21 d’abr. 2009

Registrar auditar inicios y cierres de sessión en windows

Si lo que quieres es registrar el inicio y fin de sesión, lo puedes hacer por auditorías. En concreto la política que activa la auditoría sobre inicio de sesión de los usuarios es "Auditar sucesos de inicio de sesión de cuenta" situada en "Configuración del equipo/Configuración de Windows/Configuración de seguridad/Directivas locales/Directiva de auditoría". Si estás en un dominio debes activar esta directiva en "Default Domain Controllers Policy", si estás en un grupo de trabajo, tienes que hacer esto mismo en todos los equipos con el editor de políticas del sistema (gpedit.msc). Cuando está activada la auditoría "Auditar sucesos de inicio de sesión de cuenta" no se registra nada con la política "Auditar sucesos de inicio de sesión":

Audit logon events
http://www.microsoft.com/resources/documentation/Windows/2000/server/reskit/en-us/default.asp?url=/resources/documentation/Windows/2000/server/reskit/en-us/gp/518.asp

En este artículo fíjate que dice que "Auditar sucesos de inicio de sesión de cuenta" registra los inicios y cierres de sesión, mientras que "Auditar sucesos de inicio de sesión" lo que registra son las validaciones que se hacen al conectar a través de la red, etc. Es decir, interesa más usar "Auditar sucesos de inicio de sesión de cuenta" para registrar los inicios y cierres de sesión de los usuarios:

Audit account logon events
http://www.microsoft.com/resources/documentation/Windows/2000/server/reskit/en-us/default.asp?url=/resources/documentation/Windows/2000/server/reskit/en-us/gp/515.asp

Si te parece que se originan demasiados sucesos, recuerda que puedes filtrar los eventos, para así ver sólo aquellos que te puedan interesar.

Cuando se activan auditorías, es recomendable que se active la política "Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad\Apagar el sistema de inmediato si no se puede registrar auditorías de seguridad". Esta política lo que hace, es que cuando se llena el registro de sucesos de seguridad, de forma que al hacer un intento de escribir un suceso de seguridad no se pueda, el equipo hace shutdown y sólo podrá iniciar sesión en el equipo un administrador, para borrar el registro (guardándolo antes en un fichero, claro). Para que este mecanismo funcione, en el visor de sucesos tienes que hacer click derecho sobre "Seguridad", propiedades, y en la pestaña seguridad seleccionar la opción "No sobrescribir sucesos (borrado manual)"; quizás te interese también hacer más grande el tamaño del registro (que, como verás, de forma predeterminada es de 512 KB). Si estás en un dominio, todo esto lo puedes hacer en "Default Domain Controllers Policy" con las directivas que encontrarás en la rama "Configuración del equipo/Configuración de Windows/Configuración de seguridad/Registro de sucesos/Configuración para registros de sucesos"; si estás en grupo de trabajo, deberás hacerlo activando la política "Apagar el sistema de inmediato si no se puede registrar auditorías de seguridad" con gpedit.msc y configurando como te he dicho antes el registro de sucesos de seguridad en el visor de sucesos.

Para revisar estas auditorás, si estás en un dominio tienes que mirar el visor de sucesos de seguridad de los controladores de dominio y si estás en un grupo de trabajo lo tienes que mirar en cada equipo auditado.