Exportar (0) Imprimir
Expandir todo

Auditar sucesos de inicio de sesión

Actualizado: enero de 2005

Se aplica a: Windows Server 2003, Windows Server 2003 R2, Windows Server 2003 with SP1, Windows Server 2003 with SP2, Windows Vista

Auditar sucesos de inicio de sesión

Descripción

Esta configuración de seguridad determina si se audita cada instancia de un inicio o cierre de sesión de usuario en un equipo.

Los sucesos de inicio de sesión de cuenta se generan en los controladores de dominio para la actividad de cuentas de dominio y en los equipos locales para la actividad de cuentas locales. Si están habilitadas ambas categorías de directiva (inicio de sesión de cuentas y auditoría de inicio de sesión), los inicios de sesión que utilizan una cuenta de dominio generan un suceso de inicio o cierre de sesión en la estación de trabajo o servidor, y generan un suceso de inicio de sesión de cuenta en el controlador de dominio. De manera adicional, los inicios de sesión interactivos en un servidor miembro o una estación de trabajo que utilicen una cuenta de dominio generan un suceso de inicio de sesión en el controlador de dominio a medida que las secuencias de comandos y directivas de inicio de sesión se recuperan cuando un usuario inicia sesión. Para obtener más información acerca de los sucesos de inicio de sesión de cuenta, vea Auditar sucesos de inicio de sesión de cuenta.

Si define esta opción de configuración de directiva, puede especificar si se auditan aciertos, errores o si o no se audita el tipo de suceso. Las auditorías de aciertos generan una entrada de auditoría cuando un intento de inicio de sesión tiene éxito. Las auditorías de errores generan una entrada de auditoría cuando un intento de inicio de sesión falla.

Para establecer este valor a Sin auditoría, en el cuadro de diálogo Propiedades de esta configuración de directiva, active la casilla de verificación Definir esta configuración de directiva y desactive las casillas de verificación Correcto y Error.

Valor predeterminado: Correcto.

Establecer esta configuración de seguridad

Para establecer esta configuración de seguridad, abra la directiva correspondiente y expanda el árbol de la consola hasta que aparezca lo siguiente: Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Directiva de auditoría\

Para obtener instrucciones específicas acerca de cómo configurar la directiva de auditoría, vea Definir o modificar la configuración de directiva de auditoría para una categoría de sucesos.

 

Sucesos de inicio de sesión Descripción

528

Un usuario ha iniciado sesión en un equipo satisfactoriamente. Para obtener información acerca del tipo de inicio de sesión, vea Tabla de tipos de inicio de sesión.

529

Error de inicio de sesión. Se intentó iniciar sesión con un nombre de usuario desconocido o un nombre de usuario conocido con una contraseña no válida.

530

Error de inicio de sesión. Se intentó iniciar sesión; la cuenta ha intentado iniciar una sesión fuera del intervalo permitido.

531

Error de inicio de sesión. Se intentó iniciar sesión con una cuenta deshabilitada.

532

Error de inicio de sesión. Se intentó iniciar sesión con una cuenta caducada.

533

Error de inicio de sesión. Un usuario que no tiene permiso para iniciar una sesión en este equipo intentó iniciar sesión.

534

Error de inicio de sesión. El usuario ha intentado iniciar sesión con un tipo no permitido.

535

Error de inicio de sesión. Ha caducado la contraseña para la cuenta especificada.

536

Error de inicio de sesión. El servicio Inicio de sesión de red no está activado.

537

Error de inicio de sesión. El error en el intento de inicio de sesión se debe a otros motivos.

Nota

  • En algunos casos se desconoce el motivo del error de inicio de sesión.

538

Se ha completado el proceso de cierre de sesión de un usuario.

539

Error de inicio de sesión. La cuenta estaba bloqueada en el momento en que se intentó el inicio de sesión.

540

Un usuario ha iniciado sesión en una red satisfactoriamente.

541

La autenticación de Intercambio de claves de Internet (IKE, <i>Internet Key Exchange</i>) en modo principal se ha completado entre el equipo local y la identidad del interlocutor enumerado (estableciendo una asociación de seguridad), o el modo rápido ha establecido un canal de datos.

542

Un canal de datos ha finalizado.

543

El modo principal ha finalizado.

Nota

  • Esto puede deberse a que se ha superado el límite de tiempo en la asociación de seguridad (el valor predeterminado es de ocho horas), a cambios en la directiva o a la finalización del interlocutor.

544

Error en la autenticación de modo principal debido a que el interlocutor no ha proporcionado un certificado válido o la firma no se ha validado.

545

Error en la autenticación de modo principal debido a un error de Kerberos o a una contraseña que no es válida.

546

Error al establecer la asociación de seguridad de IKE porque el interlocutor envió una propuesta no válida. Se ha recibido un paquete que contenía datos no válidos.

547

Error durante un protocolo de enlace de IKE.

548

Error de inicio de sesión. El Id. de seguridad (SID) de un dominio de confianza no coincide con el SID del dominio de cuenta del cliente.

549

Error de inicio de sesión. Todos los SID que corresponden a espacios de nombres en los que no se confía se filtraron durante una autenticación entre bosques.

550

Mensaje de notificación que podría indicar un posible ataque de denegación de servicio.

551

Un usuario ha iniciado el proceso de cierre de sesión.

552

Un usuario ha iniciado sesión satisfactoriamente en un equipo mediante credenciales explícitas mientras todavía estaba registrado como un usuario diferente.

682

Un usuario se ha vuelto a conectar a una sesión de Terminal Server desconectada.

683

Un usuario se ha desconectado de una sesión de Terminal Server sin cerrar la sesión.

Nota

  • Este suceso se genera cuando un usuario se conecta a una sesión de Terminal Server a través de la red. Aparece en el servidor Terminal Server.

Cuando se registra el suceso 528, también se enumera un tipo de inicio de sesión en el registro de sucesos. En la tabla siguiente se describen los tipos de inicio de sesión.

 

Tipo de inicio de sesión Título de inicio de sesión Descripción

2

Interactive

Un usuario ha iniciado sesión en este equipo.

3

Network

Un usuario o equipo ha iniciado sesión en este equipo desde la red.

4

Batch

Este tipo de inicio lo utilizan los servidores de proceso por lotes, donde los procesos pueden ejecutarse en nombre de un usuario sin su intervención directa.

5

Service

El Administrador de control de servicios ha iniciado un servicio.

7

Unlock

La estación de trabajo se ha desbloqueado.

8

NetworkCleartext

Un usuario ha iniciado sesión en este equipo desde la red. La contraseña del usuario se ha transferido al paquete de autenticación en su forma sin valor de hash. Todos los paquetes de autenticación integrados aplican un algoritmo de hash a las credenciales antes de enviarlas a través de la red. Las credenciales no se transmiten a través de la red en texto sin formato (también denominado texto no cifrado).

9

NewCredentials

Un llamador ha clonado su símbolo actual y ha especificado nuevas credenciales para conexiones salientes. El nuevo inicio de sesión posee la misma identidad local, pero emplea credenciales diferentes para otras conexiones de red.

10

RemoteInteractive

Un usuario ha iniciado sesión de forma remota en el equipo mediante Servicios de Terminal Server o Escritorio remoto.

11

CachedInteractive

Un usuario ha iniciado sesión en el equipo con credenciales de red que se almacenaron localmente en el equipo. No se conectó con el controlador de dominio para comprobar las credenciales.

Para obtener más información acerca de los sucesos de seguridad, vea el apartado relativo a los sucesos de seguridad en el sitio Web de Kits de recursos de Microsoft Windows.

Para obtener más información, consulte:

¿Te ha resultado útil?
(Caracteres restantes: 1500)
Gracias por sus comentarios

Adiciones de comunidad

AGREGAR
Mostrar:
© 2014 Microsoft