Supervisar los intentos de obtener acceso y cambiar la configuración del equipo

Para poder seguir estos pasos debe haber iniciado la sesión como Administrador.

Puede supervisar (en una acción denominada auditar) lo que ocurre con el equipo, para que esté más protegido. Al auditar el equipo, puede averiguar si alguien inició sesión en el equipo, creó una nueva cuenta de usuario, cambió una directiva de seguridad o abrió un documento. La auditoría no impide que un hacker o una persona que tenga una cuenta en el equipo realice cambios, pero le permite saber cuándo se realizó el cambio y quién lo hizo.

En la tabla siguiente se describen los distintos tipos de eventos que se pueden supervisar. Si elige supervisar cualquiera de estos eventos, Windows anota los eventos en un registro que se puede inspeccionar con el visor de eventos.

Evento Descripción
Evento

Administración de cuentas

Descripción

Se supervisa para verificar si alguien cambió un nombre de cuenta, habilitó o deshabilitó una cuenta, creó o eliminó una cuenta, cambió una contraseña o un grupo de usuarios.

Evento

Eventos de inicio de sesión

Descripción

Se supervisa para ver si alguien inició o cerró sesión en el equipo (físicamente en el equipo o intentando iniciar sesión a través de una red).

Evento

Acceso del servicio de directorio

Descripción

Se supervisa para ver si alguien obtuvo acceso a un objeto de Active Directory que tenía su propia lista de control de acceso del sistema (SACL).

Evento

Acceso a objetos

Descripción

Se supervisa para ver si alguien usó un archivo, carpeta, impresora u otro objeto. Aunque también puede auditar las claves del Registro, no se recomienda que lo haga, a menos que tenga conocimientos avanzados de informática y sepa usar el Registro.

Evento

Cambio de directivas

Descripción

Se supervisa para verificar si hubo algún intento de cambiar las directivas de seguridad locales y para ver si alguien ha cambiado las asignaciones de derechos de usuario, directivas de auditoría o directivas de confianza.

Evento

Uso de privilegios

Descripción

Se supervisa para ver si alguien realiza una tarea en el equipo para la que tiene permiso.

Evento

Seguimiento de procesos

Descripción

Se supervisa para ver si se han producido eventos como la activación de un programa o la salida de un proceso.

Evento

Eventos del sistema

Descripción

Se supervisa para verificar si alguien apagó o reinició el equipo, o si un proceso o programa intenta hacer algo para lo cual no tiene permiso. Por ejemplo, si algún spyware intenta cambiar una configuración en el equipo sin su permiso, la supervisión de eventos del sistema lo registra.

Mostrar todo

Para activar la auditoría

  1. Para abrir Directiva de seguridad local, haga clic en el botón InicioImagen del botón Inicio, escriba secpol.msc en el cuadro de búsqueda y, a continuación, haga clic en secpol. Se requiere permiso de administrador Si se le solicita una contraseña de administrador o una confirmación, escriba la contraseña o proporcione la confirmación.

  2. En el panel izquierdo, haga doble clic en Directivas locales y, a continuación, haga clic en Directiva de auditoría.

  3. Haga doble clic en el tipo de evento que desea auditar.

  4. Active la casilla Correcto o Error, o ambas, y, a continuación, haga clic en Aceptar.

    • Si activa Correcto, Windows registra cualquier intento correcto de completar el tipo de evento que se está supervisando. Por ejemplo, si está auditando eventos de inicio de sesión, cada vez que alguien inicie sesión en el equipo se considerará como un evento correcto de inicio de sesión.

    • Si activa Error, cualquier intento fallido de iniciar sesión en el equipo quedará registrado.

    • Si activa Correcto y Error, Windows registra todos los intentos.

    Existe un límite para la cantidad de eventos que pueden registrarse y, si el registro de auditoría se llena demasiado, esto puede hacer que el equipo funcione con mayor lentitud. Para dejar espacio, puede eliminar los eventos del registro en el momento en que los vea con el visor de eventos.

Para supervisar quién abre documentos

  1. Haga clic con el botón secundario en el documento o archivo del que desea realizar un seguimiento y, a continuación, haga clic en Propiedades.

  2. Haga clic en la ficha Seguridad, en Avanzadas y, a continuación, en Auditoría.

  3. Haga clic en Continuar. Se requiere permiso de administrador Si se le solicita una contraseña de administrador o una confirmación, escriba la contraseña o proporcione la confirmación.

  4. Haga clic en Agregar.

  5. En Escriba el nombre de objeto a seleccionar, escriba el nombre del usuario o grupo de cuyas acciones desea realizar un seguimiento y, a continuación, haga clic en Aceptar en cada uno de los cuatro cuadros de diálogo abiertos.

    Si desea supervisar a todos, escriba Todos. Si desea supervisar a una persona en particular, escriba el nombre del equipo seguido del nombre de usuario de la persona, o el nombre del dominio seguido del nombre de usuario de la persona (si el equipo se encuentra en un dominio): equipo\nombre de usuario o dominio\nombre de usuario.

  6. Active la casilla correspondiente a las acciones que desee auditar y haga clic en Aceptar. En la tabla siguiente se describen las acciones que se pueden auditar.

    Acciones que se pueden auditar en los archivos

    Acción Descripción
    Acción

    Recorrer carpeta / Ejecutar archivo

    Descripción

    Realiza un seguimiento de las ocasiones en que alguien ejecuta un archivo de programa.

    Acción

    Listar carpeta / Leer datos

    Descripción

    Realiza un seguimiento de las ocasiones en que alguien ve los datos en un archivo.

    Acción

    Atributos de lectura

    Descripción

    Realiza un seguimiento de las ocasiones en que alguien ve los atributos de un archivo, como sólo lectura y oculto.

    Acción

    Atributos extendidos de lectura

    Descripción

    Realiza un seguimiento de las ocasiones en que alguien ve los atributos extendidos de un archivo. Los atributos extendidos se definen por el programa que creó el archivo.

    Acción

    Crear archivos / Escribir datos

    Descripción

    Realiza un seguimiento de las ocasiones en que alguien cambia el contenido de un archivo.

    Acción

    Crear carpetas / Anexar datos

    Descripción

    Realiza un seguimiento de las ocasiones en que alguien agrega datos al final de un archivo.

    Acción

    Atributos de escritura

    Descripción

    Realiza un seguimiento de las ocasiones en que alguien cambia los atributos de un archivo.

    Acción

    Atributos extendidos de escritura

    Descripción

    Realiza un seguimiento de las ocasiones en que alguien cambia los atributos extendidos de un archivo.

    Acción

    Eliminar subcarpetas y archivos

    Descripción

    Realiza un seguimiento de las ocasiones en que alguien elimina una carpeta.

    Acción

    Eliminar

    Descripción

    Realiza un seguimiento de las ocasiones en que alguien elimina un archivo.

    Acción

    Permisos de lectura

    Descripción

    Realiza un seguimiento de las ocasiones en que alguien lee los permisos de un archivo.

    Acción

    Cambiar permisos

    Descripción

    Realiza un seguimiento de las ocasiones en que alguien cambia los permisos de un archivo.

    Acción

    Tomar posesión

    Descripción

    Realiza un seguimiento de las ocasiones en que alguien toma posesión de un archivo.

    Nota

    • Si se activa la casilla Control total, se seleccionarán todas las acciones de auditoría.

Para ver los registros de auditoría

  1. Para abrir el Visor de eventos, haga clic en el botón InicioImagen del botón Inicio, en Panel de control, Sistema y seguridad, Herramientas administrativas y, a continuación, haga clic en Visor de eventos. Se requiere permiso de administrador Si se le solicita una contraseña de administrador o una confirmación, escriba la contraseña o proporcione la confirmación.

  2. En el panel izquierdo, haga doble clic en Registros de Windows y, a continuación, haga clic en Seguridad.

  3. Haga doble clic en un evento para ver los detalles.

Nota

  • Para eliminar registros, haga clic en Vaciar registro en el panel Acciones.

Para obtener más información acerca de las auditorías de seguridad, incluidas las directivas de auditoría detalladas, vea la sección sobre auditorías de seguridad en el sitio web de Microsoft.