Auditar inicio de sesión
En este tema para profesionales de TI se describe la configuración de directiva de auditoría de seguridad avanzada Auditar inicio de sesión, que determina si el sistema operativo genera eventos de auditoría cuando un usuario intenta iniciar sesión en un equipo.
Estos eventos están relacionados con la creación de sesiones de inicio y se producen en el equipo al que se tuvo acceso. Para un inicio de sesión interactivo, los eventos se generan en el equipo que se inició sesión. Para un inicio de sesión de red, como el acceso a un recurso compartido, los eventos se generan en el equipo que hospeda el recurso al que se tuvo acceso.
Se registran los siguientes eventos:
Inicio de sesión correcto y con errores.
Intentos de inicio de sesión mediante el uso de credenciales explícitas. Este evento se genera cuando un proceso intenta iniciar sesión en una cuenta especificando explícitamente las credenciales de esa cuenta. Esto suele suceder en configuraciones por lotes, como tareas programadas o cuando se usa el comando Runas.
Se filtran los identificadores de seguridad (SID).
Los eventos de inicio de sesión son esenciales para realizar un seguimiento de la actividad del usuario y detectar posibles ataques.
Volumen de eventos: bajo en un equipo cliente; medio en un controlador de dominio o en el servidor de red
Valor predeterminado: correcto para equipos cliente; correcto y error para los servidores
Id. de evento | Mensaje de evento |
---|---|
4624 |
Se inició sesión correctamente en una cuenta. |
4625 |
No se pudo iniciar sesión en una cuenta. |
4648 |
Se intentó iniciar sesión con credenciales explícitas. |
4675 |
Se filtraron SID. |
Temas relacionados
Configuración de directiva de auditoría de seguridad avanzada