Habilitar esta auditoría nos permitirá hacer un seguimiento de cada vez que un usuario inicia o cierra sesión en un equipo. El evento se registra en el log de seguridad del equipo donde se produce el intento. De forma similar, cuando un usuario o equipo conecta a un equipo remoto, se genera una entrada en el log de seguridad del equipo remoto para el inicio de sesión en red. Estos eventos se crean cuando el inicio de sesión y el token se crea o elimina.
En Windows 2000, ya que los inicios de sesión en Terminal Services se tratan como inicios interactivos, una sesión remota de TS registra un evento de inicio de sesión. Si habilitamos la auditoría en un equipo con servicios de Terminal, debemos diferenciar entre los inicios de sesión de consola y los de Terminal Services. En Windows 2003 y XP, los servicios de Terminal están diferenciados de los inicios de sesión interactivos.
Los eventos de inicio de sesión auditan los intentos de los usuarios de iniciar sesión y de los equipos donde lo intentan. Observaremos de forma separada las entradas para cuentas de equipo y cuentas de usuario si el intento es en una conexión de red.
* Si hay equipos aún con w95/98 sólo se registrarán los inicios de sesión de los usuarios ya que estos s.o. no tienen cuentas de equipo en el directorio y por tanto no generan entradas eventos de inicio de sesión en red.
Los eventos de inicio de sesión pueden ser útiles para el seguimiento de los intentos de inicios de sesión interactivos en servidores o para investigar ataques contra equipos específicos. Los aciertos generan una entrada cuando el intento ha tenido éxito, mientras, obviamente, los errores se registran cuando el intento ha sido fallido.
Una sutil e imperceptible diferencia, pero muy importante, existe entre auditar inicios de sesión de cuentas y de inicios de sesión; mientras los primeros se registran en el equipo donde se autentica la cuenta, los segundos lo hacen donde se usa la cuenta.
En los DC donde esté habilitada la auditoría se graban solamente los intentos de inicio de sesión interactivos o de red en el propio DC. Generándose entradas de aciertos o errores dependiendo del éxito del intento.
Debemos habilitar siempre ambos, aciertos y errores. Los aciertos nos proporcionan una base sobre el comportamiento de inicio de sesión del usuario que puede sernos útil en casos de comportamientos extraños. De forma similar, el registro de eventos con éxito es una evidencia en cualquier equipo que investiguemos. Al realizar el seguimiento de los eventos de error, podemos ser capaces de prevenir ataques de red o evitar daños a la misma respondiendo activamente a los comportamientos sospechosos.
Te hago una consulta:
En un dominio 2003 tengo habilitadas las auditorias y funcionan perfectamente pero tengo una duda, en el evento 540 no registra el dato de Estacion de Trabajo. Figura que se inicia sesion pero no indica en que estacion de trabajo la inicio.
Sugerencias?
Pero te saldrá la IP origen de red que te vale para saber desde qué equipo.