Eventos de seguridad en Windows 2008

Los que ya están usando Windows 2008 en sus Domain Controllers, habrán notado que todos los eventos de seguridad cambiaron de número.

Después de leer un poco encontré una explicación “razonable” y si queremos hacer la conversión de los nuevos eventos a los de 2003 solo tendremos que restar 4096 al evento o viceversa.

Veamos:

En windows 2003 el evento 528 correspondía a Logon exitoso. Si a este evento le sumamos 4096 tendremos 4624 (logon exitoso para Windows 2008)

Hasta ahí todo bárbaro, pero hay eventos que no entran en esta regla, como por ejemplo los de login fallido. En Windows 2003 teníamos eventos del 529 a 535 dependiendo de la falla en el login, mientras que en 2008 todo quedo englobado en el 4625 como único evento. Lo que obviamente no permite una conversión lineal.

Otra forma de ver que tenemos de nuevo en los eventos de Windows 2008 es usando el comando wevtutil de la siguiente forma:

wevtutil gp Microsoft-Windows-Security-Auditing /ge /gm:true

Con esto obtendremos un detalle de los eventos existentes y sus parámetros para tener una idea de como interactuar con ellos

Espero les haya servido

Saludos


Leave a Reply

Your email address will not be published. Required fields are marked *


*

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>