Estás trabajando sin conexión, espera a que vuelva la conexión a Internet

Suceso de seguridad para asociar sucesos de inicio de sesión de la cuenta de servicio

Ha finalizado el soporte técnico para Windows XP

Microsoft puso fin al soporte técnico para Windows XP el 8 de abril de 2014. Este cambio ha afectado a las actualizaciones de software y las opciones de seguridad. Sepa qué significa esto en su caso y cómo puede mantenerse protegido.

Este artículo se publicó anteriormente con el número E274176
Resumen
En Windows 2000 y las versiones anteriores de Windows, no era posible asociar un suceso de inicio de sesión de cuenta (Id. de suceso de seguridad 528) con un suceso de creación de procesos para muchos procesos, como los servicios. Sin embargo, un administrador puede utilizar el Id. de suceso de seguridad 600 (que se incluye con Microsoft Windows XP) para realizar esta asociación. En este artículo se explica el modo de interpretar el registro de sucesos de seguridad con el fin de que pueda comprender estos sucesos.
Más información
Si va a auditar sucesos de inicio de sesión de cuenta, sucesos de inicio de sesión y seguimiento de procesos, los cinco sucesos siguientes se registran cuando se inicia un servicio con una cuenta de usuario:
  • Solicitud de vale Kerberos
    (672 Inicio de sesión de la cuenta)
  • Vale Kerberos concedido
    (673 Inicio de sesión de la cuenta)
  • Inicios de sesión de cuenta
    (528 Inicio de sesión/cierre de sesión)
  • Se inicia el proceso de servicio
    (592 Seguimiento detallado)
  • Cuenta que inició el servicio registrado
    (600 Seguimiento detallado)
Los siguientes sucesos de ejemplo se producen cuando el servicio Registro de licencias se ha iniciado mediante una cuenta de dominio.

Solicitud de vale Kerberos

  Tipo de suceso:	Auditoría de aciertos Origen del suceso:	Seguridad  Categoría del suceso:	Inicio de sesión de la cuenta Id. de suceso: 672 Fecha:		08/14/2000 Hora:		05:13:02 Usuario:		NT AUTHORITY\SYSTEM Equipo: <nombre de equipo> Descripción: Solicitud de vale de autenticación: 	Nombre de usuario:		<nombre de usuario> 	Nombre de territorio suministrado:	<nombre de territorio> 	Id. de usuario: <nombre de territorio>\<nombre de usuario> 	Nombre de servicio:		<nombre de servicio> 	Id. de servicio:		<nombre de territorio>\<nombre de servicio> 	Opciones de vale:		0x40810010 	Código de resultado:		- 	Tipo de cifrado de vale:	0x17 	Tipo de preautenticación:	2 	Dirección de cliente:		127.0.0.1

Vale Kerberos concedido

 Tipo de suceso:	Auditoría de aciertos Origen del suceso:	Seguridad Categoría del suceso:	Inicio de sesión de la cuenta Id. de suceso: 673 Fecha:		08/14/2000 Hora:		05:13:02 Usuario:		NT AUTHORITY\SYSTEM Equipo: <nombre de equipo> Descripción: Vale de servicio concedido: 	Nombre de usuario:		<nombre de usuario> 	Dominio de usuario:		<nombre de dominio de usuario> 	Nombre de servicio:		<nombre de equipo>$ 	Id. de servicio:		<nombre de dominio de usuario>\<nombre de equipo>$ 	Opciones de vale:		0x40810010 	Tipo de cifrado de vale:	0x17 	Dirección de cliente:		127.0.0.1

Inicios de sesión de cuenta

 Tipo de suceso:	Auditoría de aciertos Origen del suceso:	Seguridad Categoría del suceso:	Inicio de sesión/cierre de sesión Id. de suceso: 528 Fecha:		08/14/2000 Hora:		05:13:02 Usuario:		<nombre de dominio de usuario>\<nombre de usuario> Equipo: <nombre de equipo> Descripción: Inicio de sesión realizado: 	Nombre de usuario:	<nombre de usuario> 	Dominio:		<nombre de dominio> 	Id. de inicio de sesión:		(0x0,0x1CBC6A) 	Tipo de inicio de sesión:	5 	Proceso de inicio de sesión:	Advapi 	Paquete de autenticación:	Negociación 	Nombre de estación de trabajo:	<nombre de equipo>

Se inicia el proceso de servicio

 Tipo de suceso:	Auditoría de aciertos Origen del suceso:	Seguridad Categoría del suceso:	Seguimiento detallado Id. de suceso: 592 Fecha:		08/14/2000 Hora:		05:13:02 Usuario:		NT AUTHORITY\SYSTEM Equipo: <nombre de equipo> Descripción: Se ha creado un proceso: 	Id. de proceso:	2064 	Nombre de archivo de imagen:	C:\WINDOWS\system32\llssrv.exe 	Id. de proceso creador:	264 	Nombre de usuario:	<nombre de equipo>$ 	Dominio:		<nombre de dominio> 	Id. de inicio de sesión:		(0x0,0x3E7)

Cuenta que inició el servicio registrado

 Tipo de suceso:	Auditoría de aciertos Origen del suceso:	Seguridad Categoría del suceso:	Seguimiento detallado Id. de suceso: 600 Fecha:		08/14/2000 Hora:		05:13:02 Usuario:		NT AUTHORITY\SYSTEM Equipo: <nombre de equipo> Descripción: Un proceso asignó un símbolo principal. 	Id. de proceso:	2064 	Nombre de archivo de imagen:	C:\WINDOWS\system32\llssrv.exe 	Nombre de usuario:	<nombre de usuario> 	Dominio:		<nombre de dominio> 	Id. de inicio de sesión:		(0x0,0x1CBC6A)
Propiedades

Id. de artículo: 274176 - Última revisión: 07/05/2001 16:39:00 - Revisión: 1.0

  • Microsoft Windows XP Professional Edition
  • kbinfo kbtool KB274176
Comentarios