Se aplica a las siguientes ediciones de Windows 7

Professional

Ultimate

Enterprise

Supervisar los intentos de obtener acceso y cambiar la configuración del equipo

Para poder seguir estos pasos debe haber iniciado la sesión como Administrador.

Puede supervisar (en una acción denominada auditar) lo que ocurre con el equipo, para que esté más protegido. Al auditar el equipo, puede averiguar si alguien inició sesión en el equipo, creó una nueva cuenta de usuario, cambió una directiva de seguridad o abrió un documento. La auditoría no impide que un hacker o una persona que tenga una cuenta en el equipo realice cambios, pero le permite saber cuándo se realizó el cambio y quién lo hizo.

En la tabla siguiente se describen los distintos tipos de eventos que se pueden supervisar. Si elige supervisar cualquiera de estos eventos, Windows anota los eventos en un registro que se puede inspeccionar con el visor de eventos.

Evento Descripción

Administración de cuentas

Se supervisa para verificar si alguien cambió un nombre de cuenta, habilitó o deshabilitó una cuenta, creó o eliminó una cuenta, cambió una contraseña o un grupo de usuarios.

Eventos de inicio de sesión

Se supervisa para ver si alguien inició o cerró sesión en el equipo (físicamente en el equipo o intentando iniciar sesión a través de una red).

Acceso del servicio de directorio

Se supervisa para ver si alguien obtuvo acceso a un objeto de Active Directory que tenía su propia lista de control de acceso del sistema (SACL).

Acceso a objetos

Se supervisa para ver si alguien usó un archivo, carpeta, impresora u otro objeto. Aunque también puede auditar las claves del Registro, no se recomienda que lo haga, a menos que tenga conocimientos avanzados de informática y sepa usar el Registro.

Cambio de directivas

Se supervisa para verificar si hubo algún intento de cambiar las directivas de seguridad locales y para ver si alguien ha cambiado las asignaciones de derechos de usuario, directivas de auditoría o directivas de confianza.

Uso de privilegios

Se supervisa para ver si alguien realiza una tarea en el equipo para la que tiene permiso.

Seguimiento de procesos

Se supervisa para ver si se han producido eventos como la activación de un programa o la salida de un proceso.

Eventos del sistema

Se supervisa para verificar si alguien apagó o reinició el equipo, o si un proceso o programa intenta hacer algo para lo cual no tiene permiso. Por ejemplo, si algún spyware intenta cambiar una configuración en el equipo sin su permiso, la supervisión de eventos del sistema lo registra.
Mostrar todo

Para activar la auditoría

  1. Para abrir Directiva de seguridad local, haga clic en el botón InicioImagen del botón Inicio, escriba secpol.msc en el cuadro de búsqueda y, a continuación, haga clic en secpol. Se requiere permiso de administrador Si se le solicita una contraseña de administrador o una confirmación, escriba la contraseña o proporcione la confirmación.

  2. En el panel izquierdo, haga doble clic en Directivas locales y, a continuación, haga clic en Directiva de auditoría.

  3. Haga doble clic en el tipo de evento que desea auditar.

  4. Active la casilla Correcto o Error, o ambas, y, a continuación, haga clic en Aceptar.

    • Si activa Correcto, Windows registra cualquier intento correcto de completar el tipo de evento que se está supervisando. Por ejemplo, si está auditando eventos de inicio de sesión, cada vez que alguien inicie sesión en el equipo se considerará como un evento correcto de inicio de sesión.

    • Si activa Error, cualquier intento fallido de iniciar sesión en el equipo quedará registrado.

    • Si activa Correcto y Error, Windows registra todos los intentos.

    Existe un límite para la cantidad de eventos que pueden registrarse y, si el registro de auditoría se llena demasiado, esto puede hacer que el equipo funcione con mayor lentitud. Para dejar espacio, puede eliminar los eventos del registro en el momento en que los vea con el visor de eventos.

Para supervisar quién abre documentos

  1. Haga clic con el botón secundario en el documento o archivo del que desea realizar un seguimiento y, a continuación, haga clic en Propiedades.

  2. Haga clic en la ficha Seguridad, en Avanzadas y, a continuación, en Auditoría.

  3. Haga clic en Continuar. Se requiere permiso de administrador Si se le solicita una contraseña de administrador o una confirmación, escriba la contraseña o proporcione la confirmación.

  4. Haga clic en Agregar.

  5. En Escriba el nombre de objeto a seleccionar, escriba el nombre del usuario o grupo de cuyas acciones desea realizar un seguimiento y, a continuación, haga clic en Aceptar en cada uno de los cuatro cuadros de diálogo abiertos.

    Si desea supervisar a todos, escriba Todos. Si desea supervisar a una persona en particular, escriba el nombre del equipo seguido del nombre de usuario de la persona, o el nombre del dominio seguido del nombre de usuario de la persona (si el equipo se encuentra en un dominio): equipo\nombre de usuario o dominio\nombre de usuario.

  6. Active la casilla correspondiente a las acciones que desee auditar y haga clic en Aceptar. En la tabla siguiente se describen las acciones que se pueden auditar.

    Acciones que se pueden auditar en los archivos

    Acción Descripción

    Recorrer carpeta / Ejecutar archivo

    Realiza un seguimiento de las ocasiones en que alguien ejecuta un archivo de programa.

    Listar carpeta / Leer datos

    Realiza un seguimiento de las ocasiones en que alguien ve los datos en un archivo.

    Atributos de lectura

    Realiza un seguimiento de las ocasiones en que alguien ve los atributos de un archivo, como sólo lectura y oculto.

    Atributos extendidos de lectura

    Realiza un seguimiento de las ocasiones en que alguien ve los atributos extendidos de un archivo. Los atributos extendidos se definen por el programa que creó el archivo.

    Crear archivos / Escribir datos

    Realiza un seguimiento de las ocasiones en que alguien cambia el contenido de un archivo.

    Crear carpetas / Anexar datos

    Realiza un seguimiento de las ocasiones en que alguien agrega datos al final de un archivo.

    Atributos de escritura

    Realiza un seguimiento de las ocasiones en que alguien cambia los atributos de un archivo.

    Atributos extendidos de escritura

    Realiza un seguimiento de las ocasiones en que alguien cambia los atributos extendidos de un archivo.

    Eliminar subcarpetas y archivos

    Realiza un seguimiento de las ocasiones en que alguien elimina una carpeta.

    Eliminar

    Realiza un seguimiento de las ocasiones en que alguien elimina un archivo.

    Permisos de lectura

    Realiza un seguimiento de las ocasiones en que alguien lee los permisos de un archivo.

    Cambiar permisos

    Realiza un seguimiento de las ocasiones en que alguien cambia los permisos de un archivo.

    Tomar posesión

    Realiza un seguimiento de las ocasiones en que alguien toma posesión de un archivo.
    Nota

    Nota

    • Si se activa la casilla Control total, se seleccionarán todas las acciones de auditoría.

Para ver los registros de auditoría

  1. Para abrir el Visor de eventos, haga clic en el botón InicioImagen del botón Inicio, en Panel de control, Sistema y seguridad, Herramientas administrativas y, a continuación, haga clic en Visor de eventos. Se requiere permiso de administrador Si se le solicita una contraseña de administrador o una confirmación, escriba la contraseña o proporcione la confirmación.

  2. En el panel izquierdo, haga doble clic en Registros de Windows y, a continuación, haga clic en Seguridad.

  3. Haga doble clic en un evento para ver los detalles.

Nota

Nota

  • Para eliminar registros, haga clic en Vaciar registro en el panel Acciones.

Para obtener más información acerca de las auditorías de seguridad, incluidas las directivas de auditoría detalladas, vea la sección sobre auditorías de seguridad en el sitio web de Microsoft.