Cargando

Ir a contenido


 


Ver los usuarios que inician sesión en Windows Server

En este tutorial aprenderás cómo ver que usuarios han iniciado sesión usando el visor de eventos en Windows Server 2016.


Escrito por el jul 05 2016 09:21 wserver2016 wserver seguridad


Uno de los temas más importantes que como administradores tenemos que tener presente es la seguridad de nuestros servidores y equipos, velando por quienes tienen acceso a los mismos y cuidando que privilegio tienen en el mismo. Puede suceder que algún usuario, por accidente o no, realizan modificaciones en diferentes parámetros del servidor y así como pueden haber cambios que no afectan el rendimiento y la estabilidad del sistema otros cambios pueden afectar notablemente la seguridad, la confidencialidad y el performance de Windows Server 2016 y a su vez esto acarrea graves problemas que pueden llegar incluso a problemas legales.

 

Además de realizar copias de seguridad (backup), una de las mejores prácticas que podemos realizar como administradores, jefes de IT y en general como personal de sistemas es implementar una política de auditoría que nos permita supervisar que usuarios han iniciado sesión en Windows Server 2016 (O versiones anteriores de W.Server) y de esta manera poder analizar si las fallas del sistema concuerdan con el inicio de sesión de algún usuario diferente a los autorizados. Vamos a analizar como podemos implementar esta política en un entorno Windows Server 2016.

 

1. Configuración de las políticas de auditoría


El primer paso que debemos realizar para crear nuestra política de auditoría será ingresar al Group Policy Management Console o Consola de Administración de Políticas de Grupo, para ello usaremos la combinación de teclas:

 

Imagen enviada + R

 

Es la zona de Ejecutar y allí ingresamos el término:

gpmc.msc
Se abrirá la Consola de administración GPO

 

 

Pulsamos Enter u OK y veremos la siguiente ventana:

 

 

Estando en la consola de GPO vamos a desplazarnos de la siguiente forma:

Forest / Domains / Nuestro_Dominio / Domain Controllers / Default Domain Controllers Policy

 

Daremos clic derecho sobre Default Domain Controllers Policy y seleccionamos Edit para ingresar al editor de las políticas de grupo, veremos el siguiente entorno:

 

 

Allí debemos dirigirnos a la siguiente ruta:

  • Computer Configuration
  • Policies
  • Windows Settings
  • Security Settings
  • Advanced Audit Policy Configuration
  • Audit Policies

 

Pincha en la imagen para ampliar

 

De esta manera hemos ingresado a la opción de Logon / Logoff y debemos habilitar la auditoría para estas acciones, así cuando un usuario inicie sesión quedará registrado en el visor de eventos para más adelante poder ingresar y realizar el análisis correspondiente. Como vemos la parte derecha tenemos una serie de opciones pero debemos editar las siguientes:

  • Audit Logoff
  • Audit Logon
  • Audit Other Logon/Logoff Events

 

Estas traes (3) opciones nos brindarán información detallada acerca de:

  • Inicios de sesión
  • Cierres de sesión
  • Bloqueo de equipo
  • Conexiones a través de escritorio remoto
  • Etc.

 

Basta con dar doble clic en las tres (3) opciones y activar la casilla Configure the following audit events y marcar las dos opciones disponibles (Success -Satisfactorio y Failure – Erróneo) para llevar un control total sobre los eventos de inicio y cierre de sesión en Windows Server 2016.

 

 

Pulsamos Apply y posteriormente OK para guardar los cambios.

 

 

2. Analizar el visor de eventos


Una vez hayamos configurado estos parámetros de forma correcta vamos a ingresar al visor de eventos para analizar los respectivos eventos.

 

Eventos de auditoría de inicio y cierre de sesión
Ahora los IDs de los eventos que debemos tener presentes para monitorear son los siguientes:
  • 4624: Logon (Evento de seguridad)
  • 4647: Logoff (Evento de seguridad)
  • 6005: Arranque del sistema (Evento de sistema)
  • 4778: Conexión a un RDP – Escritorio Remoto (Evento de seguridad)
  • 4779: Cierre de sesión en RDP – Escritorio Remoto (Evento de seguridad)
  • 4800: Bloqueo de equipo (Evento de seguridad)
  • 4801: Desbloqueo de equipo (Evento de seguridad)

 

Podremos acceder al visor de eventos usando cualquiera de las siguientes opciones:

  • Clic derecho en el ícono de inicio Imagen enviada y seleccionamos Visor de eventos o Event Viewer
  • Desde el comando Ejecutar podemos ingresar el término:
    eventvwr
    y pulsar Enter.

 

Esta será la apariencia del Visor de eventos en Windows Server 2016 Technical Preview.

 

Pincha en la imagen para ampliar

 

Para poder revisar los eventos antes mencionados seleccionaremos la opción Security de la ficha Windows Logs:

 

Pincha en la imagen para ampliar

 

A continuación daremos clic en la opción Filter Current Log para poder filtrar por ID de evento. Debemos ingresar el ID o los IDs que deseamos validar, simplemente ingresamos el valor (en este ejemplo 4624) en el campo Enter ID:

 

 

Pulsamos OK y veremos el siguiente resultado:

 

Pincha en la imagen para ampliar

 

Allí podremos seleccionar cualquiera de los eventos para analizar toda su información:

 

 

Podemos ver en la parte superior el usuario que ha iniciado sesión, el dominio en el cual se ha conectado y otros parámetros, en la parte inferior podemos observar el tipo de auditoría, la fecha y hora del evento, la descripción del evento y otros aspectos.

 

De esta manera hemos creado una política de auditoría a nivel de inicio y cierre de sesión la cual nos permitirá llevar una gestión total y en todo momento sobre que usuarios y en que momento han iniciado sesión en Windows Server 2016 y a partir de allí determinar si hubo alguna modificación al sistema.

¿Te ha gustado y ayudado este Tutorial?
Puedes premiar al autor pulsando este botón para darle un punto positivo
  • -
  • 0
10
VOTA
5
100%
4
0%
3
0%
2
0%
1
0%

  Información

  •   Publicado jul 05 2016 09:21
  •   Actualizado jul 05 2016 09:56
  •   Visitas 2.1K
  •   Nivel
    Profesional



Tutoriales Relacionados


Sin comentarios, sé el primero!

No esperes más y entra en Solvetic
Deja tus comentarios y aprovecha las ventajas de la cuenta de usuario ¡Únete!
Demuestra que eres experto!
  ESCRIBIR TUTORIAL
Suscribirse