jueves, marzo 22, 2012

Auditar los inicios, apagados y suspensiones del sistema

Como el artículo de ayer de ¡Alguien me espía el equipo! quedaba muy largo, decidí dejar para otro post el publicar otra útil consulta del Visor de Eventos para saber si alguien ha tocado tu equipo cuando tu no estabas. Esta consulta no es otra más que la de los eventos de inicio y apagado del sistema, algo bastante significativo que puede ayudarte a saber si alguien está intentando hacer algo malo mientras tú no estás.

Eventos de Inicio, Apagado y Suspensión del Sistema Operativo

Los eventos que se generan son fácilmente reconocibles, ya que tanto el de arranque del sistema, como el de apagado se generan en la categoría Kernel General, tal y como puede verse en las siguientes capturas.

Figura 1: Evento de Inicio del sistema operativo

Se usan los ID número 12 y 13 para encendido y apagado.

Figura 2: Evento de Apagado del sistema operativo

A esto hay que añadir que una de las malas costumbres - mala porque deja descifrados los discos con las claves de cifrado liberadas - es el de suspender la sesión, o hibernar la computadora. Ya sabéis, bajar la pantalla del portátil o seleccionar las opciones de supensión o hibernación. En ese caso el evento está en la categoría Kernel-Power y lleva el número 42.

Figura 3: Evento de Suspensión de sistema operativo

Si queremos saber por tanto si alguien ha encendido el equipo en nuestra ausencia, habría que controlar también si lo vuelto a reanudar. Para controlar esto, lo más sencillo es revisar el evento 1, ya que cuando el equipo deja la suspensión, lo primero que hace el sistema operativo es poner correctamente la hora del sistema.

Figura 4: Evento de Cambio de hora del sistema operativa.
Con sólo consultar el evento 1 es posible saber cuándo comenzó a suspenderse y cuándo comenzó a restaurarse el sistema operativo.

Vista del Visor de Eventos

En conclusión, monitorizando en el Visor de Eventos los sucesos 1,12,13 y 42 (aunque no sería necesario) se puede conocer si alguien ha encendido el equipo cuando nosotros no estábamos. 

Figura 5: Fechas de inicio, apago y entrada en suspensión

Por supuesto, igual que en el caso anterior, esto se puede enviar por correo electrónico, lo que nos permitiría saber en tiempo real y en nuestro terminal móvil si alguien está toqueteando nuestro equipo de trabajo o de casa.

Saludos Malignos!

Para conocer más: "Máxima Seguridad en Windows: Secretos Técnicos" 

5 comentarios:

  1. Existen aplicaciones para ver esto de forma un poco más visual ;-)

    Esta es gratis aunque solo saca 3 semanas atrás.

    http://neuber.com/free/pctime/index.html

    ResponderEliminar
  2. Acabo de ver que el amigo NirSoft hizo el año pasado una aplicación para visualizar las horas de inicio y de apagado de los equipos y mostrar la duración de la sesión.

    Además puede utilizarse en un dominio para visualizar remotamente los datos de otro equipo.

    http://www.nirsoft.net/utils/computer_turned_on_times.html

    ResponderEliminar