Información sobre Auditorias de Windows

Policy Audit Name

Events ID

Event Volume

Descripción

Audit Credential Validation

4774, 4775, 4776, 4777

Alto en Domain Controllers.

Genera eventos al usar credenciales para iniciar sesión.

• Cuentas de dominio: Los eventos ocurren en el DC.
• Cuentas locales: Los eventos ocurren en el equipo local.

En entornos empresariales, los controladores de dominio registran la mayoría de los eventos, aunque pueden generarse en cualquier equipo junto con eventos de inicio/cierre de sesión.

Audit Kerberos Authentication Service 

4768, 4771, 4772

Alto en Kerberos KDC servers.

Esta auditoria genera un evento de auditoría después de una solicitud TGT de autenticación Kerberos. Las auditorías de éxito registran los intentos exitosos y las auditorías de error registran los intentos fallidos.

Audit Kerberos Service Ticket Operations 

4769, 4770

-Alto en un DC que está en un KDC 

-Bajo en los miembros del dominio. 

Está auditoria se genera cada vez que se utiliza Kerberos para autenticar a un usuario que desea acceder a un recurso de red protegido. Los eventos de auditoría de operaciones de tickets de servicio de Kerberos se pueden utilizar para realizar un seguimiento de la actividad del usuario.

Audit Other Account Logon Events 

4649, 4778, 4779, 4800, 4801, 4802, 4803, 5378, 5632, 5633

Varía según el uso del sistema. 

Esta auditoria permite auditar eventos generados por respuestas a solicitudes de credenciales enviadas para el inicio de sesión de una cuenta de usuario que no son validaciones de credenciales o tickets Kerberos.

Policy Audit Name

Events ID

Event Volume

Descripción

Audit Application Group Management

4783, 4784, 4785, 4786, 4787, 4788, 4789, 4790

Bajo 

Esta auditoria genera eventos cuando:

- Se crea, modifica o elimina un grupo de aplicaciones.

- Se agrega o elimina un miembro de un grupo de aplicaciones.

Audit Computer Account Management

4741, 4742, 4743

Bajo

Esta auditoria es útil para realizar el seguimiento de los cambios relacionados con las cuentas en las computadoras que son miembros de un dominio.

Audit Distribution Group Management

4744, 4745, 4746, 4747, 4748, 4749, 4750, 4751, 4752, 4753, 4759, 4760, 4761, 4762

Bajo 

Monitorea si el sistema operativo registra eventos relacionados con la creación, modificación, eliminación de grupos de distribución y la gestión de sus miembros. Aplica exclusivamente a controladores de dominio.

Audit Other Account Management Events

4782, 4793

Bajo  

Monitorea si el sistema registra eventos relacionados con la administración de cuentas de usuario, como:

• Acceso al hash de contraseñas (p. ej., durante migraciones con ADMT).
• Llamadas a la API de verificación de políticas de contraseñas (posible indicador de ataques).
• Cambios en políticas de dominio vinculadas a contraseñas o bloqueo de cuentas.

Audit Security Group Management

4727, 4728, 4729, 4730, 4731, 4732, 4733, 4734, 4735, 4737, 4754, 4755, 4756, 4757, 4758, 4764

Bajo  

Registra eventos relacionados con la gestión de grupos de seguridad, incluyendo:

• Creación, modificación o eliminación de un grupo.
• Agregar o eliminar miembros.
• Cambios en el tipo de grupo.

Estos grupos se utilizan tanto para control de acceso como para listas de distribución.

Bajo  

Monitorea eventos relacionados con la gestión de cuentas de usuario, como:

• Creación, modificación, eliminación, bloqueo, desbloqueo, habilitación o deshabilitación.
• Cambios en contraseñas, historial SID o permisos de cuentas en grupos de administradores.
• Configuración de contraseñas del modo de restauración de servicios de directorio.
• Copias de seguridad o restauración de credenciales del Administrador de Credenciales.

Es clave para rastrear eventos de aprovisionamiento y administración de cuentas.

Policy Audit Name

Events ID

Event Volume

Descripción

Audit DPAPI Activity

4692, 4693, 4694, 4695

Bajo 

Registra eventos relacionados con llamadas de cifrado o descifrado en la interfaz DPAPI, utilizada para proteger información sensible como contraseñas e información clave. Mas info aqui

Audit PNP Activity

6416, 6419, 6420, 6421, 6422, 6423, 6424

Varía según el uso del sistema, normalmente bajo.

Monitorea eventos generados cuando Plug and Play detecta dispositivos externos, permitiendo rastrear cambios de hardware en el sistema, como la conexión de un teclado.

Audit Process Creation

4688, 4696

Varía según el uso del sistema, Bajo - Medio

Registra eventos cuando se inicia un proceso, proporcionando información como el nombre del programa o usuario responsable, útil para rastrear actividad y uso del sistema.

Audit Process Termination

4689

Varía según el uso del sistema

Registra eventos de intentos exitosos o fallidos de finalizar un proceso. Útil para rastrear actividad del usuario y entender el uso del sistema. Si no se configura, no se generan eventos.

Audit RPC Events

5712

Alto en servidores RPC

Registra eventos de conexiones RPC entrantes. RPC permite la comunicación entre procesos en programas distribuidos cliente/servidor.

Audit Token Right Adjusted

4703

Alto

Registra eventos relacionados con el ajuste de los privilegios de un token, permitiendo auditar cambios en los privilegios del sistema.

Policy Audit Name

Events ID

Event Volume

Descripción

Audit Detailed Directory Service Replication

4928, 4929, 4930, 4931, 4934, 4935, 4936, 4937

Registra eventos con información detallada sobre la replicación de datos entre controladores de dominio, útil para diagnosticar problemas de replicación.

Audit Directory Service Access

4662

Alto en servidores que ejecutan el rol de AD DS, ninguno en equipos finales.

Registra eventos cuando se accede a objetos de Active Directory con listas de control de acceso del sistema (SACL) configuradas, siempre que el acceso coincida con la configuración de la SACL.

Audit Directory Service Changes

5136, 5137, 5138, 5139, 5141

Alto en controladores de dominio, ninguno en computadoras cliente.

Registra eventos de creación, eliminación, modificación, movimiento o recuperación de objetos en Active Directory, incluyendo valores antiguos y nuevos cuando aplica.

• Solo se generan eventos para objetos con SACL configuradas y accesos que coincidan con su configuración.
• Algunos objetos no generan eventos debido a la configuración del esquema.

• Aplica únicamente a controladores de dominio y es crucial para monitorear la política de red

Audit Directory Service Replication

4932, 4933

Medio en un controlador de dominio o servidor de red, bajo en una computadora cliente.

Registra eventos cuando se inicia y finaliza la replicación entre controladores de dominio.

Event Volume

Descripción

Audit Logon

4624, 4625, 4648, 4675

Medio en un controlador de dominio o servidor de red. Bajo en una computadora cliente.

Registra eventos relacionados con intentos de inicio de sesión, incluyendo:

• Éxito y fracaso en inicios de sesión.
• Uso de credenciales explícitas (frecuente en tareas programadas o comandos como Runas).
• Filtrado de identificadores de seguridad (SID).

Los eventos se generan en el equipo accedido, ya sea interactivo o a través de la red. Es esencial para rastrear actividad de usuarios y detectar ataques.

Audit Logoff

4634, 4647

Bajo 

Registra eventos cuando se finalizan sesiones de inicio de sesión, generándose en el equipo accedido.

• No registra fallas (como apagados abruptos).
• Útil para rastrear actividad de usuarios, aunque no siempre es confiable debido a cierres inesperados.

Audit Network Policy Server

6272, 6273, 6274, 6275, 6276, 6277, 6278, 6279, 6280

De medio a alto en servidores que ejecutan el servidor de políticas de red (NPS); moderado en otros servidores o en computadoras cliente.

Registra eventos relacionados con la actividad de RADIUS (IAS) y NAP en solicitudes de acceso de usuario, incluyendo:

• Otorgar, Denegar, Descartar, Poner en cuarentena, Bloquear y Desbloquear.

Útil para monitorear el estado general de la red.

Audit Special Logon

4964

Bajo 

Registra eventos relacionados con inicios de sesión con privilegios elevados o de miembros de grupos especiales.

• Inicio de sesión especial: Sesiones con privilegios administrativos para elevar procesos.
• Grupos especiales: Identifica cuando un miembro de un grupo específico inicia sesión, configurado mediante SIDs en el registro.

Es esencial para rastrear la actividad de usuarios con privilegios especiales y prevenir cambios no autorizados en el sistema.

Audit Other Logon/Logoff Events

4649, 4778, 4779, 4800, 4801, 4802, 4803, 5378, 5632, 5633

Bajo 

Registra eventos adicionales de inicio o cierre de sesión, como:

• Conexión o desconexión de sesiones de Escritorio remoto.
• Bloqueo o desbloqueo de estaciones de trabajo.
• Invocación o descarte de protectores de pantalla.
• Detección de ataques de repetición (duplicación de solicitudes Kerberos).
• Acceso a redes inalámbricas o 802.1x cableadas por usuarios o computadoras.

Es clave para monitorear la actividad de usuarios y detectar posibles amenazas.

Audit IPSec Quick Mode

4977, 5451, 5452

Alto

Registra eventos de los resultados de negociaciones del modo rápido de IKE y AuthIP durante el establecimiento de asociaciones de seguridad (SA) para IPsec.

• IKE (RFC 2409): Estándar para establecer SA que define políticas y claves para proteger la comunicación.
• AuthIP: Versión mejorada de IKE con autenticación basada en usuarios, múltiples credenciales y métodos avanzados.
• Modo rápido (fase 2): Establece un canal seguro para proteger datos, actualiza o genera claves y define configuraciones de integridad/cifrado.

Es crucial para rastrear la seguridad y configuración de las comunicaciones IPsec.

Audit User / Device Claims

4626

Medio en un controlador de dominio o servidores de red, bajo en una computadora cliente​

Registra información de reclamaciones en el token de inicio de sesión, con eventos generados en el equipo donde se crea la sesión.

• Inicio de sesión interactivo: Evento generado en el equipo donde el usuario inició sesión.
• Inicio de sesión en red: Evento generado en el equipo que aloja el recurso accedido.

Nota: Requiere habilitar la subcategoría Inicio de sesión de auditoría para obtener estos eventos.

Audit Account Lockout

4625

Bajo 

Registra eventos cuando una cuenta bloqueada intenta iniciar sesión.

• Auditorías de éxito: Intentos exitosos.
• Auditorías de error: Intentos fallidos.

Es crucial para rastrear la actividad de usuarios y detectar posibles ataques.

Audit Group Membership

4627

Medio en un controlador de dominio o servidores de red, bajo en una computadora cliente

Registra la información de membresía de grupo en el token de inicio de sesión.

• Inicio de sesión interactivo: Evento generado en el equipo donde el usuario inició sesión.
• Inicio de sesión en red: Evento generado en el equipo que aloja el recurso accedido.
• Genera múltiples eventos si la información no cabe en uno solo.

Nota: Requiere habilitar la subcategoría Inicio de sesión de auditoría.

Audit IPsec Main Mode

4646, 4650, 4651, 4652, 4653, 4655, 4976, 5049, 5453

Alto

Registra eventos de los resultados del protocolo de intercambio de claves de Internet (IKE) y AuthIP durante las negociaciones del modo principal.

• IKE (RFC 2409): Establece asociaciones de seguridad (SA) para proteger la comunicación entre pares de IPsec.
• AuthIP: Versión mejorada de IKE, que ofrece más flexibilidad y autenticación avanzada.
• Modo principal: Establece un canal seguro entre dos computadoras, intercambia claves y autentica identidades.

Es esencial para monitorear y proteger las comunicaciones mediante IPsec.

Audit IPsec Extended Mode

Permite auditar eventos generados por IKE y AuthIP durante las negociaciones del modo extendido, principalmente para la resolución de problemas.

• IKE (RFC 2409): Establece asociaciones de seguridad (SA) para proteger la comunicación entre pares de IPsec.
• AuthIP: Versión avanzada de IKE que ofrece autenticación más flexible y múltiples credenciales.
• Modo extendido: Parte de la negociación de IPsec que permite una segunda ronda de autenticación, útil para autenticaciones separadas basadas en el usuario y el equipo.

Este modo es opcional y se utiliza para fortalecer las autenticaciones durante las negociaciones entre pares de IPsec.

Policy Audit Name

Events ID

Event Volume

Descripción

Audit Other Object Access Events

​4671, 4691, 4698, 4699, 4700, 4701, 4702, 5148, 5149, 5888, 5889, 5890

​Bajo

Permite generar eventos de auditoría relacionados con la administración de trabajos del Programador de tareas y objetos COM+.

Acciones auditadas para el Programador de tareas:

• Creación, eliminación, habilitación, deshabilitación y actualización de trabajos.

Acciones auditadas para objetos COM+:

• Adición, actualización y eliminación de objetos de catálogo.

Audit Kernel Object

4659, 4660, 4661, 4663

Alto si esta habilitado una de las configuraciones de  Global Object Access Auditing

Genera eventos de auditoría cuando los usuarios intentan acceder al kernel del sistema, como mutex y semáforos.

Condiciones para generar eventos:

• Solo se auditan objetos del kernel con una SACL coincidente.
• Generalmente útiles solo para desarrolladores.

Requisitos:

• Los objetos del kernel requieren SACL configuradas mediante las opciones AuditBaseObjects o AuditBaseDirectories.

Nota importante: La configuración de la política global de auditoría de acceso a objetos del sistema controla el SACL predeterminado de los objetos del kernel.

Audit Handle Manipulation

4656, 4658, 4690

Registra eventos cuando se abren o cierran identificadores de objetos.

Condiciones para generar eventos:

• Solo se auditan objetos con SACL configuradas.
• La operación debe coincidir con lo definido en la SACL.

Importante:

• Los eventos se generan únicamente para tipos de objetos con subcategorías habilitadas, como las de acceso al sistema de archivos o al registro.
• Más información: Consulte las guías de Auditoría del sistema de archivos y Auditoría del registro.

Audit Registry

4657, 5039

Genera eventos cuando los usuarios intentan acceder a objetos del registro.

Condiciones para generar eventos:

• Solo se auditan objetos con SACL configuradas.
• El acceso solicitado (Escritura, Lectura, Modificación) y la cuenta deben coincidir con la configuración de la SACL.

Tipos de auditoría:

• Éxito: Se registra cuando una cuenta accede correctamente a un objeto con SACL coincidente.
• Error: Se registra cuando un usuario intenta acceder sin éxito a un objeto con SACL coincidente.

Audit Central Access Policy Staging

4818

Permite auditar las solicitudes de acceso en las que el permiso otorgado por una política propuesta difiere de la política de acceso central actual en un objeto.

Generación de eventos de auditoría:

• Éxito: Se registra cuando la política de acceso central actual otorga acceso, pero la política propuesta lo niega.
• Error: Se registra cuando:
  • La política de acceso central actual no concede acceso, pero la propuesta sí.
  • Un principal solicita derechos de acceso máximos y los derechos otorgados por la política de acceso central actual son diferentes a los de la política propuesta.

Audit SAM

4659, 4660, 4661, 4663

Permite auditar los eventos generados por los intentos de acceso a los objetos del Administrador de cuentas de seguridad (SAM). SAM es una base de datos en los sistemas operativos Windows que almacena cuentas de usuario y descriptores de seguridad para usuarios locales.

Los objetos SAM incluyen:

• SAM_ALIAS: Un grupo local.
• SAM_GROUP: Un grupo que no es local.
• SAM_USER: Una cuenta de usuario.
• SAM_DOMAIN: Un dominio.
• SAM_SERVER: Una cuenta de computadora.

Si se configura esta política, se genera un evento de auditoría cuando se accede a un objeto SAM. Las auditorías de éxito registran intentos exitosos, y las auditorías de error registran intentos fallidos.

Nota: Solo se puede modificar la SACL para SAM_SERVER. Los cambios en objetos de usuario y grupo se rastrean mediante la politica Account Management audit category. Sin embargo, los usuarios con suficientes privilegios pueden modificar los archivos en los que se almacenan la cuenta y la información de la contraseña, eludiendo cual evento de Account Management.

Audit Remobable Storage

4656, 4658, 4663

Permite auditar los intentos de acceso de los usuarios a objetos en un dispositivo de almacenamiento extraíble. Se genera un evento de auditoría de seguridad para todos los objetos y tipos de acceso solicitados, sin depender de la SACL del objeto. Esto asegura el seguimiento de todas las actividades de acceso, independientemente de la configuración de la lista de control de acceso del sistema (SACL) del dispositivo o los archivos en él.

Audit Detailed File Share

5145

Permite auditar los intentos de acceso a archivos y carpetas en una carpeta compartida. Esta configuración registra un evento cada vez que se accede a un archivo o carpeta, proporcionando información más detallada sobre los permisos y criterios utilizados para conceder o denegar el acceso. En comparación, la auditoría de uso compartido de archivos básico solo registra un evento por cada conexión entre el cliente y el recurso compartido

Audit Certification Services

4868, 4869, 4870, 4871, 4872, 4873, 4874, 4875, 4876, 4877, 4878, 4879, 4880, 4881, 4882, 4883, 4884, 4885, 4886, 4887, 4888, 4889, 4890, 4891, 4892, 4893, 4894, 4895, 4896, 4897, 4898

​Permite generar eventos cuando se realizan operaciones en los Servicios de Certificados de Active Directory (AD CS). Esto incluye:

• Inicios, apagados, copias de seguridad o restauraciones de AD CS.
• Operaciones relacionadas con la lista de revocación de certificados (CRL).
• Solicitudes, emisión o revocación de certificados.
• Modificaciones en la configuración del administrador de certificados o la autoridad de certificación (CA).
• Cambios en las plantillas de AD CS y en los permisos de seguridad de los servicios de rol de AD CS.
• Importación de certificados, publicación en los servicios de dominio de Active Directory, y la gestión de claves.

El monitoreo de estos eventos es crucial para asegurar el correcto funcionamiento de los servicios de AD CS.

Audit Application Generated

4665, 4666, 4667, 4668

Permite al sistema operativo registrar eventos cuando las aplicaciones utilizan las interfaces de programación de aplicaciones (API) de Auditoría de Windows. Los eventos auditados incluyen:

• La creación, eliminación o inicialización de un contexto de cliente de la aplicación.
• Las operaciones realizadas por la aplicación.

Las aplicaciones que hacen uso de las API de auditoría de Windows pueden generar estos eventos, que luego son registrados por el sistema operativo.

Audit FIle Share

5140, 5142, 5143, 5144, 5168

Alta en un servidor de archivos o controlador de dominio (debido al acceso a SYSVOL por parte de las computadoras cliente para el procesamiento de políticas).

Permite al sistema operativo generar eventos de auditoría cuando se accede a un recurso compartido de archivos. Sin embargo, no se generan eventos al crear o eliminar recursos compartidos, ni al cambiar los permisos de los mismos.

Importante: No existen listas de control de acceso al sistema (SACL) para los recursos compartidos, por lo que, al habilitar esta configuración, se auditará el acceso a todos los recursos compartidos del sistema. Combinada con la auditoría del sistema de archivos, esta configuración permite rastrear el contenido accedido, la fuente de la solicitud (dirección IP y puerto), y la cuenta de usuario utilizada para el acceso.

Audit Filtering Platform Packet Drop

5152, 5153

Genera eventos cuando la plataforma de filtrado de Windows (WFP) descarta paquetes. La WFP, introducida en Windows Server 2008 y Windows Vista, permite a los proveedores de software filtrar y modificar paquetes TCP/IP, monitorear o autorizar conexiones, filtrar tráfico protegido por IPsec y filtrar llamadas a procedimientos remotos (RPC).

Una alta tasa de paquetes descartados puede ser un indicio de intentos de acceso no autorizado a las computadoras en la red.

Audit Filtering Platform Connection

5031, 5140, 5150, 5151, 5154, 5155, 5156, 5157, 5158, 5159

Genera eventos cuando la plataforma de filtrado de Windows (WFP) permite o bloquea conexiones. La WFP, introducida en Windows Server 2008 y Windows Vista, facilita a los proveedores de software filtrar y modificar paquetes TCP/IP, monitorear o autorizar conexiones, y filtrar tráfico protegido por IPsec, entre otras funciones.

Esta política audita las siguientes acciones:

• El servicio Firewall de Windows bloquea conexiones entrantes de aplicaciones.
• La WFP permite o bloquea una conexión.
• La WFP permite o bloquea un enlace a un puerto local.
• La WFP permite o bloquea que una aplicación o servicio escuche en un puerto para conexiones entrantes.

Audit File System

4664, 4985, 5051

Varía, dependiendo de cómo se configuren las SACLs del sistema de archivos.

No se generan eventos de auditoría para las SACLs predeterminadas del sistema de archivos.

Genera eventos cuando los usuarios intentan acceder a los objetos del sistema de archivos. Los eventos de auditoría se generan solo para objetos con listas de control de acceso del sistema (SACL) configuradas, y si el tipo de acceso solicitado (como Escritura, Lectura o Modificación) y la cuenta coinciden con las configuraciones de las SACL.

• Si se habilita la auditoría de éxito, se genera un evento cada vez que una cuenta accede con éxito a un objeto de archivo que tiene una SACL coincidente.
• Si se habilita la auditoría de errores, se genera un evento cuando un acceso no autorizado ocurre a un objeto con una SACL coincidente.

Estos eventos son clave para rastrear el acceso a archivos sensibles o valiosos que requieren monitoreo adicional.

Policy Audit Name

Events ID

Event Volume

Descripción

Audit Audit Policy Change

4715, 4719, 4817, 4902, 4904, 4905, 4906, 4907, 4908, 4912

Bajo

Permite al sistema operativo generar eventos cuando se realizan cambios en la política de auditoría, siendo estos eventos clave para monitorear modificaciones críticas en la seguridad. Los cambios auditados incluyen:

• Modificación de permisos y configuración de auditoría en el objeto de política de auditoría (usando auditpol /set /sd).
• Alteraciones en la política de auditoría del sistema.
• Registro y anulación de registro de fuentes de eventos de seguridad.
• Cambios en la configuración de auditoría por usuario.
• Actualización del valor de CrashOnAuditFail.
• Modificación de la configuración de auditoría de un objeto, como la lista de control de acceso del sistema (SACL) de un archivo o clave de registro.

Notas importantes:

• La auditoría de cambios en SACL ocurre al modificar una SACL si está habilitada la categoría de cambio de política.
• La auditoría de listas de control de acceso discrecional (DACL) y cambios de propietario requiere que la auditoría de acceso a objetos esté habilitada y que la SACL del objeto lo permita.
• Cambios en la lista de Grupos Especiales también se registran.

Estos eventos son críticos para garantizar la integridad de la configuración de seguridad del sistema.

Audit Authentication Policy Change

4713, 4716, 4717, 4718, 4739, 4864, 4865, 4866, 4867

Bajo

Permite registrar eventos cuando se realizan modificaciones en la política de autenticación del sistema, siendo útil para monitorear cambios relacionados con la confianza y los privilegios a nivel de dominio y bosque.

Cambios auditados:

1. Fideicomisos:
   • Creación, modificación y eliminación de fideicomisos forestales y de dominio.
2. Política de Kerberos:
   • Cambios en la configuración ubicada en:
     Configuración del equipo → Configuración de Windows → Configuración de seguridad → Políticas de cuenta → Política de Kerberos.
   • Nota: Los eventos se registran al aplicar la política, no al realizar modificaciones.
3. Derechos de usuario otorgados:
   • Acceder a esta computadora desde la red.
   • Permitir inicio de sesión local.
   • Permitir inicio de sesión a través de Escritorio remoto.
   • Iniciar sesión como un trabajo por lotes.
   • Iniciar sesión como servicio.
4. Colisiones de nombres:
   • Conflictos de espacios de nombres, como cuando una nueva confianza entra en conflicto con un nombre de espacio existente.

Importancia:

Esta configuración permite rastrear modificaciones críticas en las políticas de autenticación, así como en las relaciones de confianza y privilegios asignados, garantizando un monitoreo efectivo de la seguridad en el dominio.

Audit Authorization Policy Change

4704, 4705, 4706, 4707, 4714

Bajo

Permite registrar eventos relacionados con modificaciones específicas en la política de autorización del sistema.

Cambios auditados:

1. Asignación o eliminación de privilegios:
   • Derechos de usuario, como SeCreateTokenPrivilege, con excepción de los derechos de acceso al sistema (auditados por la subcategoría de Cambio de política de autenticación de auditoría).
2. Política de EFS (Sistema de cifrado de archivos):
   • Cambios en la configuración de esta política.

Utilidad:

Esta auditoría es clave para monitorear y detectar cambios en los privilegios de usuario y en las configuraciones de seguridad asociadas al cifrado de archivos, contribuyendo al fortalecimiento de la administración de accesos en el sistema.

Audit Filtering Platform Policy Change

4709, 4710, 4711, 4712, 5040, 5041, 5042, 5043, 5044, 5045, 5046, 5047, 5048, 5440, 5441, 5442, 5443, 5444, 5446, 5448, 5449, 5450, 5456, 5457, 5458, 5459, 5460, 5461, 5462, 5463, 5464, 5465, 5466, 5467, 5468, 5471, 5472, 5473, 5474, 5477

Bajo

Genera eventos de auditoría para acciones relacionadas con IPsec y la Plataforma de filtrado de Windows (WFP), que permite a los ISV filtrar/modificar paquetes TCP/IP, autorizar conexiones, filtrar tráfico IPsec y llamadas RPC.

Eventos auditados:

• Estado de los servicios IPsec.
• Cambios en la configuración de IPsec.
• Estado y modificaciones del motor/proveedores de WFP.
• Actividades del agente de políticas IPsec.

Audit Other Policy Change Events

4670, 4909, 4910, 5063, 5064, 5065, 5066, 5067, 5068, 5069, 5070, 5447, 6144, 6145

Bajo

Genera eventos de auditoría para cambios de política de seguridad no cubiertos en la categoría de Cambio de política.

Eventos auditados:

• Cambios en la configuración del Módulo de plataforma confiable (TPM).
• Pruebas automáticas criptográficas en modo kernel.
• Operaciones del proveedor criptográfico.
• Modificaciones o acciones en el contexto criptográfico.

Policy Audit Name

Events ID

Event Volume

Descripción

Audit Sensitive Privilege Use

4672, 4673, 4674

Alto

Genera eventos de auditoría al usar privilegios confidenciales (derechos de usuario).

Acciones auditadas:

• Llamadas a servicios privilegiados.
• Uso de privilegios como:
  • Actuar como parte del sistema operativo.
  • Realizar copias de seguridad de archivos y directorios.
  • Crear un objeto token.
  • Depurar programas.
  • Delegación confiable para cuentas de usuario y computadora.
  • Generar auditorías de seguridad.
  • Suplantar a un cliente tras autenticación.
  • Cargar/descargar controladores de dispositivos.
  • Administrar registros de auditoría y seguridad.
  • Modificar valores de firmware.
  • Reemplazar tokens a nivel de proceso.
  • Restaurar archivos y directorios.
  • Tomar propiedad de archivos u otros objetos.

Genera eventos de auditoría para intentos exitosos (auditorías de éxito) o fallidos (auditorías de error) al solicitar privilegios confidenciales.

Audit Other Privilege Use Events

4985

Medio

No se espera que genere eventos directamente; sin embargo, habilitar la Auditoría de Éxitos para esta subcategoría puede provocar la generación del Evento 4985: El estado de una transacción ha cambiado.

Este comportamiento ocurre porque el Evento 4985 está asociado con los cambios de estado de las transacciones dentro del sistema. Aunque no está estrictamente relacionado con el uso de privilegios confidenciales, se captura en esta subcategoría debido a su vínculo con actividades transaccionales que pueden implicar operaciones sensibles.

Puntos clave a considerar:

• El Evento ID 4985 indica cambios de estado para las transacciones, que forman parte del procesamiento transaccional en el sistema operativo, como operaciones de confirmación o reversión.
• Aunque esta subcategoría se centra en el uso de privilegios confidenciales, los cambios de estado transaccionales se registran bajo ella cuando se habilita la Auditoría de Éxitos, posiblemente debido a la forma en que se implementa el marco de auditoría.

Policy Audit Name

Events ID

Event Volume

Descripción

Audit IPsec Driver

4960, 4961, 4962, 4963, 4965, 5478, 5479, 5480, 5483, 5484, 5485

Medio

​Genera eventos de auditoría para las actividades del controlador IPsec.

El controlador IPsec, que utiliza la lista de filtros IP de la política IPsec activa, vigila los paquetes IP salientes a proteger y los entrantes a verificar y descifrar. Las actividades auditadas incluyen:

• Inicio y apagado de servicios IPsec.
• Paquetes descartados por errores en la verificación de integridad.
• Paquetes descartados por errores en la comprobación de reproducción.
• Paquetes descartados por estar en texto sin formato.
• Paquetes recibidos con un índice de parámetros de seguridad (SPI) incorrecto.
• Error al procesar filtros IPsec.

Importante

Una alta tasa de pérdida de paquetes por parte del controlador IPsec puede indicar intentos de acceso no autorizado a la red. La falta de procesamiento de filtros IPsec puede representar un riesgo de seguridad.

Audit Other System Events

5024, 5025, 5027, 5028, 5029, 5030, 5032, 5033, 5034, 5035, 5037, 5058, 5059, 6400, 6401, 6402, 6403, 6404, 6405, 6406, 6407, 6408

Bajo

​Audita varios eventos del sistema, los eventos incluyen:

• Inicio y apagado del servicio y controlador de Firewall de Windows.
• Procesamiento de la política de seguridad por parte del servicio Firewall de Windows.
• Archivo de claves criptográficas y operaciones de migración.

Importante

Si el servicio Firewall de Windows no se inicia, el equipo podría no estar completamente protegido contra amenazas de red.

Audit Security State Change

4608, 4609, 4616, 4621

Bajo

Auditoría de cambio de estado de seguridad, que determina si Windows genera eventos de auditoría para cambios en el estado de seguridad de un sistema.

Los cambios en el estado de seguridad incluyen:

• Inicio y apagado del sistema.
• Cambio de hora del sistema.
• Recuperación del sistema tras CrashOnAuditFail, evento que se registra tras un reinicio causado por este problema.

Importante

Es posible que no se registren algunas actividades auditables cuando el sistema se reinicia debido a CrashOnAuditFail.

Los eventos de inicio y apagado del sistema son cruciales para monitorear el uso del sistema.

Audit Security System Extension

4610, 4611, 4614, 4622, 4697

Bajo

​Genera eventos de auditoría relacionados con las extensiones del sistema de seguridad.

Las actividades que incluyen cambios en las extensiones del sistema de seguridad son:

• Carga de un código de extensión de seguridad (como un paquete de autenticación, notificación o seguridad). Estos códigos, como Kerberos o NTLM, se usan para autenticar intentos de inicio de sesión y recibir notificaciones sobre cambios en cuentas o contraseñas.
• Instalación de un servicio. Se genera un registro de auditoría cuando un servicio se registra en el Administrador de control de servicios, que incluye detalles sobre el nombre del servicio, binario, tipo, inicio y cuenta asociada.

Importante

Los intentos de instalar o cargar extensiones o servicios del sistema de seguridad son eventos críticos que podrían indicar una violación de seguridad.

Audit System Integrity

4612, 4615, 4618, 4816, 5038, 5056, 5057, 5060, 5061, 5062

Bajo

​Genera eventos cuando se violan la integridad del subsistema de seguridad.

Las actividades que violan la integridad incluyen:

• Pérdida de eventos de auditoría debido a fallas en el sistema de auditoría.
• Uso de un puerto de llamada a procedimiento local (LPC) no válido para intentar hacerse pasar por un cliente, responder o escribir en el espacio de direcciones de cliente.
• Violación de integridad de llamada a procedimiento remoto (RPC).
• Violación de integridad del código con un valor hash no válido en un archivo ejecutable.
• Realización de tareas criptográficas.

Importante

Las violaciones a la integridad del subsistema de seguridad son críticas y podrían ser indicativos de un ataque de seguridad.

Policy Audit Name

Events ID

Event Volume

Descripción

Registry

4663

---

​Permite configurar una Lista de Control de Acceso del Sistema (SACL) global en el registro de una computadora.

Al seleccionar Configurar seguridad en las propiedades de esta política, puedes agregar usuarios o grupos a la SACL global. Esto permite definir SACL por tipo de objeto para el registro, y la SACL especificada se aplicará automáticamente a todos los objetos del registro del tipo seleccionado.

Consideraciones importantes:

• Esta configuración debe combinarse con la política de seguridad Auditoría del Registro en Acceso a objetos. Para más detalles, consulta la guía sobre Auditoría del Registro.
• Está disponible en sistemas operativos Windows compatibles, según lo especificado en la sección Se aplica a del documento oficial.

Esta configuración facilita un monitoreo más exhaustivo de los accesos al registro, ayudando a identificar actividades sospechosas o no autorizadas en los objetos del registro.

File System

4663

---

Permite configurar una Lista de Control de Acceso al Sistema (SACL) global en el sistema de archivos de toda la computadora.

Al seleccionar Configurar seguridad en las propiedades de la política, puedes agregar usuarios o grupos a la SACL global. Esto permite definir SACL para el sistema de archivos por tipo de objeto, y la SACL especificada se aplica automáticamente a todos los tipos de objetos del sistema de archivos.

Consideraciones importantes:

• Si se configuran tanto una SACL de archivo o carpeta como una SACL global, la SACL efectiva será la combinación de ambas. Se generará un evento de auditoría si la actividad coincide con cualquiera de las SACL (archivo, carpeta o global).
• Esta configuración debe usarse junto con la política de seguridad Auditoría del sistema de archivos en Acceso a objetos. Más detalles en Auditoría del sistema de archivos.
• Está disponible en las versiones compatibles de Windows, según se especifica en la sección Se aplica a del documento.

Esta configuración mejora el control y la supervisión del acceso a los archivos y carpetas, lo que facilita el rastreo de actividades específicas dentro del sistema de archivos.