Haga clic aquí para instalar Silverlight*
EspañaCambiar|Todos los sitios de Microsoft
Microsoft
|Suscripción CD/DVD|Boletín|Internacional|Suscríbase|Mapa del Web|Contacte con nosotros
Buscar


Registro de sucesos

Registro de sucesos

Actualizado:
En esta página
Descripción del móduloDescripción del módulo
ObjetivosObjetivos
Se aplica aSe aplica a
Uso del móduloUso del módulo
IntroducciónIntroducción
Tamaño máximo del registro de sucesosTamaño máximo del registro de sucesos
Evitar que el grupo de invitados locales tenga acceso a los registros de sucesosEvitar que el grupo de invitados locales tenga acceso a los registros de sucesos
Conservar registros de sucesosConservar registros de sucesos
Método de retención del registro de sucesosMétodo de retención del registro de sucesos
Delegación de acceso a los registros de sucesosDelegación de acceso a los registros de sucesos

Descripción del módulo

En este módulo se describe cómo configurar los valores de las directivas de grupo que se pueden utilizar para definir atributos relacionados con los registros de sucesos de aplicación, seguridad y sistema.

Objetivos

Utilice este módulo para establecer los siguientes valores de configuración del registro de sucesos:

Tamaño máximo del registro de sucesos

Evitar que el grupo de invitados locales tenga acceso a los registros de sucesos

Conservar registros de sucesos

Método de retención del registro de sucesos

Delegación de acceso a los registros de sucesos

Se aplica a

Este módulo se aplica a los siguientes productos y tecnologías:

Sistema operativo Microsoft® Windows® Server™ 2003

Servicio de directorio de Microsoft Active Directory®

Microsoft Windows XP

Uso del módulo

El objetivo de este módulo es ofrecer una referencia para la configuración de seguridad del registro de sucesos disponible en las versiones actuales de los sistemas operativos Microsoft Windows. Esta es una guía complementaria a otras dos publicaciones de Microsoft: Guía de seguridad de Windows Server 2003, disponible en: http://www.microsoft.com/Spain/technet/seguridad/guias/guia_ws2003.asp y la Guía de seguridad de Windows XP.

Este módulo reúne las principales secciones que aparecen en la interfaz de usuario de modificación de directivas de grupo. Comienza con una breve explicación de los aspectos que tratará, seguida de una lista con los encabezados de las subsecciones. Dichos encabezados corresponden a un valor de configuración o un grupo de ellos. Cada valor se presenta junto con una breve explicación del efecto de la contramedida, además de otras tres subsecciones: Vulnerabilidad, Contramedida e Impacto potencial. En la sección Vulnerabilidad se explica cómo un atacante puede explotar la contramedida si se configura de forma poco segura. A continuación, en la sección Contramedida se explica cómo implementar la contramedida. Por último, en la sección Impacto potencial se explican las posibles consecuencias negativas de la aplicación de la contramedida.

Introducción

El registro de sucesos registra los sucesos del sistema. El registro de seguridad registra sucesos de auditoría. El contenedor de registro de sucesos de directiva de grupo se utiliza para definir atributos relacionados con los registros de sucesos de aplicación, seguridad y sistema como, por ejemplo, el tamaño máximo del registro, los derechos de acceso para cada registro, así como los métodos y los valores de retención. El libro de Microsoft Excel Configuración de la seguridad y los servicios predeterminados de Windows que acompaña a esta guía incluye la configuración predeterminada del registro de sucesos. Haga clic aquí para descargarlo.

La configuración del registro de sucesos se puede establecer en la siguiente ubicación del Editor de objetos de directiva de grupo:

Configuración del equipo\Configuración de Windows\Configuración de seguridad\Registro de sucesos\Configuración para registros de sucesos

Tamaño máximo del registro de sucesos

El valor de configuración Tamaño máximo del registro de sucesos especifica el tamaño de los registros de sucesos de aplicación, seguridad y sistema. Aunque las interfaces de usuario del Editor de objetos de directiva de grupo y del complemento Visor de sucesos permiten escribir valores de hasta cuatro gigabytes, hay factores que hacen que el tamaño máximo eficaz de estos registros sea mucho menor.

El servicio de registro de sucesos utiliza archivos asignados en memoria y se ejecuta como uno de los servicios del proceso services.exe como eventlog.dll. Cuando los archivos se cargan de esta forma, todo el archivo se carga en la memoria del sistema. Todas las versiones actuales de Microsoft Windows tienen una limitación arquitectónica relacionada con los archivos asignados en memoria: ningún proceso puede tener más de un gigabyte de archivos asignados en memoria en total. Por tanto, todos los servicios que se ejecutan en el proceso services.exe deben compartir el grupo de un gigabyte. La memoria se asigna como bloques contiguos de memoria de 64 kilobytes. Si el sistema no puede asignar memoria adicional necesaria para expandir archivos asignados en memoria, surgen los problemas.

Para el servicio de registro de sucesos, esto significa que independientemente del tamaño configurado, los sucesos de registro ya no se registrarán cuando el sistema no tenga más memoria disponible para el archivo asignado en memoria. No aparecerán mensajes de error, sencillamente los sucesos no aparecerán en el registro de sucesos o podrán sobrescribir otros sucesos que se hayan registrado anteriormente. La fragmentación de archivos de registro en la memoria también ha demostrado que provoca problemas de rendimiento importantes en sistemas ocupados.

Debido a estas limitaciones, a pesar de que el límite teórico para los archivos asignados en memoria sugiere que debería poder configurar hasta un gigabyte para todos los registros de sucesos y la interfaz de usuario para configurar los registros de sucesos a través del Visor de sucesos (y del Editor de objetos de directiva de grupo) permite especificar hasta cuatro gigabytes por registro, Microsoft ha comprobado que el límite práctico está alrededor de los 300 megabytes en la mayoría de los servidores. Es decir, 300 megabytes para todos los registros de sucesos combinados. En Microsoft Windows XP, servidores miembros y servidores independientes el tamaño combinado de los registros de sucesos de aplicación, seguridad y sistema no debería superar los 300 megabytes. En los controladores de dominio el tamaño combinado de estos tres archivos, más el Sistema de nombres de dominio (DNS) de Microsoft Active Directory y los registros de replicación no deberían superar los 300 megabytes.

Estas limitaciones han causado problemas a algunos clientes de Microsoft, pero para su solución se requerirán unos cambios fundamentales en la arquitectura del registro de los sucesos del sistema. Microsoft planea resolver estos problemas en la próxima versión de Windows volviendo a escribir el sistema de registros de sucesos desde cero.

Aunque no existe ninguna ecuación sencilla para determinar el tamaño de registro óptimo para un servidor concreto, se puede encontrar un tamaño razonable si se considera la información que se ha ofrecido anteriormente y se tiene en cuenta que el promedio de una entrada de suceso requiere aproximadamente 500 bytes en cada registro y un margen de ensayo y error. Ya que el promedio de una entrada de suceso requiere alrededor de 500 bytes en cada registro y los tamaños de archivo de registro deben ser múltiplos de 64 KB y, además, puede calcular la media de sucesos generados cada día por cada tipo de registro en su empresa, podrá determinar un tamaño razonable para cada tipo de archivo de registro.

Por ejemplo, si su servidor de archivos genera 5.000 sucesos al día en su registro de seguridad y desea garantizar que dispone de al menos 4 semanas de datos en todo momento, deberá establecer el tamaño de este registro en aproximadamente 70 MB. (500 bytes x 5000 sucesos/día x 28 días = 70.000.000 bytes) Compruebe los servidores de forma ocasional en las siguientes cuatro semanas para comprobar que los registros están almacenando los sucesos suficientes. Se deben definir el tamaño y el ajuste del registro de sucesos de modo que cumplan los requisitos empresariales y de seguridad que determinó al diseñar el plan de seguridad de la empresa.

Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:

Un valor en kilobytes definido por el usuario entre 64 y 4.194.240, sin embargo, debe ser múltiplo de 64.

Vulnerabilidad

Si aumenta de forma significativa el número de objetos que se auditan en la organización, corre el riesgo de sobrepasar la capacidad del registro de seguridad y forzar al sistema a que se apague. Si esto ocurre, el sistema no se podrá utilizar hasta que un administrador borre el registro de seguridad. Para que esto no ocurra, deshabilite el valor de configuración Auditoría: apagar el sistema de inmediato si no puede registrar auditorías de seguridad, que se describe en el módulo "Opciones de seguridad", y aumente el tamaño del registro de seguridad.

Contramedida

Todos los equipos de su organización deberían tener directivas de tamaño de registro razonables para que los usuarios legítimos puedan ser responsables de sus acciones, las actividades no autorizadas se puedan detectar y seguir y los problemas del sistema se puedan detectar y diagnosticar.

Impacto potencial

Cuando los registros de sucesos alcanzan el máximo de su capacidad, las entradas ya no se pueden escribir a menos que el método de retención para cada una se establezca para que el sistema sobrescriba las entradas más antiguas con las más recientes. El riesgo de registros de sucesos sin entradas recientes se puede reducir estableciendo el método de retención para que los sucesos más antiguos se sobrescriban según sea necesario.

La consecuencia es que los sucesos más antiguos se eliminarán de los registros. Los atacantes pueden aprovechar esto y generar un gran número de sucesos superfluos para sobrescribir cualquier indicio de su ataque.

Lo ideal es que todos los sucesos supervisados de forma específica se envíen a un servidor utilizando Microsoft Operations Manager (MOM) o cualquier otra herramienta automatizada de supervisión. Esto es especialmente importante porque un atacante que consiga poner en peligro un servidor podría borrar el registro de seguridad. Si todos los sucesos se envían a un servidor de supervisión, podrá recopilar información de análisis sobre las actividades del atacante.

Evitar que el grupo de invitados locales tenga acceso a los registros de sucesos

El valor de configuración Evitar que el grupo de invitados locales tenga acceso a los registros de sucesos determina si los invitados no están autorizados a obtener acceso a los registros de sucesos de aplicación, seguridad y sistema.

Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:

Habilitado

Deshabilitado

No está definido

Nota: esta opción no aparece en el objeto Directiva de equipo local.

Este valor de seguridad afecta sólo a los equipos que ejecutan Windows 2000 y posterior.

Vulnerabilidad

Un atacante que ha conseguido iniciar sesión en un equipo con privilegios de invitado puede obtener información importante sobre el sistema consultando los registros de sucesos. El atacante podría utilizar entonces esta información para realizar más ataques.

Contramedida

Habilite el valor de configuración Evitar que el grupo de invitados locales tenga acceso a los registros de sucesos para las directivas de los tres registros de sucesos.

Impacto potencial

Ninguno: se trata de la configuración predeterminada.

Conservar registros de sucesos

El valor de configuración Conservar registros de sucesos determina cuántos días de sucesos se almacenan para los registros de aplicación, seguridad y sistema si el método de retención especificado para el registro es Por días.

Establezca este valor sólo si el registro se archiva a intervalos programados y asegúrese de que el tamaño máximo del registro es lo suficientemente grande como para incluir el intervalo.

Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:

Un número de días especificado por el usuario entre 1 y 365.

No está definido

Nota: esta opción no aparece en el objeto Directiva de equipo local.

Un usuario debe tener el derecho de usuario Administración del registro de seguridad y auditoría para tener acceso al registro de seguridad.

Vulnerabilidad

Si guarda el registro a intervalos programados, en el cuadro de diálogo Propiedades de esta directiva, especifique el número adecuado de días en el valor de configuración Conservar el registro de aplicaciones y seleccione Sobrescribir sucesos por días como método de retención del registro de sucesos. Asegúrese también de que el tamaño máximo de registro es lo suficientemente grande para acomodar el intervalo.

Contramedida

Establezca el valor de configuración Conservar registros de sucesos para las directivas de los tres registros de sucesos en No está definido.

Impacto potencial

Ninguno: se trata de la configuración predeterminada.

Método de retención del registro de sucesos

El valor de configuración Método de retención del registro de sucesos determina el método de ajuste para los registros de aplicación, seguridad y sistema.

Si no desea almacenar el registro de aplicación, en el cuadro de diálogo Propiedades de esta directiva, active la casilla de verificación Definir esta configuración de directiva y, a continuación, haga clic en Sobrescribir sucesos cuando sea necesario.

Si desea archivar el registro a intervalos programados, en el cuadro de diálogo Propiedades para esta directiva, active la casilla de verificación Definir esta configuración de directiva, haga clic en Sobrescribir sucesos por días y, a continuación, especifique el número adecuado de días en la opción Conservar el registro de aplicaciones. Asegúrese de que el tamaño máximo de registro es lo suficientemente grande para acomodar el intervalo.

Si debe almacenar todos los sucesos en el registro, en el cuadro de diálogo Propiedades de esta directiva, active la casilla de verificación Definir esta configuración de directiva y, a continuación, haga clic en No sobrescribir sucesos (borrado manual del registro). Esta opción requiere que el registro se borre de forma manual. En ese caso, cuando se alcance el tamaño máximo del registro, se desecharán los sucesos nuevos.

Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:

Sobrescribir sucesos por días

Sobrescribir sucesos cuando sea necesario

No sobrescribir sucesos (borrado manual del registro)

No está definido

Nota: esta opción no aparece en el objeto Directiva de equipo local.

Vulnerabilidad

Si aumenta de forma significativa el número de objetos que se auditan en la organización, corre el riesgo de sobrepasar la capacidad del registro de seguridad y forzar al sistema a que se apague. Si esto ocurre, el sistema no se podrá utilizar hasta que un administrador borre el registro de seguridad. Para que esto no ocurra, deshabilite el valor de configuración Auditoría: apagar el sistema de inmediato si no puede registrar auditorías de seguridad, que se describe en el módulo "Opciones de seguridad", y aumente el tamaño del registro de seguridad.

Establecer el método de retención del registro de sucesos en Manualmente o en Sobrescribir sucesos por días puede hacer que los sucesos recientes importantes no se registren o provocar un ataque DoS.

Contramedida

Establezca el método de retención para los tres registros de sucesos en la opción Sobrescribir sucesos cuando sea necesario. Algunos recursos recomiendan configurar este valor en Manual; sin embargo, la carga administrativa que supone es demasiado alta para la mayoría de las organizaciones.

Lo ideal es que todos los sucesos significativos se envíen a un servidor de supervisión utilizando MOM o cualquier otra herramienta automatizada de supervisión.

Impacto potencial

Cuando los registros de sucesos alcanzan el máximo de su capacidad, las entradas ya no se pueden escribir a menos que el método de retención se establezca para que el sistema sobrescriba las entradas más antiguas con las más recientes.

Delegación de acceso a los registros de sucesos

En Microsoft Windows Server 2003, se pueden personalizar los permisos en todos los registros de sucesos de un equipo. Esta operación se podía llevar a cabo en las versiones anteriores de Windows. Puede que algunas organizaciones deseen conceder acceso de sólo lectura a uno o más de los registros de sucesos del sistema a algunos miembros del equipo de TI. La lista de control de acceso (ACL) se almacena como una cadena de lenguaje de definición de descriptores de seguridad (SDDL), en un valor REG_SZ denominado "CustomSD" para cada registro de sucesos en el registro, como se muestra en el siguiente ejemplo:

HKEY_LOCAL_MACHINE
\System\CurrentControlSet\Services\EventLog\CustomSD Crear un valor de registro REG_SZ O:BAG:SYD:(D;;0xf0007;;;AN)(D;;0xf0007;;;BG)(A;;0xf0007;;;SY)(A;;0x7;;;BA)(A;;0x5;;;SO)(A;;0x1;;;IU)(A;;0x1;;;SU)(A;;0x1;;;S-1-5-3)(A;;0x2;;;LS)(A;;0x2;;;NS)

Puede modificar este valor y reiniciar el equipo para aplicarlo.

Precaución: tenga cuidado al modificar los valores del Registro, ya que la función "deshacer" no existe en la herramienta Editor del Registro. Si comete un error mientras trabaja en la herramienta, tendrá que corregirlo de forma manual. Además, puede configurar accidentalmente las ACL en un registro de sucesos de forma que nadie pueda obtener acceso a ellas. Asegúrese de que comprende completamente el SDDL y los permisos predeterminados situados en cada registro de sucesos antes de continuar. Asegúrese también de comprobar a fondo cualquier cambio antes de implementarlo en su entorno de producción.

Para obtener más información sobre la configuración de seguridad para los registros de sucesos en Windows Server 2003, consulte "CÓMO: Configurar el registro de sucesos localmente o mediante la directiva de grupo en Windows Server 2003", disponible en: http://support.microsoft.com/default.aspx?scid=kb;es;323076.

Para obtener más información sobre SDDL, consulte el artículo de MSDN "Security Descriptor Definition Language", en http://msdn.microsoft.com/library/default.asp?url=/library/en-us/security/Security/security_descriptor_definition_language.asp.


**
**

©2016 Microsoft Corporation. Todos los derechos reservados. Póngase en contacto con nosotros |Condiciones de uso |Marcas registradas |Declaración de Privacidad
Microsoft