Forums Últimos mensajes - Powered by IBM
 
Tags Palabras claves

Registro de seguridad del sistema (Auditorias)

30/10/2006 - 13:09 por David | Informe spam
Ayuda Hacer una pregunta
SAludos a todos...
Hace unos dias que he activado en mi servidor de dominio algunas auditorias,
no se si será casualidad o no pero a partir de ese momento a algunos
usuarios, cada cierto tiempo, y esto puede ser dia si dia no, se les llena el
registro del sistema de seguridad con lo cual tengo que ir y vaciárselo para
que puedan trabajar en dominio.

Cuando lo miro veo muchos errores con estos parámetros "EL firewall de
windows detectó una aplicación al escuchar el tráfico entrante"

SVchost.exe
id:1260
user: SYSTEM
dominio del usuario: NT AUTHORITY

Esto antes no pasaba, podeis decirme si tiene algo que ver con las
auditorias que he tocado??, porque habla del firewall, si los usuarios no
tienen el firewall activado???

Muchas Gracias a todos


David
email Siga el debateRespuesta 23 respuestasRespuesta Tengo una respuesta

Preguntas similare

Leer las respuestas

#21 Javier Inglés [MS MVP]
03/11/2006 - 15:04 | Informe spam
Vamos a empezar de 0.

En la directiva de seguridad del dominio -no de seguridad local, ni del
controlador de dominio- o en la GPO de una OU donde haya equipos colgando
(si lo has hecho en una GPO de una OU donde no hay equipos, normal que no
funcione), activa las auditorías a objetos. Eso, o si lo prefieres para
ahcerlo más sencillo, en uno de los equipos miembro del dominio, en la
directiva de seguridad local lo activas

Reinicia uno de los equipos a los que se le debe aplicar la GPO. En una
carpeta del server, activa la auditoría para un usuario o grupo.

Haz algo en donde se supone está activa la auditoría con ese user; en el log
de seguridad del equipo tienes el resultado

Salu2!!
Javier Inglés
https://mvp.support.microsoft.com/p...B5567431B0
MS MVP, Windows Server-Directory Services




"David" escribió en el mensaje
news:
si si , eso ya lo tengo hecho tambien

DAvid

"Javier Inglés [MS MVP]" wrote:

porque a parte de activar el acceso a objetos en la directiva, luego een
el
objeto (una carpeta por ejemplo) debes configurar lo que quieres y a
quién
quieres que se audite en sus propiedades

Salu2!!
Javier Inglés
https://mvp.support.microsoft.com/p...B5567431B0
MS MVP, Windows Server-Directory Services




"David" escribió en el mensaje
news:
> Buenas ...
> Pues he activado auditar acceso a objetos para un usuario, y en el
> visor
> de
> sucesos , no aparecen ni errores ni aciertos de este usuario en esos
> objetos...
>
> David
>
> "Ramon Jiménez [MVP]" wrote:
>
>> En el Log de Seguridad del Visor de Sucesos deberías ver todos los
>> eventos
>> que las auditorías que has activado registran.
>>
>> Ramon
>>
>> "David" wrote in message
>> news:
>> > Buenos dias de nuevo...
>> >
>> > Pues lo que he modificado es la directiva de seguridad del dominio
>> > Y realmente en el visor de sucesos del servidor de dominio no veo
>> > nada
>> > sobre
>> > estas auditorias activadas, me dijiste que tenia que activar que se
>> > viera
>> > por
>> > el visor de sucesos, pero no acabo de encontrar este parámetro
>> >
>> >
>> >
>> > David
>> >
>> > "Javier Inglés [MS MVP]" wrote:
>> >
>> >> Si has modificado la directiva de seguridad del DC, así es, si has
>> >> modificado la de dominio u otra GPO de una OU, es a máquinas
>> >>
>> >> Salu2!!
>> >> Javier Inglés
>> >> https://mvp.support.microsoft.com/p...B5567431B0
>> >> MS MVP, Windows Server-Directory Services
>> >>
>> >>
>> >>
>> >>
>> >> "David" escribió en el mensaje
>> >> news:
>> >> > Esto empezó cuando en el servidor de dominio modifiqué algunas
>> >> > auditorias,
>> >> > pero yo creia que esto quedaba reflejado en el visor de sucesos
>> >> > del
>> >> > servidor
>> >> > de dominio, no de los usuarios de este dominio en sus máquinas
>> >> > locales
>> >> >
>> >> > David
>> >> >
>> >> > "Javier Inglés [MS MVP]" wrote:
>> >> >
>> >> >> eso es error de auditoría, el evento como tal es o de
>> >> >> advertencia o
>> >> >> de
>> >> >> información
>> >> >>
>> >> >> Salu2!!
>> >> >> Javier Inglés
>> >> >> https://mvp.support.microsoft.com/p...B5567431B0
>> >> >> MS MVP, Windows Server-Directory Services
>> >> >>
>> >> >>
>> >> >>
>> >> >>
>> >> >> "David" escribió en el mensaje
>> >> >> news:
>> >> >> > Bueno, en el evento de seguridad aparace como un candado
>> >> >> > cerrado
>> >> >> > y
>> >> >> > pone
>> >> >> > error...
>> >> >> >
>> >> >> > De todas formas, voy a investigar un poco más, viendo que
>> >> >> > parando
>> >> >> > el
>> >> >> > servicio al menos no se me llena el visor de sucesos voy más
>> >> >> > tranquilo
>> >> >> >
>> >> >> > Muchas Gracias
>> >> >> >
>> >> >> > David
>> >> >> >
>> >> >> > "Javier Inglés [MS MVP]" wrote:
>> >> >> >
>> >> >> >> Si miras bien, dudo que el mensjae sea de error, si no de
>> >> >> >> información
>> >> >> >> o
>> >> >> >> advertencia, y simplemente indica que el firewall ha recibido
>> >> >> >> una
>> >> >> >> conexión
>> >> >> >> entrante, por lo que no es problema -y menos si borras el log
>> >> >> >> de
>> >> >> >> seguridad-;
>> >> >> >> si no lo necesitas, mira qué tipo de eventos estás auditando
>> >> >> >> para
>> >> >> >> quitar
>> >> >> >> aquellos que no te hagan falta
>> >> >> >>
>> >> >> >> Salu2!!
>> >> >> >> Javier Inglés
>> >> >> >> https://mvp.support.microsoft.com/p...B5567431B0
>> >> >> >> MS MVP, Windows Server-Directory Services
>> >> >> >>
>> >> >> >>
>> >> >> >>
>> >> >> >>
>> >> >> >> "David" escribió en el
>> >> >> >> mensaje
>> >> >> >> news:
>> >> >> >> > Lo acabo de hacer, y bien, correcto, pero me gustaria saber
>> >> >> >> > porque
>> >> >> >> > me
>> >> >> >> > hace
>> >> >> >> > tantas entradas el svchost, si necesito el firewall tendré
>> >> >> >> > que
>> >> >> >> > solucionar
>> >> >> >> > este tema.
>> >> >> >> >
>> >> >> >> > Muchas Gracias Javier
>> >> >> >> >
>> >> >> >> > David
>> >> >> >> >
>> >> >> >> > "Javier Inglés [MS MVP]" wrote:
>> >> >> >> >
>> >> >> >> >> Para el servicio de Firewall
>> >> >> >> >>
>> >> >> >> >> Salu2!!
>> >> >> >> >> Javier Inglés
>> >> >> >> >> https://mvp.support.microsoft.com/p...B5567431B0
>> >> >> >> >> MS MVP, Windows Server-Directory Services
>> >> >> >> >>
>> >> >> >> >>
>> >> >> >> >>
>> >> >> >> >>
>> >> >> >> >> "David" escribió en el
>> >> >> >> >> mensaje
>> >> >> >> >> news:
>> >> >> >> >> > hummm, estoy viendo que el servicio de Firewall de
>> >> >> >> >> > windows/conexion
>> >> >> >> >> > compartida de internet (ics) está automático y activado.
>> >> >> >> >> > Pero
>> >> >> >> >> > si
>> >> >> >> >> > voy
>> >> >> >> >> > a
>> >> >> >> >> > panel
>> >> >> >> >> > de control firewall, está desactivado
>> >> >> >> >> >
>> >> >> >> >> > David
>> >> >> >> >> >
>> >> >> >> >> > "Javier Inglés [MS MVP]" wrote:
>> >> >> >> >> >
>> >> >> >> >> >> y el firewall de windows seguro que no está activo?
>> >> >> >> >> >>
>> >> >> >> >> >> Salu2!!
>> >> >> >> >> >> Javier Inglés
>> >> >> >> >> >> https://mvp.support.microsoft.com/p...B5567431B0
>> >> >> >> >> >> MS MVP, Windows Server-Directory Services
>> >> >> >> >> >>
>> >> >> >> >> >>
>> >> >> >> >> >>
>> >> >> >> >> >>
>> >> >> >> >> >> "David" escribió en
>> >> >> >> >> >> el
>> >> >> >> >> >> mensaje
>> >> >> >> >> >> news:
>> >> >> >> >> >> > Pues mira, el mensaje del visor de sucesos de
>> >> >> >> >> >> > seguridad
>> >> >> >> >> >> > es
>> >> >> >> >> >> > el
>> >> >> >> >> >> > mismo
>> >> >> >> >> >> > y
>> >> >> >> >> >> > se
>> >> >> >> >> >> > repite a veces 3 veces por segundo
>> >> >> >> >> >> >
>> >> >> >> >> >> > y es el siguiente:
>> >> >> >> >> >> >
>> >> >> >> >> >> > El firewall de windows detectó una aplicación al
>> >> >> >> >> >> > escuchar
>> >> >> >> >> >> > el
>> >> >> >> >> >> > tráfico
>> >> >> >> >> >> > entrante
>> >> >> >> >> >> > svchost.exe
>> >> >> >> >> >> > id: 1260
>> >> >> >> >> >> > usuario: SYSTEM
>> >> >> >> >> >> > dominio del usuario: NT AUTHORITY
>> >> >> >> >> >> > puerto: 68
>> >> >> >> >> >> >
>> >> >> >> >> >> > mirando una link que lleva a una ventana emergente
>> >> >> >> >> >> > dice
>> >> >> >> >> >> > que
>> >> >> >> >> >> > hace
>> >> >> >> >> >> > referencia
>> >> >> >> >> >> > al fichero xpsp2res.dll
>> >> >> >> >> >> >
>> >> >> >> >> >> > Muchas Gracias javier
>> >> >> >> >> >> >
>> >> >> >> >> >> > David
>> >> >> >> >> >> >
>> >> >> >> >> >> > "Javier Inglés [MS MVP]" wrote:
>> >> >> >> >> >> >
>> >> >> >> >> >> >> pon el mensaje entero del visor
>> >> >> >> >> >> >>
>> >> >> >> >> >> >> Salu2!!
>> >> >> >> >> >> >> Javier Inglés
>> >> >> >> >> >> >> https://mvp.support.microsoft.com/p...B5567431B0
>> >> >> >> >> >> >> MS MVP, Windows Server-Directory Services
>> >> >> >> >> >> >>
>> >> >> >> >> >> >>
>> >> >> >> >> >> >>
>> >> >> >> >> >> >>
>> >> >> >> >> >> >> "David" escribió
>> >> >> >> >> >> >> en
>> >> >> >> >> >> >> el
>> >> >> >> >> >> >> mensaje
>> >> >> >> >> >> >> news:
>> >> >> >> >> >> >> > Osea, que se machaquen los eventos???
>> >> >> >> >> >> >> >
>> >> >> >> >> >> >> > Pero porque en los clientes me estan apareciendo
>> >> >> >> >> >> >> > ahora
>> >> >> >> >> >> >> > sobre
>> >> >> >> >> >> >> > todo
>> >> >> >> >> >> >> > este
>> >> >> >> >> >> >> > error
>> >> >> >> >> >> >> > de Svchost y porque me dice que el firewall lo
>> >> >> >> >> >> >> > detecta
>> >> >> >> >> >> >> > si
>> >> >> >> >> >> >> > no
>> >> >> >> >> >> >> > estan
>> >> >> >> >> >> >> > levantados??
>> >> >> >> >> >> >> >
>> >> >> >> >> >> >> > David
>> >> >> >> >> >> >> >
>> >> >> >> >> >> >> > "Javier Inglés [MS MVP]" wrote:
>> >> >> >> >> >> >> >
>> >> >> >> >> >> >> >> Pon por GPO que los visores de evento se
>> >> >> >> >> >> >> >> reescriban
>> >> >> >> >> >> >> >> cuando
>> >> >> >> >> >> >> >> sea
>> >> >> >> >> >> >> >> posible
>> >> >> >> >> >> >> >>
>> >> >> >> >> >> >> >> Salu2!!
>> >> >> >> >> >> >> >> Javier Inglés
>> >> >> >> >> >> >> >> https://mvp.support.microsoft.com/p...B5567431B0
>> >> >> >> >> >> >> >> MS MVP, Windows Server-Directory Services
>> >> >> >> >> >> >> >>
>> >> >> >> >> >> >> >>
>> >> >> >> >> >> >> >>
>> >> >> >> >> >> >> >>
>> >> >> >> >> >> >> >> "David"
>> >> >> >> >> >> >> >> escribió
>> >> >> >> >> >> >> >> en
>> >> >> >> >> >> >> >> el
>> >> >> >> >> >> >> >> mensaje
>> >> >> >> >> >> >> >> news:
>> >> >> >> >> >> >> >> > SAludos a todos...
>> >> >> >> >> >> >> >> > Hace unos dias que he activado en mi servidor
>> >> >> >> >> >> >> >> > de
>> >> >> >> >> >> >> >> > dominio
>> >> >> >> >> >> >> >> > algunas
>> >> >> >> >> >> >> >> > auditorias,
>> >> >> >> >> >> >> >> > no se si será casualidad o no pero a partir de
>> >> >> >> >> >> >> >> > ese
>> >> >> >> >> >> >> >> > momento
>> >> >> >> >> >> >> >> > a
>> >> >> >> >> >> >> >> > algunos
>> >> >> >> >> >> >> >> > usuarios, cada cierto tiempo, y esto puede ser
>> >> >> >> >> >> >> >> > dia
>> >> >> >> >> >> >> >> > si
>> >> >> >> >> >> >> >> > dia
>> >> >> >> >> >> >> >> > no,
>> >> >> >> >> >> >> >> > se
>> >> >> >> >> >> >> >> > les
>> >> >> >> >> >> >> >> > llena
>> >> >> >> >> >> >> >> > el
>> >> >> >> >> >> >> >> > registro del sistema de seguridad con lo cual
>> >> >> >> >> >> >> >> > tengo
>> >> >> >> >> >> >> >> > que
>> >> >> >> >> >> >> >> > ir
>> >> >> >> >> >> >> >> > y
>> >> >> >> >> >> >> >> > vaciárselo
>> >> >> >> >> >> >> >> > para
>> >> >> >> >> >> >> >> > que puedan trabajar en dominio.
>> >> >> >> >> >> >> >> >
>> >> >> >> >> >> >> >> > Cuando lo miro veo muchos errores con estos
>> >> >> >> >> >> >> >> > parámetros
Respuesta Responder a este mensaje
#22 David
07/11/2006 - 10:01 | Informe spam
Perdona la tardanza javier...

Todo eso que me detallas lo tengo ya hecho, activadas auditorias de
seguridad de dominio sobre un usuario, he compartido una carpeta solo para
administrador con la seguridad solo para admin, y he activado las auditorias
sobre esa carpeta del usuario que no es admin.

Intento acceder a ella y como es normal no puedo entrar, deberia crearse un
error o una auditación del evento sobre el visor de sucesos , en seguridad,
no es así???

Eso no me pasa, lo que si teno es un monton de entradas con un candado
cerrado que pone errores y es un seguimiento detallado

Una saludo y muchas Gracias

David

"Javier Inglés [MS MVP]" wrote:

Vamos a empezar de 0.

En la directiva de seguridad del dominio -no de seguridad local, ni del
controlador de dominio- o en la GPO de una OU donde haya equipos colgando
(si lo has hecho en una GPO de una OU donde no hay equipos, normal que no
funcione), activa las auditorías a objetos. Eso, o si lo prefieres para
ahcerlo más sencillo, en uno de los equipos miembro del dominio, en la
directiva de seguridad local lo activas

Reinicia uno de los equipos a los que se le debe aplicar la GPO. En una
carpeta del server, activa la auditoría para un usuario o grupo.

Haz algo en donde se supone está activa la auditoría con ese user; en el log
de seguridad del equipo tienes el resultado

Salu2!!
Javier Inglés
https://mvp.support.microsoft.com/p...B5567431B0
MS MVP, Windows Server-Directory Services




"David" escribió en el mensaje
news:
> si si , eso ya lo tengo hecho tambien
>
> DAvid
>
> "Javier Inglés [MS MVP]" wrote:
>
>> porque a parte de activar el acceso a objetos en la directiva, luego een
>> el
>> objeto (una carpeta por ejemplo) debes configurar lo que quieres y a
>> quién
>> quieres que se audite en sus propiedades
>>
>> Salu2!!
>> Javier Inglés
>> https://mvp.support.microsoft.com/p...B5567431B0
>> MS MVP, Windows Server-Directory Services
>>
>>
>>
>>
>> "David" escribió en el mensaje
>> news:
>> > Buenas ...
>> > Pues he activado auditar acceso a objetos para un usuario, y en el
>> > visor
>> > de
>> > sucesos , no aparecen ni errores ni aciertos de este usuario en esos
>> > objetos...
>> >
>> > David
>> >
>> > "Ramon Jiménez [MVP]" wrote:
>> >
>> >> En el Log de Seguridad del Visor de Sucesos deberías ver todos los
>> >> eventos
>> >> que las auditorías que has activado registran.
>> >>
>> >> Ramon
>> >>
>> >> "David" wrote in message
>> >> news:
>> >> > Buenos dias de nuevo...
>> >> >
>> >> > Pues lo que he modificado es la directiva de seguridad del dominio
>> >> > Y realmente en el visor de sucesos del servidor de dominio no veo
>> >> > nada
>> >> > sobre
>> >> > estas auditorias activadas, me dijiste que tenia que activar que se
>> >> > viera
>> >> > por
>> >> > el visor de sucesos, pero no acabo de encontrar este parámetro
>> >> >
>> >> >
>> >> >
>> >> > David
>> >> >
>> >> > "Javier Inglés [MS MVP]" wrote:
>> >> >
>> >> >> Si has modificado la directiva de seguridad del DC, así es, si has
>> >> >> modificado la de dominio u otra GPO de una OU, es a máquinas
>> >> >>
>> >> >> Salu2!!
>> >> >> Javier Inglés
>> >> >> https://mvp.support.microsoft.com/p...B5567431B0
>> >> >> MS MVP, Windows Server-Directory Services
>> >> >>
>> >> >>
>> >> >>
>> >> >>
>> >> >> "David" escribió en el mensaje
>> >> >> news:
>> >> >> > Esto empezó cuando en el servidor de dominio modifiqué algunas
>> >> >> > auditorias,
>> >> >> > pero yo creia que esto quedaba reflejado en el visor de sucesos
>> >> >> > del
>> >> >> > servidor
>> >> >> > de dominio, no de los usuarios de este dominio en sus máquinas
>> >> >> > locales
>> >> >> >
>> >> >> > David
>> >> >> >
>> >> >> > "Javier Inglés [MS MVP]" wrote:
>> >> >> >
>> >> >> >> eso es error de auditoría, el evento como tal es o de
>> >> >> >> advertencia o
>> >> >> >> de
>> >> >> >> información
>> >> >> >>
>> >> >> >> Salu2!!
>> >> >> >> Javier Inglés
>> >> >> >> https://mvp.support.microsoft.com/p...B5567431B0
>> >> >> >> MS MVP, Windows Server-Directory Services
>> >> >> >>
>> >> >> >>
>> >> >> >>
>> >> >> >>
>> >> >> >> "David" escribió en el mensaje
>> >> >> >> news:
>> >> >> >> > Bueno, en el evento de seguridad aparace como un candado
>> >> >> >> > cerrado
>> >> >> >> > y
>> >> >> >> > pone
>> >> >> >> > error...
>> >> >> >> >
>> >> >> >> > De todas formas, voy a investigar un poco más, viendo que
>> >> >> >> > parando
>> >> >> >> > el
>> >> >> >> > servicio al menos no se me llena el visor de sucesos voy más
>> >> >> >> > tranquilo
>> >> >> >> >
>> >> >> >> > Muchas Gracias
>> >> >> >> >
>> >> >> >> > David
>> >> >> >> >
>> >> >> >> > "Javier Inglés [MS MVP]" wrote:
>> >> >> >> >
>> >> >> >> >> Si miras bien, dudo que el mensjae sea de error, si no de
>> >> >> >> >> información
>> >> >> >> >> o
>> >> >> >> >> advertencia, y simplemente indica que el firewall ha recibido
>> >> >> >> >> una
>> >> >> >> >> conexión
>> >> >> >> >> entrante, por lo que no es problema -y menos si borras el log
>> >> >> >> >> de
>> >> >> >> >> seguridad-;
>> >> >> >> >> si no lo necesitas, mira qué tipo de eventos estás auditando
>> >> >> >> >> para
>> >> >> >> >> quitar
>> >> >> >> >> aquellos que no te hagan falta
>> >> >> >> >>
>> >> >> >> >> Salu2!!
>> >> >> >> >> Javier Inglés
>> >> >> >> >> https://mvp.support.microsoft.com/p...B5567431B0
>> >> >> >> >> MS MVP, Windows Server-Directory Services
>> >> >> >> >>
>> >> >> >> >>
>> >> >> >> >>
>> >> >> >> >>
>> >> >> >> >> "David" escribió en el
>> >> >> >> >> mensaje
>> >> >> >> >> news:
>> >> >> >> >> > Lo acabo de hacer, y bien, correcto, pero me gustaria saber
>> >> >> >> >> > porque
>> >> >> >> >> > me
>> >> >> >> >> > hace
>> >> >> >> >> > tantas entradas el svchost, si necesito el firewall tendré
>> >> >> >> >> > que
>> >> >> >> >> > solucionar
>> >> >> >> >> > este tema.
>> >> >> >> >> >
>> >> >> >> >> > Muchas Gracias Javier
>> >> >> >> >> >
>> >> >> >> >> > David
>> >> >> >> >> >
>> >> >> >> >> > "Javier Inglés [MS MVP]" wrote:
>> >> >> >> >> >
>> >> >> >> >> >> Para el servicio de Firewall
>> >> >> >> >> >>
>> >> >> >> >> >> Salu2!!
>> >> >> >> >> >> Javier Inglés
>> >> >> >> >> >> https://mvp.support.microsoft.com/p...B5567431B0
>> >> >> >> >> >> MS MVP, Windows Server-Directory Services
>> >> >> >> >> >>
>> >> >> >> >> >>
>> >> >> >> >> >>
>> >> >> >> >> >>
>> >> >> >> >> >> "David" escribió en el
>> >> >> >> >> >> mensaje
>> >> >> >> >> >> news:
>> >> >> >> >> >> > hummm, estoy viendo que el servicio de Firewall de
>> >> >> >> >> >> > windows/conexion
>> >> >> >> >> >> > compartida de internet (ics) está automático y activado.
>> >> >> >> >> >> > Pero
>> >> >> >> >> >> > si
>> >> >> >> >> >> > voy
>> >> >> >> >> >> > a
>> >> >> >> >> >> > panel
>> >> >> >> >> >> > de control firewall, está desactivado
>> >> >> >> >> >> >
>> >> >> >> >> >> > David
>> >> >> >> >> >> >
>> >> >> >> >> >> > "Javier Inglés [MS MVP]" wrote:
>> >> >> >> >> >> >
>> >> >> >> >> >> >> y el firewall de windows seguro que no está activo?
>> >> >> >> >> >> >>
>> >> >> >> >> >> >> Salu2!!
>> >> >> >> >> >> >> Javier Inglés
>> >> >> >> >> >> >> https://mvp.support.microsoft.com/p...B5567431B0
>> >> >> >> >> >> >> MS MVP, Windows Server-Directory Services
>> >> >> >> >> >> >>
>> >> >> >> >> >> >>
>> >> >> >> >> >> >>
>> >> >> >> >> >> >>
>> >> >> >> >> >> >> "David" escribió en
>> >> >> >> >> >> >> el
>> >> >> >> >> >> >> mensaje
>> >> >> >> >> >> >> news:
>> >> >> >> >> >> >> > Pues mira, el mensaje del visor de sucesos de
>> >> >> >> >> >> >> > seguridad
>> >> >> >> >> >> >> > es
>> >> >> >> >> >> >> > el
>> >> >> >> >> >> >> > mismo
>> >> >> >> >> >> >> > y
>> >> >> >> >> >> >> > se
>> >> >> >> >> >> >> > repite a veces 3 veces por segundo
>> >> >> >> >> >> >> >
>> >> >> >> >> >> >> > y es el siguiente:
>> >> >> >> >> >> >> >
>> >> >> >> >> >> >> > El firewall de windows detectó una aplicación al
>> >> >> >> >> >> >> > escuchar
>> >> >> >> >> >> >> > el
>> >> >> >> >> >> >> > tráfico
>> >> >> >> >> >> >> > entrante
>> >> >> >> >> >> >> > svchost.exe
>> >> >> >> >> >> >> > id: 1260
>> >> >> >> >> >> >> > usuario: SYSTEM
>> >> >> >> >> >> >> > dominio del usuario: NT AUTHORITY
>> >> >> >> >> >> >> > puerto: 68
>> >> >> >> >> >> >> >
>> >> >> >> >> >> >> > mirando una link que lleva a una ventana emergente
>> >> >> >> >> >> >> > dice
>> >> >> >> >> >> >> > que
>> >> >> >> >> >> >> > hace
>> >> >> >> >> >> >> > referencia
>> >> >> >> >> >> >> > al fichero xpsp2res.dll
>> >> >> >> >> >> >> >
>> >> >> >> >> >> >> > Muchas Gracias javier
>> >> >> >> >> >> >> >
>> >> >> >> >> >> >> > David
>> >> >> >> >> >> >> >
>> >> >> >> >> >> >> > "Javier Inglés [MS MVP]" wrote:
>> >> >> >> >> >> >> >
>> >> >> >> >> >> >> >> pon el mensaje entero del visor
>> >> >> >> >> >> >> >>
>> >> >> >> >> >> >> >> Salu2!!
>> >> >> >> >> >> >> >> Javier Inglés
>> >> >> >> >> >> >> >> https://mvp.support.microsoft.com/p...B5567431B0
>> >> >> >> >> >> >> >> MS MVP, Windows Server-Directory Services
>> >> >> >> >> >> >> >>
>> >> >> >> >> >> >> >>
>> >> >> >> >> >> >> >>
>> >> >> >> >> >> >> >>
>> >> >> >> >> >> >> >> "David" escribió
>> >> >> >> >> >> >> >> en
>> >> >> >> >> >> >> >> el
>> >> >> >> >> >> >> >> mensaje
>> >> >> >> >> >> >> >> news:
>> >> >> >> >> >> >> >> > Osea, que se machaquen los eventos???
>> >> >> >> >> >> >> >> >
>> >> >> >> >> >> >> >> > Pero porque en los clientes me estan apareciendo
>> >> >> >> >> >> >> >> > ahora
>> >> >> >> >> >> >> >> > sobre
>> >> >> >> >> >> >> >> > todo
>> >> >> >> >> >> >> >> > este
>> >> >> >> >> >> >> >> > error
>> >> >> >> >> >> >> >> > de Svchost y porque me dice que el firewall lo
>> >> >> >> >> >> >> >> > detecta
>> >> >> >> >> >> >> >> > si
>> >> >> >> >> >> >> >> > no
>> >> >> >> >> >> >> >> > estan
>> >> >> >> >> >> >> >> > levantados??
>> >> >> >> >> >> >> >> >
>> >> >> >> >> >> >> >> > David
>> >> >> >> >> >> >> >> >
>> >> >> >> >> >> >> >> > "Javier Inglés [MS MVP]" wrote:
>> >> >> >> >> >> >> >> >
>> >> >> >> >> >> >> >> >> Pon por GPO que los visores de evento se
Respuesta Responder a este mensaje
#23 Javier Inglés [MS MVP]
07/11/2006 - 10:33 | Informe spam
y qué te dicen los candados?? porque eso son las auditorías de acceso en
principio...

Salu2!!
Javier Inglés
https://mvp.support.microsoft.com/p...B5567431B0
MS MVP, Windows Server-Directory Services




"David" escribió en el mensaje
news:
Perdona la tardanza javier...

Todo eso que me detallas lo tengo ya hecho, activadas auditorias de
seguridad de dominio sobre un usuario, he compartido una carpeta solo para
administrador con la seguridad solo para admin, y he activado las
auditorias
sobre esa carpeta del usuario que no es admin.

Intento acceder a ella y como es normal no puedo entrar, deberia crearse
un
error o una auditación del evento sobre el visor de sucesos , en
seguridad,
no es así???

Eso no me pasa, lo que si teno es un monton de entradas con un candado
cerrado que pone errores y es un seguimiento detallado

Una saludo y muchas Gracias

David

"Javier Inglés [MS MVP]" wrote:

Vamos a empezar de 0.

En la directiva de seguridad del dominio -no de seguridad local, ni del
controlador de dominio- o en la GPO de una OU donde haya equipos colgando
(si lo has hecho en una GPO de una OU donde no hay equipos, normal que no
funcione), activa las auditorías a objetos. Eso, o si lo prefieres para
ahcerlo más sencillo, en uno de los equipos miembro del dominio, en la
directiva de seguridad local lo activas

Reinicia uno de los equipos a los que se le debe aplicar la GPO. En una
carpeta del server, activa la auditoría para un usuario o grupo.

Haz algo en donde se supone está activa la auditoría con ese user; en el
log
de seguridad del equipo tienes el resultado

Salu2!!
Javier Inglés
https://mvp.support.microsoft.com/p...B5567431B0
MS MVP, Windows Server-Directory Services




"David" escribió en el mensaje
news:
> si si , eso ya lo tengo hecho tambien
>
> DAvid
>
> "Javier Inglés [MS MVP]" wrote:
>
>> porque a parte de activar el acceso a objetos en la directiva, luego
>> een
>> el
>> objeto (una carpeta por ejemplo) debes configurar lo que quieres y a
>> quién
>> quieres que se audite en sus propiedades
>>
>> Salu2!!
>> Javier Inglés
>> https://mvp.support.microsoft.com/p...B5567431B0
>> MS MVP, Windows Server-Directory Services
>>
>>
>>
>>
>> "David" escribió en el mensaje
>> news:
>> > Buenas ...
>> > Pues he activado auditar acceso a objetos para un usuario, y en el
>> > visor
>> > de
>> > sucesos , no aparecen ni errores ni aciertos de este usuario en esos
>> > objetos...
>> >
>> > David
>> >
>> > "Ramon Jiménez [MVP]" wrote:
>> >
>> >> En el Log de Seguridad del Visor de Sucesos deberías ver todos los
>> >> eventos
>> >> que las auditorías que has activado registran.
>> >>
>> >> Ramon
>> >>
>> >> "David" wrote in message
>> >> news:
>> >> > Buenos dias de nuevo...
>> >> >
>> >> > Pues lo que he modificado es la directiva de seguridad del
>> >> > dominio
>> >> > Y realmente en el visor de sucesos del servidor de dominio no veo
>> >> > nada
>> >> > sobre
>> >> > estas auditorias activadas, me dijiste que tenia que activar que
>> >> > se
>> >> > viera
>> >> > por
>> >> > el visor de sucesos, pero no acabo de encontrar este parámetro
>> >> >
>> >> >
>> >> >
>> >> > David
>> >> >
>> >> > "Javier Inglés [MS MVP]" wrote:
>> >> >
>> >> >> Si has modificado la directiva de seguridad del DC, así es, si
>> >> >> has
>> >> >> modificado la de dominio u otra GPO de una OU, es a máquinas
>> >> >>
>> >> >> Salu2!!
>> >> >> Javier Inglés
>> >> >> https://mvp.support.microsoft.com/p...B5567431B0
>> >> >> MS MVP, Windows Server-Directory Services
>> >> >>
>> >> >>
>> >> >>
>> >> >>
>> >> >> "David" escribió en el mensaje
>> >> >> news:
>> >> >> > Esto empezó cuando en el servidor de dominio modifiqué algunas
>> >> >> > auditorias,
>> >> >> > pero yo creia que esto quedaba reflejado en el visor de
>> >> >> > sucesos
>> >> >> > del
>> >> >> > servidor
>> >> >> > de dominio, no de los usuarios de este dominio en sus máquinas
>> >> >> > locales
>> >> >> >
>> >> >> > David
>> >> >> >
>> >> >> > "Javier Inglés [MS MVP]" wrote:
>> >> >> >
>> >> >> >> eso es error de auditoría, el evento como tal es o de
>> >> >> >> advertencia o
>> >> >> >> de
>> >> >> >> información
>> >> >> >>
>> >> >> >> Salu2!!
>> >> >> >> Javier Inglés
>> >> >> >> https://mvp.support.microsoft.com/p...B5567431B0
>> >> >> >> MS MVP, Windows Server-Directory Services
>> >> >> >>
>> >> >> >>
>> >> >> >>
>> >> >> >>
>> >> >> >> "David" escribió en el
>> >> >> >> mensaje
>> >> >> >> news:
>> >> >> >> > Bueno, en el evento de seguridad aparace como un candado
>> >> >> >> > cerrado
>> >> >> >> > y
>> >> >> >> > pone
>> >> >> >> > error...
>> >> >> >> >
>> >> >> >> > De todas formas, voy a investigar un poco más, viendo que
>> >> >> >> > parando
>> >> >> >> > el
>> >> >> >> > servicio al menos no se me llena el visor de sucesos voy
>> >> >> >> > más
>> >> >> >> > tranquilo
>> >> >> >> >
>> >> >> >> > Muchas Gracias
>> >> >> >> >
>> >> >> >> > David
>> >> >> >> >
>> >> >> >> > "Javier Inglés [MS MVP]" wrote:
>> >> >> >> >
>> >> >> >> >> Si miras bien, dudo que el mensjae sea de error, si no de
>> >> >> >> >> información
>> >> >> >> >> o
>> >> >> >> >> advertencia, y simplemente indica que el firewall ha
>> >> >> >> >> recibido
>> >> >> >> >> una
>> >> >> >> >> conexión
>> >> >> >> >> entrante, por lo que no es problema -y menos si borras el
>> >> >> >> >> log
>> >> >> >> >> de
>> >> >> >> >> seguridad-;
>> >> >> >> >> si no lo necesitas, mira qué tipo de eventos estás
>> >> >> >> >> auditando
>> >> >> >> >> para
>> >> >> >> >> quitar
>> >> >> >> >> aquellos que no te hagan falta
>> >> >> >> >>
>> >> >> >> >> Salu2!!
>> >> >> >> >> Javier Inglés
>> >> >> >> >> https://mvp.support.microsoft.com/p...B5567431B0
>> >> >> >> >> MS MVP, Windows Server-Directory Services
>> >> >> >> >>
>> >> >> >> >>
>> >> >> >> >>
>> >> >> >> >>
>> >> >> >> >> "David" escribió en el
>> >> >> >> >> mensaje
>> >> >> >> >> news:
>> >> >> >> >> > Lo acabo de hacer, y bien, correcto, pero me gustaria
>> >> >> >> >> > saber
>> >> >> >> >> > porque
>> >> >> >> >> > me
>> >> >> >> >> > hace
>> >> >> >> >> > tantas entradas el svchost, si necesito el firewall
>> >> >> >> >> > tendré
>> >> >> >> >> > que
>> >> >> >> >> > solucionar
>> >> >> >> >> > este tema.
>> >> >> >> >> >
>> >> >> >> >> > Muchas Gracias Javier
>> >> >> >> >> >
>> >> >> >> >> > David
>> >> >> >> >> >
>> >> >> >> >> > "Javier Inglés [MS MVP]" wrote:
>> >> >> >> >> >
>> >> >> >> >> >> Para el servicio de Firewall
>> >> >> >> >> >>
>> >> >> >> >> >> Salu2!!
>> >> >> >> >> >> Javier Inglés
>> >> >> >> >> >> https://mvp.support.microsoft.com/p...B5567431B0
>> >> >> >> >> >> MS MVP, Windows Server-Directory Services
>> >> >> >> >> >>
>> >> >> >> >> >>
>> >> >> >> >> >>
>> >> >> >> >> >>
>> >> >> >> >> >> "David" escribió en
>> >> >> >> >> >> el
>> >> >> >> >> >> mensaje
>> >> >> >> >> >> news:
>> >> >> >> >> >> > hummm, estoy viendo que el servicio de Firewall de
>> >> >> >> >> >> > windows/conexion
>> >> >> >> >> >> > compartida de internet (ics) está automático y
>> >> >> >> >> >> > activado.
>> >> >> >> >> >> > Pero
>> >> >> >> >> >> > si
>> >> >> >> >> >> > voy
>> >> >> >> >> >> > a
>> >> >> >> >> >> > panel
>> >> >> >> >> >> > de control firewall, está desactivado
>> >> >> >> >> >> >
>> >> >> >> >> >> > David
>> >> >> >> >> >> >
>> >> >> >> >> >> > "Javier Inglés [MS MVP]" wrote:
>> >> >> >> >> >> >
>> >> >> >> >> >> >> y el firewall de windows seguro que no está activo?
>> >> >> >> >> >> >>
>> >> >> >> >> >> >> Salu2!!
>> >> >> >> >> >> >> Javier Inglés
>> >> >> >> >> >> >> https://mvp.support.microsoft.com/p...B5567431B0
>> >> >> >> >> >> >> MS MVP, Windows Server-Directory Services
>> >> >> >> >> >> >>
>> >> >> >> >> >> >>
>> >> >> >> >> >> >>
>> >> >> >> >> >> >>
>> >> >> >> >> >> >> "David" escribió
>> >> >> >> >> >> >> en
>> >> >> >> >> >> >> el
>> >> >> >> >> >> >> mensaje
>> >> >> >> >> >> >> news:
>> >> >> >> >> >> >> > Pues mira, el mensaje del visor de sucesos de
>> >> >> >> >> >> >> > seguridad
>> >> >> >> >> >> >> > es
>> >> >> >> >> >> >> > el
>> >> >> >> >> >> >> > mismo
>> >> >> >> >> >> >> > y
>> >> >> >> >> >> >> > se
>> >> >> >> >> >> >> > repite a veces 3 veces por segundo
>> >> >> >> >> >> >> >
>> >> >> >> >> >> >> > y es el siguiente:
>> >> >> >> >> >> >> >
>> >> >> >> >> >> >> > El firewall de windows detectó una aplicación al
>> >> >> >> >> >> >> > escuchar
>> >> >> >> >> >> >> > el
>> >> >> >> >> >> >> > tráfico
>> >> >> >> >> >> >> > entrante
>> >> >> >> >> >> >> > svchost.exe
>> >> >> >> >> >> >> > id: 1260
>> >> >> >> >> >> >> > usuario: SYSTEM
>> >> >> >> >> >> >> > dominio del usuario: NT AUTHORITY
>> >> >> >> >> >> >> > puerto: 68
>> >> >> >> >> >> >> >
>> >> >> >> >> >> >> > mirando una link que lleva a una ventana emergente
>> >> >> >> >> >> >> > dice
>> >> >> >> >> >> >> > que
>> >> >> >> >> >> >> > hace
>> >> >> >> >> >> >> > referencia
>> >> >> >> >> >> >> > al fichero xpsp2res.dll
>> >> >> >> >> >> >> >
>> >> >> >> >> >> >> > Muchas Gracias javier
>> >> >> >> >> >> >> >
>> >> >> >> >> >> >> > David
>> >> >> >> >> >> >> >
>> >> >> >> >> >> >> > "Javier Inglés [MS MVP]" wrote:
>> >> >> >> >> >> >> >
>> >> >> >> >> >> >> >> pon el mensaje entero del visor
>> >> >> >> >> >> >> >>
>> >> >> >> >> >> >> >> Salu2!!
>> >> >> >> >> >> >> >> Javier Inglés
>> >> >> >> >> >> >> >> https://mvp.support.microsoft.com/p...B5567431B0
>> >> >> >> >> >> >> >> MS MVP, Windows Server-Directory Services
>> >> >> >> >> >> >> >>
>> >> >> >> >> >> >> >>
>> >> >> >> >> >> >> >>
>> >> >> >> >> >> >> >>
>> >> >> >> >> >> >> >> "David"
>> >> >> >> >> >> >> >> escribió
>> >> >> >> >> >> >> >> en
>> >> >> >> >> >> >> >> el
>> >> >> >> >> >> >> >> mensaje
>> >> >> >> >> >> >> >> news:
>> >> >> >> >> >> >> >> > Osea, que se machaquen los eventos???
>> >> >> >> >> >> >> >> >
>> >> >> >> >> >> >> >> > Pero porque en los clientes me estan
>> >> >> >> >> >> >> >> > apareciendo
>> >> >> >> >> >> >> >> > ahora
>> >> >> >> >> >> >> >> > sobre
>> >> >> >> >> >> >> >> > todo
>> >> >> >> >> >> >> >> > este
>> >> >> >> >> >> >> >> > error
>> >> >> >> >> >> >> >> > de Svchost y porque me dice que el firewall lo
>> >> >> >> >> >> >> >> > detecta
>> >> >> >> >> >> >> >> > si
>> >> >> >> >> >> >> >> > no
>> >> >> >> >> >> >> >> > estan
>> >> >> >> >> >> >> >> > levantados??
>> >> >> >> >> >> >> >> >
>> >> >> >> >> >> >> >> > David
>> >> >> >> >> >> >> >> >
>> >> >> >> >> >> >> >> > "Javier Inglés [MS MVP]" wrote:
>> >> >> >> >> >> >> >> >
>> >> >> >> >> >> >> >> >> Pon por GPO que los visores de evento se
email Siga el debate Respuesta Responder a este mensaje
Ads by Google
Help Hacer una pregunta AnteriorRespuesta Tengo una respuesta
Search Busqueda sugerida