Esto supone un riesgo de seguridad ya que algunas de las 5480 interfaces de red pueden no obtener la protección proporcionada por los filtros IPsec aplicados. Utilice el complemento Monitor de seguridad IP para diagnosticar el problema. El servicio de agente de directivas IPsec no se pudo inicializar su servidor RPC. 5483 No se pudo iniciar el servicio. El servicio de agente de directivas IPsec un error grave y se ha cerrado. El cierre 5484 de este servicio puede suponer un mayor riesgo de ataque de red o el equipo expuesto a posibles riesgos de seguridad. Agente de directivas IPsec no pudo procesar algunos filtros IPsec en un evento de plug-and-play para interfaces de red. Esto supone un riesgo de seguridad ya que 5485 algunas de las interfaces de red pueden no obtener la protección proporcionada por los filtros IPsec aplicados. Utilice el complemento Monitor de seguridad IP para diagnosticar el problema. RIOS ALEGRE, VICTOR HUGO Página 16
  • 18. Subcategoría: Otros eventos del sistema ID. Mensaje 5024 El servicio de Firewall de Windows se inició correctamente. 5025 Se detuvo el servicio de Firewall de Windows. El servicio de Firewall de Windows no pudo recuperar la directiva de seguridad 5027 desde el almacenamiento local. Firewall de Windows seguirá aplicando la directiva actual. Firewall de Windows no pudo analizar la nueva directiva de seguridad. Firewall de 5028 Windows seguirá aplicando la directiva actual. El servicio de Firewall de Windows no pudo inicializar el controlador. Firewall de 5029 Windows seguirá aplicando la directiva actual. 5030 No se pudo iniciar el servicio de Firewall de Windows. Firewall de Windows no puede notificar al usuario que ha bloqueado una 5032 aplicación acepte conexiones entrantes en la red. 5033 El controlador de servidor de seguridad de Windows se inició correctamente. 5034 Se ha detenido el controlador de servidor de seguridad de Windows. 5035 No se pudo iniciar el controlador de servidor de seguridad de Windows. El controlador de servidor de seguridad de Windows detectó un error en tiempo de 5037 ejecución críticos, terminar. 5058 Operación de archivo de clave. 5059 Operación de principales de la migración. BranchCache: Ha recibido una respuesta con formato incorrecto durante el 6400 descubrimiento de disponibilidad del contenido. BranchCache: Recibido datos no válidos de un elemento del mismo nivel. Se 6401 descartaron datos. BranchCache: La memoria caché hospedada envió una respuesta con formato 6403 incorrecto al cliente. BranchCache: Memoria caché hospedada no se puede autenticar con el certificado 6404 SSL con provisioning. 6405 BranchCache: se ha producido todas las instancias de %2 de id. de suceso %1. puede registrar %1 a Firewall de Windows al control de filtrado para lo siguiente: 6406 %2 6407 % 1 Subcategoría: Cambio de estado de seguridad ID. Mensaje 4608 Windows se está iniciando. 4616 Se cambió la hora del sistema. Administrador recuperado del sistema de CrashOnAuditFail. Los usuarios que no 4621 son administradores ahora permitirá iniciar sesión. Es posible que no se han registrado algunas actividades auditables. Subcategoría: Extensión de sistema de seguridad ID. Mensaje RIOS ALEGRE, VICTOR HUGO Página 17
  • 19. 4610 La autoridad de seguridad Local ha cargado un paquete de autenticación. Un proceso de inicio de sesión confiable se registró con la autoridad de seguridad 4611 Local. Un paquete de notificación se ha cargado por el Administrador de cuentas de 4614 seguridad. 4622 La autoridad de seguridad Local ha cargado un paquete de seguridad. 4697 Un servicio se instaló en el sistema. Subcategoría: Integridad del sistema ID. Mensaje Se han agotado los recursos internos asignados para la puesta en cola de mensajes 4612 de auditoría, provocando la pérdida de algunas auditorías. 4615 Uso no válido de puerto LPC. 4618 Se ha producido un modelo de eventos de seguridad supervisados. 4816 RPC ha detectado una infracción de integridad al descifrar un mensaje entrante. Integridad de código determinó que el valor de hash de imagen de un archivo no es 5038 válido. El archivo podría estar dañado debido a la modificación no autorizada o el valor de hash no válido podría indicar un posible problema de dispositivo de disco. 5056 Se realizó una prueba criptográfica. 5057 Error en una operación primitiva criptográfica. 5060 Error en la operación de verificación. 5061 Operación criptográfica. Se ha realizado un cifrado de que pruebas automáticas de encendido en modo de 5062 núcleo. Integridad de código determinó que los valores de hash de la página de un archivo de imagen no son válidos. El archivo se pudo convertir incorrectamente con signo 6281 sin los hash de página o está dañado debido a la modificación no autorizada. Los valores de hash no válidos podrían indicar un posible problema de dispositivo de disco NOTA:http://support.microsoft.com/kb/977519/es RIOS ALEGRE, VICTOR HUGO Página 18