supermanhamuerto.com

User Tools

Site Tools

Trace:
windows:registroaccesos

Differences

This shows you the differences between two versions of the page.


Previous revision
windows:registroaccesos [2022/12/02 22:02] (current) – external edit 127.0.0.1
Line 1: Line 1:
 +====== Registrar Intentos de Acceso a Nuestro Equipo ======
 +
 +====== Introducción ======
 +
 +En un entorno de red corporativo u hostil --que a veces es lo mismo--, nos encontramos con la necesidad de identificar quién ha intentado entrar en nuestro equipo y con qué usuarios, o con qué credenciales. 
 +
 +Aquí se explican los pasos para hacer esta configuración en Windows XP. Para otros sistemas, cuando me los presente lo iré poniendo. 
 +
 +====== Windows XP ======
 +
 +===== Cómo se configura =====
 +
 +
 +Inicio -> Configuración -> Panel de control. Seleccionaremos la carpeta "herramientas administrativas". Dentro de esa carpeta hay un elemento llamado **"Directiva de Seguridad Local"**. Lo abrimos y veremos algo así: 
 +
 +{{:windows:directiva_de_seguridad_local.jpg|}}
 +
 +Este programa tiene una estructura de carpetas. Seleccionaremos "Directivas Locales" -> "Directiva de auditoría". Auditoría para Windows es establecer trazabilidad de eventos en el sistema: acceso a carpetas, al equipo, a objetos...
 +
 +Dentro de esta carpeta encontraremos una entrada que dice "Auditar sucesos de inicio de sesión". Doble click y veremos esto: 
 +
 +{{:windows:sucesos_a_registrar.jpg|}}
 +
 +Marcaremos, como en la imagen "correctos" y "erróneos". El objetivo es doble:
 +
 +  * Marcando "correctos" registraremos aquellos accesos correctos: nos permitirá detectar si alguien ha entrado con nuestras credenciales (u otras credenciales) y lo ha conseguido. 
 +  * Marcando "erróneos" registraremos aquellos accesos incorrectos: alguien intentó entrar, pero no lo consiguió. Detectaremos a posibles "invasores" de nuestro sistema. 
 +
 +
 +===== Cómo se consulta =====
 +
 +
 +Ver los accesos al sistema es fácil. Panel de control -> Herramientas administrativas -> Visor de Sucesos. Veremos esto: 
 +
 +{{:windows:visor_de_sucesos.jpg|}}
 +
 +Seleccionaremos la carpeta "seguridad" y veremos los sucesos que ya están siendo registrados. 
 +
 +^**Importante**^
 +
 +Este registro genera muchos falsos positivos: Por ejemplo, si un usuario 
 +"pepe" intenta conectarse a nuestro equipo con un usuario y contraseña
 +correctos, posiblemente quede registrado como un inicio de sesión 
 +"correcto", aunque luego le sea denegado el acceso. Debemos tener 
 +en cuenta que "inicio de sesión" en windows no significa "acceso a los 
 +recursos".
 +
 +
 +
 +
 +
 +