SEGURIDAD DE REDES II – AUDITORÍA INFORMÁTICA        Omar Moreno Ferro -Instituto SISE - Redes y Conectividad VI Ciclo    ...
SEGURIDAD DE REDES II – AUDITORÍA INFORMÁTICA       Omar Moreno Ferro -Instituto SISE - Redes y Conectividad VI CicloLa au...
SEGURIDAD DE REDES II – AUDITORÍA INFORMÁTICAOmar Moreno Ferro -Instituto SISE - Redes y Conectividad VI Ciclo        Vis...
SEGURIDAD DE REDES II – AUDITORÍA INFORMÁTICAOmar Moreno Ferro -Instituto SISE - Redes y Conectividad VI Ciclo        Prim...
SEGURIDAD DE REDES II – AUDITORÍA INFORMÁTICAOmar Moreno Ferro -Instituto SISE - Redes y Conectividad VI Ciclo        Es e...
SEGURIDAD DE REDES II – AUDITORÍA INFORMÁTICAOmar Moreno Ferro -Instituto SISE - Redes y Conectividad VI Ciclo        Ahor...
SEGURIDAD DE REDES II – AUDITORÍA INFORMÁTICAOmar Moreno Ferro -Instituto SISE - Redes y Conectividad VI Ciclo        Acá ...
SEGURIDAD DE REDES II – AUDITORÍA INFORMÁTICAOmar Moreno Ferro -Instituto SISE - Redes y Conectividad VI Ciclo        Y ac...
SEGURIDAD DE REDES II – AUDITORÍA INFORMÁTICAOmar Moreno Ferro -Instituto SISE - Redes y Conectividad VI Ciclo        CAS...
SEGURIDAD DE REDES II – AUDITORÍA INFORMÁTICAOmar Moreno Ferro -Instituto SISE - Redes y Conectividad VI Ciclo         CA...
SEGURIDAD DE REDES II – AUDITORÍA INFORMÁTICA      Omar Moreno Ferro -Instituto SISE - Redes y Conectividad VI Ciclo      ...
SEGURIDAD DE REDES II – AUDITORÍA INFORMÁTICA      Omar Moreno Ferro -Instituto SISE - Redes y Conectividad VI CicloSubcat...
SEGURIDAD DE REDES II – AUDITORÍA INFORMÁTICA      Omar Moreno Ferro -Instituto SISE - Redes y Conectividad VI Ciclo4733 S...
SEGURIDAD DE REDES II – AUDITORÍA INFORMÁTICA      Omar Moreno Ferro -Instituto SISE - Redes y Conectividad VI Ciclo4693 S...
SEGURIDAD DE REDES II – AUDITORÍA INFORMÁTICA      Omar Moreno Ferro -Instituto SISE - Redes y Conectividad VI CicloSubcat...
SEGURIDAD DE REDES II – AUDITORÍA INFORMÁTICA      Omar Moreno Ferro -Instituto SISE - Redes y Conectividad VI Ciclo      ...
SEGURIDAD DE REDES II – AUDITORÍA INFORMÁTICA      Omar Moreno Ferro -Instituto SISE - Redes y Conectividad VI CicloID.   ...
SEGURIDAD DE REDES II – AUDITORÍA INFORMÁTICA      Omar Moreno Ferro -Instituto SISE - Redes y Conectividad VI Ciclo4878 I...
SEGURIDAD DE REDES II – AUDITORÍA INFORMÁTICA       Omar Moreno Ferro -Instituto SISE - Redes y Conectividad VI Ciclo     ...
SEGURIDAD DE REDES II – AUDITORÍA INFORMÁTICA       Omar Moreno Ferro -Instituto SISE - Redes y Conectividad VI Ciclo5158 ...
SEGURIDAD DE REDES II – AUDITORÍA INFORMÁTICA      Omar Moreno Ferro -Instituto SISE - Redes y Conectividad VI Ciclo4659 S...
SEGURIDAD DE REDES II – AUDITORÍA INFORMÁTICA      Omar Moreno Ferro -Instituto SISE - Redes y Conectividad VI Ciclo4705 S...
SEGURIDAD DE REDES II – AUDITORÍA INFORMÁTICA      Omar Moreno Ferro -Instituto SISE - Redes y Conectividad VI Ciclo5047 S...
SEGURIDAD DE REDES II – AUDITORÍA INFORMÁTICA      Omar Moreno Ferro -Instituto SISE - Redes y Conectividad VI Ciclo      ...
SEGURIDAD DE REDES II – AUDITORÍA INFORMÁTICA      Omar Moreno Ferro -Instituto SISE - Redes y Conectividad VI Ciclo      ...
SEGURIDAD DE REDES II – AUDITORÍA INFORMÁTICA      Omar Moreno Ferro -Instituto SISE - Redes y Conectividad VI CicloID.   ...
SEGURIDAD DE REDES II – AUDITORÍA INFORMÁTICA      Omar Moreno Ferro -Instituto SISE - Redes y Conectividad VI Ciclo5485 A...
SEGURIDAD DE REDES II – AUDITORÍA INFORMÁTICA      Omar Moreno Ferro -Instituto SISE - Redes y Conectividad VI CicloID.   ...
Upcoming SlideShare
Loading in …5
×

Que es una auditoría informática omar moreno

846 views
668 views

Published on

Que es una Auditoría Informática

Published in: Education
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
846
On SlideShare
0
From Embeds
0
Number of Embeds
204
Actions
Shares
0
Downloads
24
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Que es una auditoría informática omar moreno

  1. 1. SEGURIDAD DE REDES II – AUDITORÍA INFORMÁTICA Omar Moreno Ferro -Instituto SISE - Redes y Conectividad VI Ciclo ¿QUE ES UNA AUDITORÍA INFORMÁTICA?El concepto de la auditoría es la inspección de una organización verificándola con un examencrítico que se realiza con el fin de comprobar la eficiencia o eficacia de la organización.Ahora cuando hablamos de auditoría en nuestro ámbito de la Informática, el concepto varía unpoco. En este ámbito nos referimos a la revisión técnica, especializada y exhaustiva que serealiza a los sistemas de cómputo, software e información utilizada en la empresa, estructurasde las redes instaladas, dispositivos que se utilicen, etc. A demás no solo se trata de un tematécnico, pues la auditoría informática también nos evaluará las normativas de seguridad que sepreestablecieron, si se llevan a cabo eficazmente los fines de la organización y se cumplen conlas leyes y regulaciones establecidas.Contamos con dos tipos de auditoría, que son lainterna y la externa:Auditoría Interna: Es aquella que se hace con elpersonal de una misma empresa. Es decir novienen personas de otra entidad para hacer elcontrol.Auditoría Externa: Como su nombre lo dice esaquella en la cual la empresa contrata personalde afuera, de otras entidades para que seencarguen de su auditoría.Auditar consiste principalmente en estudiar losmecanismos de control que están implantados en una empresa u organización, determinandosi los mismos cumplen o no los objetivos preestablecidos.Las estrategias o mecanismos que se emplean al momento de realizar el control pueden serdirectivos, preventivos, de detección, correctivos o de recuperación ante una contingencia. Ybien estos resultados pueden darnos a saber los errores y así corregirlos.Los principales objetivos que constituyen a la Auditoría Informática son:  El control de la función informática.  El análisis de la eficacia del Sistema Informático.  La verificación de la implantación de la Normativa.  La revisión de la gestión de los recursos informáticos.
  2. 2. SEGURIDAD DE REDES II – AUDITORÍA INFORMÁTICA Omar Moreno Ferro -Instituto SISE - Redes y Conectividad VI CicloLa auditoría se utiliza para hacer un seguimiento de las actividades de los usuarios y lossucesos globales del sistema en una red. Y se realizan con el fin de saber…  Cual fue la acción realizada  Que usuario realizo dicha acción  La fecha y hora de la acción 1. Implementación del Servidor de Auditoría.- Para la implementación de un sistema o servicio de Auditoria necesitamos un “Diseño del Plan de Auditoría”  Diseñar un Plan de Auditoría.- El plan de auditoria es utilizado para seleccionar los tipos de sucesos de seguridad que se van a registrar en una red. Los sucesos aparecerán en el registro de seguridad de los servidores con la herramienta administrativa que audite los sucesos. Puede establecerse un plan de auditoria en una red:  Hacer un seguimiento del éxito o el fracaso de los sucesos, como cuando los usuarios inician sesiones, el intento de un usuario concreto de leer un archivo especifico.  Determinar las alteraciones de usuarios, grupos y normativas de seguridad, directivas de grupo (GPO) etc.  Eliminar o minimizar el riesgo del uso no autorizado de los recursos.  Implementar el plan ya diseñado Los planes de auditoria se establecen equipo por equipo. Por ejemplo, para auditar sucesos que ocurren en un servidor, como inicios de sesión de los usuarios y cambios realizados a las cuentas de usuarios deben establecer un plan de auditoria en ese servidor. Para auditar sucesos de cualquier otro equipo de la red, como el acceder a un archivo de un equipo cualquiera, debe establecer un plan de auditoria en ese equipo.  Requisitos para una Auditoría Los requisitos para configurar y administrar la auditoria son los siguientes:  Sólo los administradores pueden configurar la auditoria en archivos, directorios e impresoras de controladores de dominio.  Los miembros tanto del grupo Administradores como el grupo Operadores del servidor pueden ver y archivar los registros de seguridad, así como realizar otras tareas administrativas una vez establecida la auditoria.  Solo puede auditar archivos y directorios de volúmenes NTFS.
  3. 3. SEGURIDAD DE REDES II – AUDITORÍA INFORMÁTICAOmar Moreno Ferro -Instituto SISE - Redes y Conectividad VI Ciclo  Visor de Sucesos.- El visor de sucesos es una herramienta que proporciona información acerca de errores, advertencias y el resultado correcto o incorrecto de una tarea. Esta información se almacena en tres tipos de registro:  Sistema: contiene errores, advertencias generadas por el sistema operativo. La selección de sucesos debe estar pre configurada en el sistema operativo de red.  Seguridad: contiene información acerca del éxito o el fracaso de los sucesos auditados. Estos sucesos son el resultado del plan de auditoria.  Aplicaciones: contiene errores, advertencias o información generada por los programas de sucesos esta pre configurada por el programador del programa.  Registro de Seguridad Consiste en una base de datos donde se guardan todos los sucesos que se están auditando en el equipo local, pero puede verlos desde cualquier equipo todos aquellos que tengan privilegios administrativos. En el registro de seguridad se almacenan tres tipos de información proveniente de los registros de:  Sistema  Seguridad  Aplicaciones  Monitorización de recursos de red Los recursos de la red se autorizan para evaluar y después administrar el uso de los recursos en servidores de red. Por ejemplo, se puede ver si un usuario está conectado a un archivo al que otro usuario está intentando tener acceso. Puede enviar un mensaje al usuario que está conectado al archivo y hacerle saber que alguien más necesita acceso al archivo. Durante la administración de servidores se pueden realizar las siguientes tareas:  Ver lista de usuarios conectados  Ver y administrar recursos compartidos  Ver los recursos abiertos  Enviar mensajes a los usuarios conectados  Crear lista de usuarios que recibirán alertas.  PASOS A SEGUIR PARA IMPLEMENTAR UNA AUDITORÍA.-
  4. 4. SEGURIDAD DE REDES II – AUDITORÍA INFORMÁTICAOmar Moreno Ferro -Instituto SISE - Redes y Conectividad VI Ciclo Primero ingresamos a “Administración de directivas de grupo” Ingresamos, desplegamos y damos clic derecho y editar a “Default Domain Controllers Policy” Ahora Seleccionamos los siguiente:
  5. 5. SEGURIDAD DE REDES II – AUDITORÍA INFORMÁTICAOmar Moreno Ferro -Instituto SISE - Redes y Conectividad VI Ciclo Es en esta direcctiva donde elejimos que es lo que se va a controlar o auditar Y acá estan las opciones de auditoría. Seleccionamos alguna de ellas y decidimos si vamos a editar los aciertos o los errores que se cometieron.
  6. 6. SEGURIDAD DE REDES II – AUDITORÍA INFORMÁTICAOmar Moreno Ferro -Instituto SISE - Redes y Conectividad VI Ciclo Ahora para las pruebas creamos y compartimos una carpeta y añadimos permisos, pero en la pestaña de seguridad seleccionamos opciones avanzadas y nos dirigimos a “Auditoría” Entonces añadimos al usuario que se quiere auditar.
  7. 7. SEGURIDAD DE REDES II – AUDITORÍA INFORMÁTICAOmar Moreno Ferro -Instituto SISE - Redes y Conectividad VI Ciclo Acá eligiremos que movimientos seran los que se van a auditar y luego registrar. Agregamos, aplicamos y aceptamos. Para ver los resultados ingresamos con una cuenta errónea.
  8. 8. SEGURIDAD DE REDES II – AUDITORÍA INFORMÁTICAOmar Moreno Ferro -Instituto SISE - Redes y Conectividad VI Ciclo Y accedemos a un recurso compartido en el cual no tenemos permisos. Ahora para ver los registros ingresamos al visor de eventos y desplegamos seguridad. Clic al error o acierto para observar los detalles.
  9. 9. SEGURIDAD DE REDES II – AUDITORÍA INFORMÁTICAOmar Moreno Ferro -Instituto SISE - Redes y Conectividad VI Ciclo  CASOS PRACTICOS  CASO1.- ESPIONAJE: Este caso o maniobra está calificada como delito en la mayoría de los países. Entonces los señores auditores deberán contar con la presencia de algún abogado quien los asesorará en la recolección de datos o evidencia para luego establecer un proceso penal. Somos una organización con nuestro propio sistema, controlador de domino, redes ya establecidas, etc. El administrador que tiene todos los conocimientos sobre nuestro sistema brinda ciertos privilegios de acceso a un recurso muy valioso a un empleado que tiene alguna jerarquía alta en la organización. Ahora es bueno recordar que no solo los ataques de espionaje o hacking se dan de personas externas a la organización o empresa. También se pueden tener atacantes internos porque se les hace más fácil acceder a nuestros recursos. Bien ahora sospechamos que un empleado está obteniendo información valiosa pero para otros fines que no competen a la empresa, esto no sería un acceso ilegítimo puesto que dicho empleado cuenta con los permisos requeridos. Al tener esta sospecha se establece un plan de auditoria. Y especificamos que se audite los inicios de sesión (fecha y hora), acceso, borrado, sobre escritura de carpetas que contengan información valiosa, para así llegar con el culpable y sancionarlo. Este ataque pudo haber tenido un fin ambicioso o lucrativo porque el empleado que utilizo sus privilegios en contra de su organización pudo haber vendido la información obtenida a la competencia de la empresa donde laboraba.  CASO2.- RECURSOS OTORGADOS INNECESARIOS Se detecta que dentro las horas de trabajo de un grupo de usuarios del área de ventas el tráfico de red se vuelve más pesado y/o lento. Y cuando el horario de trabajo de este grupo concluye el tráfico de red se restablece a la normalidad. Entonces el administrador decide auditar a este grupo usando la herramienta de la consola de rendimiento y la compara con una línea base de otro horario y se percata que efectivamente hay un mal uso del ancho de banda y recursos de la computadora, el administrador decide vigilar más a este grupo e incluso decide grabar o monitorear las funciones que llevan. Y descubren que acceden a redes sociales, descargan música atreves del programa Ares, e incluso instalan software que no tienen nada q ver con sus funciones (software que pueden contraer alguna infección). La decisión del administrador es establecer GPO más estrictas que denieguen el acceso a internet, instalación de programas, configuración del panel de control, etc. Ahora tendrán un entorno de Windows extremadamente básico que solo se enfocara en sus deberes para con el trabajo.
  10. 10. SEGURIDAD DE REDES II – AUDITORÍA INFORMÁTICAOmar Moreno Ferro -Instituto SISE - Redes y Conectividad VI Ciclo  CASO3.- PERMISOS ABSURDOS La organización de un call center decide renovar el personal en la administración de su controlador de dominio. El nuevo administrador analiza el desempeño y forma de trabajo de los usuarios. Detecta que simples usuarios tienen demasiados privilegios y decide auditar los movimientos o funciones que hacen. La organización cuenta por así decirlo con tres carpetas para el acceso de Gerencia, AdministraciónDC y Asesores. La carpeta gerencia cuenta con información de salarios, calendarios de eventos, etc. La carpeta Administración DC cuenta con aplicativos para las distintas áreas además de todo tipo de herramientas y software. La carpeta asesores cuenta con una plantilla de números y códigos telefónicos de todo el mundo para que los usuarios las empleen al momento de hacer sus llamadas. Las normativas dicen que según la jerarquía que tienes en la empresa podrás acceder al recurso especifico. Entonces el administrador al revisar los resultados de la auditoria encuentra que un par de asesores se paseaban por la carpeta AdministracionDC e instalaban lo que se les plazca. Encuentra también que un usuarios cuenta con demasiados privilegios (Acceso al panel de control, cambio de fecha y hora, instalación de programas, acceso al direccionamiento IP) y otro asesor cuenta con todos los derechos de Administrador. Entonces el actual administrador investiga y logra enterarse de que estos dos usuarios son familiares del administrador pasado, y que por simple familiaridad entre ellos se le otorgaron permisos especiales que nos les competen. El administrador gracias a su auditoria pone punto final a esta maniobra restableciendo los derechos o privilegios normales y simples que son destinados para un asesor cualquiera.
  11. 11. SEGURIDAD DE REDES II – AUDITORÍA INFORMÁTICA Omar Moreno Ferro -Instituto SISE - Redes y Conectividad VI Ciclo TABLA DE EVENTOS O SUCESOS DE SEGURIDAD EN UNA AUDITORÍA W7 Y WS2008La siguiente lista enumera los eventos por categoría y subcategoría, además nos muestra cómointerpretar los sucesos.*Fuente: Pagina web de Microsoft  http://support.microsoft.com/kb/977519/esCategoría: Inicio de sesión de cuentaSubcategoría: Validación de credencialesID. Mensaje4774 Se ha asignado una cuenta de inicio de sesión.4775 No se puede asignar una cuenta de inicio de sesión.4776 El equipo intenta validar las credenciales de una cuenta.4777 El controlador de dominio no se pudo validar las credenciales de una cuenta.Subcategoría: Servicio de autenticación de KerberosID. Mensaje4768 Se solicitó un vale de autenticación de Kerberos (TGT).4771 Error en la autenticación previa Kerberos.4772 Ha fallado una solicitud de vale de autenticación de Kerberos.Subcategoría: Las operaciones de vale de servicio KerberosID. Mensaje4769 Se solicitó un vale de servicio de Kerberos.4770 Se ha renovado un vale de servicio de Kerberos.4773 Ha fallado una solicitud de vale de servicio de Kerberos.Categoría: Administración de cuentasSubcategoría: Administración de grupo de aplicacionesID. Mensaje4783 Ha creado un grupo de aplicaciones básicas.4784 Se ha modificado un grupo de aplicaciones básicas.4785 Se ha agregado un miembro a un grupo de aplicaciones básicas.4786 Se ha quitado un miembro de un grupo de aplicaciones básicas.4787 Que no sea miembro se ha agregado a un grupo de aplicaciones básicas.4788 Se quitó un miembro de un grupo de aplicaciones básicas.4789 Se ha eliminado un grupo de aplicaciones básicas.4790 Se ha creado un grupo de consulta LDAP.4791 Se ha modificado un grupo de aplicaciones básicas.4792 Se ha eliminado un grupo de consulta LDAP.
  12. 12. SEGURIDAD DE REDES II – AUDITORÍA INFORMÁTICA Omar Moreno Ferro -Instituto SISE - Redes y Conectividad VI CicloSubcategoría: Administración de cuentas de equipoID. Mensaje4741 Se ha creado una cuenta de equipo.4742 Se ha modificado una cuenta de equipo.4743 Se ha eliminado una cuenta de equipo.Subcategoría: Administración de grupo de distribuciónID. Mensaje4744 Ha creado un grupo local con la seguridad deshabilitada.4745 Ha modificado un grupo local con la seguridad deshabilitada.4746 Se ha agregado un miembro a un grupo local con la seguridad deshabilitada.4747 Se ha quitado un miembro de un grupo local con la seguridad deshabilitada.4748 Se ha eliminado un grupo local con la seguridad deshabilitada.4749 Se creó un grupo global con la seguridad deshabilitada.4750 Ha modificado un grupo global con la seguridad deshabilitada.4751 Se ha agregado un miembro a un grupo global con la seguridad deshabilitada.4752 Se ha quitado un miembro de un grupo global con la seguridad deshabilitada.4753 Se ha eliminado un grupo global con la seguridad deshabilitada.4759 Ha creado un grupo universal con la seguridad deshabilitada.4760 Ha modificado un grupo universal con la seguridad deshabilitada.4761 Se ha agregado un miembro a un grupo universal con la seguridad deshabilitada.4762 Se ha quitado un miembro de un grupo universal con la seguridad deshabilitada.Subcategoría: Otros eventos de administración de cuentasID. Mensaje4782 Se obtuvo acceso el valor de hash de contraseña una cuenta.4793 Se llamó a la API de comprobación de directiva de contraseña.Subcategoría: Administración de grupo de seguridadID. Mensaje4727 Se ha creado un grupo global con seguridad habilitada.4728 Se ha agregado un miembro a un grupo global con seguridad habilitada.4729 Se ha quitado un miembro de un grupo global con seguridad habilitada.4730 Se ha eliminado un grupo global con seguridad habilitada.4731 Ha creado un grupo local con la seguridad habilitada.4732 Se ha agregado un miembro a un grupo local con la seguridad habilitada.
  13. 13. SEGURIDAD DE REDES II – AUDITORÍA INFORMÁTICA Omar Moreno Ferro -Instituto SISE - Redes y Conectividad VI Ciclo4733 Se ha quitado un miembro de un grupo local con la seguridad habilitada.4734 Se ha eliminado un grupo local con la seguridad habilitada.4735 Se ha modificado un grupo local con la seguridad habilitada.4737 Se ha modificado un grupo global con seguridad habilitada.4754 Ha creado un grupo universal con seguridad habilitada.4755 Se ha modificado un grupo universal con seguridad habilitada.4756 Se ha agregado un miembro a un grupo universal con seguridad habilitada.4757 Se ha quitado un miembro de un grupo universal con seguridad habilitada.4758 Se ha eliminado un grupo universal con seguridad habilitada.4764 Tipo de grupo se ha cambiado.Subcategoría: Administración de cuentas de usuarioID. Mensaje4720 Se ha creado una cuenta de usuario.4722 Se habilitó una cuenta de usuario.4723 Se ha intentado cambiar la contraseña de cuenta.4724 Se ha intentado restablecer la contraseña de cuenta.4725 Se ha deshabilitado una cuenta de usuario.4726 Se ha eliminado una cuenta de usuario.4738 Se ha modificado una cuenta de usuario.4740 Se ha bloqueado una cuenta de usuario.4765 SID History se ha agregado a una cuenta.4766 Error al intentar agregar SID History a una cuenta.4767 Se ha desbloqueado una cuenta de usuario.4780 La ACL se ha establecido en las cuentas que son miembros de grupos de administradores.4781 Se cambió el nombre de una cuenta:4794 Se ha intentado establecer el modo de restauración de servicios de directorio.5376 Las credenciales de administrador de credenciales realizó la copia.5377 Las credenciales de administrador de credenciales se restauran desde una copia de seguridad.Categoría: Realizar un seguimiento detalladoSubcategoría: Actividad DPAPIID. Mensaje4692 Se ha intentado efectuar copia de seguridad de clave de sesión de protección de datos.
  14. 14. SEGURIDAD DE REDES II – AUDITORÍA INFORMÁTICA Omar Moreno Ferro -Instituto SISE - Redes y Conectividad VI Ciclo4693 Se ha intentado iniciar la recuperación de clave de sesión de protección de datos.4694 Se intentó realizar la protección de datos protegidos auditables.4695 Se intentó realizar la desprotección de los datos protegidos auditables.Subcategoría: La creación del procesoID. Mensaje4688 Se ha creado un nuevo proceso.4696 Un símbolo (token) primario se ha asignado al proceso.Subcategoría: Finalización del procesoID. Mensaje4689 Un proceso ha terminado.Subcategoría: Eventos RPCID. Mensaje5712 Se intentó realizar una llamada a procedimiento remoto (RPC).Categoría: Acceso DSSubcategoría: Replicación del servicio de directorio detalladaID. Mensaje4928 Se ha establecido un contexto de nomenclatura de la fuente de réplica de Active Directory.4929 Se ha quitado un contexto de nomenclatura de la fuente de réplica de Active Directory.4930 Se modificó un contexto de nomenclatura de la fuente de réplica de Active Directory.4931 Se modificó un contexto de nombres de destino de réplica de Active Directory.4934 Se han replicado los atributos de un objeto de Active Directory.4935 Error de replicación se inicia.4936 Errores de replicación de los extremos.4937 Un objeto persistente se ha quitado una réplica.Subcategoría: Acceso al servicio de directorioID. Mensaje4662 Se realizó una operación en un objeto.Subcategoría: Los cambios de servicio de directorioID. Mensaje5136 Se modificó un objeto de servicio de directorio.5137 Se creó un objeto de servicio de directorio.5138 No se ha borrado un objeto de servicio de directorio.5139 Se ha movido un objeto de servicio de directorio.5141 Se ha eliminado un objeto de servicio de directorio.
  15. 15. SEGURIDAD DE REDES II – AUDITORÍA INFORMÁTICA Omar Moreno Ferro -Instituto SISE - Redes y Conectividad VI CicloSubcategoría: Replicación del servicio de directorioID. Mensaje4932 Ha comenzado la sincronización de una réplica de un contexto de nomenclatura de Active Directory.4933 Ha finalizado la sincronización de una réplica de un contexto de nomenclatura de Active Directory.Categoría: Inicio de sesión/cierre de sesiónSubcategoría: Modo extendido de IPsecID. Mensaje4978 Durante la negociación de modo extendido, IPsec ha recibido un paquete de negociación no válido. Si el problema persiste, puede indicar un problema de red o un intento de modificar o volver a reproducir esta negociación.4979 Se han establecido de modo principal IPsec y las asociaciones de seguridad de modo extendido.4980 Se han establecido de modo principal IPsec y las asociaciones de seguridad de modo extendido.4981 Se han establecido de modo principal IPsec y las asociaciones de seguridad de modo extendido.4982 Se han establecido de modo principal IPsec y las asociaciones de seguridad de modo extendido.4983 Una IPsec extiende la negociación de modo no se pudo. Se eliminó la asociación de seguridad de modo principal correspondiente.4984 Una IPsec extiende la negociación de modo no se pudo. Se eliminó la asociación de seguridad de modo principal correspondiente.Subcategoría: Modo de principal de IPsecID. Mensaje4646 Iniciada el modo de prevención de denegación de servicio de IKE.4650 Se ha establecido una asociación de seguridad de modo principal IPsec. No se habilitó el modo extendido. No se utilizó la autenticación de certificado.4651 Se ha establecido una asociación de seguridad de modo principal IPsec. No se habilitó el modo extendido. Un certificado se utiliza para la autenticación.4652 Error en una negociación de modo principal IPsec.4653 Error en una negociación de modo principal IPsec.4655 Una asociación de seguridad de IPsec de modo principal finalizó.4976 Durante la negociación de modo principal IPsec recibió un paquete de negociación no válido. Si el problema persiste, puede indicar un problema de red o un intento de modificar o volver a reproducir esta negociación.5049 Se ha eliminado una asociación de seguridad de IPsec.5453 Agente de directivas IPsec aplica Directiva de IPsec de almacenamiento de información
  16. 16. SEGURIDAD DE REDES II – AUDITORÍA INFORMÁTICA Omar Moreno Ferro -Instituto SISE - Redes y Conectividad VI Ciclo de Active Directory en el equipo.Subcategoría: Modo rápido de IPsecID. Mensaje4654 Error en una negociación de modo rápido IPsec.4977 Durante la negociación de modo rápido, IPsec ha recibido un paquete de negociación no válido. Si el problema persiste, puede indicar un problema de red o un intento de modificar o volver a reproducir esta negociación.5451 Se ha establecido una asociación de seguridad de modo rápido IPsec.5452 Una asociación de seguridad de IPsec de modo rápido finalizado.Subcategoría: cierre de sesiónID. Mensaje4634 Una cuenta se ha cerrado la sesión.4647 Cierre de sesión iniciada por el usuario.Subcategoría: inicio de sesiónID. Mensaje4624 Una cuenta se ha iniciado una sesión.4625 No se pudo iniciar sesión una cuenta.4648 Se ha intentado efectuar un inicio de sesión mediante credenciales explícitas.4675 Se han filtrado los SID.Subcategoría: Servidor de directivas de redID. Mensaje6272 Servidor de directivas de red había concedido acceso a un usuario.6273 Servidor de directivas de red había denegado el acceso a un usuario.6274 Servidor de directivas de red descarta la solicitud de un usuario.6275 Servidor de directivas de red descarta la solicitud de administración de cuentas para un usuario.6276 Servidor de directivas de red en cuarentena a un usuario.6277 Servidor de directivas de red había concedido acceso a un usuario pero colocar en período de prueba porque el host no cumplía con la directiva de mantenimiento definidas.6278 Servidor de directivas de red acceso completo a un usuario debido a que el host cumple la directiva de mantenimiento definidas.6279 Servidor de directivas de red había bloqueada la cuenta de usuario debido a intentos erróneos de autenticación repetidas.6280 Servidor de directivas de red desbloquear la cuenta de usuario.Subcategoría: Otros eventos de inicio de sesión/cierre de sesión
  17. 17. SEGURIDAD DE REDES II – AUDITORÍA INFORMÁTICA Omar Moreno Ferro -Instituto SISE - Redes y Conectividad VI CicloID. Mensaje4649 Se detectó un ataque de reproducción.4778 Se volvió a conectar una sesión a una estación de ventana.4779 Se ha desconectado una sesión desde una estación de ventana.4800 Se bloqueó la estación de trabajo.4801 La estación de trabajo se ha desbloqueado.4802 Se ha invocado el protector de pantalla.4803 Se cerró el protector de pantalla.5378 La delegación de credenciales solicitado no se ha permitido por la directiva.5632 Se realizó una solicitud para autenticar a una red inalámbrica.5633 Se realizó una solicitud para autenticarse en una red con cable.Subcategoría: Inicio de sesión especialID. Mensaje4964 Grupos especiales se han asignado a un nuevo inicio de sesión.Categoría: El acceso a objetosSubcategoría: Aplicación generadaID. Mensaje4665 Se ha intentado crear un contexto de cliente de aplicación.4666 Una aplicación intentó una operación:4667 Se ha eliminado un contexto de cliente de aplicación.4668 Una aplicación se puede inicializar.Subcategoría: Servicios de certificaciónID. Mensaje4868 El Administrador de certificados ha denegado una petición de certificado pendiente.4869 Servicios de Certificate Server recibieron una solicitud de certificado reenviada.4870 Servicios de Certificate Server revocan un certificado.4871 Servicios de Certificate Server recibieron una solicitud para publicar la lista de revocación de certificados (CRL).4872 Servicios de Certificate Server publican la lista de revocación de certificados (CRL).4873 Puede cambiar una extensión de solicitud de certificado.4874 Puede cambiar los atributos de solicitud de certificado.4875 Servicios de Certificate Server recibieron una solicitud para apagar.4876 Inicia la copia de seguridad de servicios de certificado.4877 Certificado de copia de seguridad de servicios realizada.
  18. 18. SEGURIDAD DE REDES II – AUDITORÍA INFORMÁTICA Omar Moreno Ferro -Instituto SISE - Redes y Conectividad VI Ciclo4878 Inició la restauración de servicios de certificado.4879 Completada la restauración de servicios Certificate Server.4880 Inician servicios de Certificate Server.4881 Detienen servicios de Certificate Server.4882 Puede cambiar los permisos de seguridad para servicios de Certificate Server.4883 Servicios de Certificate Server recuperaron una clave archivada.4884 Servicios de Certificate Server importaron un certificado a su base de datos.4885 Puede cambiar el filtro de auditoría para servicios de Certificate Server.4886 Servicios de Certificate Server recibieron una solicitud de certificado.4887 Servicios de Certificate Server aprobó una solicitud de certificado y emitió un certificado.4888 Servicios de Certificate Server ha denegado una petición de certificado.4889 Servicios de Certificate Server sea el estado de una solicitud de certificado pendiente.4890 Puede cambiar la configuración del Administrador de certificados para servicios de Certificate Server.4891 Una entrada de configuración puede cambiada en servicios de Certificate Server.4892 Cambia una propiedad de servicios de Certificate Server.4893 Servicios de Certificate Server archivan una clave.4894 Servicios de Certificate Server importaron y archivaron una clave.4895 Servicios de Certificate Server publican el certificado de entidad emisora de certificados en servicios de dominio de Active Directory.4896 Se eliminaron una o varias filas de la base de datos de certificado.4897 Función de separación habilitada:4898 Servicios de Certificate Server cargan una plantilla.4899 Se actualizó una plantilla de servicios de Certificate Server.4900 Seguridad de plantillas de servicios de certificado se ha actualizado.5120 Se inició el servicio de Respondedor OCSP.5121 Detener el servicio de Respondedor OCSP.5122 Una entrada de configuración puede cambiada en el servicio de Respondedor de OCSP.5123 Una entrada de configuración puede cambiada en el servicio de Respondedor de OCSP.5124 Una configuración de seguridad se actualizó de servicio de Respondedor de OCSP.5125 Se envió una solicitud al servicio de Respondedor de OCSP.5126 Certificado de firma se actualizó automáticamente por el servicio de Respondedor de
  19. 19. SEGURIDAD DE REDES II – AUDITORÍA INFORMÁTICA Omar Moreno Ferro -Instituto SISE - Redes y Conectividad VI Ciclo OCSP.5127 El proveedor de revocación de OCSP había actualizado correctamente la información de revocación.Subcategoría: Recurso compartido de archivos detalladosID. Mensaje5145 Un objeto de recurso compartido de red se comprueba para ver si se puede conceder el cliente desea acceso.Subcategoría: Recurso compartido de archivosID. Mensaje5140 Se tiene acceso a un objeto de recurso compartido de red.5142 Se ha agregado un objeto de recurso compartido de red.5143 Se modificó un objeto de recurso compartido de red.5144 Se ha eliminado un objeto de recurso compartido de red.5168 Comprobación de SPN de SMB/SMB2 falló.Subcategoría: Sistema de archivosID. Mensaje4664 Se ha intentado crear un vínculo físico.4985 El estado de una transacción ha cambiado.5051 para Un archivo fue una solución virtualizado.Subcategoría: Conexión de Filtering PlatformID. Mensaje5031 El servicio de Firewall de Windows bloquea una aplicación acepte conexiones entrantes en la red.5148 en La plataforma de filtrado de Windows ha detectado un ataque de denegación decaja servicio y entrado en un modo defensivo; se descartarán los paquetes asociados con este ataque.5149 El ataque de denegación de servicio se haya eliminado y se está reanudando el procesamiento normal.5150 La plataforma de filtrado de Windows ha bloqueado un paquete.5151 Un filtro más restrictivo de plataforma de filtrado de Windows ha bloqueado un paquete.5154 Windows Filtering Platform haya permitido que una aplicación o servicio para escuchar en un puerto para las conexiones entrantes.5155 La plataforma de filtrado de Windows ha bloqueado una aplicación o un servicio de escucha en un puerto para las conexiones entrantes.5156 Windows Filtering Platform haya permitido que una conexión.5157 La plataforma de filtrado de Windows ha bloqueado una conexión.
  20. 20. SEGURIDAD DE REDES II – AUDITORÍA INFORMÁTICA Omar Moreno Ferro -Instituto SISE - Redes y Conectividad VI Ciclo5158 Windows Filtering Platform haya permitido que un enlace a un puerto local.5159 La plataforma de filtrado de Windows ha bloqueado un enlace a un puerto local.Subcategoría: Colocación de paquetes de plataforma de filtradoID. Mensaje5152 La plataforma de filtrado de Windows ha bloqueado un paquete.5153 Un filtro más restrictivo de plataforma de filtrado de Windows ha bloqueado un paquete.Subcategoría: Identificador de manipulaciónID. Mensaje4656 Se ha solicitado un identificador para un objeto.4658 Se ha cerrado el identificador para un objeto.4690 Se intentó duplicar un controlador a un objeto.Subcategoría: Otros eventos de acceso de objetoID. Mensaje4671 Una aplicación intentó obtener acceso a un ordinal bloqueado a través de TBS.4691 Se ha solicitado acceso indirecto a un objeto.4698 Se creó una tarea programada.4699 Se ha eliminado una tarea programada.4700 Se habilitó una tarea programada.4701 Se ha deshabilitado una tarea programada.4702 Se ha actualizado una tarea programada.4702 Se ha actualizado una tarea programada.5888 Ha modificado un objeto en el catálogo COM +.5889 Un objeto se ha eliminado del catálogo de COM +.5890 Se agregó un objeto en el catálogo COM +.Subcategoría: registroID. Mensaje4657 Un valor del registro se modificó.5039 Una clave del registro se virtualiza.Subcategoría: subcategoría varios uso especialNota El siguiente suceso puede generarse mediante algún administrador de recursos cuandose habilita la subcategoría. Por ejemplo, el suceso siguiente puede generarse por elAdministrador de recursos del registro o por el Administrador de recursos de sistema dearchivos. El el acceso a objetos: objeto de Kernel y el acceso a objetos: SAM subcategoríasson ejemplos de las subcategorías que utilizar estos eventos de forma exclusiva.ID. Mensaje
  21. 21. SEGURIDAD DE REDES II – AUDITORÍA INFORMÁTICA Omar Moreno Ferro -Instituto SISE - Redes y Conectividad VI Ciclo4659 Se ha solicitado un identificador para un objeto con la intención de eliminar.4660 Se ha eliminado un objeto.4661 Se ha solicitado un identificador para un objeto.4663 Se ha intentado tener acceso a un objeto.Categoría: Cambio de directivaSubcategoría: Cambio de directiva de auditoríaID. Mensaje4715 Se ha cambiado la directiva de auditoría (SACL) en un objeto.4719 Se ha cambiado la directiva de auditoría del sistema.4817 Se han cambiado la configuración de auditoría en un objeto.4902 Se creó la tabla de normas de auditoría por usuario.4904 Se ha intentado registrar un origen de eventos de seguridad.4905 Se ha intentado anular el registro de un origen de eventos de seguridad.4906 El valor de CrashOnAuditFail ha cambiado.4907 Se han cambiado la configuración de auditoría en objeto.4908 Tabla de grupos de inicio de sesión especial por última vez.4912 Se ha cambiado por directiva de auditoría de usuario.Subcategoría: Cambio de directiva de autenticaciónID. Mensaje4706 Se creó una nueva confianza a un dominio.4707 Se ha quitado una confianza a un dominio.4713 Se ha cambiado la directiva Kerberos.4716 Se ha modificado la información de dominio de confianza.4717 Se ha concedido acceso al sistema de seguridad a una cuenta.4718 Acceso al sistema de seguridad se ha quitado una cuenta.4739 Se ha cambiado la directiva de dominio.4864 Se ha detectado una colisión de espacio de nombres.4865 Se ha agregado una entrada de información de bosque de confianza.4866 Se quitó una entrada de información de bosque de confianza.4867 Se modificó una entrada de información de bosque de confianza.Subcategoría: Cambio de directiva de autorizaciónID. Mensaje4704 Se asignó un derecho de usuario.
  22. 22. SEGURIDAD DE REDES II – AUDITORÍA INFORMÁTICA Omar Moreno Ferro -Instituto SISE - Redes y Conectividad VI Ciclo4705 Se ha quitado un derecho de usuario.4714 Directiva de grupo de agente de recuperación de datos para el sistema de archivos cifrados (EFS) ha cambiado. Se han aplicado los cambios nuevos.Subcategoría: Cambio de Filtering Platform directivaID. Mensaje4709 Se inició el servicio de agente de directivas IPsec.4710 Se deshabilitó el servicio de agente de directivas IPsec.4711 Puede contener cualquiera de estos procedimientos:  El motor PAStore aplicó copia en caché local de la directiva IPsec de almacenamiento de Active Directory en el equipo.  El motor PAStore aplicó la directiva IPsec de almacenamiento de información de Active Directory en el equipo.  El motor PAStore aplicó la directiva IPsec de almacenamiento de información de registro local en el equipo.  Error del motor PAStore al aplicar copia en caché local de la directiva IPsec de almacenamiento de Active Directory en el equipo.  Error del motor PAStore al aplicar directiva IPsec de almacenamiento de Active Directory en el equipo.  Error del motor PAStore al aplicar directiva IPsec de almacenamiento del registro local en el equipo.  Error del motor PAStore al aplicar algunas reglas de la directiva IPsec activa en el equipo.  Error del motor PAStore al cargar directiva de IPsec en el equipo de almacenamiento de información de directorio.  El motor PAStore cargó directiva de IPsec en el equipo de almacenamiento de información de directorio.  Error del motor PAStore al cargar directiva de IPsec en el equipo de almacenamiento local.  El motor PAStore cargó almacenamiento local de directiva de IPsec en el equipo.  El motor PAStore realizó un sondeo de cambios en la directiva IPsec activa y no detectó ningún cambio.4712 Agente de directivas IPsec ha encontrado un error potencialmente grave.5040 Se ha modificado la configuración IPsec. Se ha agregado un conjunto de autenticación.5041 Se ha modificado la configuración IPsec. Se modificó un conjunto de autenticación.5042 Se ha modificado la configuración IPsec. Se ha eliminado un conjunto de autenticación.5043 Se ha modificado la configuración IPsec. Se ha agregado una regla de seguridad de conexión.5044 Se ha modificado la configuración IPsec. Se ha modificado una regla de seguridad de conexión.5045 Se ha modificado la configuración IPsec. Se ha eliminado una regla de seguridad de conexión.5046 Se ha modificado la configuración IPsec. Se ha agregado un conjunto de cifrado.
  23. 23. SEGURIDAD DE REDES II – AUDITORÍA INFORMÁTICA Omar Moreno Ferro -Instituto SISE - Redes y Conectividad VI Ciclo5047 Se ha modificado la configuración IPsec. Se modificó un conjunto de cifrado.5048 Se ha modificado la configuración IPsec. Se ha eliminado un conjunto de cifrado.5440 La siguiente llamada estaba presente cuando se ha iniciado la plataforma de filtrado de Windows motor de filtrado de Base.5441 El siguiente filtro estaba presente cuando se ha iniciado la plataforma de filtrado de Windows motor de filtrado de Base.5442 El proveedor de la siguiente estaba presente cuando se ha iniciado la plataforma de filtrado de Windows motor de filtrado de Base.5443 El contexto de proveedor siguiente estaba presente cuando se ha iniciado la plataforma de filtrado de Windows motor de filtrado de Base.5444 La subcapa siguiente estaba presente cuando se ha iniciado la plataforma de filtrado de Windows motor de filtrado de Base.5446 Se ha cambiado una llamada de Windows Filtering Platform.5448 Se ha cambiado un proveedor de Windows Filtering Platform.5449 Ha cambiado un contexto de proveedor Windows Filtering Platform.5450 Se ha cambiado una subcapa de Windows Filtering Platform.5456 El motor PAStore aplicó la directiva IPsec de almacenamiento de información de Active Directory en el equipo.5457 Agente de directivas IPsec no se pudo aplicar la directiva IPsec de almacenamiento de información de Active Directory en el equipo.5458 Aplicar localmente el agente de directivas de IPsec copia de la directiva de IPsec en el equipo de almacenamiento de Active Directory almacenada en caché.5459 Agente de directivas IPsec no se pudo aplicar la copia en caché local de la directiva IPsec de almacenamiento de Active Directory en el equipo.5460 Agente de directivas IPsec aplica la directiva IPsec de almacenamiento de información de registro local en el equipo.5461 Agente de directivas IPsec no se pudo aplicar la directiva IPsec de almacenamiento de información de registro local en el equipo.5462 Agente de directivas IPsec no se pudo aplicar algunas reglas de la directiva IPsec activa en el equipo. Utilice el complemento Monitor de seguridad IP para diagnosticar el problema.5463 Agente de directivas IPsec sondeo de cambios en la directiva IPsec activa y no detectó ningún cambio.5464 Agente de directivas IPsec sondeo de cambios en la directiva IPsec activa, detectó cambios y aplicado el usuario.5465 Agente de directivas IPsec recibió un control para la recarga forzada de directiva IPsec y procesó el control correctamente.5466 Agente de directivas IPsec un sondeo de cambios en la directiva IPsec de Active
  24. 24. SEGURIDAD DE REDES II – AUDITORÍA INFORMÁTICA Omar Moreno Ferro -Instituto SISE - Redes y Conectividad VI Ciclo Directory, determinada que no se puede conectar Active Directory y utilizará la copia en caché de la directiva IPsec de Active Directory en su lugar. Los cambios realizados en la directiva IPsec de Active Directory ya que no se pudo aplicar el último sondeo.5467 Agente de directivas IPsec un sondeo de cambios en la directiva IPsec de Active Directory, determinada que Active Directory puede ser alcanzado y no encontró cambios en la directiva. No se que se utiliza la copia en caché de la directiva IPsec de Active Directory.5468 Sondeo de cambios en la directiva IPsec de Active Directory, el agente de directivas de IPsec determina que Active Directory se puede alcanzar, encontró cambios en la directiva y aplicar esos cambios. No se que se utiliza la copia en caché de la directiva IPsec de Active Directory.5471 Agente de directivas IPsec carga almacenamiento local de directiva de IPsec en el equipo.5472 Agente de directivas IPsec no se pudo cargar directiva de IPsec en el equipo de almacenamiento local.5473 Agente de directivas IPsec carga directiva de IPsec en el equipo de almacenamiento de información de directorio.5474 Agente de directivas IPsec no se pudo cargar directiva de IPsec en el equipo de almacenamiento de información de directorio.5477 Agente de directivas IPsec no se pudo agregar el filtro de modo rápido.Subcategoría: Cambio de directiva de nivel de reglas MPSSVCID. Mensaje4944 La siguiente directiva de estaba activa cuando se inició el servidor de seguridad de Windows.4945 Una regla se mostró cuando inicia el servidor de seguridad de Windows.4946 Se realiza un cambio en la lista de excepciones de Firewall de Windows. Se ha agregado una regla.4947 Se realiza un cambio en la lista de excepciones de Firewall de Windows. Se ha modificado una regla.4948 Se realiza un cambio en la lista de excepciones de Firewall de Windows. Se ha eliminado una regla.4949 Configuración de Firewall de Windows se restauró a los valores predeterminados.4950 Se ha cambiado una configuración de Firewall de Windows.4951 Firewall de Windows pasa por alto una regla debido a que no se reconoce su número de versión principal.4952 Firewall de Windows pasa por alto las partes de una regla debido a que no se reconoce su número de versión secundaria.Otras partes de la regla se aplicará.4953 Firewall de Windows pasa por alto una regla debido a que no se hubiera analizado.4954 Configuración de directiva de grupo para Firewall de Windows se han cambiado y se han
  25. 25. SEGURIDAD DE REDES II – AUDITORÍA INFORMÁTICA Omar Moreno Ferro -Instituto SISE - Redes y Conectividad VI Ciclo aplicado la nueva configuración.4956 Firewall de Windows puede cambiar el perfil activo.4957 Firewall de Windows no aplicó la siguiente regla:4958 Firewall de Windows no aplicó la siguiente regla porque la regla que se refiere a los elementos no configurados en este equipo:5050 Se rechazó un intento de deshabilitar Firewall de Windows mediante una llamada a INetFwProfile.FirewallEnabled(FALSE) interfaz mediante programación porque esta API no es compatible con esta versión de Windows. Esto suele deberse a un programa que no es compatible con esta versión de Windows. Por favor, póngase en contacto con el fabricante del programa para asegurarse de que tiene una versión de programa compatible.Subcategoría: Otros eventos de cambio de directivaID. Mensaje4909 Se han cambiado la configuración de directiva local para el TBS.4910 Se han cambiado la configuración de directiva de grupo para el TBS.5063 Se intentó una operación de proveedor de servicios criptográficos.5064 Se intentó una operación de contexto de cifrado.5065 Se ha intentado efectuar una modificación de contexto de cifrado.5066 Se intentó una operación de función criptográfica.5067 Se ha intentado efectuar una modificación de la función criptográfica.5068 Se intentó una operación de proveedor de función criptográfica.5069 Se intentó una operación de propiedad de función criptográfica.5070 Se ha intentado efectuar una modificación de la propiedad de función criptográfica.5447 Ha cambiado un filtro de Windows Filtering Platform.6144 Directiva de seguridad en los objetos de directiva de grupo se ha aplicado correctamente.6145 Se ha producido uno o más errores al procesar la directiva de seguridad en los objetos de directiva de grupo.Subcategoría: subcategoría varios uso especialNota El siguiente suceso puede generarse mediante algún administrador de recursos cuandose habilita la subcategoría. Por ejemplo, el suceso siguiente puede generarse por elAdministrador de recursos del registro o por el Administrador de recursos de sistema dearchivos.ID. Mensaje4670 Se cambiaron los permisos en un objeto.Categoría: El uso de privilegiosSubcategoría: Uso de privilegios entre mayúsculas y minúsculas y el uso de privilegios no esde vital importancia
  26. 26. SEGURIDAD DE REDES II – AUDITORÍA INFORMÁTICA Omar Moreno Ferro -Instituto SISE - Redes y Conectividad VI CicloID. Mensaje4672 Privilegios especiales asignados al nuevo inicio de sesión.4673 Se llama a un servicio con privilegios.4674 Se intentó una operación en un objeto con privilegios.Categoría: sistemaSubcategoría: Controlador de IPsecID. Mensaje4960 IPsec descartó un paquete de entrada que no se pudo una comprobación de integridad. Si el problema persiste, eso podría significar que un problema de red o que los paquetes se están modificando en tránsito a este equipo. Compruebe que los paquetes enviados desde el equipo remoto son las mismas que las recibidas por este equipo. Este error también puede indicar problemas de interoperabilidad con otras implementaciones de IPsec.4961 IPsec descartó un paquete de entrada que no se pudo una comprobación de la reproducción. Si el problema persiste, podría indicar un ataque de reproducción con respecto a este equipo.4962 IPsec descartó un paquete de entrada que no se pudo una comprobación de la reproducción. El paquete de entrada tenía un número demasiado bajo secuencia para asegurarse de no era una repetición.4963 IPsec descartó un paquete de entrada de texto sin cifrar que debía haberse establecido. Si el equipo remoto está configurado con una directiva de solicitud saliente IPsec, podría resultar benignos y esperadas. También puede deberse a que éste remoto cambiando su directiva IPsec sin que le informa de este equipo. Esto también podría ser un intento de ataque de suplantación de identidad.4965 IPsec ha recibido un paquete desde un equipo remoto con un índice de parámetro de seguridad (SPI) incorrecto.Normalmente, se debe a hardware defectuoso que se está dañando paquetes. Si los errores persisten, compruebe que los paquetes enviados desde el equipo remoto son las mismas que las recibidas por este equipo. Este error también puede indicar problemas de interoperabilidad con otras implementaciones de IPsec. En ese caso, si no se impide la conectividad, pueden ignorar estos eventos.5478 Se inició el servicio de agente de directivas IPsec.5479 Servicios IPsec se cerró correctamente. El cierre de los servicios IPsec puede suponer un mayor riesgo de ataque de red o el equipo expuesto a posibles riesgos de seguridad.5480 Agente de directivas IPsec no se pudo obtener la lista completa de interfaces de red en el equipo. Esto supone un riesgo de seguridad ya que algunas de las interfaces de red pueden no obtener la protección proporcionada por los filtros IPsec aplicados. Utilice el complemento Monitor de seguridad IP para diagnosticar el problema.5483 El servicio de agente de directivas IPsec no se pudo inicializar su servidor RPC. No se pudo iniciar el servicio.5484 El servicio de agente de directivas IPsec un error grave y se ha cerrado. El cierre de este servicio puede suponer un mayor riesgo de ataque de red o el equipo expuesto a posibles riesgos de seguridad.
  27. 27. SEGURIDAD DE REDES II – AUDITORÍA INFORMÁTICA Omar Moreno Ferro -Instituto SISE - Redes y Conectividad VI Ciclo5485 Agente de directivas IPsec no pudo procesar algunos filtros IPsec en un evento de plug- and-play para interfaces de red. Esto supone un riesgo de seguridad ya que algunas de las interfaces de red pueden no obtener la protección proporcionada por los filtros IPsec aplicados. Utilice el complemento Monitor de seguridad IP para diagnosticar el problema.Subcategoría: Otros eventos del sistemaID. Mensaje5024 El servicio de Firewall de Windows se inició correctamente.5025 Se detuvo el servicio de Firewall de Windows.5027 El servicio de Firewall de Windows no pudo recuperar la directiva de seguridad desde el almacenamiento local. Firewall de Windows seguirá aplicando la directiva actual.5028 Firewall de Windows no pudo analizar la nueva directiva de seguridad. Firewall de Windows seguirá aplicando la directiva actual.5029 El servicio de Firewall de Windows no pudo inicializar el controlador. Firewall de Windows seguirá aplicando la directiva actual.5030 No se pudo iniciar el servicio de Firewall de Windows.5032 Firewall de Windows no puede notificar al usuario que ha bloqueado una aplicación acepte conexiones entrantes en la red.5033 El controlador de servidor de seguridad de Windows se inició correctamente.5034 Se ha detenido el controlador de servidor de seguridad de Windows.5035 No se pudo iniciar el controlador de servidor de seguridad de Windows.5037 El controlador de servidor de seguridad de Windows detectó un error en tiempo de ejecución críticos, terminar.5058 Operación de archivo de clave.5059 Operación de principales de la migración.6400 BranchCache: Ha recibido una respuesta con formato incorrecto durante el descubrimiento de disponibilidad del contenido.6401 BranchCache: Recibido datos no válidos de un elemento del mismo nivel. Se descartaron datos.6403 BranchCache: La memoria caché hospedada envió una respuesta con formato incorrecto al cliente.6404 BranchCache: Memoria caché hospedada no se puede autenticar con el certificado SSL con provisioning.6405 BranchCache: se ha producido todas las instancias de %2 de id. de suceso %1.6406 puede registrar %1 a Firewall de Windows al control de filtrado para lo siguiente: %26407 % 1Subcategoría: Cambio de estado de seguridad
  28. 28. SEGURIDAD DE REDES II – AUDITORÍA INFORMÁTICA Omar Moreno Ferro -Instituto SISE - Redes y Conectividad VI CicloID. Mensaje4608 Windows se está iniciando.4616 Se cambió la hora del sistema.4621 Administrador recuperado del sistema de CrashOnAuditFail. Los usuarios que no son administradores ahora permitirá iniciar sesión. Es posible que no se han registrado algunas actividades auditables.Subcategoría: Extensión de sistema de seguridadID. Mensaje4610 La autoridad de seguridad Local ha cargado un paquete de autenticación.4611 Un proceso de inicio de sesión confiable se registró con la autoridad de seguridad Local.4614 Un paquete de notificación se ha cargado por el Administrador de cuentas de seguridad.4622 La autoridad de seguridad Local ha cargado un paquete de seguridad.4697 Un servicio se instaló en el sistema.Subcategoría: Integridad del sistemaID. Mensaje4612 Se han agotado los recursos internos asignados para la puesta en cola de mensajes de auditoría, provocando la pérdida de algunas auditorías.4615 Uso no válido de puerto LPC.4618 Se ha producido un modelo de eventos de seguridad supervisados.4816 RPC ha detectado una infracción de integridad al descifrar un mensaje entrante.5038 Integridad de código determinó que el valor de hash de imagen de un archivo no es válido. El archivo podría estar dañado debido a la modificación no autorizada o el valor de hash no válido podría indicar un posible problema de dispositivo de disco.5056 Se realizó una prueba criptográfica.5057 Error en una operación primitiva criptográfica.5060 Error en la operación de verificación.5061 Operación criptográfica.5062 Se ha realizado un cifrado de que pruebas automáticas de encendido en modo de núcleo.6281 Integridad de código determinó que los valores de hash de la página de un archivo de imagen no son válidos. El archivo se pudo convertir incorrectamente con signo sin los hash de página o está dañado debido a la modificación no autorizada. Los valores de hash no válidos podrían indicar un posible problema de dispositivo de disco

×