Saltar navegación

Activa JavaScript para disfrutar de los vídeos de la Mediateca.

Auditorias en Windows - Parte 2 - Contenido educativo

Ajuste de pantalla

El ajuste de pantalla se aprecia al ver el vídeo en pantalla completa. Elige la presentación que más te guste:

Subido el 16 de marzo de 2023 por Fernando Jesús H.

61 visualizaciones

Más información Transcripción

Descargar la transcripción

buenas de nuevo vamos a comprobar en la segunda parte si efectivamente la configuración de 00:00:00
auditoría que hemos puesto no funciona para hacerlo fácil voy a empezar por lo de el login 00:00:07
no sé si recordáis que dentro de jefes informática pusimos todos estos miembros y dijimos que podían 00:00:13
iniciar sesión local pues voy a intentar entrar con el germán punto sana de acuerdo entonces voy 00:00:20
cerrar sesión dentro del servidor y vamos a intentar intentar sesión perdón vamos a 00:00:26
intentar iniciar sesión pues por ejemplo un usuario que se llame intruso y pongo la contraseña la que 00:00:39
sea es decir esto supuestamente se tiene que quedar reflejado algún sitio ahora vamos a verlo 00:00:47
Voy a intentar ahora entrar con German.zana y voy a poner una contraseña que no es correcta 00:00:55
Y ahora el tercer intento lo voy a poner el correcto, German.zana y la contraseña que siempre utilizamos 00:01:06
¿De acuerdo? Y aquí lo está haciendo bien 00:01:19
¿Por qué este usuario puede iniciar sesión? 00:01:22
Porque nosotros en la GPO dijimos dentro de asignación de hecho de usuarios que todos los miembros del grupo jefe de informática podían iniciar sesión. 00:01:27
En mi opinión es un error, ¿de acuerdo? Aquí los usuarios no tienen que iniciar sesión local para nada, aquí solamente los administradores. 00:01:36
Pero bueno, para que veáis en este caso este ejemplo. 00:01:42
Voy a cerrar sesión y voy a volver a entrar con administrador. 00:01:46
Lo podría ver desde aquí, pero bueno, entramos ahora con el administrador y vamos a ver si efectivamente esto se ha quedado reflejado o no se ha quedado reflejado. 00:01:48
donde donde nos vamos para saber qué es lo que se ha quedado auditado pues me voy aquí a herramientas 00:02:00
me voy aquí herramientas y quiero que busquéis el visor de ventas si me voy por aquí abajo del todo 00:02:24
pues aquí tenéis el visor de ventas perdonar me voy por aquí al visor de eventos de acuerdo 00:02:29
no más y me hizo y ahora que es lo que quiero que veáis aquí a mano izquierda tengo el registro de 00:02:45
windows y aquí tengo una serie de en este caso registros cuál me interesa ahora el que me pone 00:03:00
en este caso de seguridad y ahora quiero que veáis que aquí me aparecen un montonazo que me pone 00:03:07
auditoría correcta auditoría correcta aquí me pone error de auditoría si sigo bajando entonces quiero 00:03:14
que veáis voy a empezar a bajar para que veáis la cantidad de información y sigo bajando y sigo 00:03:20
bajando y sigo bajando y sigo bajando entonces aquí se audita un montonazo de cosas por eso os 00:03:26
comenté que ni es bueno no evitar nada ni evitar todo de acuerdo porque se genera un montonazo de 00:03:31
información pero bueno qué es lo que me interesa me interesa en este caso ir mirando porque al 00:03:37
principio no vais a saber qué es lo que tenéis que buscar pero aquí por ejemplo me está diciendo el 00:03:43
logon y el logof de acuerdo entonces si voy a ponerlo para aquí arriba para que se vea 00:03:48
entonces yo no sé si veis aquí que me pone 00:03:53
se cerró, en este caso la sesión no da cuenta 00:03:57
voy bajando para acá, se cerró, la sesión 00:03:59
no da cuenta, y aquí me va diciendo 00:04:01
información, entonces voy a buscar 00:04:02
el que me interesa para que veáis 00:04:05
voy a seguir bajando, de acuerdo 00:04:06
vale, he bajado 00:04:08
y he llegado aquí, y que me pone 00:04:11
error de auditoría 00:04:13
y me pone categoría a la categoría, y me pone logon 00:04:14
y para mí el que me resulta 00:04:17
muy cómodo luego para buscar 00:04:19
es el identificador del evento, veis que me pone 00:04:20
4625 00:04:22
entonces señalo lo que me interesa 00:04:24
es el identificador 00:04:26
y diciendo en qué categoría 00:04:28
le voy a dar doble clic porque 00:04:31
quiero que veáis, ¿vale? es lo que vais a ver aquí 00:04:32
aquí abajo, pero me lo abre una ventana 00:04:34
me da igual que diga botón derecho, propiedades 00:04:37
o que haga doble clic, ¿de acuerdo? 00:04:38
entonces quiero que veáis que aquí me dice información 00:04:40
del evento, entonces, ¿qué es lo que veo? 00:04:42
que me dice, mira, ha habido 00:04:45
un error, en este caso al iniciar sesión 00:04:47
me dice que el identificador 00:04:49
de este evento es el 4625 00:04:51
y ¿por qué digo esto? 00:04:53
porque ahora cuando yo quiera buscar 00:04:55
todos los inicios de sesión con este 00:04:57
tipo de problema, pues en lugar de decirle 00:04:59
que me muestre todos los 00:05:01
registros, le digo que solamente me muestren aquellos 00:05:03
cuyo identificador es el 4625 00:05:05
pero bueno, ¿qué me dice aquí? me voy para abajo 00:05:08
y me dice que Germanzana 00:05:11
¿vale? que ha habido 00:05:13
un problema, porque dice que el nombre de 00:05:15
usuario desconocido o contraseña incorrecta 00:05:17
esta es la contraseña que yo puse mal 00:05:19
¿De acuerdo? Que sepáis que, voy a mover esto, quiero que veáis que yo ahora me meto, estoy en un registro, es decir, este registro que estoy viendo es justamente este que tengo seleccionado. 00:05:21
pero si yo ahora le doy a estas flechitas 00:05:36
¿vale? pues si le doy a esta flechita vais a ir viendo 00:05:40
que baja primeramente a este, luego va bajando a este, luego va bajando a este 00:05:49
y al revés, si le pincho a esta flechita de aquí arriba 00:05:53
pues lo que va haciendo es, se va moviendo y me va a ir moviendo 00:05:56
a la anterior, si le pincho otra vez a la anterior, si le pincho otra vez a la anterior 00:06:00
¿de acuerdo? entonces no hace falta que salgáis de aquí, lo hago para abajo, si pincho para abajo 00:06:05
Vais viendo que se va moviendo 00:06:09
Y aquí yo voy viendo todo lo que va haciendo 00:06:10
¿De acuerdo? 00:06:13
Si yo sigo bajando por aquí 00:06:14
Y como ya sé que es logon o logoff 00:06:15
Yo sigo bajando, yo sigo bajando, yo sigo bajando 00:06:19
Ahí va a llegar un momento 00:06:21
Porque aquí tenéis muchísimas cosas auditadas 00:06:23
¿De acuerdo? 00:06:25
Entonces, veis que por ejemplo aquí el logoff 00:06:26
Me está diciendo que se cerró sesión de una cuenta 00:06:28
Este no me interesa ahora 00:06:31
Sigo bajando para abajo 00:06:33
Sigo bajando para abajo 00:06:34
Y va a llegar un momento en que yo no sé si os acordáis 00:06:36
que intentamos entrar con un usuario que se llamaba 00:06:38
intruso, entonces seguro 00:06:40
que cuando ponga por aquí el logon 00:06:42
me va a decir que ha habido un problema 00:06:44
es decir que inicio de sesión ha sido 00:06:46
incorrecto, entonces estoy bajando poquito a poco 00:06:48
yo esto normalmente no lo hago, yo sé que tengo que buscar 00:06:50
¿vale? que es lo que tenéis que saber vosotros 00:06:52
o vosotras, entonces yo sigo bajando 00:06:54
por acá y fijaros que por aquí 00:06:56
me dice que se cerró la cuenta de 00:06:57
de sesión, este no me interesa 00:07:00
el logon se desinicio correctamente 00:07:02
y me voy por aquí 00:07:04
me dice auditoría correcta 00:07:05
Este tampoco me interesa 00:07:08
Sigo bajando para abajo 00:07:09
Y tengo aquí el logon 00:07:12
Este tampoco me interesa 00:07:17
Sigo bajando para abajo 00:07:19
Este tampoco 00:07:20
Este tampoco 00:07:25
Voy a cerrar este 00:07:31
Y directamente voy a buscar aquí la auditoría 00:07:33
Que me ponen correcta 00:07:37
Porque veis que todo es correcto 00:07:37
Pero aquí tengo, fíjate, estaba casi al lado 00:07:39
¿Vale? Error de auditoría 00:07:41
Si yo lo abro 00:07:43
¿Veis que me dice? 00:07:44
oye un tal intruso 00:07:45
¿vale? y no le he dejado porque 00:07:48
o el nombre no existe o la contraseña incorrecta 00:07:49
me dice en este caso 00:07:52
cuando he intentado hacerlo 00:07:53
¿de acuerdo? me dice que ha habido un error 00:07:55
¿de acuerdo? donde la he intentado hacer 00:07:57
¿de acuerdo? y me dice en este caso 00:07:59
el identificador del evento, veis el 00:08:01
4625, ¿por qué os digo esto? 00:08:03
yo ahora aquí voy a cerrar ¿de acuerdo? 00:08:05
he cogido, he mirado los incorrectos 00:08:08
pero aquí, aquí va a llegar 00:08:10
un momento en que me dice que el Germán Zana 00:08:11
ha iniciado sesión correctamente ¿de acuerdo? 00:08:13
Entonces, si yo quiero decirle que solamente quiero que me muestre los inicios de sesión, yo le puedo decir, ya se me ha olvidado el nombre, el identificador, ¿cuál era? El 4625. Pues fijaros que aquí a mano derecha tenéis aquí el de filtrar, perdonadme, el de filtrar registro actual. 00:08:15
Pues si yo le doy aquí, yo aquí le puedo decir en todos los ID de evento 00:08:39
Qué eventos, qué identificadores de evento quiero ver 00:08:48
Aquí tiene más opciones para decirle en este caso, en cualquier momento, en la última hora 00:08:51
Le puedo decir, oye, quiero que me muestres en la última hora cuál es el crítico, la advertencia, detallado, errores 00:08:56
Qué es lo que quiero ver, pero el que me interesa ahora es este de aquí 00:09:01
Y en este de aquí yo puedo poner los identificadores que quiero que me muestre 00:09:04
Entonces fijaros que aquí tenéis ejemplos de cómo lo podéis poner 00:09:09
Si queréis poner varios, lo ponéis separado por comas 00:09:12
O si queréis poner un rango, ponéis el inicial, un guión y el final 00:09:15
O si le ponéis guión 76, queréis ir del principio hasta el número 76 00:09:18
Pero a mí el que me interesa por ahora es el 4625 00:09:22
Pues pongo aquí 4625 00:09:26
Le doy a aceptar 00:09:28
Y automáticamente me aplica un filtro 00:09:31
Entonces solo me muestra 00:09:33
Es decir, me está aplicando un filtro como si estuviese en Excel 00:09:35
Y solamente me muestra aquellos cuidentificadores 00:09:37
entonces esto es mucho más fácil de buscar 00:09:40
entonces yo voy yendo aquí 00:09:42
y voy viendo en este caso lo que me interesa 00:09:44
me dice el germanzana, si sigo bajando 00:09:46
para abajo y me dice aquí el intruso 00:09:48
¿de acuerdo? pues igual 00:09:51
que este, tengo que saber los identificadores 00:09:52
si queréis quitar el filtro 00:09:54
¿vale? que lo único que queréis decirle 00:09:57
es ya no quiero ver solamente los 00:09:58
45, quiero ver todos 00:10:00
pues aquí a mano derecha lo único que tenéis 00:10:02
que decirle es el borrar el filtro 00:10:04
¿de acuerdo? y entonces ya otra vez 00:10:06
volvéis a ver todos 00:10:08
fijaros que tengo aquí el logon y el logof 00:10:09
¿de acuerdo? 00:10:13
entonces el que yo tendría que buscar aquí el logon 00:10:13
es el que quiero buscar 00:10:16
que sepáis que yo también puedo hacer lo siguiente 00:10:17
yo sé que quiero buscar algo que contenga el german.zana 00:10:20
¿verdad? 00:10:23
pues yo si le pincho aquí a mano derecha 00:10:24
le pincho aquí el buscar 00:10:25
pues yo le puedo buscar aquí 00:10:28
y le digo oye búscame en este caso 00:10:29
el german.zana 00:10:31
creo que era ese 00:10:35
le doy a siguiente 00:10:36
y quiero que veáis que me va poniendo el siguiente, es decir, ahora mi mito se me ha puesto aquí, 00:10:37
diciendo que se cerró la sesión del Germanzana, pero si yo voy diciendo siguiente, se me va colocando en el siguiente, 00:10:44
este es otro logon, logof, perdón, este es otro logof, este de sistema de ficheros, sistema de ficheros, 00:10:51
y yo así voy viendo, en este caso, todos donde aparece el Germanzana, ¿me entendéis? 00:10:58
entonces, ¿qué auditoría sería este? 00:11:04
pues este sería el correspondiente 00:11:07
el que hemos dicho de inicio de sesión 00:11:09
que quiero que se me quede reflejado 00:11:11
tanto lo correcto como lo incorrecto 00:11:12
¿de acuerdo? 00:11:15
pero ¿dónde se aplica? 00:11:15
a nivel de controlador de dominio 00:11:17
es decir, estamos en el controlador de dominio 00:11:18
que os quede claro 00:11:20
¿de acuerdo? 00:11:21
entonces, ahora vamos a coger por ejemplo 00:11:22
el de creación de cuentas de usuario 00:11:24
¿de acuerdo? 00:11:26
estoy bajando aquí simplemente para que veáis 00:11:27
todo lo que me encuentra de Germanzana 00:11:28
para que veáis que yo no le he dicho prácticamente nada 00:11:30
que sí que se lo he dicho 00:11:33
pero bueno, entonces quiero que veáis 00:11:33
que este de aquí 00:11:36
no sé si me lo he puesto, un segundo 00:11:38
no, este no 00:11:39
editoría 00:11:45
no, pero si sigo bajando 00:11:48
vale, si sigo bajando 00:11:53
he llegado a este 00:11:55
que me pone el 4624 00:11:56
que me pone de tipo logon 00:11:59
si yo le doy aquí, me dice que en este caso 00:12:01
se inició correctamente la cuenta 00:12:05
y me dice de quién, del Germán Cañaveral 00:12:07
perdón, del Germán Puntozana 00:12:10
entonces yo aquí le he dicho que se me 00:12:12
referje tanto cuando se realiza de forma 00:12:13
correcta como incorrecta 00:12:15
¿de acuerdo? y puedo otra vez 00:12:18
hacer la auditoría para decirle 00:12:20
que es lo que quiero que me muestre 00:12:22
que quiero que me muestre el 4624, perfecto 00:12:23
¿de acuerdo? entonces pongo aquí 00:12:26
el de filtro de 00:12:27
en este caso 00:12:29
del registro actual y le pongo aquí 00:12:32
el 4624 que era, ¿no? 00:12:33
4624 00:12:36
Le decimos aceptar, ¿de acuerdo? Y aquí estoy viendo en este caso todos los accesos que se han hecho de forma correcta, ¿de acuerdo? Pues este es el primero, repito. ¿A qué se aplica esto? Cuando nosotros le dimos herramientas, administración de directiva de grupo, nos fuimos a domain controller, a auditar servidores, botón derecho, editar, nos fuimos a configuración de equipo, nos fuimos a directivas, configuración de Windows, configuración de Windows, 00:12:37
de seguridad directivas locales y directiva de seguridad el que estamos mirando ahora que me 00:13:07
funciona es este vale para que no se me haga tan largo el siguiente que vamos a ver es el 00:13:12
auditar la administración de cuentas de acuerdo como estamos en un entorno de laboratorio así 00:13:18
que me puedo permitir el lujo dentro del visor de eventos porque veis que se me acumula quito 00:13:25
aquí el filtro cuidado recordar que tenéis si tenéis he puesto el filtro en borró el filtro 00:13:31
y quiero que veáis que aquí tengo 00:13:36
ay, perdonadme, que aquí tengo 00:13:38
información para borrar, ¿de acuerdo? o sea, yo 00:13:40
sigo bajando, sigo bajando y me puedo quedar aquí solo 00:13:42
entonces, como estoy en un laboratorio 00:13:44
para que vosotros veáis 00:13:46
o vosotras veáis lo que me interesa ahora, puedo hacer 00:13:48
esto, pero solo porque estoy en un laboratorio 00:13:50
si yo cojo el de seguridad 00:13:52
le digo botón derecho, ¿veis que me pone vacía 00:13:54
el registro? 00:13:56
si esto lo hacéis, por favor, siempre 00:13:58
hacer una copia de seguridad, guardar y borrar 00:14:00
yo ahora, como estoy en un laboratorio y me importa 00:14:02
bien poco lo que hay, pues le voy a dar a borrar 00:14:04
y fijaros que acabo de borrar 00:14:06
entonces ahora, cuando yo haga una 00:14:08
modificación, pues ya voy a tener 00:14:10
que buscar menos cositas, que no son pocas 00:14:12
cosas, pero bueno, pero repito, porque 00:14:14
estoy en un laboratorio, ¿de acuerdo? 00:14:16
pues ahora, en el siguiente vídeo vamos a 00:14:18
intentar crear una cuenta con los jefes 00:14:20
de informática y vamos a ver si se queda reflejado 00:14:22
venga, un saludo 00:14:24
Idioma/s:
es
Autor/es:
Fernando Herrero Núñez
Subido por:
Fernando Jesús H.
Licencia:
Reconocimiento - No comercial - Compartir igual
Visualizaciones:
61
Fecha:
16 de marzo de 2023 - 23:08
Visibilidad:
Público
Centro:
IES EL CAÑAVERAL
Duración:
14′ 26″
Relación de aspecto:
1.97:1
Resolución:
1920x976 píxeles
Tamaño:
46.33 MBytes

Del mismo autor…

Ver más del mismo autor

EducaMadrid, Plataforma Educativa de la Comunidad de Madrid

Plataforma Educativa EducaMadrid