Windows visualiza el registro de la conexión vía Escritorio Remoto

Pequeña basura · Publicado en 7/5/2018 15:44:05

Bajo Windows 2008:

Panel de control - >Ver registros de eventos - Visor de eventos > (Local) - >Registros de Windows - > Seguridad, la lista de la derecha mostrará toda la información de seguridad, y luego podrás encontrarlaEl ID del incidente es 4776Tras hacer clic en él, "Estación de trabajo de origen:" va seguido del nombre de host del cliente de Windows que inicia sesión en la máquina.

Aparte de eso:

Windows2003
El lugar para ver los registros de inicio de sesión remoto es básicamente similar al anterior, peroEl ID de evento no es el mismo que en Windows 2008，Windows 2003 es el ID de evento de vista 528La dirección IP después de "Dirección de Red de Origen" es la dirección IP del cliente de Windows que inicia sesión en la máquina.

Los IDs de eventos comunes de Windows son los siguientes

Acceso al servicio de directorios de auditoría
4934 - Se copian las propiedades de los objetos de Active Directory
4935 - La copia no se inicia
4936 - La replicación no logró terminar
5136 - El objeto del servicio de directorio ha sido modificado
5137 - Se ha creado el objeto de servicio de directorio
5138 - El objeto del servicio de directorio ha sido eliminado
5139 - El objeto del servicio de directorio ha sido movido
5141 - Objeto de servicio de directorio eliminado
4932 - Se ha iniciado la sincronización réplica de AD para el contexto nombrado
4933 - La sincronización de copia de AD para el contexto nombrado ha terminado
Auditoría de los eventos de inicio de sesión
4634 - Cuenta cancelada
4647 - El usuario inicia cerrar sesión
4624 - La cuenta ha sido iniciada con éxito
4625 - Inicio de sesión de cuenta fallido
4648 - Intento de iniciar sesión con credenciales explícitas
4675 - El SID está filtrado
4649 - Ataques de repetición encontrados
4778 - La sesión se vuelve a conectar con Window Station
4779 - La sesión se desconecta de la Estación Ventana
4800 – Estación de trabajo bloqueada
4801 - Estación de trabajo desbloqueada
4802 - Protector de pantalla activado
4803 - El protector de pantalla está desactivado
La política no permite el representante certificado requerido por el 5378
5632 Requiere validación de redes inalámbricas
5633 Requiere validación de redes cableadas
Auditoría del acceso a objetos
5140 - Se accede a un objeto de compartición de red
4664 - Intentando crear un enlace directo
4985 - El estado de la transacción ha cambiado
5051 - El archivo ha sido virtualizado
5031 - El Servicio de Cortafuegos de Windows impide que una aplicación reciba conexiones entrantes de la red
4698 - Se ha creado una tarea programada
4699 - Tarea programada eliminada
4700 - Las tareas programadas están habilitadas
4701 - Se desactiva la tarea programada
4702 - Tareas programadas actualizadas
4657 - Se modifican los valores del registro
5039 - Las claves del registro se virtualizan
4660 - Objeto eliminado
4663 - Intentando acceder a un objeto
Cambios en la política de auditoría
4715 - La Política de Auditoría (SACL) sobre un objeto ha cambiado
4719 - Cambio en la política de auditoría del sistema
4902 - Se ha creado el formulario de política de auditoría por usuario
4906 - El valor de fallo de CrashOnAuditFail ha cambiado
4907 - Se han cambiado los ajustes de auditoría de un objeto
4706 - Creación de nuevo fideicomiso para un dominio
4707 - Se ha eliminado la confianza en un dominio
4713 - La política de Kerberos ha cambiado
4716 - La información del dominio de confianza ha sido modificada
4717 - Cuenta de acceso seguro al sistema concedida
4718 - Se elimina el acceso a la seguridad del sistema de la cuenta
4864 – Se han eliminado las colisiones en espacios de nombres
4865 - Entrada de información sobre el Bosque en Fideicomiso añadida
4866 - Entrada de Información Forestal Confiable eliminada
4867 - Entrada de información del Bosque en Fideicomiso cancelada
4704 - Permisos de usuario asignados
4705 - Se han eliminado los permisos de usuario
4714 - Política de recuperación de datos cifrados cancelada
4944 - La siguiente política se activa cuando se activa el Cortafuegos de Windows
4945 - Incluir una regla cuando se active el cortafuegos de Windows
4946 - Modificación en la lista de excepciones del cortafuegos de Windows para añadir reglas
4947 - Lista de excepciones del cortafuegos de Windows modificada con modificación de reglas
4948 - Lista de excepciones del cortafuegos de Windows modificada con la regla eliminada
4949 - La configuración del cortafuegos de Windows ha sido restaurada a los valores predeterminados
4950 - Han cambiado los ajustes del cortafuegos de Windows
4951 - La norma ha sido ignorada porque el número de versión principal no es reconocido por el Cortafuegos de Windows
4952 - Como el número de versión principal no es reconocido por el Cortafuegos de Windows, algunas reglas han sido ignoradas y el resto se aplicará
4953 - Se ignoran las reglas porque el cortafuegos de Windows no puede resolver reglas
4954 - La configuración de la Directiva de Grupo del Firewall de Windows ha sido modificada y usará la nueva configuración
4956 - El cortafuegos de Windows ha cambiado los perfiles activos
4957 - El cortafuegos de Windows no se aplica a las siguientes reglas
4958 - Debido a que las entradas implicadas en esta regla no están configuradas, las siguientes reglas no se aplicarán al Cortafuegos de Windows:
6144 - La política de seguridad en el objeto de Política de Grupo ha sido aplicada con éxito
6145 - Se producen uno o más errores al procesar una política de seguridad en un objeto de Directiva de Grupo
4670 - Se han cambiado los permisos sobre un objeto
Uso de privilegios de auditoría
4672 - Asignar privilegios a nuevos inicios de sesión
4673 - Solicitud de servicios privilegiados
4674 - Intentando intentar una operación sobre un objeto privilegiado
Eventos del sistema de auditoría
5024 - El servicio de cortafuegos de Windows ha comenzado con éxito
5025 - Los servicios de cortafuegos de Windows han sido detenidos
5027 - El servicio de Cortafuegos de Windows no puede recuperar las políticas de seguridad del almacenamiento local, y el servicio seguirá aplicando la política actual
5028 - Una nueva política de seguridad que el servicio de Cortafuegos de Windows no puede resolver y que seguirá aplicando la política actual
5029 - El servicio de Cortafuegos de Windows no logra inicializar controladores, lo que seguirá aplicando la política actual
5030 - El servicio de cortafuegos de Windows no se inicia
5032 - El cortafuegos de Windows no notifica al usuario que está bloqueando una aplicación que recibe una conexión entrante
5033 - El controlador del cortafuegos de Windows se ha iniciado correctamente
5034 - El controlador del firewall de Windows ha parado
5035 - El controlador del firewall de Windows no se inicia
5037 - El controlador del cortafuegos de Windows detecta un error crítico en ejecución y termina.
4608 - Windows está arrancando
4609 - Windows se está apagando
4616 - Se altera la hora del sistema
4621 - El administrador recupera el sistema de CrashOnAuditFail, los usuarios no administradores ahora pueden iniciar sesión, aunque algunas actividades de auditoría pueden no registrarse
4697 - Instalación de un servidor en el sistema
4618 - Ha ocurrido el patrón de eventos de seguridad

330383477 · Publicado en 8/5/2018 11:39:53

Aprendido, gracias

Arch_shell · Publicado en 8/5/2018 14:23:53

Intercambio de información

[ventanas] Windows visualiza el registro de la conexión vía Escritorio Remoto

Publicaciones relacionadas

Secciones vistas