Los Id. de suceso 560 y 562 aparecen muchas veces en el registro de sucesos de seguridad.

Seleccione idioma Seleccione idioma
Id. de artículo: 841001 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

En esta página

Síntomas

Después de configurar Directiva de grupo o Directiva de seguridad local para auditar el acceso a un objeto, aparecen muchos sucesos similares a los siguientes en el registro de sucesos de seguridad:

Origen del suceso: seguridad
Categoría del suceso: acceso a objetos
Id. del suceso: 560
Fecha: fecha
Hora: hora
Tipo: correcto
Usuario: EXAMPLE\nombreDeUsuario
Equipo: nombreDeEquipo
Descripción:
Objeto abierto:
Servidor de objetos: seguridad
Tipo de objeto: tipoDeObjeto
Nombre del objeto: tipoDeObjeto
Id. de identificador nuevo: 104
Id. de operación: {0,252360}
Id. de proceso: 1156
Nombre de usuario principal: nombreDeUsuario
Dominio principal: EXAMPLE
Id. de inicio de sesión principal: (IdInicioSesión)
Nombre de usuario cliente:
Dominio de cliente:
Id. de inicio de sesión de cliente:
accesos
<Lista de características>
Privilegios



Origen del suceso: seguridad
Categoría del suceso: acceso a objetos
Id. del suceso: 562
Fecha: fecha
Hora: hora
Tipo: correcto
Usuario: EXAMPLE\nombreDeUsuario
Equipo: nombreDeEquipo
Descripción:
Identificador cerrado:
Servidor de objetos: seguridad
Id. de controlador: 104
Id. de proceso: 1156


Estos sucesos aparecen si no ha configurado la lista de control de acceso de seguridad (SACL) en el objeto que está auditando. Los sucesos también aparecen si ha configurado la SACL, pero no para todos los accesos enumerados. Por ejemplo, estos sucesos se registran cuando un usuario o un programa lee una subclave del Registro y no ha activado la casilla Control de lectura o Consultar valor en la entrada de la auditoría para esa subclave del Registro.

Nota: para obtener más información acerca de cómo configurar la auditoría, vea la sección "Más información".

Causa

Este problema puede producirse por los motivos siguientes:
  • Habilita el valor Auditar el acceso de objetos globales del sistema de la Directiva de seguridad local Si habilita este valor, se generarán muchos sucesos de auditoría. Estos sucesos normalmente serán los de seguridad de origen con el identificador de suceso 560 y el tipo de objeto suceso, mutante, proceso, sección, semáforo, subproceso o símbolo (token). Estos sucesos sólo son de interés para los programadores del sistema. Normalmente, el valor Auditar el acceso de objetos globales del sistema de la Directiva de seguridad local no está habilitado.
  • Habilita la auditoría en un controlador de dominio. Al habilitar la auditoría en un controlador de dominio, se generarán sucesos de auditoría que normalmente contienen referencias a los tipos de objeto siguientes:
    • SAM_ALIAS
    • SAM_GROUP
    • SAM_USER
    • SAM_DOMAIN
    • SAM_SERVER
    Estos sucesos indican que los objetos del Administrador de cuentas de seguridad (SAM) tienen listas de control de acceso de seguridad (SACL) y que se está produciendo una gran cantidad de actividad del SAM. Normalmente, estos sucesos sólo se producen en un controlador de dominio.
  • Utiliza una aplicación que abre con demasiada frecuencia los objetos auditados o que los abre con un acceso mayor de lo que requiere. Por ejemplo, la aplicación puede solicitar acceso de control total cuando sólo necesita acceso de lectura. Cuando ocurre esto, se pueden generar sucesos en los que el proceso al que se hace referencia siempre es la misma aplicación.

Solución

Para resolver este problema, utilice uno de los métodos siguientes:

Método 1

Deshabilite el valor Auditar el acceso de objetos globales del sistema de la Directiva de seguridad local si lo ha habilitado antes. Para ello, siga estos pasos:
  1. Haga clic en Inicio y en Ejecutar, escriba gpedit.msc y haga clic en Aceptar.
  2. Busque la siguiente entrada:
    Raíz de la consola\Directiva de equipo local\Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad
  3. Haga doble clic en la directiva Auditar el acceso de objetos globales del sistema, haga clic Deshabilitado bajo Directiva local y, a continuación, haga clic en Aceptar.
  4. En el menú Consola, haga clic en Salir y, a continuación, reinicie el equipo.

Método 2

Utilice el complemento Edición de ADSI para quitar las entradas de la auditoría en la SACL para un objeto del SAM si ha habilitado la auditoría en un controlador de dominio. Para ello, siga estos pasos.

Nota : el complemento Edición de ADSI se encuentra en la carpeta Support del CD-ROM de instalación de Windows 2000.

Advertencia: si utiliza el complemento Edición de ADSI, la utilidad LDP o cualquier otro cliente de LDAP versión 3, y modifica los atributos de los objetos de Active Directory incorrectamente, puede provocar problemas graves. Debido a estos problemas, puede ser necesario reinstalar Microsoft Windows 2000 Server, Microsoft Windows Server 2003, Microsoft Exchange 2000 Server, Microsoft Exchange Server 2003 o Windows y Exchange (ambos). Microsoft no garantiza que los problemas derivados de la modificación incorrecta de los atributos de los objetos de Active Directory puedan resolverse. Modifique estos atributos bajo su responsabilidad.
  1. Inicie una sesión en el controlador de dominio usando una cuenta que tenga permisos de administrador del dominio.
  2. Haga clic en Inicio y en Ejecutar, escriba adsiedit.msc y haga clic en Aceptar.
  3. En la consola de Edición de ADSI, haga clic con el botón secundario del mouse en Edición de ADSI y, a continuación, haga clic en Conectar con.
  4. En el cuadro de diálogo Conexión, asegúrese de que la opción Nombre completo está seleccionada y, a continuación, escriba lo siguiente en el campo Nombre completo:
    CN=Server,CN=System,DC=nombreDeDominio,DC=extensiónDeDominio.
  5. Seleccione la opción Predeterminada (dominio o servidor en el que inició sesión) y, a continuación, haga clic en Aceptar.
  6. En la consola de administración de Edición de ADSI, haga clic con el botón secundario del mouse en la carpeta CN=Server, CN=System, DC=nombreDeDominio, DC=extensiónDeDominio y, a continuación, haga clic en Propiedades.
  7. En el cuadro de diálogo Propiedades de CN=Server,CN=System,DC=nombreDeDominio,DC=extensiónDeDominio , haga clic en la ficha Seguridad.
  8. Haga clic en Avanzada y, después, en la ficha Auditoría.
  9. Desactive la casilla Permitir que las entradas de auditoría heredables del primario se propaguen a este objeto.
  10. Cuando el sistema pida confirmación con el mensaje siguiente, haga clic en Quitar.

    Está impidiendo que las entradas de auditoría heredables se propaguen a este objeto. Seleccione la opción que corresponda.
  11. Haga clic en Aceptar dos veces para guardar la configuración y cerrar el cuadro de diálogo Propiedades de CN=Server,CN=System,DC=nombreDeDominio,DC=extensiónDeDominio.

Método 3

Configure la aplicación personalizada para que abra los objetos auditados sólo si se necesita. Por ejemplo, configúrela para solicitar sólo el acceso mínimo que se requiera. Si la aplicación personalizada sólo requiere el acceso de lectura para un objeto concreto, asigne sólo el acceso de lectura. En este caso, el acceso de control total no se necesita.

Más información

Windows 2000 implementa la auditoría según el acceso que solicite un usuario o un programa. Si un usuario o un programa tienen acceso a un objeto utilizando una cuenta con un nivel auditable de acceso al mismo, Windows genera el suceso de auditoría correspondiente. Por ejemplo, si configura un programa con acceso de escritura a un objeto, y ha configurado la auditoría para los sucesos de escritura, se genera un suceso de auditoría de la escritura cuando ese programa tiene acceso al objeto. Este comportamiento se produce aun cuando el programa no realice una operación de escritura en una subclave del Registro. En esta situación, este suceso de auditoría se genera porque el programa tiene potencial para escribir en el objeto.

Windows implementa este método de auditoría para mantener la compatibilidad con los estándares de certificación Common Criteria y, anteriormente, con los estándares de certificación C2. Para obtener información adicional sobre los requisitos de auditoría de C2, vea la guía para comprender la auditoría en sistemas de confianza (A Guide to Understanding Audit in Trusted Systems), en inglés. Para ver esta guía, visite la siguiente página Web:
http://www.fas.org/irp/nsa/rainbow/tg001.htm
El apartado "Section 6.1.1 Auditable Events" de esta guía contiene los dos sucesos auditables siguientes:
  • Introducción de objetos en el espacio de direcciones de un usuario
  • Eliminación de objetos del espacio de direcciones de un usuario
En Windows, el identificador de suceso 560 representa el primer suceso y el identificador de suceso 562 representa el segundo.

Para obtener más información acerca de los estándares de certificación de Common Criteria, visite el siguiente sitio Web de Microsoft:
http://www.microsoft.com/technet/security/prodtech/Windows2000/w2kccwp.mspx
Para obtener información adicional acerca de las claves del Registro de auditoría, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
315416 Cómo utilizar Directiva de grupo para auditar claves del Registro en Windows 2000
Para obtener información adicional, haga clic en los números de artículo siguientes para verlos en Microsoft Knowledge Base:
816915 Nuevo esquema de nomenclatura para los paquetes de revisión de Microsoft Windows
824684 Descripción de la terminología estándar utilizada para describir las actualizaciones de software de Microsoft
Microsoft proporciona información de contacto con otros proveedores para ayudarle a encontrar soporte técnico. Esta información de contacto puede cambiar sin previo aviso. Microsoft no ofrece ninguna garantía con respecto a la exactitud de esta información de contacto con otros proveedores.

Propiedades

Id. de artículo: 841001 - Última revisión: miércoles, 09 de mayo de 2007 - Versión: 2.4
La información de este artículo se refiere a:
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows NT 4.0
  • Microsoft Windows NT Advanced Server 3.1
  • Microsoft Windows NT Server 4.0 Standard Edition
Palabras clave: 
kbbug kbfix kbqfe kbenv kbeventlog kbprb kbwin2000presp5fix KB841001

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com