Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Resumen
Equipo:
Tipo de equipo Equipo basado en x64 ACPI (Mobile)
Sistema operativo Microsoft Windows 10 Home Single Language
Service Pack del SO [ TRIAL VERSION ]
Internet Explorer 11.789.19041.0
Edge 115.0.1901.203
DirectX DirectX 12.0
Nombre del equipo DESKTOP-K618JK0
Nombre de usuario USUARIO
Dominio de inicio de sesión [ TRIAL VERSION ]
Fecha / Hora 2023-08-13 / 20:42
Placa base:
Tipo de CPU Mobile QuadCore Intel Core i7-4700HQ, 3200 MHz (32 x 100)
Nombre de la placa base Asus N56JR Series Notebook
Chipset de la placa base Intel Lynx Point HM86, Intel Haswell
Memoria del sistema [ TRIAL VERSION ]
DIMM1: Kingston 99U5428- 8 GB DDR3-1600 DDR3 SDRAM (11-11-11-28 @ 800 MHz) (10-10-10-27 @ 761 MHz) (9-9-9-24 @ 685 MHz) (8-8-8-22
063.A00LF @ 609 MHz) (7-7-7-19 @ 533 MHz) (6-6-6-16 @ 457 MHz)
DIMM3: Samsung
[ TRIAL VERSION ]
M471B1G73QH0-YK0
Tipo de BIOS AMI (10/31/2013)
Pantalla:
Adaptador de vídeo Intel(R) HD Graphics 4600 (1 GB)
Adaptador de vídeo Intel(R) HD Graphics 4600 (1 GB)
Adaptador de vídeo Intel(R) HD Graphics 4600 (1 GB)
Aceleradora 3D Intel HD Graphics 4600
Aceleradora 3D nVIDIA GeForce GTX 760M
Monitor LG Philips LP156WF1 (Dell MC6JN) [15.6" LCD]
Multimedia:
Adaptador de audio Realtek ALC663 @ Intel Lynx Point PCH - High Definition Audio Controller [C2]
Almacenamiento:
Controladora IDE Intel(R) 8 Series Chipset Family SATA AHCI Controller
Controladora IDE Realtek PCIE CardReader
Controladora de
Controladora de espacios de almacenamiento de Microsoft
almacenamiento
Unidad de disco KINGSTON SA400S37480G (480 GB, SATA-III)
Unidad de disco Land 2531 USB Device (931 GB, USB)
Estado SMART de los discos
Aceptar
duros
Particiones:
C: (NTFS) [ TRIAL VERSION ]
D: (NTFS) 371.8 GB (201.6 GB libre)
E: (NTFS) 537.8 GB (27.8 GB libre)
Tamaño total [ TRIAL VERSION ]
Entrada:
Teclado Dispositivo de teclado HID
Teclado Teclado PS/2 extendido para PC/AT (101/102 teclas)
Mouse ASUS Touchpad
Mouse Mouse compatible con HID
Red:
Dirección IP primaria [ TRIAL VERSION ]
Dirección MAC primaria E0-3F-49-2E-CF-9B
Adaptador de red Bluetooth Device (Personal Area Network)
Adaptador de red Intel(R) Dual Band Wireless-N 7260
Adaptador de red Microsoft Wi-Fi Direct Virtual Adapter #2
Adaptador de red Microsoft Wi-Fi Direct Virtual Adapter
Adaptador de red Realtek PCIe GbE Family Controller (192. [ TRIAL VERSION ])
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 2 of 466
Periféricos:
Navegación
Impresora Fax
Impresora Microsoft Print to PDF
Impresora Microsoft XPS Document Writer
Impresora OneNote
Controladora USB2 Intel Lynx Point PCH - USB 2.0 EHCI Host Controller 1 [C2]
Controladora USB2 Intel Lynx Point PCH - USB 2.0 EHCI Host Controller 2 [C2]
Controladora USB3 Intel Lynx Point PCH - USB 3.0 xHCI Host Controller [C2]
Dispositivo USB ASUS USB2.0 Webcam
Dispositivo USB Dispositivo compuesto USB
Dispositivo USB Dispositivo compuesto USB
Dispositivo USB Dispositivo compuesto USB
Dispositivo USB Dispositivo de almacenamiento USB
Dispositivo USB Dispositivo de entrada USB
Dispositivo USB Dispositivo de entrada USB
Dispositivo USB Dispositivo de entrada USB
Dispositivo USB Dispositivo de entrada USB
Dispositivo USB Generic USB Hub
Dispositivo USB Generic USB Hub
Dispositivo USB Intel(R) Wireless Bluetooth(R)
Batería Adaptador de CA de Microsoft
Batería Batería con método de control compatible con ACPI de Microsoft
DMI:
Vendedor del BIOS DMI American Megatrends Inc.
Versión del BIOS DMI N56JR.204
Fabricante del sistema DMI ASUSTeK COMPUTER INC.
Producto del sistema DMI N56JR
Versión del sistema DMI 1.0
Número de serie del sistema
[ TRIAL VERSION ]
DMI
UUID del sistema DMI [ TRIAL VERSION ]
Fabricante de la placa base
ASUSTeK COMPUTER INC.
DMI
Producto de la placa base DMI N56JR
Versión de la placa base DMI 1.0
Número de serie de la placa
[ TRIAL VERSION ]
base DMI
Fabricante del chasis DMI ASUSTeK COMPUTER INC.
Versión del chasis DMI 1.0
Número de serie del chasis
[ TRIAL VERSION ]
DMI
Identificador del chasis DMI [ TRIAL VERSION ]
Tipo de chasis DMI Notebook
DMI
[ BIOS ]
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 3 of 466
Navegación
[ Sistema ]
[ Placa base ]
[ Chasis ]
Fabricante de la CPU:
Nombre de la empresa Intel Corporation
Información del producto https://ark.intel.com/content/www/us/en/ark/search.html?q=Intel%20Core%20i7-4700HQ
Actualización del controlador http://www.aida64.com/goto/?p=drvupdates
Propiedades de la caché:
Tipo Unified
Estado Activado
Modo de operación Write-Back
Asociatividad 8-way Set-Associative
Tamaño máximo 1 MB
Tamaño instalado 1 MB
Corrección de errores Single-bit ECC
Identificación del socket CPU Internal L2
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 4 of 466
Navegación
Propiedades de la caché:
Tipo Interna
Estado Activado
Modo de operación Write-Back
Asociatividad 8-way Set-Associative
Tamaño máximo 256 kB
Tamaño instalado 256 kB
Corrección de errores Single-bit ECC
Identificación del socket CPU Internal L1
Propiedades de la caché:
Tipo Unified
Estado Activado
Modo de operación Write-Back
Asociatividad 12-way Set-Associative
Tamaño máximo 6 MB
Tamaño instalado 6 MB
Corrección de errores Single-bit ECC
Identificación del socket CPU Internal L3
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 5 of 466
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 6 of 466
Estado Activado
Navegación
[ Intel vPro ]
[ Misceláneos ]
Misceláneos:
OEM String -Z0jl617I+WJL
OEM String dFyegMgukZzKX
OEM String BGrN6cRFzeyYh
OEM String 90NB03Z1-M01420
System Configuration Option DSN:0520B6775874E543
System Configuration Option DSN:B9FCE294F30E
System Configuration Option DSN:E03F492ECF9B
System Configuration Option SMI:00B2CA
Overclock
Propiedades de la CPU:
Tipo de CPU Mobile QuadCore Intel Core i7-4700HQ
Alias de la CPU Haswell-MB
Escalonamiento de la CPU C0
Engineering Sample No
CPUID Nombre de la CPU Intel(R) Core(TM) i7-4700HQ CPU @ 2.40GHz
Revisión de CPUID 000306C3h
CPU VID 0.8612 V
Velocidad de la CPU:
Reloj de la CPU 2397.8 MHz (original: [ TRIAL VERSION ] MHz)
Multiplicador de la CPU 24x
FSB de la CPU 99.9 MHz (original: 100 MHz)
Reloj del puente norte 2397.8 MHz
Bus de la memoria 799.3 MHz
Relación DRAM:FSB 24:3
Caché de la CPU:
Caché de código L1 32 kB per core
Caché de datos L1 [ TRIAL VERSION ]
Caché L2 256 kB per core (On-Die, ECC, Full-Speed)
Caché L3 6 MB (On-Die, ECC, Full-Speed)
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 7 of 466
Administración de energía
Propiedades de la batería:
Nombre del dispositivo N56--52
Fabricante ASUSTeK
ID único ASUSTeKN56--52
Tipo de batería Recargable Li-Ion
Capacidad de fábrica 56628 mWh
Voltaje de batería 10.890 V
Nivel de desgaste 100 %
Estado de energía Línea CA, Cargando
Equipo portátil
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 8 of 466
Sensor
Propiedades de sensores:
Tipo de sensor CPU, HDD, Asus NB ACPI, PCH, SNB
Tipo de sensor de la GPU Diode (NV-Diode)
Temperaturas:
CPU 87 °C
CPU Package 87 °C
CPU IA Cores 87 °C
CPU GT Cores 71 °C
CPU # 1 / núcleo # 1 83 °C
CPU # 1 / núcleo # 2 87 °C
CPU # 1 / núcleo # 3 85 °C
CPU # 1 / núcleo # 4 78 °C
Diodo PCH 58 °C
diodo GPU 57 °C
KINGSTON SA400S37480G [ TRIAL VERSION ]
Ventiladores:
CPU 3800 RPM
Valores de voltaje:
Núcleo de la CPU 1.062 V
CPU VID 1.062 V
Batería 10.890 V
Núcleo de la GPU [ TRIAL VERSION ]
Valores de energía:
CPU Package 30.72 W
CPU IA Cores 19.93 W
CPU GT Cores [ TRIAL VERSION ]
CPU Uncore 7.21 W
DIMM 2.79 W
Tasa de carga de batería Línea CA
GPU [ TRIAL VERSION ]
GPU TDP% [ TRIAL VERSION ]
CPU
Propiedades de la CPU:
Tipo de CPU Mobile QuadCore Intel Core i7-4700HQ, 3200 MHz (32 x 100)
Alias de la CPU Haswell-MB
Escalonamiento de la CPU C0
Conjunto de instrucciones x86, x86-64, MMX, SSE, SSE2, SSE3, SSSE3, SSE4.1, SSE4.2, AVX, AVX2, FMA, AES
Reloj original [ TRIAL VERSION ]
Multiplic. de CPU Mín / Máx 8x / 26x
Engineering Sample No
Caché de código L1 32 kB per core
Caché de datos L1 [ TRIAL VERSION ]
Caché L2 256 kB per core (On-Die, ECC, Full-Speed)
Caché L3 6 MB (On-Die, ECC, Full-Speed)
Fabricante de la CPU:
Nombre de la empresa Intel Corporation
Información del producto https://ark.intel.com/content/www/us/en/ark/search.html?q=Intel%20Core%20i7-4700HQ
Actualización del controlador http://www.aida64.com/goto/?p=drvupdates
Multi CPU:
CPU #1 Intel(R) Core(TM) i7-4700HQ CPU @ 2.40GHz, 2394 MHz
CPU #2 Intel(R) Core(TM) i7-4700HQ CPU @ 2.40GHz, 2394 MHz
CPU #3 Intel(R) Core(TM) i7-4700HQ CPU @ 2.40GHz, 2394 MHz
CPU #4 Intel(R) Core(TM) i7-4700HQ CPU @ 2.40GHz, 2394 MHz
CPU #5 Intel(R) Core(TM) i7-4700HQ CPU @ 2.40GHz, 2394 MHz
CPU #6 Intel(R) Core(TM) i7-4700HQ CPU @ 2.40GHz, 2394 MHz
CPU #7 Intel(R) Core(TM) i7-4700HQ CPU @ 2.40GHz, 2394 MHz
CPU #8 Intel(R) Core(TM) i7-4700HQ CPU @ 2.40GHz, 2394 MHz
Utilización de la CPU:
CPU # 1 / núcleo # 1 / Unidad SMT # 1 50%
CPU # 1 / núcleo # 1 / Unidad SMT # 2 75%
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 9 of 466
CPUID
Propiedades de CPUID:
Fabricante de CPUID GenuineIntel
CPUID Nombre de la CPU Intel(R) Core(TM) i7-4700HQ CPU @ 2.40GHz
Revisión de CPUID 000306C3h
IA ID del fabricante 00h (Desconocido)
ID de la plataforma 30h / MC 20h (BGA1364)
Revisión de actualiz. del microcódigo 27h
Unidades SMT / CMP 2/4
Temperatura Tjmax 100 °C (212 °F)
CPU Thermal Design Power (TDP) 47 W
CPU Thermal Design Current (TDC) 85 A
CPU Max Power Limit Unlimited Power / Unlimited Time
CPU Power Limit 1 (Long Duration) 47 W / 64.00 sec (Locked)
CPU Power Limit 2 (Short Duration) 58.8 W / 2.44 ms (Locked)
Max Turbo Boost Multipliers 1C: 34x, 2C: 33x, 3C: 32x, 4C: 32x
Conjunto de instrucciones:
Extensión de 64-bit x86 (AMD64, Intel64) Compatible
AMD 3DNow! Incompatible
AMD 3DNow! Professional Incompatible
AMD 3DNowPrefetch Incompatible
AMD Enhanced 3DNow! Incompatible
AMD Extended MMX Incompatible
AMD FMA4 Incompatible
AMD MisAligned SSE Incompatible
AMD SSE4A Incompatible
AMD XOP Incompatible
Cyrix Extended MMX Incompatible
Enhanced REP MOVSB/STOSB Compatible
Enqueue Stores Incompatible
Galois Field New Instructions (GFNI) Incompatible
Float-16 Conversion Instructions Compatible, Activado
IA-64 Incompatible
IA AES Extensions Compatible
IA AMX-BF16 Incompatible
IA AMX-INT8 Incompatible
IA AMX Tile Architecture (AMX-TILE) Incompatible
IA AVX Compatible, Activado
IA AVX2 Compatible, Activado
IA AVX-512 (AVX512F) Incompatible
IA AVX-512 4x Fused Multiply-Add Single Precision (AVX512_4FMAPS) Incompatible
IA AVX-512 4x Neural Network Instructions (AVX512_4VNNIW) Incompatible
IA AVX-512 52-bit Integer Multiply-Add Instructions (AVX512_IFMA) Incompatible
IA AVX-512 BF16 (AVX512_BF16) Incompatible
IA AVX-512 Bit Algorithm (AVX512_BITALG) Incompatible
IA AVX-512 Byte and Word Instructions (AVX512BW) Incompatible
IA AVX-512 Conflict Detection Instructions (AVX512CD) Incompatible
IA AVX-512 Doubleword and Quadword Instructions (AVX512DQ) Incompatible
IA AVX-512 Exponential and Reciprocal Instructions (AVX512ER) Incompatible
IA AVX-512 FP16 (AVX512_FP16) Incompatible
IA AVX-512 Intersection (AVX512_VP2INTERSECT) Incompatible
IA AVX-512 Neural Network Instructions (AVX512_VNNI) Incompatible
IA AVX-512 Prefetch Instructions (AVX512PF) Incompatible
IA AVX-512 Vector Bit Manipulation Instructions (AVX512_VBMI) Incompatible
IA AVX-512 Vector Bit Manipulation Instructions 2 (AVX512_VBMI2) Incompatible
IA AVX-512 Vector Length Extensions (AVX512VL) Incompatible
IA AVX-512 VPOPCNTDQ Incompatible
IA AVX Vector Neural Network Instructions (AVX-VNNI) Incompatible
IA BMI1 Compatible
IA BMI2 Compatible
IA FMA Compatible, Activado
IA MMX Compatible
IA SHA Extensions Incompatible
IA SSE Compatible
IA SSE2 Compatible
IA SSE3 Compatible
IA Supplemental SSE3 Compatible
IA SSE4.1 Compatible
IA SSE4.2 Compatible
Vector AES (VAES) Incompatible
VIA Alternate Instruction Set Incompatible
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 10 of 466
Características de seguridad:
Advanced Cryptography Engine (ACE) Incompatible
Advanced Cryptography Engine 2 (ACE2) Incompatible
Control-flow Enforcement Technology - Indirect Branch Tracking (CET_IBT) Incompatible
Control-flow Enforcement Technology - Shadow Stack (CET_SS) Incompatible
Prevención de ejecución de datos (DEP, NX, EDB) Compatible
Enhanced Indirect Branch Restricted Speculation Incompatible
FRED Transitions Incompatible
Hardware Random Number Generator (RNG) Incompatible
Hardware Random Number Generator 2 (RNG2) Incompatible
Indirect Branch Predictor Barrier (IBPB) Compatible
Indirect Branch Restricted Speculation (IBRS) Compatible
Key Locker Incompatible
L1D Flush Compatible
LKGS Incompatible
MD_CLEAR Compatible
Memory Protection Extensions (MPX) Incompatible
PadLock Hash Engine (PHE) Incompatible
PadLock Hash Engine 2 (PHE2) Incompatible
PadLock Montgomery Multiplier (PMM) Incompatible
PadLock Montgomery Multiplier 2 (PMM2) Incompatible
Número de serie del procesador (PSN) Incompatible
Protection Keys for Supervisor-Mode Pages (PKS) Incompatible
Protection Keys for User-Mode Pages (PKU) Incompatible
Read Processor ID (RDPID) Incompatible
Safer Mode Extensions (SMX) Incompatible
Secure Memory Encryption (SME) Incompatible
SGX Launch Configuration (SGX_LC) Incompatible
Software Guard Extensions (SGX) Incompatible
Single Thread Indirect Branch Predictors (STIBP) Compatible
Speculative Store Bypass Disable (SSBD) Compatible
SRBDS_CTRL Incompatible
Supervisor Mode Access Prevention (SMAP) Incompatible
Supervisor Mode Execution Protection (SMEP) Compatible
Total Memory Encryption (TME) Incompatible
User-Mode Instruction Prevention (UMIP) Incompatible
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 11 of 466
Características de virtualización:
AMD Virtual Interrupt Controller (AVIC) Incompatible
Decode Assists Incompatible
Encrypted Microcode Patch Incompatible
Encrypted State (SEV-ES) Incompatible
Extended Page Table (EPT) Compatible
Flush by ASID Incompatible
Guest Mode Execute Trap Extension (GMET) Incompatible
Hypervisor No está presente
Instrucción INVEPT Compatible
Instrucción INVVPID Compatible
LBR Virtualization Incompatible
Memory Bandwidth Enforcement (MBE) Incompatible
Nested Paging (NPT, RVI) Incompatible
NRIP Save (NRIPS) Incompatible
PAUSE Filter Threshold Incompatible
PAUSE Intercept Filter Incompatible
Secure Encrypted Virtualization (SEV) Incompatible
Secure Virtual Machine (SVM, Pacifica) Incompatible
SVM Lock (SVML) Incompatible
Virtual Transparent Encryption (VTE) Incompatible
Virtualized GIF (vGIF) Incompatible
Virtualized VMLOAD and VMSAVE Incompatible
Virtual Machine Extensions (VMX, Vanderpool) Compatible
Virtual Processor ID (VPID) Compatible
VMCB Clean Bits Incompatible
Características de CPUID:
1 GB Page Size Compatible
36-bit Page Size Extension Compatible
5-Level Paging Incompatible
64-bit DS Area Compatible
Adaptive Overclocking Incompatible
Address Region Registers (ARR) Incompatible
Code and Data Prioritization Technology (CDP) Incompatible
Core Performance Boost (CPB) Incompatible
Core Performance Counters Incompatible
CPL Qualified Debug Store Compatible
Data Breakpoint Extension Incompatible
Debug Trace Store Compatible
Debugging Extension Compatible
Deprecated FPU CS and FPU DS Compatible
Direct Cache Access Incompatible
Dynamic Acceleration Technology (IDA) Incompatible
Dynamic Configurable TDP (DcTDP) Incompatible
Enhanced Hardware Feedback Interface (EHFI) Incompatible
Extended APIC Register Space Incompatible
Fast Save & Restore Compatible
Hardware Feedback Interface (HFI) Incompatible
Hardware Lock Elision (HLE) Incompatible
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 12 of 466
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 13 of 466
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 14 of 466
Navegación
CPUID Registers (CPU #4):
CPUID 00000000 0000000D-756E6547-6C65746E-49656E69 [GenuineIntel]
CPUID 00000001 000306C3-04100800-7FFAFBBF-BFEBFBFF
CPUID 00000002 76036301-00F0B5FF-00000000-00C10000
CPUID 00000003 00000000-00000000-00000000-00000000
CPUID 00000004 1C004121-01C0003F-0000003F-00000000 [SL 00]
CPUID 00000004 1C004122-01C0003F-0000003F-00000000 [SL 01]
CPUID 00000004 1C004143-01C0003F-000001FF-00000000 [SL 02]
CPUID 00000004 1C03C163-02C0003F-00001FFF-00000006 [SL 03]
CPUID 00000005 00000040-00000040-00000003-00042120
CPUID 00000006 00000077-00000002-00000009-00000000
CPUID 00000007 00000000-000027AB-00000000-9C000400 [SL 00]
CPUID 00000008 00000000-00000000-00000000-00000000
CPUID 00000009 00000000-00000000-00000000-00000000
CPUID 0000000A 07300403-00000000-00000000-00000603
CPUID 0000000B 00000001-00000002-00000100-00000004 [SL 00]
CPUID 0000000B 00000004-00000008-00000201-00000004 [SL 01]
CPUID 0000000C 00000000-00000000-00000000-00000000
CPUID 0000000D 00000007-00000340-00000340-00000000 [SL 00]
CPUID 0000000D 00000001-00000000-00000000-00000000 [SL 01]
CPUID 0000000D 00000100-00000240-00000000-00000000 [SL 02]
CPUID 80000000 80000008-00000000-00000000-00000000
CPUID 80000001 00000000-00000000-00000021-2C100000
CPUID 80000002 65746E49-2952286C-726F4320-4D542865 [Intel(R) Core(TM]
CPUID 80000003 37692029-3037342D-20514830-20555043 [) i7-4700HQ CPU ]
CPUID 80000004 2E322040-48473034-0000007A-00000000 [@ 2.40GHz]
CPUID 80000005 00000000-00000000-00000000-00000000
CPUID 80000006 00000000-00000000-01006040-00000000
CPUID 80000007 00000000-00000000-00000000-00000100
CPUID 80000008 00003027-00000000-00000000-00000000
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 15 of 466
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 16 of 466
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 17 of 466
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 18 of 466
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 19 of 466
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 20 of 466
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 21 of 466
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 22 of 466
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 23 of 466
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 24 of 466
Placa base
Memoria
Memoria física:
Total [ TRIAL VERSION ]
Usada [ TRIAL VERSION ]
Libre 8273 MB
Utilización [ TRIAL VERSION ]
Memoria virtual:
Total 19211 MB
Usada 7939 MB
Libre 11272 MB
Utilización 41 %
Archivo de paginación:
Archivo de paginación C:\pagefile.sys
Tamaño actual 2944 MB
Uso Actual / Pico 4 MB / 41 MB
Utilización 0%
SPD
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 25 of 466
Tiempos de Memoria:
@ 800 MHz 11-11-11-28 (CL-RCD-RP-RAS) / 39-208-5-12-6-6-24 (RC-RFC-RRD-WR-WTR-RTP-FAW)
@ 761 MHz 10-10-10-27 (CL-RCD-RP-RAS) / 37-199-5-12-6-6-23 (RC-RFC-RRD-WR-WTR-RTP-FAW)
@ 685 MHz 9-9-9-24 (CL-RCD-RP-RAS) / 33-179-5-11-6-6-21 (RC-RFC-RRD-WR-WTR-RTP-FAW)
@ 609 MHz 8-8-8-22 (CL-RCD-RP-RAS) / 30-159-4-10-5-5-19 (RC-RFC-RRD-WR-WTR-RTP-FAW)
@ 533 MHz 7-7-7-19 (CL-RCD-RP-RAS) / 26-139-4-8-4-4-16 (RC-RFC-RRD-WR-WTR-RTP-FAW)
@ 457 MHz 6-6-6-16 (CL-RCD-RP-RAS) / 22-119-3-7-4-4-14 (RC-RFC-RRD-WR-WTR-RTP-FAW)
Tiempos de Memoria:
@ 800 MHz 11-11-11-28 (CL-RCD-RP-RAS) / 39-208-5-12-6-6-24 (RC-RFC-RRD-WR-WTR-RTP-FAW)
@ 761 MHz 10-10-10-27 (CL-RCD-RP-RAS) / 37-199-5-12-6-6-23 (RC-RFC-RRD-WR-WTR-RTP-FAW)
@ 685 MHz 9-9-9-24 (CL-RCD-RP-RAS) / 33-179-5-11-6-6-21 (RC-RFC-RRD-WR-WTR-RTP-FAW)
@ 609 MHz 8-8-8-22 (CL-RCD-RP-RAS) / 30-159-4-10-5-5-19 (RC-RFC-RRD-WR-WTR-RTP-FAW)
@ 533 MHz 7-7-7-19 (CL-RCD-RP-RAS) / 26-139-4-8-4-4-16 (RC-RFC-RRD-WR-WTR-RTP-FAW)
@ 457 MHz 6-6-6-16 (CL-RCD-RP-RAS) / 22-119-3-7-4-4-14 (RC-RFC-RRD-WR-WTR-RTP-FAW)
@ 380 MHz 5-5-5-14 (CL-RCD-RP-RAS) / 19-100-3-6-3-3-12 (RC-RFC-RRD-WR-WTR-RTP-FAW)
Chipset
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 26 of 466
Navegación
[ Puente norte: Intel Haswell-MB IMC ]
Controladora de memoria:
Tipo Dual Channel (128 bits)
Modo Activo Dual Channel (128 bits)
Tiempos de Memoria:
CAS Latency (CL) 11T
RAS To CAS Delay (tRCD) 11T
RAS Precharge (tRP) 11T
RAS Active Time (tRAS) 28T
Row Refresh Cycle Time (tRFC) 208T
Command Rate (CR) 1T
RAS To RAS Delay (tRRD) 5T
Write Recovery Time (tWR) 12T
Read To Read Delay (tRTR) Same Rank: 4T, Different Rank: 6T, Different DIMM: 6T
Read To Write Delay (tRTW) Same Rank: 11T, Different Rank: 11T, Different DIMM: 11T
Write To Read Delay (tWTR) 6T, Same Rank: 20T, Different Rank: 3T, Different DIMM: 4T
Write To Write Delay (tWTW) Same Rank: 4T, Different Rank: 7T, Different DIMM: 7T
Read To Precharge Delay (tRTP) 6T
Write To Precharge Delay (tWTP) 24T
Four Activate Window Delay (tFAW) 24T
Write CAS Latency (tWCL) 8T
CKE Min. Pulse Width (tCKE) 4T
Refresh Period (tREF) 6240T
Round Trip Latency (tRTL) DIMM1: 42T, DIMM2: 0T, DIMM3: 42T, DIMM4: 0T
I/O Latency (tIOL) DIMM1: 5T, DIMM2: 0T, DIMM3: 5T, DIMM4: 0T
Burst Length (BL) 8
Corrección de errores:
ECC Incompatible
ChipKill ECC Incompatible
RAID Incompatible
ECC Scrubbing Incompatible
Ranuras de memoria:
Ranura DRAM # 1 8 GB (DDR3 SDRAM)
Ranura DRAM # 2 8 GB (DDR3 SDRAM)
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 27 of 466
Navegación
Controladora PCI Express:
PCI-E 2.0 x1 port #1 Vacío
PCI-E 2.0 x1 port #3 En uso @ x1 (Intel Dual Band Wireless-N 7260 BGN 2x2 HMC WiFi Adapter)
PCI-E 2.0 x1 port #4 En uso @ x1 (Realtek RTL8168/8111 PCI-E Gigabit Ethernet Adapter)
PCI-E 2.0 x4 port #5 En uso @ x1 (Realtek RTS5227 PCI-E Card Reader)
BIOS
ACPI
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 28 of 466
I/O APIC:
I/O APIC ID 08h
I/O APIC Address FEC00000h
Global System Interrupt Base 00000000h
nVIDIA SLI:
SLI Certification No está presente
PCI 0-0-0-0 (Direct I/O) 8086-0C04 (Intel)
PCI 0-0-0-0 (HAL) 8086-0C04 (Intel)
Lucid Virtu:
Virtu Certification No está presente
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 29 of 466
Navegación
Propiedades de la tabla ACPI:
Firma ACPI ECDT
Descripción de la tabla Embedded Controller Boot Resources Table
Dirección de memoria C9EB5250h
Tamaño de la tabla 193 bytes
OEM ID _ASUS_
OEM Table ID Notebook
OEM Revision 01072009h
Creator ID AMI.
Creator Revision 00000005h
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 30 of 466
Navegación
Propiedades de la tabla ACPI:
Firma ACPI HPET
Descripción de la tabla IA-PC High Precision Event Timer Table
Dirección de memoria C9EB6570h
Tamaño de la tabla 56 bytes
OEM ID _ASUS_
OEM Table ID Notebook
OEM Revision 01072009h
Creator ID AMI.
Creator Revision 00000005h
HPET Address 00000000-FED00000h
ID de vendedor 8086h
Revisión 01h
Number of Timers 8
Counter Size 64 bits
Minimum Clock Ticks 14318
Page Protection No Guarantee
OEM Attribute 0h
LegacyReplacement IRQ Routing Compatible
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 31 of 466
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 32 of 466
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 33 of 466
Navegación
[ SSDT: Secondary System Description Table ]
Sistema operativo
Información de la licencia:
Propietario registrado USUARIO
Organización registrada
ID del producto 00327-30000-00000-AAOEM
Clave del producto NTRHT- [ TRIAL VERSION ]
Activación del producto (WPA) No requerido
Sesión actual:
Nombre del equipo DESKTOP-K618JK0
Nombre de usuario USUARIO
Dominio de inicio de sesión [ TRIAL VERSION ]
Tiempo de funcionamiento 205560 seg (2 días, 9 horas, 6 min, 0 seg)
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 34 of 466
Procesos
Memoria
Nombre del proceso Nombre de archivo del proceso Tipo
usada
32
aida64.exe C:\Program Files (x86)\FinalWire\AIDA64 Extreme\aida64.exe 107 MB
bits
64 37024
ApplicationFrameHost.exe C:\Windows\system32\ApplicationFrameHost.exe
bits
32 17888
armsvc.exe C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe
bits
64
AsusTPCenter.exe C:\Program Files (x86)\ASUS\ASUS Smart Gesture\AsTPCenter\x64\AsusTPCenter.exe
bits
64
AsusTPHelper.exe C:\Program Files (x86)\ASUS\ASUS Smart Gesture\AsTPCenter\x64\AsusTPHelper.exe
bits
64
AsusTPLoader.exe C:\Program Files (x86)\ASUS\ASUS Smart Gesture\AsTPCenter\x64\AsusTPLoader.exe
bits
64 21236
audiodg.exe C:\Windows\system32\AUDIODG.EXE
bits
64 62860
chrome.exe C:\Program Files\Google\Chrome\Application\chrome.exe
bits
64
chrome.exe C:\Program Files\Google\Chrome\Application\chrome.exe
bits
64 54788
chrome.exe C:\Program Files\Google\Chrome\Application\chrome.exe
bits
64 22740
chrome.exe C:\Program Files\Google\Chrome\Application\chrome.exe
bits
64
chrome.exe C:\Program Files\Google\Chrome\Application\chrome.exe 220 MB
bits
64 47508
chrome.exe C:\Program Files\Google\Chrome\Application\chrome.exe
bits
64
chrome.exe C:\Program Files\Google\Chrome\Application\chrome.exe 293 MB
bits
64 63564
chrome.exe C:\Program Files\Google\Chrome\Application\chrome.exe
bits
64
chrome.exe C:\Program Files\Google\Chrome\Application\chrome.exe 317 MB
bits
64 82412
chrome.exe C:\Program Files\Google\Chrome\Application\chrome.exe
bits
64
chrome.exe C:\Program Files\Google\Chrome\Application\chrome.exe 267 MB
bits
64 24396
chrome.exe C:\Program Files\Google\Chrome\Application\chrome.exe
bits
64 73780
chrome.exe C:\Program Files\Google\Chrome\Application\chrome.exe
bits
64 27088
chrome.exe C:\Program Files\Google\Chrome\Application\chrome.exe
bits
64 61772
chrome.exe C:\Program Files\Google\Chrome\Application\chrome.exe
bits
64
chrome.exe C:\Program Files\Google\Chrome\Application\chrome.exe 653 MB
bits
64
chrome.exe C:\Program Files\Google\Chrome\Application\chrome.exe 434 MB
bits
64
chrome.exe C:\Program Files\Google\Chrome\Application\chrome.exe 152 MB
bits
64 48488
chrome.exe C:\Program Files\Google\Chrome\Application\chrome.exe
bits
64 60116
chrome.exe C:\Program Files\Google\Chrome\Application\chrome.exe
bits
64 73768
chrome.exe C:\Program Files\Google\Chrome\Application\chrome.exe
bits
64 49324
chrome.exe C:\Program Files\Google\Chrome\Application\chrome.exe
bits
64 37796
chrome.exe C:\Program Files\Google\Chrome\Application\chrome.exe
bits
64 59920
chrome.exe C:\Program Files\Google\Chrome\Application\chrome.exe
bits
64 49336
chrome.exe C:\Program Files\Google\Chrome\Application\chrome.exe
bits
64 54968
chrome.exe C:\Program Files\Google\Chrome\Application\chrome.exe
bits
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 35 of 466
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 36 of 466
64 18692
Navegación bits
64
SearchApp.exe C:\Windows\SystemApps\Microsoft.Windows.Search_cw5n1h2txyewy\SearchApp.exe 175 MB
bits
64 67208
SearchApp.exe C:\Windows\SystemApps\Microsoft.Windows.Search_cw5n1h2txyewy\SearchApp.exe
bits
64
SearchApp.exe C:\Windows\SystemApps\Microsoft.Windows.Search_cw5n1h2txyewy\SearchApp.exe 188 MB
bits
64 43240
SearchIndexer.exe C:\Windows\system32\SearchIndexer.exe
bits
64 20888
SecurityHealthService.exe
bits
64
SecurityHealthSystray.exe C:\Windows\System32\SecurityHealthSystray.exe
bits
64 11292
services.exe
bits
64
SgrmBroker.exe
bits
64 56732
ShellExperienceHost.exe C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe
bits
64 30364
sihost.exe C:\Windows\system32\sihost.exe
bits
64
SkypeApp.exe C:\Program Files\WindowsApps\Microsoft.SkypeApp_14.53.77.0_x64__kzf8qxf38zg5c\SkypeApp.exe 183 MB
bits
64
SkypeBackgroundHost.exe C:\Program Files\WindowsApps\Microsoft.SkypeApp_14.53.77.0_x64__kzf8qxf38zg5c\SkypeBackgroundHost.exe
bits
64 65432
SkypeBridge.exe C:\Program Files\WindowsApps\Microsoft.SkypeApp_14.53.77.0_x64__kzf8qxf38zg5c\SkypeBridge\SkypeBridge.exe
bits
64 29056
smartscreen.exe C:\Windows\System32\smartscreen.exe
bits
64
smss.exe
bits
64 11956
splwow64.exe C:\Windows\splwow64.exe
bits
64 15540
spoolsv.exe C:\Windows\System32\spoolsv.exe
bits
64 17756
sppsvc.exe
bits
64 85052
StartMenuExperienceHost.exe C:\Windows\SystemApps\Microsoft.Windows.StartMenuExperienceHost_cw5n1h2txyewy\StartMenuExperienceHost.exe
bits
64 27088
svchost.exe C:\Windows\system32\svchost.exe
bits
64 40948
svchost.exe C:\Windows\system32\svchost.exe
bits
64 12624
svchost.exe C:\Windows\system32\svchost.exe
bits
64 26652
svchost.exe C:\Windows\system32\svchost.exe
bits
64 19132
svchost.exe C:\Windows\system32\svchost.exe
bits
64 19820
svchost.exe C:\Windows\system32\svchost.exe
bits
64 24812
svchost.exe C:\Windows\system32\svchost.exe
bits
64 25520
svchost.exe C:\Windows\System32\svchost.exe
bits
64
svchost.exe C:\Windows\system32\svchost.exe 90 MB
bits
64 16268
svchost.exe C:\Windows\system32\svchost.exe
bits
64 22352
svchost.exe C:\Windows\System32\svchost.exe
bits
64 22132
svchost.exe C:\Windows\system32\svchost.exe
bits
64 19848
svchost.exe C:\Windows\system32\svchost.exe
bits
64 16500
svchost.exe C:\Windows\system32\svchost.exe
bits
64 16792
svchost.exe C:\Windows\system32\svchost.exe
bits
64 28060
svchost.exe C:\Windows\System32\svchost.exe
bits
64 22848
svchost.exe C:\Windows\system32\svchost.exe
bits
64 32912
svchost.exe C:\Windows\system32\svchost.exe
bits
64 17500
svchost.exe C:\Windows\system32\svchost.exe
bits
64 14596
svchost.exe C:\Windows\system32\svchost.exe
bits
64 17368
svchost.exe C:\Windows\system32\svchost.exe
bits
64 34076
svchost.exe C:\Windows\system32\svchost.exe
bits
64 43416
svchost.exe C:\Windows\system32\svchost.exe
bits
64 27384
svchost.exe C:\Windows\system32\svchost.exe
bits
64 13608
svchost.exe C:\Windows\System32\svchost.exe
bits
64 17436
svchost.exe C:\Windows\System32\svchost.exe
bits
svchost.exe C:\Windows\system32\svchost.exe
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 37 of 466
64 17300
Navegación bits
64 19456
svchost.exe C:\Windows\system32\svchost.exe
bits
64 24432
svchost.exe C:\Windows\System32\svchost.exe
bits
64 37844
svchost.exe C:\Windows\system32\svchost.exe
bits
64 28956
svchost.exe C:\Windows\system32\svchost.exe
bits
64 19844
svchost.exe C:\Windows\System32\svchost.exe
bits
64 30392
svchost.exe C:\Windows\system32\svchost.exe
bits
64 21244
svchost.exe C:\Windows\system32\svchost.exe
bits
64 16240
svchost.exe C:\Windows\system32\svchost.exe
bits
64 31812
svchost.exe C:\Windows\system32\svchost.exe
bits
64 16524
svchost.exe C:\Windows\System32\svchost.exe
bits
64 16848
svchost.exe C:\Windows\system32\svchost.exe
bits
64 17936
svchost.exe C:\Windows\system32\svchost.exe
bits
64 30416
svchost.exe C:\Windows\System32\svchost.exe
bits
64 13376
svchost.exe C:\Windows\System32\svchost.exe
bits
64 15224
svchost.exe C:\Windows\System32\svchost.exe
bits
64 21576
svchost.exe C:\Windows\system32\svchost.exe
bits
64 21368
svchost.exe C:\Windows\system32\svchost.exe
bits
64 42956
svchost.exe C:\Windows\system32\svchost.exe
bits
64 58412
svchost.exe C:\Windows\System32\svchost.exe
bits
64 33104
svchost.exe C:\Windows\System32\svchost.exe
bits
64 32472
svchost.exe C:\Windows\system32\svchost.exe
bits
64 18808
svchost.exe C:\Windows\System32\svchost.exe
bits
64 33972
svchost.exe C:\Windows\system32\svchost.exe
bits
64 53760
svchost.exe C:\Windows\System32\svchost.exe
bits
64 23048
svchost.exe C:\Windows\System32\svchost.exe
bits
64 18388
svchost.exe C:\Windows\system32\svchost.exe
bits
64 39968
svchost.exe C:\Windows\system32\svchost.exe
bits
64 24948
svchost.exe C:\Windows\system32\svchost.exe
bits
64 13084
svchost.exe C:\Windows\System32\svchost.exe
bits
64 29400
svchost.exe C:\Windows\System32\svchost.exe
bits
64 19348
svchost.exe C:\Windows\system32\svchost.exe
bits
64 30652
svchost.exe C:\Windows\System32\svchost.exe
bits
64 13396
svchost.exe C:\Windows\System32\svchost.exe
bits
64 63096
svchost.exe C:\Windows\System32\svchost.exe
bits
64 18092
svchost.exe C:\Windows\System32\svchost.exe
bits
64 39868
svchost.exe C:\Windows\system32\svchost.exe
bits
64 54028
svchost.exe C:\Windows\system32\svchost.exe
bits
64 66672
svchost.exe C:\Windows\system32\svchost.exe
bits
64 53472
svchost.exe C:\Windows\system32\svchost.exe
bits
64 52332
svchost.exe C:\Windows\system32\svchost.exe
bits
64 39952
svchost.exe C:\Windows\system32\svchost.exe
bits
64 40840
svchost.exe C:\Windows\system32\svchost.exe
bits
64 64428
svchost.exe C:\Windows\system32\svchost.exe
bits
64 33936
svchost.exe C:\Windows\System32\svchost.exe
bits
64
svchost.exe C:\Windows\system32\svchost.exe
bits
svchost.exe C:\Windows\system32\svchost.exe
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 38 of 466
64 39680
Navegación bits
64 25468
svchost.exe C:\Windows\system32\svchost.exe
bits
64 19084
svchost.exe C:\Windows\system32\svchost.exe
bits
64 27912
svchost.exe C:\Windows\system32\svchost.exe
bits
System Idle Process
64
System
bits
64 78584
SystemSettings.exe C:\Windows\ImmersiveControlPanel\SystemSettings.exe
bits
64 20964
taskhostw.exe C:\Windows\system32\taskhostw.exe
bits
64 18504
taskhostw.exe C:\Windows\system32\taskhostw.exe
bits
64 48828
Taskmgr.exe C:\Windows\system32\taskmgr.exe
bits
64 45064
TextInputHost.exe C:\Windows\SystemApps\MicrosoftWindows.Client.CBS_cw5n1h2txyewy\TextInputHost.exe
bits
64
UserOOBEBroker.exe C:\Windows\System32\oobe\UserOOBEBroker.exe
bits
Windows-KB890830-x64- 64 61360
C:\Windows\SoftwareDistribution\Download\Install\Windows-KB890830-x64-V5.116.exe
V5.116.exe bits
64
wininit.exe
bits
64 11076
winlogon.exe C:\Windows\System32\WinLogon.exe
bits
64
WinStore.App.exe C:\Program Files\WindowsApps\Microsoft.WindowsStore_11910.1002.5.0_x64__8wekyb3d8bbwe\WinStore.App.exe
bits
64 12256
WmiPrvSE.exe C:\Windows\system32\wbem\wmiprvse.exe
bits
64 11300
WmiPrvSE.exe C:\Windows\sysWOW64\wbem\wmiprvse.exe
bits
64 14752
WmiPrvSE.exe C:\Windows\system32\wbem\wmiprvse.exe
bits
64 18852
wuauclt.exe C:\Windows\system32\wuauclt.exe
bits
64
WUDFHost.exe C:\Windows\System32\WUDFHost.exe
bits
Descripción del
Nombre del controlador Nombre de archivo Versión Tipo Estado
controlador
Controladora de host
Controlador
1394ohci compatible con OHCI 1394ohci.sys 10.0.19041.1 Detenido
del kernel
1394
Controlador
3ware 3ware 3ware.sys 5.1.0.51 Detenido
del kernel
Controlador Microsoft Controlador
ACPI ACPI.sys 10.0.19041.1741 Ejecutando
ACPI del kernel
Controlador de Controlador
AcpiDev AcpiDev.sys 10.0.19041.1 Detenido
dispositivos ACPI del kernel
Controlador
acpiex Microsoft ACPIEx Driver acpiex.sys 10.0.19041.1 Ejecutando
del kernel
Controlador de agregador Controlador
acpipagr acpipagr.sys 10.0.19041.1 Detenido
de procesador ACPI del kernel
Controlador de medidor Controlador
AcpiPmi acpipmi.sys 10.0.19041.1 Detenido
de energía ACPI del kernel
Controlador de alarma de Controlador
acpitime acpitime.sys 10.0.19041.1 Detenido
activación ACPI del kernel
Controlador
Acx01000 Acx01000 Acx01000.sys 10.0.19041.1503 Detenido
del kernel
Controlador
ADP80XX ADP80XX ADP80XX.SYS 1.3.0.10769 Detenido
del kernel
Controlador de función
Controlador
AFD suplementaria de afd.sys 10.0.19041.1766 Ejecutando
del kernel
Winsock
Controlador
afunix afunix afunix.sys 10.0.19041.1865 Ejecutando
del kernel
Application Compatibility Controlador
ahcache ahcache.sys 10.0.19041.928 Ejecutando
Cache del kernel
Controlador cliente GPIO Controlador
amdgpio2 amdgpio2.sys 2.2.0.71 Detenido
AMD del kernel
Servicio de controlador Controlador
amdi2c amdi2c.sys 1.2.0.99 Detenido
AMD I2C del kernel
Controlador de Controlador
AmdK8 amdk8.sys 10.0.19041.1865 Detenido
procesador AMD K8 del kernel
Controlador de Controlador
AmdPPM amdppm.sys 10.0.19041.1865 Detenido
procesador AMD del kernel
Controlador
amdsata amdsata amdsata.sys 1.1.3.277 Detenido
del kernel
Controlador
amdsbs amdsbs amdsbs.sys 3.7.1540.43 Detenido
del kernel
Controlador
amdxata amdxata amdxata.sys 1.1.3.277 Detenido
del kernel
AppID Controlador de AppId appid.sys 10.0.19041.1949 Detenido
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 39 of 466
Controlador
Navegación del kernel
Controlador de filtro Controlador
applockerfltr applockerfltr.sys 10.0.19041.1949 Detenido
Smartlocker del kernel
Controlador de minipuerto
Controlador
arcsas de Adaptec SAS/SATA-II arcsas.sys 7.5.0.32048 Detenido
del kernel
RAID Storport
ASUS Input Touchpad Controlador
AsusTP AsusTP.sys 1.0.0.296 Ejecutando
Device del kernel
Controlador de medios Controlador
AsyncMac asyncmac.sys 10.0.19041.1 Detenido
asincrónicos de RAS del kernel
Controlador
atapi Canal IDE atapi.sys 10.0.19041.1889 Detenido
del kernel
Adaptador VBD de red Controlador
b06bdrv bxvbda.sys 7.12.31.105 Detenido
QLogic del kernel
Background Activity Controlador
bam bam.sys 10.0.19041.1 Ejecutando
Moderator Driver del kernel
Controlador
BasicDisplay BasicDisplay BasicDisplay.sys 10.0.19041.1949 Ejecutando
del kernel
Controlador
BasicRender BasicRender BasicRender.sys 10.0.19041.2006 Ejecutando
del kernel
Controlador
bcmfn2 bcmfn2 Service bcmfn2.sys 6.3.9600.17336 Detenido
del kernel
Controlador
Beep Beep Ejecutando
del kernel
Controlador
Windows Bind Filter del sistema
bindflt bindflt.sys 10.0.19041.1766 Ejecutando
Driver de
archivos
Controlador
del sistema
bowser Explorador bowser.sys 10.0.19041.1586 Ejecutando
de
archivos
Microsoft Bluetooth A2dp Controlador
BthA2dp BthA2dp.sys 10.0.19041.1 Detenido
driver del kernel
Servicio enumerador de Controlador
BthEnum BthEnum.sys 10.0.19041.1889 Ejecutando
Bluetooth del kernel
Controlador de perfil
Controlador
BthHFEnum manos libres de Microsoft bthhfenum.sys 10.0.19041.1 Detenido
del kernel
Bluetooth
Controlador de Bluetooth Controlador
BthLEEnum Microsoft.Bluetooth.Legacy.LEEnumerator.sys 10.0.19041.488 Ejecutando
de bajo consumo del kernel
Controlador de radio Controlador
BthMini BTHMINI.sys 10.0.19041.1889 Detenido
Bluetooth del kernel
Controlador de
Controlador
BTHMODEM comunicaciones por bthmodem.sys 10.0.19041.1 Detenido
del kernel
módem Bluetooth
Dispositivo Bluetooth Controlador
BthPan bthpan.sys 10.0.19041.1 Ejecutando
(Red de área personal) del kernel
Controlador de puertos Controlador
BTHPORT BTHport.sys 10.0.19041.1889 Ejecutando
Bluetooth del kernel
Controladora USB de Controlador
BTHUSB BTHUSB.sys 10.0.19041.1889 Ejecutando
radio Bluetooth del kernel
Filtro BTT VHDPMEM de Controlador
bttflt bttflt.sys 10.0.19041.1 Detenido
Microsoft Hyper-V del kernel
Servicio para dispositivos
Controlador
buttonconverter de control de dispositivo buttonconverter.sys 10.0.19041.1 Detenido
del kernel
portátil
Controlador de arbitraje Controlador
CAD CAD.sys 10.0.19041.1 Ejecutando
de carga del kernel
Controlador
CD/DVD File System del sistema
cdfs cdfs.sys 10.0.19041.1 Detenido
Reader de
archivos
Controlador
cdrom Controlador de CD-ROM cdrom.sys 10.0.19041.1266 Ejecutando
del kernel
Controlador
cht4iscsi cht4iscsi cht4sx64.sys 6.11.4.100 Detenido
del kernel
Controlador de bus virtual Controlador
cht4vbd cht4vx64.sys 6.11.4.100 Detenido
Chelsio del kernel
Controlador
del sistema
CimFS CimFS Ejecutando
de
archivos
Dispositivos IR de Controlador
circlass circlass.sys 10.0.19041.1 Detenido
consumo del kernel
Controlador
Windows Cloud Files Filter del sistema
CldFlt cldflt.sys 10.0.19041.1949 Ejecutando
Driver de
archivos
Controlador
CLFS Common Log (CLFS) CLFS.sys 10.0.19041.2006 Ejecutando
del kernel
Controlador de batería de
Controlador
CmBatt método de control ACPI CmBatt.sys 10.0.19041.1 Ejecutando
del kernel
de Microsoft
Controlador
CNG CNG cng.sys 10.0.19041.2006 Ejecutando
del kernel
CNG Hardware Assist Controlador
cnghwassist cnghwassist.sys 10.0.19041.1 Detenido
algorithm provider del kernel
Controlador de
Controlador
CompositeBus enumerador de bus CompositeBus.sys 10.0.19041.1 Ejecutando
del kernel
compuesto
Controlador
condrv Console Driver condrv.sys 10.0.19041.1110 Ejecutando
del kernel
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 40 of 466
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 41 of 466
Controlador
HTTP Servicio HTTP HTTP.sys 10.0.19041.1889
Navegación Ejecutando
del kernel
Controlador
hvcrash hvcrash hvcrash.sys 10.0.19041.1 Detenido
del kernel
Hypervisor/Virtual Controlador
hvservice hvservice.sys 10.0.19041.1949 Detenido
Machine Support Driver del kernel
Microsoft Hardware
Controlador
HwNClx0101 Notifications Class mshwnclx.sys 10.0.19041.1 Detenido
del kernel
Extension Driver
Controlador
hwpolicy Hardware Policy Driver hwpolicy.sys 10.0.19041.423 Detenido
del kernel
Controlador
hyperkbd hyperkbd hyperkbd.sys 10.0.19041.1 Detenido
del kernel
Controlador
HyperVideo HyperVideo HyperVideo.sys 10.0.19041.1 Detenido
del kernel
Controlador de puerto de Controlador
i8042prt i8042prt.sys 10.0.19041.1 Ejecutando
teclado y mouse PS/2 del kernel
Controlador de la
Controlador
iagpio controladora Intel Serial iagpio.sys 1.1.1.0 Detenido
del kernel
IO GPIO
Controladora de host de Controlador
iai2c iai2c.sys 1.1.1.0 Detenido
Intel(R) Serial IO I2C del kernel
Controlador de Intel(R) Controlador
iaLPSS2i_GPIO2_BXT_P iaLPSS2i_GPIO2_BXT_P.sys 30.100.1816.1 Detenido
Serial IO GPIO v2 del kernel
Controlador Intel(R) Controlador
iaLPSS2i_GPIO2_CNL iaLPSS2i_GPIO2_CNL.sys 30.100.1816.3 Detenido
Serial IO GPIO v2 del kernel
Controlador Intel(R) Controlador
iaLPSS2i_GPIO2_GLK iaLPSS2i_GPIO2_GLK.sys 30.100.1820.1 Detenido
Serial IO GPIO v2 del kernel
Controlador de Intel(R) Controlador
iaLPSS2i_GPIO2 iaLPSS2i_GPIO2.sys 30.100.1816.3 Detenido
Serial IO GPIO v2 del kernel
Controlador de Intel(R) Controlador
iaLPSS2i_I2C_BXT_P iaLPSS2i_I2C_BXT_P.sys 30.100.1816.1 Detenido
Serial IO I2C v2 del kernel
Controlador Intel(R) Controlador
iaLPSS2i_I2C_CNL iaLPSS2i_I2C_CNL.sys 30.100.1929.1 Detenido
Serial IO I2C v2 del kernel
Controlador Intel(R) Controlador
iaLPSS2i_I2C_GLK iaLPSS2i_I2C_GLK.sys 30.100.1820.1 Detenido
Serial IO I2C v2 del kernel
Controlador de Intel(R) Controlador
iaLPSS2i_I2C iaLPSS2i_I2C.sys 30.100.1816.3 Detenido
Serial IO I2C v2 del kernel
Controlador de
Controlador
iaLPSSi_GPIO controladora Intel(R) iaLPSSi_GPIO.sys 1.1.250.0 Detenido
del kernel
Serial IO GPIO
Controlador de Intel(R) Controlador
iaLPSSi_I2C iaLPSSi_I2C.sys 1.1.253.0 Detenido
Serial IO I2C del kernel
Controlador
iaStorA iaStorA iaStorA.sys 14.8.18.1066 Ejecutando
del kernel
Controlador Intel Chipset Controlador
iaStorAVC iaStorAVC.sys 15.44.0.1015 Detenido
SATA RAID del kernel
Controladora RAID de Controlador
iaStorV iaStorV.sys 8.6.2.1019 Detenido
Intel para Windows 7 del kernel
Mellanox InfiniBand
Controlador
ibbus Bus/AL (Controlador de ibbus.sys 5.50.14695.0 Detenido
del kernel
filtro)
Intel(R) Wireless Controlador
ibtusb ibtusb.sys 20.100.5.1 Ejecutando
Bluetooth(R) del kernel
Controlador
igfx igfx igdkmd64.sys 20.19.15.5171 Ejecutando
del kernel
Controlador en modo
Controlador
IndirectKmd kernel de pantallas IndirectKmd.sys 10.0.19041.546 Detenido
del kernel
indirectas
Service for Realtek HD Controlador
IntcAzAudAddService RTKVHD64.sys 6.0.9132.1 Ejecutando
Audio (WDM) del kernel
Sonido Intel(R) para Controlador
IntcDAud IntcDAud.sys 6.16.0.3151 Detenido
pantallas del kernel
Controlador
IntelHSWPcc IntelHSWPcc IntelPcc.sys 1.0.0.1018 Ejecutando
del kernel
Controlador
intelide intelide intelide.sys 10.0.19041.1889 Detenido
del kernel
Controlador de
Controlador
intelpep complemento de motor intelpep.sys 10.0.19041.1266 Ejecutando
del kernel
de energía Intel(R)
Controlador de Intel(R)
Controlador
intelpmax Dynamic Device Peak intelpmax.sys 10.0.19041.1 Detenido
del kernel
Power Manager
Controlador de Controlador
intelppm intelppm.sys 10.0.19041.1865 Ejecutando
procesador Intel del kernel
Controlador del filtro de
Controlador
iorate velocidad de E/S de iorate.sys 10.0.19041.1052 Ejecutando
del kernel
disco
Controlador de filtro de Controlador
IpFilterDriver ipfltdrv.sys 10.0.19041.1741 Detenido
tráfico IP del kernel
Controlador
IPMIDRV IPMIDRV IPMIDrv.sys 10.0.19041.1052 Detenido
del kernel
IP Network Address Controlador
IPNAT ipnat.sys 10.0.19041.1865 Detenido
Translator del kernel
Controlador
IPT IPT ipt.sys 10.0.19041.1 Detenido
del kernel
Controlador
isapnp isapnp isapnp.sys 10.0.19041.1202 Detenido
del kernel
Controlador
iScsiPrt Controlador iScsiPort msiscsi.sys 10.0.19041.1151 Detenido
del kernel
Controlador
ItSas35i ItSas35i ItSas35i.sys 2.60.94.80 Detenido
del kernel
kbdclass Controlador de clase de kbdclass.sys 10.0.19041.1 Controlador Ejecutando
teclado del kernel
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 42 of 466
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 43 of 466
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 44 of 466
Controlador
nvstor nvstor nvstor.sys 10.6.0.23
Navegación Detenido
del kernel
Controlador de puerto Controlador
Parport parport.sys 10.0.19041.1 Detenido
paralelo del kernel
Controlador
partmgr Controlador de partición partmgr.sys 10.0.19041.1889 Ejecutando
del kernel
Controlador
pci Controlador de bus PCI pci.sys 10.0.19041.1949 Ejecutando
del kernel
Controlador
pciide pciide pciide.sys 10.0.19041.1889 Detenido
del kernel
Controlador
pcmcia pcmcia pcmcia.sys 10.0.19041.1 Detenido
del kernel
Performance Counters for Controlador
pcw pcw.sys 10.0.19041.1826 Ejecutando
Windows Driver del kernel
Controlador
pdc pdc pdc.sys 10.0.19041.1052 Ejecutando
del kernel
Controlador
PEAUTH PEAUTH peauth.sys 10.0.19041.1706 Ejecutando
del kernel
Controlador
percsas2i percsas2i percsas2i.sys 6.805.3.0 Detenido
del kernel
Controlador
percsas3i percsas3i percsas3i.sys 6.604.6.0 Detenido
del kernel
Controlador
PktMon Packet Monitor Driver PktMon.sys 10.0.19041.1706 Detenido
del kernel
Controlador de disco de
Controlador
pmem memoria persistente de pmem.sys 10.0.19041.1949 Detenido
del kernel
Microsoft
Controlador de módulo de Controlador
PNPMEM pnpmem.sys 10.0.19041.1 Detenido
memoria de Microsoft del kernel
Controlador
portcfg portcfg portcfg.sys 10.0.19041.1 Detenido
del kernel
Controlador
PptpMiniport Minipuerto WAN (PPTP) raspptp.sys 10.0.19041.1706 Ejecutando
del kernel
Controlador de Controlador
Processor processr.sys 10.0.19041.1865 Detenido
procesador del kernel
Programador de paquetes Controlador
Psched pacer.sys 10.0.19041.546 Ejecutando
QoS del kernel
Controlador
QWAVEdrv Controlador de QWAVE qwavedrv.sys 10.0.19041.1 Detenido
del kernel
Windows RAM Disk Controlador
Ramdisk ramdisk.sys 10.0.19041.1 Detenido
Driver del kernel
Remote Access Auto Controlador
RasAcd rasacd.sys 10.0.19041.546 Detenido
Connection Driver del kernel
Controlador
RasAgileVpn Minipuerto WAN (IKEv2) AgileVpn.sys 10.0.19041.1949 Ejecutando
del kernel
Controlador
Rasl2tp Minipuerto WAN (L2TP) rasl2tp.sys 10.0.19041.1826 Ejecutando
del kernel
Controlador PPPOE de Controlador
RasPppoe raspppoe.sys 10.0.19041.1 Ejecutando
acceso remoto del kernel
Controlador
RasSstp Minipuerto WAN (SSTP) rassstp.sys 10.0.19041.1889 Ejecutando
del kernel
Controlador
Subsistema de
del sistema
rdbss almacenamiento en búfer rdbss.sys 10.0.19041.1806 Ejecutando
de
redirigido
archivos
Controlador de bus del
Controlador
rdpbus Redirector de dispositivos rdpbus.sys 10.0.19041.1 Ejecutando
del kernel
de Escritorio remoto
Controlador del Redirector
Controlador
RDPDR de dispositivos de rdpdr.sys 10.0.19041.906 Detenido
del kernel
Escritorio remoto
Remote Desktop Video Controlador
RdpVideoMiniport rdpvideominiport.sys 10.0.19041.1949 Ejecutando
Miniport Driver del kernel
Controlador
rdyboost ReadyBoost rdyboost.sys 10.0.19041.1 Ejecutando
del kernel
Controlador
del sistema
ReFS ReFS Detenido
de
archivos
Controlador
del sistema
ReFSv1 ReFSv1 Detenido
de
archivos
Bluetooth Device Controlador
RFCOMM rfcomm.sys 10.0.19041.1 Ejecutando
(RFCOMM Protocol TDI) del kernel
Controlador de proxy de
Controlador
rhproxy concentrador de rhproxy.sys 10.0.19041.1 Detenido
del kernel
recursos
Respondedor de detección
Controlador
rspndr de topologías de nivel de rspndr.sys 10.0.19041.1 Ejecutando
del kernel
vínculo
Controlador
rt640x64 Realtek RT640 NT Driver rt640x64.sys 10.48.315.2021 Ejecutando
del kernel
Realtek PCIE Card Reader Controlador
RTSPER RtsPer.sys 10.0.19042.21344 Ejecutando
- PER del kernel
Controlador
s3cap s3cap vms3cap.sys 10.0.19041.1 Detenido
del kernel
Controlador de bus de
Controlador
sbp2port transporte/protocolo SBP- sbp2port.sys 10.0.19041.1288 Detenido
del kernel
2
Controlador de filtro de
Controlador
scfilter clase PnP de tarjeta scfilter.sys 10.0.19041.844 Detenido
del kernel
inteligente
scmbus scmbus.sys 10.0.19041.1503 Detenido
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 45 of 466
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 46 of 466
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 47 of 466
invitado de Microsoft
Hyper-V Navegación
Controlador del
Controlador
volmgr administrador de volmgr.sys 10.0.19041.1806 Ejecutando
del kernel
volumen
Administrador de Controlador
volmgrx volmgrx.sys 10.0.19041.1 Ejecutando
volúmenes dinámicos del kernel
Controlador de
Controlador
volsnap instantáneas de volsnap.sys 10.0.19041.488 Ejecutando
del kernel
volumen
Controlador
volume Controlador de volumen volume.sys 10.0.19041.1 Ejecutando
del kernel
Bus PCI virtual de Controlador
vpci vpci.sys 10.0.19041.1949 Detenido
Microsoft Hyper-V del kernel
Controlador
vsmraid vsmraid vsmraid.sys 7.0.9600.6352 Detenido
del kernel
Controlador de Windows
de controladora de Controlador
VSTXRAID vstxraid.sys 8.0.9200.8110 Detenido
almacenamiento RAID del kernel
VIA StorX
Virtual Wireless Bus Controlador
vwifibus vwifibus.sys 10.0.19041.1 Ejecutando
Driver del kernel
Controlador
vwififlt Virtual WiFi Filter Driver vwififlt.sys 10.0.19041.1202 Ejecutando
del kernel
Virtual WiFi Miniport Controlador
vwifimp vwifimp.sys 10.0.19041.1 Ejecutando
Service del kernel
Controlador HID de lápiz Controlador
WacomPen wacompen.sys 10.0.19041.1 Detenido
serie Wacom del kernel
Controlador ARP IP de Controlador
wanarp wanarp.sys 10.0.19041.546 Ejecutando
acceso remoto del kernel
Controlador ARP IPv6 de Controlador
wanarpv6 wanarp.sys 10.0.19041.546 Detenido
acceso remoto del kernel
Controlador
Windows Container del sistema
wcifs wcifs.sys 10.0.19041.1348 Ejecutando
Isolation de
archivos
Controlador
Windows Container Name del sistema
wcnfs wcnfs.sys 10.0.19041.1766 Detenido
Virtualization de
archivos
Controlador de arranque
Controlador
WdBoot de Antivirus de Microsoft WdBoot.sys 4.18.23070.1004 Detenido
del kernel
Defender
Servicio de marcos de
Controlador
Wdf01000 controlador en modo Wdf01000.sys 1.31.19041.1566 Ejecutando
del kernel
Kernel
Controlador
Controlador de minifiltro
del sistema
WdFilter de Antivirus de Microsoft WdFilter.sys 4.18.23070.1004 Ejecutando
de
Defender
archivos
Controlador
wdiwifi WDI Driver Framework wdiwifi.sys 10.0.19041.1806 Detenido
del kernel
Controlador
WdmCompanionFilter WdmCompanionFilter WdmCompanionFilter.sys 10.0.19041.1 Detenido
del kernel
Controlador de Sistema
de inspección de red de Controlador
WdNisDrv WdNisDrv.sys 4.18.23070.1004 Ejecutando
Antivirus de Microsoft del kernel
Defender
Plataforma de filtrado de Controlador
WFPLWFS wfplwfs.sys 10.0.19041.2006 Ejecutando
Microsoft Windows del kernel
Controlador
del sistema
WIMMount WIMMount wimmount.sys 10.0.19041.1202 Detenido
de
archivos
Windows Trusted
Controlador
WindowsTrustedRT Execution Environment WindowsTrustedRT.sys 10.0.19041.1 Ejecutando
del kernel
Class Extension
Servicio seguro en tiempo
Controlador
WindowsTrustedRTProxy de ejecución de confianza WindowsTrustedRTProxy.sys 10.0.19041.1 Ejecutando
del kernel
de Microsoft Windows
Controlador
WinMad Servicio WinMad winmad.sys 5.50.14695.0 Detenido
del kernel
Controlador de Windows Controlador
WinNat winnat.sys 10.0.19041.1566 Detenido
NAT del kernel
Controlador
WINUSB Controlador WinUsb WinUSB.SYS 10.0.19041.1 Detenido
del kernel
Controlador
WinVerbs Servicio WinVerbs winverbs.sys 5.50.14695.0 Detenido
del kernel
Microsoft Windows
Controlador
WmiAcpi Management Interface for wmiacpi.sys 10.0.19041.1 Ejecutando
del kernel
ACPI
Controlador
Windows Overlay File del sistema
Wof Ejecutando
System Filter Driver de
archivos
WPD Upper Class Filter Controlador
WpdUpFltr WpdUpFltr.sys 10.0.19041.1 Ejecutando
Driver del kernel
Controlador
ws2ifsl Controlador Winsock IFS ws2ifsl.sys 10.0.19041.1 Detenido
del kernel
User Mode Driver
Controlador
WudfPf Frameworks Platform WudfPf.sys 10.0.19041.1865 Detenido
del kernel
Driver
WUDFRd Windows Driver WUDFRd.sys 10.0.19041.1865 Controlador Ejecutando
Foundation - User-mode del kernel
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 48 of 466
Driver Framework
Reflector Navegación
Servicios
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 49 of 466
Navegación
DisplayEnhancementService Servicio de mejora de visualización svchost.exe 10.0.19041.1806
Servicio de inscripción de administración de
DmEnrollmentSvc svchost.exe 10.0.19041.1806
dispositivos
Servicio de enrutamiento de mensajes de
dmwappushservice inserción del Protocolo de aplicación inalámbrica svchost.exe 10.0.19041.1806
(WAP) de administración de dispositivos
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 50 of 466
Navegación
MessagingService_161831f MessagingService_161831f svchost.exe 10.0.19041.1806
Microsoft Edge Elevation Service
MicrosoftEdgeElevationService elevation_service.exe 115.0.1901.203
(MicrosoftEdgeElevationService)
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 51 of 466
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 52 of 466
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 53 of 466
Navegación
XblAuthManager Administración de autenticación de Xbox Live svchost.exe 10.0.19041.1806
Archivos AX
Archivos DLL
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 54 of 466
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 55 of 466
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 56 of 466
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 57 of 466
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 58 of 466
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 59 of 466
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 60 of 466
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 61 of 466
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 62 of 466
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 63 of 466
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 64 of 466
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 65 of 466
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 66 of 466
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 67 of 466
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 68 of 466
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 69 of 466
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 70 of 466
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 71 of 466
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 72 of 466
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 73 of 466
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 74 of 466
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 75 of 466
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 76 of 466
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 77 of 466
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 78 of 466
windows.internal.ui.shell.windowtabmanager.dll
Navegación
windows.management.workplace.dll 10.0.19041.844 Windows Runtime MdmPolicy DLL
windows.management.workplace.workplacesettings.dll 10.0.19041.746 Windows Runtime WorkplaceSettings DLL
windows.media.audio.dll 10.0.19041.1620 Windows Runtime Window Media Audio server DLL
windows.media.backgroundmediaplayback.dll 10.0.19041.1266 Windows Media BackgroundMediaPlayback DLL
windows.media.devices.dll 10.0.19041.1865 Windows Runtime media device server DLL
windows.media.dll 10.0.19041.1865 Windows Media Runtime DLL
windows.media.editing.dll 10.0.19041.746 Windows Media Editing DLL
windows.media.faceanalysis.dll 10.0.19041.746 Microsoft (R) Face Detection DLL
windows.media.import.dll 10.0.19041.2006 Windows Photo Import API (WinRT/COM)
windows.media.mediacontrol.dll 10.0.19041.746 DLL de servidor de MediaControl de Windows en tiempo de ejecución
windows.media.mixedrealitycapture.dll 10.0.19041.746 "Windows.Media.MixedRealityCapture.DYNLINK"
windows.media.ocr.dll 10.0.19041.746 Windows OCR Runtime DLL
windows.media.playback.backgroundmediaplayer.dll 10.0.19041.1266 Windows Media Playback BackgroundMediaPlayer DLL
windows.media.playback.mediaplayer.dll 10.0.19041.1266 Windows Media Playback MediaPlayer DLL
windows.media.playback.proxystub.dll 10.0.19041.1 BackgroundMediaPlayer Proxy Stub DLL
windows.media.protection.playready.dll 10.0.19041.2006 Microsoft PlayReady Client Framework Dll
windows.media.speech.dll 10.0.19041.1806 Windows Speech Runtime DLL
windows.media.streaming.dll 10.0.19041.1566 DLNA DLL
windows.media.streaming.ps.dll 10.0.19041.1 DLNA Proxy-Stub DLL
windows.mirage.dll 10.0.19041.1741 Windows Perception API
windows.mirage.internal.dll 10.0.19041.1151 "Windows.Mirage.Internal.DYNLINK"
windows.networking.backgroundtransfer.backgroundmanagerpolicy.dll 10.0.19041.746 Background Transfer Background Manager Policy DLL
windows.networking.backgroundtransfer.dll 10.0.19041.746 Windows.Networking.BackgroundTransfer DLL
windows.networking.connectivity.dll 10.0.19041.746 Windows Networking Connectivity Runtime DLL
windows.networking.dll 10.0.19041.746 DLL de redes de Windows
windows.networking.hostname.dll 10.0.19041.746 Windows.Networking.HostName DLL
windows.networking.networkoperators.esim.dll 10.0.19041.746 ESIM API
windows.networking.networkoperators.hotspotauthentication.dll 10.0.19041.746 Microsoft Windows Hotspot Authentication API
windows.networking.proximity.dll 10.0.19041.746 Windows Runtime Proximity API DLL
windows.networking.servicediscovery.dnssd.dll 10.0.19041.746 Windows.Networking.ServiceDiscovery.Dnssd DLL
windows.networking.sockets.pushenabledapplication.dll 10.0.19041.746 Windows.Networking.Sockets.PushEnabledApplication DLL
windows.networking.vpn.dll 10.0.19041.1806 Windows.Networking.Vpn DLL
windows.networking.xboxlive.proxystub.dll 10.0.19041.1 Windows.Networking.XboxLive Proxy Stub Dll
windows.payments.dll 10.0.19041.1806 Payment Windows Runtime DLL
windows.perception.stub.dll 10.0.19041.1023 Código auxiliar de API de percepción de Windows
windows.security.authentication.identity.provider.dll 10.0.19041.746 Secondary Factor Authentication Windows Runtime DLL
windows.security.authentication.onlineid.dll 10.0.19041.746 Windows Runtime OnlineId Authentication DLL
windows.security.authentication.web.core.dll 10.0.19041.1566 API de WinRT de agente de token
windows.security.credentials.ui.credentialpicker.dll 10.0.19041.746 WinRT Credential Picker Server
windows.security.credentials.ui.userconsentverifier.dll 10.0.19041.1202 API de comprobación de consentimiento del usuario de Windows
windows.security.integrity.dll 10.0.19041.2006 Windows Lockdown API Server
windows.services.targetedcontent.dll 10.0.19041.1387 Windows.Services.TargetedContent
windows.shell.servicehostbuilder.dll 10.0.19041.746 Windows.Shell.ServiceHostBuilder
windows.staterepository.dll 10.0.19041.1466 Servidor de API para StateRepository de Windows
windows.staterepositorybroker.dll 10.0.19041.1466 Windows StateRepository API Broker
windows.staterepositoryclient.dll 10.0.19041.1466 Windows StateRepository Client API
windows.staterepositorycore.dll 10.0.19041.1466 Windows StateRepository API Core
windows.staterepositoryps.dll 10.0.19041.1466 Windows StateRepository Proxy/Stub Server
windows.staterepositoryupgrade.dll 10.0.19041.1466 Windows StateRepository Upgrade
windows.storage.applicationdata.dll 10.0.19041.1865 Windows Application Data API Server
windows.storage.compression.dll 5.0.1.1 WinRT Compression
windows.storage.dll 10.0.19041.1949 API de almacenamiento de Microsoft WinRT
windows.storage.onecore.dll 10.0.19041.1237 Microsoft Windows.Storage OneCore API
windows.storage.search.dll 10.0.19041.746 Windows.Storage.Search
windows.system.diagnostics.dll 10.0.19041.746 Windows System Diagnostics DLL
windows.system.diagnostics.telemetry.platformtelemetryclient.dll 10.0.19041.746 Platform Telemetry Client DLL
windows.system.diagnostics.tracereporting.platformdiagnosticactions.dll 10.0.19041.746 Platform Diagnostic Actions DLL
windows.system.launcher.dll 10.0.19041.1503 Windows.System.Launcher
windows.system.profile.hardwareid.dll 10.0.19041.746 DLL de id. de hardware de perfil de sistema Windows
windows.system.profile.platformdiagnosticsandusagedatasettings.dll 10.0.19041.1081 Platform Diagnostics and Usage Settings DLL
windows.system.profile.retailinfo.dll 10.0.19041.746 Windows.System.Profile.RetailInfo Runtime DLL
windows.system.profile.systemid.dll 10.0.19041.746 Windows System Profile SystemId DLL
windows.system.profile.systemmanufacturers.dll 10.0.19041.1865 Windows.System.Profile.SystemManufacturers
windows.system.remotedesktop.dll 10.0.19041.746 Windows System RemoteDesktop Runtime DLL
windows.system.systemmanagement.dll 10.0.19041.746 Windows Runtime SystemManagement DLL
windows.system.userdeviceassociation.dll 10.0.19041.746 Windows System User Device Association API
windows.system.userprofile.diagnosticssettings.dll 10.0.19041.746 Diagnostics Settings DLL
windows.ui.accessibility.dll 10.0.19041.746 Windows.UI.Accessibility System DLL
windows.ui.core.textinput.dll 10.0.19041.1741 Windows.UI.Core.TextInput dll
windows.ui.cred.dll 10.0.19041.746 Credential Prompt User Experience
windows.ui.creddialogcontroller.dll 10.0.19041.964 Controlador de diálogos de experiencia de usuario de credenciales
windows.ui.dll 10.0.19041.746 Windows Runtime UI Foundation DLL
windows.ui.fileexplorer.dll 10.0.19041.1566 Windows.UI.FileExplorer
windows.ui.immersive.dll 10.0.19041.1865 WINDOWS.UI.IMMERSIVE
windows.ui.input.inking.analysis.dll 1.0.1907.3002
windows.ui.input.inking.dll 10.0.19041.964 WinRT Windows Inking DLL
windows.ui.search.dll 10.0.19041.1806 Windows.UI.Search
windows.ui.xaml.controls.dll 10.0.19041.1023 Windows.UI.Xaml.Controls
windows.ui.xaml.dll 10.0.19041.1949 Dll Windows.UI.Xaml
windows.ui.xaml.inkcontrols.dll 10.0.19041.1023 API UI XAML InkControls de Windows
windows.ui.xaml.maps.dll 10.0.19041.1023 API UI XAML Mapas de Windows
windows.ui.xaml.phone.dll 10.0.19041.1023 Windows UI XAML Phone API
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 79 of 466
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 80 of 466
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 81 of 466
Certificados
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 82 of 466
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 83 of 466
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 84 of 466
Navegación
Propiedades del certificado:
Versión V3
Algoritmo de firma SHA1 RSA (1.2.840.113549.1.1.5)
Número de serie 4A C7 91 59 C9 6A 75 A1 B1 46 42 90 56 E0 3B 08
Validez 9/11/2006 - 9/11/2031
MD5 Hash 79E4A9840D7D3A96D7C04FE2434C892E
SHA1 Hash A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 85 of 466
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 86 of 466
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 87 of 466
Número de serie 40 DF EC 63 F6 3E D1 11 88 3C 3C 8B 00 C1 00
Navegación
Validez 10/1/1997 - 31/12/2020
MD5 Hash 2A954ECA79B2874573D92D90BAF99FB6
SHA1 Hash A43489159A520F0D93D032CCAF37E7FE20A8B419
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 88 of 466
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 89 of 466
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 90 of 466
Navegación
[ Root Certificates / Starfield Class 2 Certification Authority ]
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 91 of 466
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 92 of 466
Tiempo de funcionamiento
Sesión actual:
Hora del último apagado 12/8/2023 16:36:30
Hora del último arranque 13/8/2023 19:41:59
Último tiempo de inactividad 97529 seg (1 días, 3 horas, 5 min, 29 seg)
Hora actual 13/8/2023 20:42:32
Tiempo de funcionamiento 3633 seg (0 días, 1 horas, 0 min, 33 seg)
Información:
Información Las estadísticas anteriores están basadas en las entradas de los registros de sucesos del sistema
Compartir
Seguridad de cuentas
Inicio de sesión
Usuarios
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 93 of 466
[ Administrador ] Navegación
[ DefaultAccount ]
[ Invitado ]
[ USUARIO ]
[ WDAGUtilityAccount ]
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 94 of 466
Grupos locales
[ Administradores de Hyper-V ]
[ Administradores ]
[ IIS_IUSRS ]
[ Invitados ]
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 95 of 466
Los miembros de este grupo pueden acceder a los recursos de WMI mediante protocolos de administración (como WS-Management a
través del servicio Administración remota de Windows). Esto se aplica solo a losNavegación
espacios de nombres de WMI que conceden acceso
al usuario.
[ Usuarios ]
Grupos globales
[ Ninguno ]
Vídeo de Windows
Controladores instalados:
igdumdim64 20.19.15.5171
igd10iumd64 20.19.15.5171
igd10iumd64 20.19.15.5171
igd12umd64 20.19.15.5171
igdumdim32 20.19.15.5171
igd10iumd32 20.19.15.5171
igd10iumd32 20.19.15.5171
igd12umd32 20.19.15.5171
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 96 of 466
Controladores instalados:
igdumdim64 20.19.15.5171
igd10iumd64 20.19.15.5171
igd10iumd64 20.19.15.5171
igd12umd64 20.19.15.5171
igdumdim32 20.19.15.5171
igd10iumd32 20.19.15.5171
igd10iumd32 20.19.15.5171
igd12umd32 20.19.15.5171
Controladores instalados:
igdumdim64 20.19.15.5171
igd10iumd64 20.19.15.5171
igd10iumd64 20.19.15.5171
igd12umd64 20.19.15.5171
igdumdim32 20.19.15.5171
igd10iumd32 20.19.15.5171
igd10iumd32 20.19.15.5171
igd12umd32 20.19.15.5171
GPU
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 97 of 466
Tamaño de la memoria 2 GB
Navegación
Reloj de la GPU 135 MHz
Reloj RAMDAC 400 MHz
Pixel Pipelines 16
Unidad de mapeo de texturas 64
Unified Shaders 768 (v6.1)
Compatibilidad del hardware con DirectX DirectX v11
Versión de WDDM WDDM 2.3
Arquitectura:
Arquitectura nVIDIA Kepler
Multiprocesadores de streaming (SMX) 4
Caché L1 / Local Data Share 64 kB per multiprocessor
Caché de texturas L1 48 kB per multiprocessor
Caché L2 256 kB
Utilización:
GPU 0%
Controladora de memoria 0%
Video Engine 0%
Bus Interface 0%
Memoria dedicada 1 MB
Memoria dinámica 0 MB
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 98 of 466
nv-022440 00000004
Navegación
nv-022540 00000000
nv-022544 00000000
nv-022548 00000001
nv-022550 00000000
nv-022554 00000004
nv-088000 11E310DE
nv-08A000 0E0B10DE
nv-100714 00000405
nv-101000 CF408C9E
nv-10100C 8E013000
nv-10F290 0410190C
nv-10F294 2C410289
nv-10F590 0B000304
nv-120070 00000001
nv-120074 00000002
nv-120078 00000003
nv-122634 00000041
nv-17E924 E3000EFF
nv-300000 EBBFAA55
nv-310000 AA1CA4EC
nv-700000 10A0D030
nv-7E0000 00612008
Arquitectura:
Arquitectura Intel Gen7.5
Execution Units (EU) 20
Caché de instrucciones L1 32 kB
Caché de texturas L1 4 kB
Caché de texturas L2 24 kB
Caché L3 256 kB
Unified Return Buffer 256 kB
Utilización:
Memoria dedicada 0 MB
Memoria dinámica 359 MB
Monitor
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 99 of 466
Escritorio
Efectos de escritorio:
Animación de cuadros combinados Activado
Dark Mode Activado
Efecto de sombra decreciente Activado
Efecto de menú plano Activado
Suavizado de fuentes Activado
ClearType Activado
Arrastre completo de ventanas Activado
Degradado en barras de título Activado
Ocultar teclas de acceso en los menús Activado
Efecto de mostrar rastro del puntero del mouse Activado
Envoltura de títulos de iconos Activado
Desplazamiento suave de cuadros de lista Activado
Animación de menús Activado
Efecto de atenuación de menús Activado
Animación al minimizar/restaurar Activado
Sombra del cursor del mouse Desactivado
Efecto de atenuación de selección Activado
Característica de accesibilidad ShowSounds Desactivado
Botones pequeños en la barra de tareas Desactivado
Notificaciones en botones de la barra de tareas Activado
Barra de tareas bloqueada Sí
Animación de información en pantalla Activado
Atenuación de información en pantalla Activado
Windows Aero Activado
Extensión Plus! para Windows Desactivado
Múltiples monitores
Modos de vídeo
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 100 of 466
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 101 of 466
OpenGL
Propiedades de OpenGL:
Vendedor NVIDIA Corporation
Renderer GeForce GTX 760M/PCIe/SSE2
Versión 4.6.0 NVIDIA 391.35
Versión del lenguaje Shading 4.60 NVIDIA
OpenGL DLL 10.0.19041.1806(WinBuild.160101.0800)
C:\Windows\System32
Controlador ICD \DriverStore\FileRepository\nvami.inf_amd64_1474122a0ce2f241\nvoglv64.dll
(23.21.13.9135 - nVIDIA ForceWare 391.35)
Multitexture Texture Units 4
Occlusion Query Counter Bits 32
Sub-Pixel Precision 8 bits
Max Viewport Size 16384 x 16384
Max Cube Map Texture Size 16384 x 16384
Max Rectangle Texture Size 16384 x 16384
Max 3D Texture Size 2048 x 2048 x 2048
Max Anisotropy 16
Max Clipping Planes 8
Max Display-List Nesting Level 64
Max Draw Buffers 8
Max Evaluator Order 8
Max General Register Combiners 8
Max Light Sources 8
Max Pixel Map Table Size 65536
Min / Max Program Texel Offset -8 / 7
Max Texture Array Layers 2048
Max Texture LOD Bias 15
Max Vertex Array Range Element Size 1048575
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 102 of 466
Transform Feedback:
Max Interleaved Components 128
Max Separate Attributes 4
Max Separate Components 4
Framebuffer Object:
Max Color Attachments 8
Max Render Buffer Size 16384 x 16384
Imaging:
Max Color Matrix Stack Depth 2
Max Convolution Width / Height 11 / 11
Vertex Shader:
Max Uniform Vertex Components 4096
Max Varying Floats 124
Max Vertex Texture Image Units 32
Max Combined Texture Image Units 192
Geometry Shader:
Max Geometry Texture Units 32
Max Varying Components 124
Max Geometry Varying Components 124
Max Vertex Varying Components 124
Max Geometry Uniform Components 2048
Max Geometry Output Vertices 1024
Max Geometry Total Output Components 1024
Fragment Shader:
Max Uniform Fragment Components 4096
Vertex Program:
Max Local Parameters 1024
Max Environment Parameters 256
Max Program Matrices 8
Max Program Matrix Stack Depth 1
Max Tracking Matrices 8
Max Tracking Matrix Stack Depth 1
Max Vertex Attributes 16
Max Instructions 65536
Max Native Instructions 65536
Max Temporaries 4096
Max Native Temporaries 4096
Max Parameters 1024
Max Native Parameters 1024
Max Attributes 16
Max Native Attributes 16
Max Address Registers 2
Max Native Address Registers 2
Fragment Program:
Max Local Parameters 1024
Max Environment Parameters 256
Max Texture Coordinates 8
Max Texture Image Units 32
Max Instructions 65536
Max Native Instructions 65536
Max Temporaries 4096
Max Native Temporaries 4096
Max Parameters 1024
Max Native Parameters 1024
Max Attributes 16
Max Native Attributes 16
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 103 of 466
Extensiones OpenGL:
Extensiones en Total / Admitidas 1082 / 369
GL_3DFX_multisample Incompatible
GL_3DFX_tbuffer Incompatible
GL_3DFX_texture_compression_FXT1 Incompatible
GL_3DL_direct_texture_access2 Incompatible
GL_3Dlabs_multisample_transparency_id Incompatible
GL_3Dlabs_multisample_transparency_range Incompatible
GL_AMD_blend_minmax_factor Incompatible
GL_AMD_compressed_3DC_texture Incompatible
GL_AMD_compressed_ATC_texture Incompatible
GL_AMD_conservative_depth Incompatible
GL_AMD_debug_output Incompatible
GL_AMD_depth_clamp_separate Incompatible
GL_AMD_draw_buffers_blend Incompatible
GL_AMD_framebuffer_sample_positions Incompatible
GL_AMD_gcn_shader Incompatible
GL_AMD_gpu_shader_half_float Incompatible
GL_AMD_gpu_shader_half_float_fetch Incompatible
GL_AMD_gpu_shader_half_float2 Incompatible
GL_AMD_gpu_shader_int16 Incompatible
GL_AMD_gpu_shader_int64 Incompatible
GL_AMD_interleaved_elements Incompatible
GL_AMD_multi_draw_indirect Compatible
GL_AMD_name_gen_delete Incompatible
GL_AMD_occlusion_query_event Incompatible
GL_AMD_performance_monitor Incompatible
GL_AMD_pinned_memory Incompatible
GL_AMD_program_binary_Z400 Incompatible
GL_AMD_query_buffer_object Incompatible
GL_AMD_sample_positions Incompatible
GL_AMD_seamless_cubemap_per_texture Compatible
GL_AMD_shader_atomic_counter_ops Incompatible
GL_AMD_shader_stencil_export Incompatible
GL_AMD_shader_stencil_value_export Incompatible
GL_AMD_shader_trace Incompatible
GL_AMD_shader_trinary_minmax Incompatible
GL_AMD_sparse_texture Incompatible
GL_AMD_sparse_texture_pool Incompatible
GL_AMD_stencil_operation_extended Incompatible
GL_AMD_texture_compression_dxt6 Incompatible
GL_AMD_texture_compression_dxt7 Incompatible
GL_AMD_texture_cube_map_array Incompatible
GL_AMD_texture_texture4 Incompatible
GL_AMD_texture_tile_pool Incompatible
GL_AMD_transform_feedback3_lines_triangles Incompatible
GL_AMD_transform_feedback4 Incompatible
GL_AMD_vertex_shader_layer Incompatible
GL_AMD_vertex_shader_tessellator Incompatible
GL_AMD_vertex_shader_viewport_index Incompatible
GL_AMDX_debug_output Incompatible
GL_AMDX_name_gen_delete Incompatible
GL_AMDX_random_access_target Incompatible
GL_AMDX_vertex_shader_tessellator Incompatible
GL_ANDROID_extension_pack_es31a Incompatible
GL_ANGLE_depth_texture Incompatible
GL_ANGLE_framebuffer_blit Incompatible
GL_ANGLE_framebuffer_multisample Incompatible
GL_ANGLE_instanced_arrays Incompatible
GL_ANGLE_pack_reverse_row_order Incompatible
GL_ANGLE_program_binary Incompatible
GL_ANGLE_texture_compression_dxt1 Incompatible
GL_ANGLE_texture_compression_dxt3 Incompatible
GL_ANGLE_texture_compression_dxt5 Incompatible
GL_ANGLE_texture_usage Incompatible
GL_ANGLE_translated_shader_source Incompatible
GL_APPLE_aux_depth_stencil Incompatible
GL_APPLE_client_storage Incompatible
GL_APPLE_copy_texture_levels Incompatible
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 104 of 466
GL_APPLE_element_array Incompatible
Navegación
GL_APPLE_fence Incompatible
GL_APPLE_float_pixels Incompatible
GL_APPLE_flush_buffer_range Incompatible
GL_APPLE_flush_render Incompatible
GL_APPLE_framebuffer_multisample Incompatible
GL_APPLE_object_purgeable Incompatible
GL_APPLE_packed_pixel Incompatible
GL_APPLE_packed_pixels Incompatible
GL_APPLE_pixel_buffer Incompatible
GL_APPLE_rgb_422 Incompatible
GL_APPLE_row_bytes Incompatible
GL_APPLE_specular_vector Incompatible
GL_APPLE_sync Incompatible
GL_APPLE_texture_2D_limited_npot Incompatible
GL_APPLE_texture_format_BGRA8888 Incompatible
GL_APPLE_texture_max_level Incompatible
GL_APPLE_texture_range Incompatible
GL_APPLE_transform_hint Incompatible
GL_APPLE_vertex_array_object Incompatible
GL_APPLE_vertex_array_range Incompatible
GL_APPLE_vertex_point_size Incompatible
GL_APPLE_vertex_program_evaluators Incompatible
GL_APPLE_ycbcr_422 Incompatible
GL_ARB_arrays_of_arrays Compatible
GL_ARB_base_instance Compatible
GL_ARB_bindless_texture Compatible
GL_ARB_blend_func_extended Compatible
GL_ARB_buffer_storage Compatible
GL_ARB_cl_event Incompatible
GL_ARB_clear_buffer_object Compatible
GL_ARB_clear_texture Compatible
GL_ARB_clip_control Compatible
GL_ARB_color_buffer_float Compatible
GL_ARB_compatibility Compatible
GL_ARB_compressed_texture_pixel_storage Compatible
GL_ARB_compute_shader Compatible
GL_ARB_compute_variable_group_size Compatible
GL_ARB_conditional_render_inverted Compatible
GL_ARB_conservative_depth Compatible
GL_ARB_context_flush_control Incompatible
GL_ARB_copy_buffer Compatible
GL_ARB_copy_image Compatible
GL_ARB_cull_distance Compatible
GL_ARB_debug_group Incompatible
GL_ARB_debug_label Incompatible
GL_ARB_debug_output Compatible
GL_ARB_debug_output2 Incompatible
GL_ARB_depth_buffer_float Compatible
GL_ARB_depth_clamp Compatible
GL_ARB_depth_texture Compatible
GL_ARB_derivative_control Compatible
GL_ARB_direct_state_access Compatible
GL_ARB_draw_buffers Compatible
GL_ARB_draw_buffers_blend Compatible
GL_ARB_draw_elements_base_vertex Compatible
GL_ARB_draw_indirect Compatible
GL_ARB_draw_instanced Compatible
GL_ARB_enhanced_layouts Compatible
GL_ARB_ES2_compatibility Compatible
GL_ARB_ES3_1_compatibility Compatible
GL_ARB_ES3_2_compatibility Compatible
GL_ARB_ES3_compatibility Compatible
GL_ARB_explicit_attrib_location Compatible
GL_ARB_explicit_uniform_location Compatible
GL_ARB_fragment_coord_conventions Compatible
GL_ARB_fragment_layer_viewport Compatible
GL_ARB_fragment_program Compatible
GL_ARB_fragment_program_shadow Compatible
GL_ARB_fragment_shader Compatible
GL_ARB_fragment_shader_interlock Incompatible
GL_ARB_framebuffer_no_attachments Compatible
GL_ARB_framebuffer_object Compatible
GL_ARB_framebuffer_sRGB Compatible
GL_ARB_geometry_shader4 Compatible
GL_ARB_get_program_binary Compatible
GL_ARB_get_texture_sub_image Compatible
GL_ARB_gl_spirv Compatible
GL_ARB_gpu_shader_fp64 Compatible
GL_ARB_gpu_shader_int64 Compatible
GL_ARB_gpu_shader5 Compatible
GL_ARB_half_float_pixel Compatible
GL_ARB_half_float_vertex Compatible
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 105 of 466
GL_ARB_imaging Compatible
Navegación
GL_ARB_indirect_parameters Compatible
GL_ARB_instanced_arrays Compatible
GL_ARB_internalformat_query Compatible
GL_ARB_internalformat_query2 Compatible
GL_ARB_invalidate_subdata Compatible
GL_ARB_make_current_read Incompatible
GL_ARB_map_buffer_alignment Compatible
GL_ARB_map_buffer_range Compatible
GL_ARB_matrix_palette Incompatible
GL_ARB_multi_bind Compatible
GL_ARB_multi_draw_indirect Compatible
GL_ARB_multisample Compatible
GL_ARB_multitexture Compatible
GL_ARB_occlusion_query Compatible
GL_ARB_occlusion_query2 Compatible
GL_ARB_parallel_shader_compile Compatible
GL_ARB_pipeline_statistics_query Compatible
GL_ARB_pixel_buffer_object Compatible
GL_ARB_point_parameters Compatible
GL_ARB_point_sprite Compatible
GL_ARB_polygon_offset_clamp Compatible
GL_ARB_post_depth_coverage Incompatible
GL_ARB_program_interface_query Compatible
GL_ARB_provoking_vertex Compatible
GL_ARB_query_buffer_object Compatible
GL_ARB_robust_buffer_access_behavior Compatible
GL_ARB_robustness Compatible
GL_ARB_robustness_isolation Incompatible
GL_ARB_sample_locations Incompatible
GL_ARB_sample_shading Compatible
GL_ARB_sampler_objects Compatible
GL_ARB_seamless_cube_map Compatible
GL_ARB_seamless_cubemap_per_texture Compatible
GL_ARB_separate_shader_objects Compatible
GL_ARB_shader_atomic_counter_ops Compatible
GL_ARB_shader_atomic_counters Compatible
GL_ARB_shader_ballot Compatible
GL_ARB_shader_bit_encoding Compatible
GL_ARB_shader_clock Compatible
GL_ARB_shader_draw_parameters Compatible
GL_ARB_shader_group_vote Compatible
GL_ARB_shader_image_load_store Compatible
GL_ARB_shader_image_size Compatible
GL_ARB_shader_objects Compatible
GL_ARB_shader_precision Compatible
GL_ARB_shader_stencil_export Incompatible
GL_ARB_shader_storage_buffer_object Compatible
GL_ARB_shader_subroutine Compatible
GL_ARB_shader_texture_image_samples Compatible
GL_ARB_shader_texture_lod Compatible
GL_ARB_shader_viewport_layer_array Incompatible
GL_ARB_shading_language_100 Compatible
GL_ARB_shading_language_120 Incompatible
GL_ARB_shading_language_420pack Compatible
GL_ARB_shading_language_include Compatible
GL_ARB_shading_language_packing Compatible
GL_ARB_shadow Compatible
GL_ARB_shadow_ambient Incompatible
GL_ARB_sparse_buffer Compatible
GL_ARB_sparse_texture Compatible
GL_ARB_sparse_texture_clamp Incompatible
GL_ARB_sparse_texture2 Incompatible
GL_ARB_spirv_extensions Compatible
GL_ARB_stencil_texturing Compatible
GL_ARB_swap_buffers Incompatible
GL_ARB_sync Compatible
GL_ARB_tessellation_shader Compatible
GL_ARB_texture_barrier Compatible
GL_ARB_texture_border_clamp Compatible
GL_ARB_texture_buffer_object Compatible
GL_ARB_texture_buffer_object_rgb32 Compatible
GL_ARB_texture_buffer_range Compatible
GL_ARB_texture_compression Compatible
GL_ARB_texture_compression_bptc Compatible
GL_ARB_texture_compression_rgtc Compatible
GL_ARB_texture_compression_rtgc Incompatible
GL_ARB_texture_cube_map Compatible
GL_ARB_texture_cube_map_array Compatible
GL_ARB_texture_env_add Compatible
GL_ARB_texture_env_combine Compatible
GL_ARB_texture_env_crossbar Compatible
GL_ARB_texture_env_dot3 Compatible
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 106 of 466
GL_ARB_texture_filter_anisotropic Compatible
Navegación
GL_ARB_texture_filter_minmax Incompatible
GL_ARB_texture_float Compatible
GL_ARB_texture_gather Compatible
GL_ARB_texture_mirror_clamp_to_edge Compatible
GL_ARB_texture_mirrored_repeat Compatible
GL_ARB_texture_multisample Compatible
GL_ARB_texture_non_power_of_two Compatible
GL_ARB_texture_query_levels Compatible
GL_ARB_texture_query_lod Compatible
GL_ARB_texture_rectangle Compatible
GL_ARB_texture_rg Compatible
GL_ARB_texture_rgb10_a2ui Compatible
GL_ARB_texture_snorm Incompatible
GL_ARB_texture_stencil8 Compatible
GL_ARB_texture_storage Compatible
GL_ARB_texture_storage_multisample Compatible
GL_ARB_texture_swizzle Compatible
GL_ARB_texture_view Compatible
GL_ARB_timer_query Compatible
GL_ARB_transform_feedback_instanced Compatible
GL_ARB_transform_feedback_overflow_query Compatible
GL_ARB_transform_feedback2 Compatible
GL_ARB_transform_feedback3 Compatible
GL_ARB_transpose_matrix Compatible
GL_ARB_uber_buffers Incompatible
GL_ARB_uber_mem_image Incompatible
GL_ARB_uber_vertex_array Incompatible
GL_ARB_uniform_buffer_object Compatible
GL_ARB_vertex_array_bgra Compatible
GL_ARB_vertex_array_object Compatible
GL_ARB_vertex_attrib_64bit Compatible
GL_ARB_vertex_attrib_binding Compatible
GL_ARB_vertex_blend Incompatible
GL_ARB_vertex_buffer_object Compatible
GL_ARB_vertex_program Compatible
GL_ARB_vertex_shader Compatible
GL_ARB_vertex_type_10f_11f_11f_rev Compatible
GL_ARB_vertex_type_2_10_10_10_rev Compatible
GL_ARB_viewport_array Compatible
GL_ARB_window_pos Compatible
GL_ARM_mali_program_binary Incompatible
GL_ARM_mali_shader_binary Incompatible
GL_ARM_rgba8 Incompatible
GL_ARM_shader_framebuffer_fetch Incompatible
GL_ARM_shader_framebuffer_fetch_depth_stencil Incompatible
GL_ATI_array_rev_comps_in_4_bytes Incompatible
GL_ATI_blend_equation_separate Incompatible
GL_ATI_blend_weighted_minmax Incompatible
GL_ATI_draw_buffers Compatible
GL_ATI_element_array Incompatible
GL_ATI_envmap_bumpmap Incompatible
GL_ATI_fragment_shader Incompatible
GL_ATI_lock_texture Incompatible
GL_ATI_map_object_buffer Incompatible
GL_ATI_meminfo Incompatible
GL_ATI_pixel_format_float Incompatible
GL_ATI_pn_triangles Incompatible
GL_ATI_point_cull_mode Incompatible
GL_ATI_separate_stencil Incompatible
GL_ATI_shader_texture_lod Incompatible
GL_ATI_text_fragment_shader Incompatible
GL_ATI_texture_compression_3dc Incompatible
GL_ATI_texture_env_combine3 Incompatible
GL_ATI_texture_float Compatible
GL_ATI_texture_mirror_once Compatible
GL_ATI_vertex_array_object Incompatible
GL_ATI_vertex_attrib_array_object Incompatible
GL_ATI_vertex_blend Incompatible
GL_ATI_vertex_shader Incompatible
GL_ATI_vertex_streams Incompatible
GL_ATIX_pn_triangles Incompatible
GL_ATIX_texture_env_combine3 Incompatible
GL_ATIX_texture_env_route Incompatible
GL_ATIX_vertex_shader_output_point_size Incompatible
GL_Autodesk_facet_normal Incompatible
GL_Autodesk_valid_back_buffer_hint Incompatible
GL_CR_bounding_box Incompatible
GL_CR_cursor_position Incompatible
GL_CR_head_spu_name Incompatible
GL_CR_performance_info Incompatible
GL_CR_print_string Incompatible
GL_CR_readback_barrier_size Incompatible
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 107 of 466
GL_CR_saveframe Incompatible
Navegación
GL_CR_server_id_sharing Incompatible
GL_CR_server_matrix Incompatible
GL_CR_state_parameter Incompatible
GL_CR_synchronization Incompatible
GL_CR_tile_info Incompatible
GL_CR_tilesort_info Incompatible
GL_CR_window_size Incompatible
GL_DIMD_YUV Incompatible
GL_DMP_shader_binary Incompatible
GL_EXT_422_pixels Incompatible
GL_EXT_abgr Compatible
GL_EXT_bgra Compatible
GL_EXT_bindable_uniform Compatible
GL_EXT_blend_color Compatible
GL_EXT_blend_equation_separate Compatible
GL_EXT_blend_func_separate Compatible
GL_EXT_blend_logic_op Incompatible
GL_EXT_blend_minmax Compatible
GL_EXT_blend_subtract Compatible
GL_EXT_Cg_shader Compatible
GL_EXT_clip_control Incompatible
GL_EXT_clip_volume_hint Incompatible
GL_EXT_cmyka Incompatible
GL_EXT_color_buffer_float Incompatible
GL_EXT_color_buffer_half_float Incompatible
GL_EXT_color_matrix Incompatible
GL_EXT_color_subtable Incompatible
GL_EXT_color_table Incompatible
GL_EXT_compiled_vertex_array Compatible
GL_EXT_convolution Incompatible
GL_EXT_convolution_border_modes Incompatible
GL_EXT_coordinate_frame Incompatible
GL_EXT_copy_buffer Incompatible
GL_EXT_copy_image Incompatible
GL_EXT_copy_texture Incompatible
GL_EXT_cull_vertex Incompatible
GL_EXT_debug_label Incompatible
GL_EXT_debug_marker Incompatible
GL_EXT_depth_bounds_test Compatible
GL_EXT_depth_buffer_float Incompatible
GL_EXT_direct_state_access Compatible
GL_EXT_discard_framebuffer Incompatible
GL_EXT_disjoint_timer_query Incompatible
GL_EXT_draw_buffers Incompatible
GL_EXT_draw_buffers_indexed Incompatible
GL_EXT_draw_buffers2 Compatible
GL_EXT_draw_indirect Incompatible
GL_EXT_draw_instanced Compatible
GL_EXT_draw_range_elements Compatible
GL_EXT_fog_coord Compatible
GL_EXT_fog_function Incompatible
GL_EXT_fog_offset Incompatible
GL_EXT_frag_depth Incompatible
GL_EXT_fragment_lighting Incompatible
GL_EXT_framebuffer_blit Compatible
GL_EXT_framebuffer_multisample Compatible
GL_EXT_framebuffer_multisample_blit_scaled Compatible
GL_EXT_framebuffer_object Compatible
GL_EXT_framebuffer_sRGB Compatible
GL_EXT_generate_mipmap Incompatible
GL_EXT_geometry_point_size Incompatible
GL_EXT_geometry_shader Incompatible
GL_EXT_geometry_shader4 Compatible
GL_EXT_glx_stereo_tree Incompatible
GL_EXT_gpu_program_parameters Compatible
GL_EXT_gpu_shader_fp64 Incompatible
GL_EXT_gpu_shader4 Compatible
GL_EXT_gpu_shader5 Incompatible
GL_EXT_histogram Incompatible
GL_EXT_import_sync_object Compatible
GL_EXT_index_array_formats Incompatible
GL_EXT_index_func Incompatible
GL_EXT_index_material Incompatible
GL_EXT_index_texture Incompatible
GL_EXT_instanced_arrays Incompatible
GL_EXT_interlace Incompatible
GL_EXT_light_texture Incompatible
GL_EXT_map_buffer_range Incompatible
GL_EXT_memory_object Compatible
GL_EXT_memory_object_win32 Compatible
GL_EXT_misc_attribute Incompatible
GL_EXT_multi_draw_arrays Compatible
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 108 of 466
GL_EXT_multisample Incompatible
Navegación
GL_EXT_multisampled_render_to_texture Incompatible
GL_EXT_multiview_draw_buffers Incompatible
GL_EXT_occlusion_query_boolean Incompatible
GL_EXT_packed_depth_stencil Compatible
GL_EXT_packed_float Compatible
GL_EXT_packed_pixels Compatible
GL_EXT_packed_pixels_12 Incompatible
GL_EXT_paletted_texture Incompatible
GL_EXT_pixel_buffer_object Compatible
GL_EXT_pixel_format Incompatible
GL_EXT_pixel_texture Incompatible
GL_EXT_pixel_transform Incompatible
GL_EXT_pixel_transform_color_table Incompatible
GL_EXT_point_parameters Compatible
GL_EXT_polygon_offset Incompatible
GL_EXT_polygon_offset_clamp Compatible
GL_EXT_post_depth_coverage Incompatible
GL_EXT_primitive_bounding_box Incompatible
GL_EXT_provoking_vertex Compatible
GL_EXT_pvrtc_sRGB Incompatible
GL_EXT_raster_multisample Incompatible
GL_EXT_read_format_bgra Incompatible
GL_EXT_rescale_normal Compatible
GL_EXT_robustness Incompatible
GL_EXT_scene_marker Incompatible
GL_EXT_secondary_color Compatible
GL_EXT_semaphore Compatible
GL_EXT_semaphore_win32 Compatible
GL_EXT_separate_shader_objects Compatible
GL_EXT_separate_specular_color Compatible
GL_EXT_shader_atomic_counters Incompatible
GL_EXT_shader_framebuffer_fetch Incompatible
GL_EXT_shader_image_load_formatted Incompatible
GL_EXT_shader_image_load_store Compatible
GL_EXT_shader_implicit_conversions Incompatible
GL_EXT_shader_integer_mix Compatible
GL_EXT_shader_io_blocks Incompatible
GL_EXT_shader_pixel_local_storage Incompatible
GL_EXT_shader_subroutine Incompatible
GL_EXT_shader_texture_lod Incompatible
GL_EXT_shadow_funcs Compatible
GL_EXT_shadow_samplers Incompatible
GL_EXT_shared_texture_palette Incompatible
GL_EXT_sparse_texture2 Incompatible
GL_EXT_sRGB Incompatible
GL_EXT_sRGB_write_control Incompatible
GL_EXT_static_vertex_array Incompatible
GL_EXT_stencil_clear_tag Incompatible
GL_EXT_stencil_two_side Compatible
GL_EXT_stencil_wrap Compatible
GL_EXT_subtexture Incompatible
GL_EXT_swap_control Incompatible
GL_EXT_tessellation_point_size Incompatible
GL_EXT_tessellation_shader Incompatible
GL_EXT_texgen_reflection Incompatible
GL_EXT_texture Incompatible
GL_EXT_texture_array Compatible
GL_EXT_texture_border_clamp Incompatible
GL_EXT_texture_buffer Incompatible
GL_EXT_texture_buffer_object Compatible
GL_EXT_texture_buffer_object_rgb32 Incompatible
GL_EXT_texture_color_table Incompatible
GL_EXT_texture_compression_bptc Incompatible
GL_EXT_texture_compression_dxt1 Compatible
GL_EXT_texture_compression_latc Compatible
GL_EXT_texture_compression_rgtc Compatible
GL_EXT_texture_compression_s3tc Compatible
GL_EXT_texture_cube_map Compatible
GL_EXT_texture_cube_map_array Incompatible
GL_EXT_texture_edge_clamp Compatible
GL_EXT_texture_env Incompatible
GL_EXT_texture_env_add Compatible
GL_EXT_texture_env_combine Compatible
GL_EXT_texture_env_dot3 Compatible
GL_EXT_texture_filter_anisotropic Compatible
GL_EXT_texture_filter_minmax Incompatible
GL_EXT_texture_format_BGRA8888 Incompatible
GL_EXT_texture_integer Compatible
GL_EXT_texture_lod Compatible
GL_EXT_texture_lod_bias Compatible
GL_EXT_texture_mirror_clamp Compatible
GL_EXT_texture_object Compatible
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 109 of 466
GL_EXT_texture_perturb_normal Incompatible
Navegación
GL_EXT_texture_rectangle Incompatible
GL_EXT_texture_rg Incompatible
GL_EXT_texture_shared_exponent Compatible
GL_EXT_texture_snorm Incompatible
GL_EXT_texture_sRGB Compatible
GL_EXT_texture_sRGB_decode Compatible
GL_EXT_texture_sRGB_R8 Incompatible
GL_EXT_texture_storage Compatible
GL_EXT_texture_swizzle Compatible
GL_EXT_texture_type_2_10_10_10_REV Incompatible
GL_EXT_texture_view Incompatible
GL_EXT_texture3D Compatible
GL_EXT_texture4D Incompatible
GL_EXT_timer_query Compatible
GL_EXT_transform_feedback Incompatible
GL_EXT_transform_feedback2 Compatible
GL_EXT_transform_feedback3 Incompatible
GL_EXT_unpack_subimage Incompatible
GL_EXT_vertex_array Compatible
GL_EXT_vertex_array_bgra Compatible
GL_EXT_vertex_array_set Incompatible
GL_EXT_vertex_array_setXXX Incompatible
GL_EXT_vertex_attrib_64bit Compatible
GL_EXT_vertex_shader Incompatible
GL_EXT_vertex_weighting Incompatible
GL_EXT_win32_keyed_mutex Compatible
GL_EXT_window_rectangles Compatible
GL_EXT_x11_sync_object Incompatible
GL_EXTX_framebuffer_mixed_formats Compatible
GL_EXTX_packed_depth_stencil Incompatible
GL_FGL_lock_texture Incompatible
GL_FJ_shader_binary_GCCSO Incompatible
GL_GL2_geometry_shader Incompatible
GL_GREMEDY_frame_terminator Incompatible
GL_GREMEDY_string_marker Incompatible
GL_HP_convolution_border_modes Incompatible
GL_HP_image_transform Incompatible
GL_HP_occlusion_test Incompatible
GL_HP_texture_lighting Incompatible
GL_I3D_argb Incompatible
GL_I3D_color_clamp Incompatible
GL_I3D_interlace_read Incompatible
GL_IBM_clip_check Incompatible
GL_IBM_cull_vertex Incompatible
GL_IBM_load_named_matrix Incompatible
GL_IBM_multi_draw_arrays Incompatible
GL_IBM_multimode_draw_arrays Incompatible
GL_IBM_occlusion_cull Incompatible
GL_IBM_pixel_filter_hint Incompatible
GL_IBM_rasterpos_clip Compatible
GL_IBM_rescale_normal Incompatible
GL_IBM_static_data Incompatible
GL_IBM_texture_clamp_nodraw Incompatible
GL_IBM_texture_mirrored_repeat Compatible
GL_IBM_vertex_array_lists Incompatible
GL_IBM_YCbCr Incompatible
GL_IMG_multisampled_render_to_texture Incompatible
GL_IMG_program_binary Incompatible
GL_IMG_read_format Incompatible
GL_IMG_sgx_binary Incompatible
GL_IMG_shader_binary Incompatible
GL_IMG_texture_compression_pvrtc Incompatible
GL_IMG_texture_compression_pvrtc2 Incompatible
GL_IMG_texture_env_enhanced_fixed_function Incompatible
GL_IMG_texture_format_BGRA8888 Incompatible
GL_IMG_user_clip_plane Incompatible
GL_IMG_vertex_program Incompatible
GL_INGR_blend_func_separate Incompatible
GL_INGR_color_clamp Incompatible
GL_INGR_interlace_read Incompatible
GL_INGR_multiple_palette Incompatible
GL_INTEL_coarse_fragment_shader Incompatible
GL_INTEL_compute_shader_lane_shift Incompatible
GL_INTEL_conservative_rasterization Incompatible
GL_INTEL_fragment_shader_ordering Incompatible
GL_INTEL_fragment_shader_span_sharing Incompatible
GL_INTEL_framebuffer_CMAA Incompatible
GL_INTEL_image_serialize Incompatible
GL_INTEL_map_texture Incompatible
GL_INTEL_multi_rate_fragment_shader Incompatible
GL_INTEL_parallel_arrays Incompatible
GL_INTEL_performance_queries Incompatible
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 110 of 466
GL_INTEL_performance_query Incompatible
Navegación
GL_INTEL_texture_scissor Incompatible
GL_KHR_blend_equation_advanced Compatible
GL_KHR_blend_equation_advanced_coherent Incompatible
GL_KHR_context_flush_control Compatible
GL_KHR_debug Compatible
GL_KHR_no_error Compatible
GL_KHR_parallel_shader_compile Compatible
GL_KHR_robust_buffer_access_behavior Compatible
GL_KHR_robustness Compatible
GL_KHR_shader_subgroup Incompatible
GL_KHR_shader_subgroup_arithmetic Incompatible
GL_KHR_shader_subgroup_ballot Incompatible
GL_KHR_shader_subgroup_basic Incompatible
GL_KHR_shader_subgroup_clustered Incompatible
GL_KHR_shader_subgroup_quad Incompatible
GL_KHR_shader_subgroup_shuffle Incompatible
GL_KHR_shader_subgroup_shuffle_relative Incompatible
GL_KHR_shader_subgroup_vote Incompatible
GL_KHR_texture_compression_astc_hdr Incompatible
GL_KHR_texture_compression_astc_ldr Incompatible
GL_KHR_vulkan_glsl Incompatible
GL_KTX_buffer_region Compatible
GL_MESA_pack_invert Incompatible
GL_MESA_program_debug Incompatible
GL_MESA_resize_buffers Incompatible
GL_MESA_texture_array Incompatible
GL_MESA_texture_signed_rgba Incompatible
GL_MESA_window_pos Incompatible
GL_MESA_ycbcr_texture Incompatible
GL_MESAX_texture_float Incompatible
GL_MESAX_texture_stack Incompatible
GL_MTX_fragment_shader Incompatible
GL_MTX_precision_dpi Incompatible
GL_NV_3dvision_settings Incompatible
GL_NV_alpha_test Incompatible
GL_NV_alpha_to_coverage_dither_control Compatible
GL_NV_bgr Incompatible
GL_NV_bindless_multi_draw_indirect Compatible
GL_NV_bindless_multi_draw_indirect_count Compatible
GL_NV_bindless_texture Compatible
GL_NV_blend_equation_advanced Compatible
GL_NV_blend_equation_advanced_coherent Incompatible
GL_NV_blend_minmax Incompatible
GL_NV_blend_minmax_factor Incompatible
GL_NV_blend_square Compatible
GL_NV_centroid_sample Incompatible
GL_NV_clip_space_w_scaling Incompatible
GL_NV_command_list Compatible
GL_NV_complex_primitives Incompatible
GL_NV_compute_program5 Compatible
GL_NV_compute_shader_derivatives Incompatible
GL_NV_conditional_render Compatible
GL_NV_conservative_raster Incompatible
GL_NV_conservative_raster_dilate Incompatible
GL_NV_conservative_raster_pre_snap Incompatible
GL_NV_conservative_raster_pre_snap_triangles Incompatible
GL_NV_conservative_raster_underestimation Incompatible
GL_NV_copy_buffer Incompatible
GL_NV_copy_depth_to_color Compatible
GL_NV_copy_image Compatible
GL_NV_coverage_sample Incompatible
GL_NV_deep_texture3D Incompatible
GL_NV_depth_buffer_float Compatible
GL_NV_depth_clamp Compatible
GL_NV_depth_nonlinear Incompatible
GL_NV_depth_range_unclamped Incompatible
GL_NV_draw_buffers Incompatible
GL_NV_draw_instanced Incompatible
GL_NV_draw_texture Compatible
GL_NV_draw_vulkan_image Compatible
GL_NV_EGL_stream_consumer_external Incompatible
GL_NV_ES1_1_compatibility Compatible
GL_NV_ES3_1_compatibility Compatible
GL_NV_evaluators Incompatible
GL_NV_explicit_attrib_location Incompatible
GL_NV_explicit_multisample Compatible
GL_NV_fbo_color_attachments Incompatible
GL_NV_feature_query Incompatible
GL_NV_fence Compatible
GL_NV_fill_rectangle Incompatible
GL_NV_float_buffer Compatible
GL_NV_fog_distance Compatible
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 111 of 466
GL_NV_fragdepth Incompatible
Navegación
GL_NV_fragment_coverage_to_color Incompatible
GL_NV_fragment_program Compatible
GL_NV_fragment_program_option Compatible
GL_NV_fragment_program2 Compatible
GL_NV_fragment_program4 Incompatible
GL_NV_fragment_shader_barycentric Incompatible
GL_NV_fragment_shader_interlock Incompatible
GL_NV_framebuffer_blit Incompatible
GL_NV_framebuffer_mixed_samples Incompatible
GL_NV_framebuffer_multisample Incompatible
GL_NV_framebuffer_multisample_coverage Compatible
GL_NV_framebuffer_multisample_ex Incompatible
GL_NV_generate_mipmap_sRGB Incompatible
GL_NV_geometry_program4 Incompatible
GL_NV_geometry_shader_passthrough Incompatible
GL_NV_geometry_shader4 Compatible
GL_NV_gpu_program_fp64 Compatible
GL_NV_gpu_program4 Compatible
GL_NV_gpu_program4_1 Compatible
GL_NV_gpu_program5 Compatible
GL_NV_gpu_program5_mem_extended Compatible
GL_NV_gpu_shader5 Compatible
GL_NV_half_float Compatible
GL_NV_instanced_arrays Incompatible
GL_NV_internalformat_sample_query Compatible
GL_NV_light_max_exponent Compatible
GL_NV_memory_attachment Incompatible
GL_NV_mesh_shader Incompatible
GL_NV_multisample_coverage Compatible
GL_NV_multisample_filter_hint Compatible
GL_NV_non_square_matrices Incompatible
GL_NV_occlusion_query Compatible
GL_NV_pack_subimage Incompatible
GL_NV_packed_depth_stencil Compatible
GL_NV_packed_float Incompatible
GL_NV_packed_float_linear Incompatible
GL_NV_parameter_buffer_object Compatible
GL_NV_parameter_buffer_object2 Compatible
GL_NV_path_rendering Compatible
GL_NV_path_rendering_shared_edge Incompatible
GL_NV_pixel_buffer_object Incompatible
GL_NV_pixel_data_range Compatible
GL_NV_platform_binary Incompatible
GL_NV_point_sprite Compatible
GL_NV_present_video Incompatible
GL_NV_primitive_restart Compatible
GL_NV_query_resource Compatible
GL_NV_query_resource_tag Compatible
GL_NV_read_buffer Incompatible
GL_NV_read_buffer_front Incompatible
GL_NV_read_depth Incompatible
GL_NV_read_depth_stencil Incompatible
GL_NV_read_stencil Incompatible
GL_NV_register_combiners Compatible
GL_NV_register_combiners2 Compatible
GL_NV_representative_fragment_test Incompatible
GL_NV_robustness_video_memory_purge Incompatible
GL_NV_sample_locations Incompatible
GL_NV_sample_mask_override_coverage Incompatible
GL_NV_scissor_exclusive Incompatible
GL_NV_shader_atomic_counters Compatible
GL_NV_shader_atomic_float Compatible
GL_NV_shader_atomic_float64 Incompatible
GL_NV_shader_atomic_fp16_vector Incompatible
GL_NV_shader_atomic_int64 Incompatible
GL_NV_shader_buffer_load Compatible
GL_NV_shader_buffer_store Incompatible
GL_NV_shader_storage_buffer_object Compatible
GL_NV_shader_texture_footprint Incompatible
GL_NV_shader_thread_group Compatible
GL_NV_shader_thread_shuffle Compatible
GL_NV_shading_rate_image Incompatible
GL_NV_shadow_samplers_array Incompatible
GL_NV_shadow_samplers_cube Incompatible
GL_NV_sRGB_formats Incompatible
GL_NV_stereo_view_rendering Incompatible
GL_NV_tessellation_program5 Incompatible
GL_NV_texgen_emboss Incompatible
GL_NV_texgen_reflection Compatible
GL_NV_texture_array Incompatible
GL_NV_texture_barrier Compatible
GL_NV_texture_border_clamp Incompatible
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 112 of 466
GL_NV_texture_compression_latc Incompatible
Navegación
GL_NV_texture_compression_s3tc Incompatible
GL_NV_texture_compression_s3tc_update Incompatible
GL_NV_texture_compression_vtc Compatible
GL_NV_texture_env_combine4 Compatible
GL_NV_texture_expand_normal Incompatible
GL_NV_texture_lod_clamp Incompatible
GL_NV_texture_multisample Compatible
GL_NV_texture_npot_2D_mipmap Incompatible
GL_NV_texture_rectangle Compatible
GL_NV_texture_rectangle_compressed Compatible
GL_NV_texture_shader Compatible
GL_NV_texture_shader2 Compatible
GL_NV_texture_shader3 Compatible
GL_NV_timer_query Incompatible
GL_NV_transform_feedback Compatible
GL_NV_transform_feedback2 Compatible
GL_NV_uniform_buffer_unified_memory Compatible
GL_NV_vdpau_interop Incompatible
GL_NV_vertex_array_range Compatible
GL_NV_vertex_array_range2 Compatible
GL_NV_vertex_attrib_64bit Incompatible
GL_NV_vertex_attrib_integer_64bit Compatible
GL_NV_vertex_buffer_unified_memory Compatible
GL_NV_vertex_program Compatible
GL_NV_vertex_program1_1 Compatible
GL_NV_vertex_program2 Compatible
GL_NV_vertex_program2_option Compatible
GL_NV_vertex_program3 Compatible
GL_NV_vertex_program4 Incompatible
GL_NV_video_capture Incompatible
GL_NV_viewport_array2 Incompatible
GL_NV_viewport_swizzle Incompatible
GL_NVX_blend_equation_advanced_multi_draw_buffers Incompatible
GL_NVX_conditional_render Compatible
GL_NVX_flush_hold Incompatible
GL_NVX_gpu_memory_info Compatible
GL_NVX_instanced_arrays Incompatible
GL_NVX_multigpu_info Compatible
GL_NVX_nvenc_interop Compatible
GL_NVX_shader_thread_group Incompatible
GL_NVX_shader_thread_shuffle Incompatible
GL_NVX_shared_sync_object Incompatible
GL_NVX_sysmem_buffer Incompatible
GL_NVX_ycrcb Incompatible
GL_OES_blend_equation_separate Incompatible
GL_OES_blend_func_separate Incompatible
GL_OES_blend_subtract Incompatible
GL_OES_byte_coordinates Incompatible
GL_OES_compressed_EAC_R11_signed_texture Incompatible
GL_OES_compressed_EAC_R11_unsigned_texture Incompatible
GL_OES_compressed_EAC_RG11_signed_texture Incompatible
GL_OES_compressed_EAC_RG11_unsigned_texture Incompatible
GL_OES_compressed_ETC1_RGB8_texture Incompatible
GL_OES_compressed_ETC2_punchthroughA_RGBA8_texture Incompatible
GL_OES_compressed_ETC2_punchthroughA_sRGB8_alpha_texture Incompatible
GL_OES_compressed_ETC2_RGB8_texture Incompatible
GL_OES_compressed_ETC2_RGBA8_texture Incompatible
GL_OES_compressed_ETC2_sRGB8_alpha8_texture Incompatible
GL_OES_compressed_ETC2_sRGB8_texture Incompatible
GL_OES_compressed_paletted_texture Incompatible
GL_OES_conditional_query Incompatible
GL_OES_depth_texture Incompatible
GL_OES_depth_texture_cube_map Incompatible
GL_OES_depth24 Incompatible
GL_OES_depth32 Incompatible
GL_OES_draw_texture Incompatible
GL_OES_EGL_image Incompatible
GL_OES_EGL_image_external Incompatible
GL_OES_EGL_sync Incompatible
GL_OES_element_index_uint Incompatible
GL_OES_extended_matrix_palette Incompatible
GL_OES_fbo_render_mipmap Incompatible
GL_OES_fixed_point Incompatible
GL_OES_fragment_precision_high Incompatible
GL_OES_framebuffer_object Incompatible
GL_OES_get_program_binary Incompatible
GL_OES_mapbuffer Incompatible
GL_OES_matrix_get Incompatible
GL_OES_matrix_palette Incompatible
GL_OES_packed_depth_stencil Incompatible
GL_OES_point_size_array Incompatible
GL_OES_point_sprite Incompatible
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 113 of 466
GL_OES_query_matrix Incompatible
Navegación
GL_OES_read_format Incompatible
GL_OES_required_internalformat Incompatible
GL_OES_rgb8_rgba8 Incompatible
GL_OES_sample_shading Incompatible
GL_OES_sample_variables Incompatible
GL_OES_shader_image_atomic Incompatible
GL_OES_shader_multisample_interpolation Incompatible
GL_OES_single_precision Incompatible
GL_OES_standard_derivatives Incompatible
GL_OES_stencil_wrap Incompatible
GL_OES_stencil1 Incompatible
GL_OES_stencil4 Incompatible
GL_OES_stencil8 Incompatible
GL_OES_surfaceless_context Incompatible
GL_OES_texture_3D Incompatible
GL_OES_texture_compression_astc Incompatible
GL_OES_texture_cube_map Incompatible
GL_OES_texture_env_crossbar Incompatible
GL_OES_texture_float Incompatible
GL_OES_texture_float_linear Incompatible
GL_OES_texture_half_float Incompatible
GL_OES_texture_half_float_linear Incompatible
GL_OES_texture_mirrored_repeat Incompatible
GL_OES_texture_npot Incompatible
GL_OES_texture_stencil8 Incompatible
GL_OES_texture_storage_multisample_2d_array Incompatible
GL_OES_vertex_array_object Incompatible
GL_OES_vertex_half_float Incompatible
GL_OES_vertex_type_10_10_10_2 Incompatible
GL_OML_interlace Incompatible
GL_OML_resample Incompatible
GL_OML_subsample Incompatible
GL_OVR_multiview Incompatible
GL_OVR_multiview2 Incompatible
GL_PGI_misc_hints Incompatible
GL_PGI_vertex_hints Incompatible
GL_QCOM_alpha_test Incompatible
GL_QCOM_binning_control Incompatible
GL_QCOM_driver_control Incompatible
GL_QCOM_extended_get Incompatible
GL_QCOM_extended_get2 Incompatible
GL_QCOM_perfmon_global_mode Incompatible
GL_QCOM_tiled_rendering Incompatible
GL_QCOM_writeonly_rendering Incompatible
GL_REND_screen_coordinates Incompatible
GL_S3_performance_analyzer Incompatible
GL_S3_s3tc Compatible
GL_S3_texture_float_linear Incompatible
GL_S3_texture_half_float_linear Incompatible
GL_SGI_color_matrix Incompatible
GL_SGI_color_table Incompatible
GL_SGI_compiled_vertex_array Incompatible
GL_SGI_cull_vertex Incompatible
GL_SGI_index_array_formats Incompatible
GL_SGI_index_func Incompatible
GL_SGI_index_material Incompatible
GL_SGI_index_texture Incompatible
GL_SGI_make_current_read Incompatible
GL_SGI_texture_add_env Incompatible
GL_SGI_texture_color_table Incompatible
GL_SGI_texture_edge_clamp Incompatible
GL_SGI_texture_lod Incompatible
GL_SGIS_color_range Incompatible
GL_SGIS_detail_texture Incompatible
GL_SGIS_fog_function Incompatible
GL_SGIS_generate_mipmap Compatible
GL_SGIS_multisample Incompatible
GL_SGIS_multitexture Incompatible
GL_SGIS_pixel_texture Incompatible
GL_SGIS_point_line_texgen Incompatible
GL_SGIS_sharpen_texture Incompatible
GL_SGIS_texture_border_clamp Incompatible
GL_SGIS_texture_color_mask Incompatible
GL_SGIS_texture_edge_clamp Incompatible
GL_SGIS_texture_filter4 Incompatible
GL_SGIS_texture_lod Compatible
GL_SGIS_texture_select Incompatible
GL_SGIS_texture4D Incompatible
GL_SGIX_async Incompatible
GL_SGIX_async_histogram Incompatible
GL_SGIX_async_pixel Incompatible
GL_SGIX_blend_alpha_minmax Incompatible
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 114 of 466
GL_SGIX_clipmap Incompatible
Navegación
GL_SGIX_convolution_accuracy Incompatible
GL_SGIX_depth_pass_instrument Incompatible
GL_SGIX_depth_texture Compatible
GL_SGIX_flush_raster Incompatible
GL_SGIX_fog_offset Incompatible
GL_SGIX_fog_texture Incompatible
GL_SGIX_fragment_specular_lighting Incompatible
GL_SGIX_framezoom Incompatible
GL_SGIX_instruments Incompatible
GL_SGIX_interlace Incompatible
GL_SGIX_ir_instrument1 Incompatible
GL_SGIX_list_priority Incompatible
GL_SGIX_pbuffer Incompatible
GL_SGIX_pixel_texture Incompatible
GL_SGIX_pixel_texture_bits Incompatible
GL_SGIX_reference_plane Incompatible
GL_SGIX_resample Incompatible
GL_SGIX_shadow Compatible
GL_SGIX_shadow_ambient Incompatible
GL_SGIX_sprite Incompatible
GL_SGIX_subsample Incompatible
GL_SGIX_tag_sample_buffer Incompatible
GL_SGIX_texture_add_env Incompatible
GL_SGIX_texture_coordinate_clamp Incompatible
GL_SGIX_texture_lod_bias Incompatible
GL_SGIX_texture_multi_buffer Incompatible
GL_SGIX_texture_range Incompatible
GL_SGIX_texture_scale_bias Incompatible
GL_SGIX_vertex_preclip Incompatible
GL_SGIX_vertex_preclip_hint Incompatible
GL_SGIX_ycrcb Incompatible
GL_SGIX_ycrcb_subsample Incompatible
GL_SUN_convolution_border_modes Incompatible
GL_SUN_global_alpha Incompatible
GL_SUN_mesh_array Incompatible
GL_SUN_multi_draw_arrays Incompatible
GL_SUN_read_video_pixels Incompatible
GL_SUN_slice_accum Compatible
GL_SUN_triangle_list Incompatible
GL_SUN_vertex Incompatible
GL_SUNX_constant_data Incompatible
GL_VIV_shader_binary Incompatible
GL_WGL_ARB_extensions_string Incompatible
GL_WGL_EXT_extensions_string Incompatible
GL_WGL_EXT_swap_control Incompatible
GL_WIN_phong_shading Incompatible
GL_WIN_specular_fog Incompatible
GL_WIN_swap_hint Compatible
GLU_EXT_nurbs_tessellator Incompatible
GLU_EXT_object_space_tess Incompatible
GLU_SGI_filter4_parameters Incompatible
GLX_AMD_gpu_association Incompatible
GLX_ARB_create_context Incompatible
GLX_ARB_create_context_no_error Incompatible
GLX_ARB_create_context_profile Incompatible
GLX_ARB_create_context_robustness Incompatible
GLX_ARB_fbconfig_float Incompatible
GLX_ARB_framebuffer_sRGB Incompatible
GLX_ARB_get_proc_address Incompatible
GLX_ARB_multisample Incompatible
GLX_ARB_robustness_application_isolation Incompatible
GLX_ARB_robustness_share_group_isolation Incompatible
GLX_ARB_vertex_buffer_object Incompatible
GLX_EXT_buffer_age Incompatible
GLX_EXT_create_context_es_profile Incompatible
GLX_EXT_create_context_es2_profile Incompatible
GLX_EXT_fbconfig_packed_float Incompatible
GLX_EXT_framebuffer_sRGB Incompatible
GLX_EXT_import_context Incompatible
GLX_EXT_scene_marker Incompatible
GLX_EXT_swap_control Incompatible
GLX_EXT_swap_control_tear Incompatible
GLX_EXT_texture_from_pixmap Incompatible
GLX_EXT_visual_info Incompatible
GLX_EXT_visual_rating Incompatible
GLX_INTEL_swap_event Incompatible
GLX_MESA_agp_offset Incompatible
GLX_MESA_copy_sub_buffer Incompatible
GLX_MESA_multithread_makecurrent Incompatible
GLX_MESA_pixmap_colormap Incompatible
GLX_MESA_query_renderer Incompatible
GLX_MESA_release_buffers Incompatible
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 115 of 466
GLX_MESA_set_3dfx_mode Incompatible
Navegación
GLX_MESA_swap_control Incompatible
GLX_NV_copy_image Incompatible
GLX_NV_delay_before_swap Incompatible
GLX_NV_float_buffer Incompatible
GLX_NV_multisample_coverage Incompatible
GLX_NV_present_video Incompatible
GLX_NV_swap_group Incompatible
GLX_NV_video_capture Incompatible
GLX_NV_video_out Incompatible
GLX_NV_video_output Incompatible
GLX_OML_interlace Incompatible
GLX_OML_swap_method Incompatible
GLX_OML_sync_control Incompatible
GLX_SGI_cushion Incompatible
GLX_SGI_make_current_read Incompatible
GLX_SGI_swap_control Incompatible
GLX_SGI_video_sync Incompatible
GLX_SGIS_blended_overlay Incompatible
GLX_SGIS_color_range Incompatible
GLX_SGIS_multisample Incompatible
GLX_SGIX_dm_buffer Incompatible
GLX_SGIX_fbconfig Incompatible
GLX_SGIX_hyperpipe Incompatible
GLX_SGIX_pbuffer Incompatible
GLX_SGIX_swap_barrier Incompatible
GLX_SGIX_swap_group Incompatible
GLX_SGIX_video_resize Incompatible
GLX_SGIX_video_source Incompatible
GLX_SGIX_visual_select_group Incompatible
GLX_SUN_get_transparent_index Incompatible
GLX_SUN_video_resize Incompatible
WGL_3DFX_gamma_control Incompatible
WGL_3DFX_multisample Incompatible
WGL_3DL_stereo_control Incompatible
WGL_AMD_gpu_association Incompatible
WGL_AMDX_gpu_association Incompatible
WGL_ARB_buffer_region Compatible
WGL_ARB_context_flush_control Compatible
WGL_ARB_create_context Compatible
WGL_ARB_create_context_no_error Compatible
WGL_ARB_create_context_profile Compatible
WGL_ARB_create_context_robustness Compatible
WGL_ARB_extensions_string Compatible
WGL_ARB_framebuffer_sRGB Incompatible
WGL_ARB_make_current_read Compatible
WGL_ARB_multisample Compatible
WGL_ARB_pbuffer Compatible
WGL_ARB_pixel_format Compatible
WGL_ARB_pixel_format_float Compatible
WGL_ARB_render_texture Compatible
WGL_ARB_robustness_application_isolation Incompatible
WGL_ARB_robustness_share_group_isolation Incompatible
WGL_ATI_pbuffer_memory_hint Incompatible
WGL_ATI_pixel_format_float Compatible
WGL_ATI_render_texture_rectangle Incompatible
WGL_EXT_buffer_region Incompatible
WGL_EXT_colorspace Compatible
WGL_EXT_create_context_es_profile Compatible
WGL_EXT_create_context_es2_profile Compatible
WGL_EXT_depth_float Incompatible
WGL_EXT_display_color_table Incompatible
WGL_EXT_extensions_string Compatible
WGL_EXT_framebuffer_sRGB Compatible
WGL_EXT_framebuffer_sRGBWGL_ARB_create_context Incompatible
WGL_EXT_gamma_control Incompatible
WGL_EXT_make_current_read Incompatible
WGL_EXT_multisample Incompatible
WGL_EXT_pbuffer Incompatible
WGL_EXT_pixel_format Incompatible
WGL_EXT_pixel_format_packed_float Compatible
WGL_EXT_render_texture Incompatible
WGL_EXT_swap_control Compatible
WGL_EXT_swap_control_tear Compatible
WGL_EXT_swap_interval Incompatible
WGL_I3D_digital_video_control Incompatible
WGL_I3D_gamma Incompatible
WGL_I3D_genlock Incompatible
WGL_I3D_image_buffer Incompatible
WGL_I3D_swap_frame_lock Incompatible
WGL_I3D_swap_frame_usage Incompatible
WGL_INTEL_cl_sharing Incompatible
WGL_MTX_video_preview Incompatible
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 116 of 466
WGL_NV_bridged_display Incompatible
Navegación
WGL_NV_copy_image Compatible
WGL_NV_delay_before_swap Compatible
WGL_NV_DX_interop Compatible
WGL_NV_DX_interop2 Compatible
WGL_NV_float_buffer Compatible
WGL_NV_gpu_affinity Incompatible
WGL_NV_multisample_coverage Compatible
WGL_NV_present_video Incompatible
WGL_NV_render_depth_texture Compatible
WGL_NV_render_texture_rectangle Compatible
WGL_NV_swap_group Incompatible
WGL_NV_texture_rectangle Incompatible
WGL_NV_vertex_array_range Incompatible
WGL_NV_video_capture Incompatible
WGL_NV_video_output Incompatible
WGL_NVX_DX_interop Compatible
WGL_OML_sync_control Incompatible
WGL_S3_cl_sharing Incompatible
GPGPU
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 117 of 466
Navegación
Propiedades de la memoria:
Reloj de la memoria 2004 MHz
Global Memory Bus Width 128 bits
Total Memory 2 GB
Total Constant Memory 64 kB
Max Shared Memory Per Block 48 kB
Max Shared Memory Per Multiprocessor 48 kB
Max Memory Pitch 2147483647 bytes
Texture Alignment 512 bytes
Texture Pitch Alignment 32 bytes
Surface Alignment 512 bytes
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 118 of 466
Propiedades de OpenCL:
Nombre de plataforma Intel(R) OpenCL
Fabricante de plataforma Intel(R) Corporation
Versión de plataforma OpenCL 1.2
Perfil de plataforma Full
Propiedades de la memoria:
Global Memory 1488 MB
Global Memory Cache 256 kB (Read/Write, 64-byte line)
Local Memory 64 kB
Max Memory Object Allocation Size 381133 kB
Memory Base Address Alignment 1024 bits
Min Data Type Alignment 128 bytes
Image Row Pitch Alignment 64 pixels
Image Base Address Alignment 4096 pixels
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 119 of 466
Linker Available Sí
Navegación
Little-Endian Device Sí
Native Kernel Execution Incompatible
Sub-Group Independent Forward Progress Incompatible
SVM Atomics Incompatible
SVM Coarse Grain Buffer Incompatible
SVM Fine Grain Buffer Incompatible
SVM Fine Grain System Incompatible
Thread Trace Incompatible
Unified Memory Sí
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 120 of 466
cl_ext_atomic_counters_32 Incompatible
Navegación
cl_ext_atomic_counters_64 Incompatible
cl_ext_device_fission Incompatible
cl_ext_migrate_memobject Incompatible
cl_intel_accelerator Compatible
cl_intel_advanced_motion_estimation Compatible
cl_intel_command_queue_families Incompatible
cl_intel_ctz Compatible
cl_intel_d3d11_nv12_media_sharing Compatible
cl_intel_device_attribute_query Incompatible
cl_intel_device_partition_by_names Incompatible
cl_intel_device_side_avc_motion_estimation Incompatible
cl_intel_driver_diagnostics Incompatible
cl_intel_dx9_media_sharing Compatible
cl_intel_exec_by_local_thread Incompatible
cl_intel_media_block_io Incompatible
cl_intel_mem_force_host_memory Incompatible
cl_intel_motion_estimation Compatible
cl_intel_packed_yuv Incompatible
cl_intel_planar_yuv Incompatible
cl_intel_printf Incompatible
cl_intel_required_subgroup_size Incompatible
cl_intel_sharing_format_query Incompatible
cl_intel_simultaneous_sharing Compatible
cl_intel_spirv_device_side_avc_motion_estimation Incompatible
cl_intel_spirv_media_block_io Incompatible
cl_intel_spirv_subgroups Incompatible
cl_intel_subgroup_local_block_io Incompatible
cl_intel_subgroups Compatible
cl_intel_subgroups_char Incompatible
cl_intel_subgroups_long Incompatible
cl_intel_subgroups_short Incompatible
cl_intel_thread_local_exec Incompatible
cl_intel_unified_shared_memory_preview Incompatible
cl_intel_unified_sharing Incompatible
cl_intel_va_api_media_sharing Incompatible
cl_intel_vec_len_hint Incompatible
cl_intel_visual_analytics Incompatible
cl_khr_3d_image_writes Compatible
cl_khr_byte_addressable_store Compatible
cl_khr_context_abort Incompatible
cl_khr_create_command_queue Incompatible
cl_khr_d3d10_sharing Compatible
cl_khr_d3d11_sharing Compatible
cl_khr_depth_images Compatible
cl_khr_dx9_media_sharing Compatible
cl_khr_egl_event Incompatible
cl_khr_egl_image Incompatible
cl_khr_fp16 Incompatible
cl_khr_fp64 Incompatible
cl_khr_gl_depth_images Compatible
cl_khr_gl_event Compatible
cl_khr_gl_msaa_sharing Compatible
cl_khr_gl_sharing Compatible
cl_khr_global_int32_base_atomics Compatible
cl_khr_global_int32_extended_atomics Compatible
cl_khr_icd Compatible
cl_khr_il_program Incompatible
cl_khr_image2d_from_buffer Compatible
cl_khr_initialize_memory Incompatible
cl_khr_int64_base_atomics Incompatible
cl_khr_int64_extended_atomics Incompatible
cl_khr_local_int32_base_atomics Compatible
cl_khr_local_int32_extended_atomics Compatible
cl_khr_mipmap_image Incompatible
cl_khr_mipmap_image_writes Incompatible
cl_khr_pci_bus_info Incompatible
cl_khr_priority_hints Incompatible
cl_khr_select_fprounding_mode Incompatible
cl_khr_spir Compatible
cl_khr_spirv_no_integer_wrap_decoration Incompatible
cl_khr_srgb_image_writes Incompatible
cl_khr_subgroup_ballot Incompatible
cl_khr_subgroup_clustered_reduce Incompatible
cl_khr_subgroup_extended_types Incompatible
cl_khr_subgroup_non_uniform_arithmetic Incompatible
cl_khr_subgroup_non_uniform_vote Incompatible
cl_khr_subgroup_shuffle Incompatible
cl_khr_subgroup_shuffle_relative Incompatible
cl_khr_subgroups Incompatible
cl_khr_suggested_local_work_size Incompatible
cl_khr_terminate_context Incompatible
cl_khr_throttle_hints Incompatible
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 121 of 466
cl_nv_compiler_options Incompatible
Navegación
cl_nv_copy_opts Incompatible
cl_nv_create_buffer Incompatible
cl_nv_d3d10_sharing Incompatible
cl_nv_d3d11_sharing Incompatible
cl_nv_d3d9_sharing Incompatible
cl_nv_device_attribute_query Incompatible
cl_nv_pragma_unroll Incompatible
cl_qcom_ext_host_ptr Incompatible
cl_qcom_ion_host_ptr Incompatible
Propiedades de OpenCL:
Nombre de plataforma Intel(R) OpenCL
Fabricante de plataforma Intel(R) Corporation
Versión de plataforma OpenCL 1.2
Perfil de plataforma Full
Propiedades de la memoria:
Global Memory 2047 MB
Global Memory Cache 256 kB (Read/Write, 64-byte line)
Local Memory 32 kB
Max Memory Object Allocation Size 524256 kB
Memory Base Address Alignment 1024 bits
Min Data Type Alignment 128 bytes
Image Row Pitch Alignment 64 pixels
Image Base Address Alignment 64 pixels
Preferred Platform Atomic Alignment 64 bytes
Preferred Global Atomic Alignment 64 bytes
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 122 of 466
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 123 of 466
cl_ext_migrate_memobject Incompatible
Navegación
cl_intel_accelerator Incompatible
cl_intel_advanced_motion_estimation Incompatible
cl_intel_command_queue_families Incompatible
cl_intel_ctz Incompatible
cl_intel_d3d11_nv12_media_sharing Incompatible
cl_intel_device_attribute_query Incompatible
cl_intel_device_partition_by_names Incompatible
cl_intel_device_side_avc_motion_estimation Incompatible
cl_intel_driver_diagnostics Incompatible
cl_intel_dx9_media_sharing Compatible
cl_intel_exec_by_local_thread Compatible
cl_intel_media_block_io Incompatible
cl_intel_mem_force_host_memory Incompatible
cl_intel_motion_estimation Incompatible
cl_intel_packed_yuv Incompatible
cl_intel_planar_yuv Incompatible
cl_intel_printf Incompatible
cl_intel_required_subgroup_size Incompatible
cl_intel_sharing_format_query Incompatible
cl_intel_simultaneous_sharing Incompatible
cl_intel_spirv_device_side_avc_motion_estimation Incompatible
cl_intel_spirv_media_block_io Incompatible
cl_intel_spirv_subgroups Incompatible
cl_intel_subgroup_local_block_io Incompatible
cl_intel_subgroups Incompatible
cl_intel_subgroups_char Incompatible
cl_intel_subgroups_long Incompatible
cl_intel_subgroups_short Incompatible
cl_intel_thread_local_exec Incompatible
cl_intel_unified_shared_memory_preview Incompatible
cl_intel_unified_sharing Incompatible
cl_intel_va_api_media_sharing Incompatible
cl_intel_vec_len_hint Incompatible
cl_intel_visual_analytics Incompatible
cl_khr_3d_image_writes Compatible
cl_khr_byte_addressable_store Compatible
cl_khr_context_abort Incompatible
cl_khr_create_command_queue Incompatible
cl_khr_d3d10_sharing Incompatible
cl_khr_d3d11_sharing Compatible
cl_khr_depth_images Compatible
cl_khr_dx9_media_sharing Compatible
cl_khr_egl_event Incompatible
cl_khr_egl_image Incompatible
cl_khr_fp16 Incompatible
cl_khr_fp64 Compatible
cl_khr_gl_depth_images Incompatible
cl_khr_gl_event Incompatible
cl_khr_gl_msaa_sharing Incompatible
cl_khr_gl_sharing Compatible
cl_khr_global_int32_base_atomics Compatible
cl_khr_global_int32_extended_atomics Compatible
cl_khr_icd Compatible
cl_khr_il_program Incompatible
cl_khr_image2d_from_buffer Incompatible
cl_khr_initialize_memory Incompatible
cl_khr_int64_base_atomics Incompatible
cl_khr_int64_extended_atomics Incompatible
cl_khr_local_int32_base_atomics Compatible
cl_khr_local_int32_extended_atomics Compatible
cl_khr_mipmap_image Incompatible
cl_khr_mipmap_image_writes Incompatible
cl_khr_pci_bus_info Incompatible
cl_khr_priority_hints Incompatible
cl_khr_select_fprounding_mode Incompatible
cl_khr_spir Compatible
cl_khr_spirv_no_integer_wrap_decoration Incompatible
cl_khr_srgb_image_writes Incompatible
cl_khr_subgroup_ballot Incompatible
cl_khr_subgroup_clustered_reduce Incompatible
cl_khr_subgroup_extended_types Incompatible
cl_khr_subgroup_non_uniform_arithmetic Incompatible
cl_khr_subgroup_non_uniform_vote Incompatible
cl_khr_subgroup_shuffle Incompatible
cl_khr_subgroup_shuffle_relative Incompatible
cl_khr_subgroups Incompatible
cl_khr_suggested_local_work_size Incompatible
cl_khr_terminate_context Incompatible
cl_khr_throttle_hints Incompatible
cl_nv_compiler_options Incompatible
cl_nv_copy_opts Incompatible
cl_nv_create_buffer Incompatible
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 124 of 466
cl_nv_d3d10_sharing Incompatible
Navegación
cl_nv_d3d11_sharing Incompatible
cl_nv_d3d9_sharing Incompatible
cl_nv_device_attribute_query Incompatible
cl_nv_pragma_unroll Incompatible
cl_qcom_ext_host_ptr Incompatible
cl_qcom_ion_host_ptr Incompatible
Propiedades de OpenCL:
Nombre de plataforma NVIDIA CUDA
Fabricante de plataforma NVIDIA Corporation
Versión de plataforma OpenCL 1.2 CUDA 9.1.84
Perfil de plataforma Full
Propiedades de la memoria:
Global Memory 2 GB
Global Memory Cache 64 kB (Read/Write, 128-byte line)
Local Memory 48 kB
Max Memory Object Allocation Size 512 MB
Memory Base Address Alignment 4096 bits
Min Data Type Alignment 128 bytes
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 125 of 466
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 126 of 466
cl_intel_d3d11_nv12_media_sharing Incompatible
Navegación
cl_intel_device_attribute_query Incompatible
cl_intel_device_partition_by_names Incompatible
cl_intel_device_side_avc_motion_estimation Incompatible
cl_intel_driver_diagnostics Incompatible
cl_intel_dx9_media_sharing Incompatible
cl_intel_exec_by_local_thread Incompatible
cl_intel_media_block_io Incompatible
cl_intel_mem_force_host_memory Incompatible
cl_intel_motion_estimation Incompatible
cl_intel_packed_yuv Incompatible
cl_intel_planar_yuv Incompatible
cl_intel_printf Incompatible
cl_intel_required_subgroup_size Incompatible
cl_intel_sharing_format_query Incompatible
cl_intel_simultaneous_sharing Incompatible
cl_intel_spirv_device_side_avc_motion_estimation Incompatible
cl_intel_spirv_media_block_io Incompatible
cl_intel_spirv_subgroups Incompatible
cl_intel_subgroup_local_block_io Incompatible
cl_intel_subgroups Incompatible
cl_intel_subgroups_char Incompatible
cl_intel_subgroups_long Incompatible
cl_intel_subgroups_short Incompatible
cl_intel_thread_local_exec Incompatible
cl_intel_unified_shared_memory_preview Incompatible
cl_intel_unified_sharing Incompatible
cl_intel_va_api_media_sharing Incompatible
cl_intel_vec_len_hint Incompatible
cl_intel_visual_analytics Incompatible
cl_khr_3d_image_writes Incompatible
cl_khr_byte_addressable_store Compatible
cl_khr_context_abort Incompatible
cl_khr_create_command_queue Incompatible
cl_khr_d3d10_sharing Compatible
cl_khr_d3d11_sharing Incompatible
cl_khr_depth_images Incompatible
cl_khr_dx9_media_sharing Incompatible
cl_khr_egl_event Incompatible
cl_khr_egl_image Incompatible
cl_khr_fp16 Incompatible
cl_khr_fp64 Compatible
cl_khr_gl_depth_images Incompatible
cl_khr_gl_event Incompatible
cl_khr_gl_msaa_sharing Incompatible
cl_khr_gl_sharing Compatible
cl_khr_global_int32_base_atomics Compatible
cl_khr_global_int32_extended_atomics Compatible
cl_khr_icd Compatible
cl_khr_il_program Incompatible
cl_khr_image2d_from_buffer Incompatible
cl_khr_initialize_memory Incompatible
cl_khr_int64_base_atomics Incompatible
cl_khr_int64_extended_atomics Incompatible
cl_khr_local_int32_base_atomics Compatible
cl_khr_local_int32_extended_atomics Compatible
cl_khr_mipmap_image Incompatible
cl_khr_mipmap_image_writes Incompatible
cl_khr_pci_bus_info Incompatible
cl_khr_priority_hints Incompatible
cl_khr_select_fprounding_mode Incompatible
cl_khr_spir Incompatible
cl_khr_spirv_no_integer_wrap_decoration Incompatible
cl_khr_srgb_image_writes Incompatible
cl_khr_subgroup_ballot Incompatible
cl_khr_subgroup_clustered_reduce Incompatible
cl_khr_subgroup_extended_types Incompatible
cl_khr_subgroup_non_uniform_arithmetic Incompatible
cl_khr_subgroup_non_uniform_vote Incompatible
cl_khr_subgroup_shuffle Incompatible
cl_khr_subgroup_shuffle_relative Incompatible
cl_khr_subgroups Incompatible
cl_khr_suggested_local_work_size Incompatible
cl_khr_terminate_context Incompatible
cl_khr_throttle_hints Incompatible
cl_nv_compiler_options Compatible
cl_nv_copy_opts Compatible
cl_nv_create_buffer Compatible
cl_nv_d3d10_sharing Compatible
cl_nv_d3d11_sharing Compatible
cl_nv_d3d9_sharing Incompatible
cl_nv_device_attribute_query Compatible
cl_nv_pragma_unroll Compatible
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 127 of 466
cl_qcom_ext_host_ptr Incompatible
Navegación
cl_qcom_ion_host_ptr Incompatible
Fuentes
familia de fuentes Tipo Estilo Juego de caracteres Tam. de caracteres Peso de caracteres
@Malgun Gothic Semilight Swiss Regular Báltico 39 x 53 30 %
@Malgun Gothic Semilight Swiss Regular CHINESE_BIG5 39 x 53 30 %
[ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 39 x 53 30 %
@Malgun Gothic Semilight Swiss Regular Cirílico 39 x 53 30 %
@Malgun Gothic Semilight Swiss Regular Griego 39 x 53 30 %
[ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 39 x 53 30 %
@Malgun Gothic Semilight Swiss Regular Hangul 39 x 53 30 %
@Malgun Gothic Semilight Swiss Regular Hebreo 39 x 53 30 %
[ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 39 x 53 30 %
@Malgun Gothic Semilight Swiss Regular Occidental 39 x 53 30 %
@Malgun Gothic Semilight Swiss Regular Turco 39 x 53 30 %
[ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 39 x 53 30 %
@Malgun Gothic Swiss Regular Hangul 19 x 53 40 %
@Malgun Gothic Swiss Regular Occidental 19 x 53 40 %
[ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 40 x 53 29 %
@Microsoft JhengHei Light Swiss Regular Griego 40 x 53 29 %
@Microsoft JhengHei Light Swiss Regular Occidental 40 x 53 29 %
[ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 40 x 51 29 %
@Microsoft JhengHei UI Light Swiss Regular Griego 40 x 51 29 %
@Microsoft JhengHei UI Light Swiss Regular Occidental 40 x 51 29 %
[ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 19 x 51 40 %
@Microsoft JhengHei UI Swiss Normal Griego 19 x 51 40 %
@Microsoft JhengHei UI Swiss Normal Occidental 19 x 51 40 %
[ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 19 x 53 40 %
@Microsoft JhengHei Swiss Normal Griego 19 x 53 40 %
@Microsoft JhengHei Swiss Normal Occidental 19 x 53 40 %
[ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 19 x 51 29 %
@Microsoft YaHei Light Swiss Regular Cirílico 19 x 51 29 %
@Microsoft YaHei Light Swiss Regular Europa central 19 x 51 29 %
[ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 19 x 51 29 %
@Microsoft YaHei Light Swiss Regular Occidental 19 x 51 29 %
@Microsoft YaHei Light Swiss Regular Turco 19 x 51 29 %
[ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 19 x 53 29 %
@Microsoft YaHei UI Light Swiss Regular Cirílico 19 x 53 29 %
@Microsoft YaHei UI Light Swiss Regular Europa central 19 x 53 29 %
[ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 19 x 53 29 %
@Microsoft YaHei UI Light Swiss Regular Occidental 19 x 53 29 %
@Microsoft YaHei UI Light Swiss Regular Turco 19 x 53 29 %
[ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 19 x 51 40 %
@Microsoft YaHei UI Swiss Normal Cirílico 19 x 51 40 %
@Microsoft YaHei UI Swiss Normal Europa central 19 x 51 40 %
[ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 19 x 51 40 %
@Microsoft YaHei UI Swiss Normal Occidental 19 x 51 40 %
@Microsoft YaHei UI Swiss Normal Turco 19 x 51 40 %
[ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 19 x 53 40 %
@Microsoft YaHei Swiss Normal Cirílico 19 x 53 40 %
@Microsoft YaHei Swiss Normal Europa central 19 x 53 40 %
[ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 19 x 53 40 %
@Microsoft YaHei Swiss Normal Occidental 19 x 53 40 %
@Microsoft YaHei Swiss Normal Turco 19 x 53 40 %
[ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 20 x 40 40 %
@MingLiU_HKSCS-ExtB Roman Regular Occidental 20 x 40 40 %
@MingLiU-ExtB Roman Regular CHINESE_BIG5 20 x 40 40 %
[ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 20 x 40 40 %
@MS Gothic Modern Regular Báltico 20 x 40 40 %
@MS Gothic Modern Regular Cirílico 20 x 40 40 %
[ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 20 x 40 40 %
@MS Gothic Modern Regular Griego 20 x 40 40 %
@MS Gothic Modern Regular Japonés 20 x 40 40 %
[ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 20 x 40 40 %
@MS Gothic Modern Regular Turco 20 x 40 40 %
@MS PGothic Swiss Regular Báltico 17 x 40 40 %
[ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 17 x 40 40 %
@MS PGothic Swiss Regular Europa central 17 x 40 40 %
@MS PGothic Swiss Regular Griego 17 x 40 40 %
[ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 17 x 40 40 %
@MS PGothic Swiss Regular Occidental 17 x 40 40 %
@MS PGothic Swiss Regular Turco 17 x 40 40 %
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 128 of 466
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 129 of 466
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 130 of 466
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 131 of 466
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 132 of 466
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 133 of 466
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 134 of 466
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 135 of 466
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 136 of 466
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 137 of 466
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 138 of 466
Audio de Windows
HD Audio
[ Realtek ALC663 ]
Códecs de audio
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 139 of 466
Códecs de vídeo
MCI
[ AVIVideo ]
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 140 of 466
Puede grabar No
Navegación
Puede guardar datos No
Puede congelar datos No
Puede bloquear datos No
Puede transformar imágenes Sí
Puede transformar datos de entrada No
Puede hacer pruebas Sí
Admite audio Sí
Admite vídeo Sí
Admite imágenes estáticas No
[ CDAudio ]
[ MPEGVideo ]
[ Sequencer ]
[ WaveAudio ]
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 141 of 466
SAPI
Propiedades de SAPI:
Versión de SAPI4 -
Versión de SAPI5 5.3.25307.0
Voz (SAPI5):
Nombre Microsoft Helena Desktop - Spanish (Spain)
Ruta a la voz C:\Windows\Speech_OneCore\Engines\TTS\es-ES\M3082Helena
Edad Adulto
Sexo Femenino
Idioma Español (España, internacional)
Vendedor Microsoft
Versión 11.0
Archivo DLL C:\Windows\SysWOW64\speech_onecore\engines\tts\MSTTSEngine_OneCore.dll (x86)
CLSID {179F3D56-1B0B-42B2-A962-59B7EF59FE1B}
Voz (SAPI5):
Nombre Microsoft Zira Desktop - English (United States)
Ruta a la voz C:\Windows\Speech\Engines\TTS\en-US\M1033ZIR
Edad Adulto
Sexo Femenino
Idioma Inglés (Estados Unidos)
Vendedor Microsoft
Versión 11.0
Archivo DLL C:\Windows\SysWOW64\speech\engines\tts\MSTTSEngine.dll (x86)
CLSID {C64501F6-E6E6-451f-A150-25D0839BC510}
Almacenamiento de Windows
[ KINGSTON SA400S37480G ]
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 142 of 466
Recursos de dispositivos:
Navegación
IRQ 65536
Memoria F7B1A000-F7B1A7FF
Puerto F060-F07F
Puerto F080-F083
Puerto F090-F097
Puerto F0A0-F0A3
Puerto F0B0-F0B7
Recursos de dispositivos:
IRQ 65536
Memoria F7800000-F7800FFF
Unidades lógicas
Unidades físicas
ASPI
ATA
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 143 of 466
Características SSD:
Data Set Management Compatible
Deterministic Read After TRIM Incompatible
Comando TRIM Compatible
Comandos ATA:
DEVICE RESET Incompatible
DOWNLOAD MICROCODE Compatible, Activado
FLUSH CACHE Compatible, Activado
FLUSH CACHE EXT Compatible, Activado
NOP Compatible, Activado
READ BUFFER Compatible, Activado
WRITE BUFFER Compatible, Activado
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 144 of 466
SMART
Red de Windows
Propiedades de WLAN:
Tipo de red Infraestructura
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 145 of 466
Propiedades de WLAN:
Tipo de red Infraestructura
Internet
Configuración de Internet:
Página de inicio http://go.microsoft.com/fwlink/p/?LinkId=255141
Página de búsqueda http://go.microsoft.com/fwlink/?LinkId=54896
Página local %11%\blank.htm
Carpeta de descarga
Proxy actual:
Estado del proxy Desactivado
Proxy de la LAN:
Estado del proxy Desactivado
Rutas
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 146 of 466
Navegación
Tipo Destino de red Máscara de subred Puerta de enlace Métrico Interfaz
Activo 0.0.0.0 0.0.0.0 192.168.1.1 35 192.168.1.100 (Realtek PCIe GbE Family Controller)
Activo 127.0.0.0 255.0.0.0 127.0.0.1 331 127.0.0.1 (Software Loopback Interface 1)
Activo [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 331 [ TRIAL VERSION ]
Activo 127.255.255.255 255.255.255.255 127.0.0.1 331 127.0.0.1 (Software Loopback Interface 1)
Activo 192.168.1.0 255.255.255.0 192.168.1.100 291 192.168.1.100 (Realtek PCIe GbE Family Controller)
Activo [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 291 [ TRIAL VERSION ]
Activo 192.168.1.255 255.255.255.255 192.168.1.100 291 192.168.1.100 (Realtek PCIe GbE Family Controller)
Activo 224.0.0.0 240.0.0.0 127.0.0.1 331 127.0.0.1 (Software Loopback Interface 1)
Activo [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 291 [ TRIAL VERSION ]
Activo 255.255.255.255 255.255.255.255 127.0.0.1 331 127.0.0.1 (Software Loopback Interface 1)
Activo 255.255.255.255 255.255.255.255 192.168.1.100 291 192.168.1.100 (Realtek PCIe GbE Family Controller)
Cookie de IE
Último
URL
acceso
2023-08-10
USUARIO@res://C:%5CUsers%5CUSUARIO%5CAppData%5CLocal%5CTemp%5Cjds498453.tmp%5Csetup64.exe/welcome.html
17:10:45
2023-08-10
USUARIO@res://C:%5CUsers%5CUSUARIO%5CAppData%5CLocal%5CTemp%5Cjds498453.tmp%5Csetup64.exe/progress.html
17:12:05
2023-08-10
[ TRIAL VERSION ]
17:12:08
2023-08-11
USUARIO@microsoft-edge:https://go.microsoft.com/fwlink/?linkid=864589
11:30:25
2023-08-11
USUARIO@https://justgetflux.com/winmap.html?lat=-0.200000&lng=-78.500000
11:35:46
2023-08-11
[ TRIAL VERSION ]
11:35:46
2023-08-11
USUARIO@https://justgetflux.com/winmap.html?geo=quito
11:35:54
2023-08-11
USUARIO@https://justgetflux.com/winmap.html?redir=1&lat=-0.22985&lng=-78.52495
11:35:55
2023-08-11
[ TRIAL VERSION ]
11:35:55
2023-08-11
USUARIO@about:blank
11:35:56
2023-08-11
USUARIO@file:///C:/Users/USUARIO/Downloads/AIDA64.Extreme.6.80.6200%20-%20www.eliteos.net.rar
11:58:32
2023-08-11
[ TRIAL VERSION ]
11:59:32
2023-08-11
USUARIO@file:///C:/Users/USUARIO/Downloads/AIDA64.Extreme.6.80.6200%20-%20www.eliteos.net/Keygen-SND.rar
11:59:59
2023-08-11 USUARIO@microsoft-edge:https://www.bing.com/search?q=iniciar%20sesi%C3%B3n%20en%20la%20cuenta%20microsoft%20windows%
12:01:46 2010&form=B00032&ocid=SettingsHAQ-BingIA&mkt=es-ES
2023-08-11
[ TRIAL VERSION ]
12:06:46
2023-08-11 USUARIO@https://login.live.com/oauth20_logout.srf?
12:06:46 client_id=00000000480728C5&redirect_uri=https://login.live.com/oauth20_desktop.srf
2023-08-13
USUARIO@ms-gamingoverlay://kglcheck/
19:42:00
Archivos de DirectX
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 147 of 466
Vídeo de DirectX
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 148 of 466
Navegación
[ Controlador de pantalla primaria ]
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 149 of 466
Sonido de DirectX
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 150 of 466
Dispositivos de Windows
[ Dispositivos ]
Adaptadores de pantalla:
Intel(R) HD Graphics 4600 20.19.15.5171
NVIDIA GeForce GTX 760M 23.21.13.9135
Adaptadores de red:
Bluetooth Device (Personal Area Network) 10.0.19041.1
Intel(R) Dual Band Wireless-N 7260 18.33.17.1
Microsoft Kernel Debug Network Adapter 10.0.19041.1
Microsoft Wi-Fi Direct Virtual Adapter #2 10.0.19041.1
Microsoft Wi-Fi Direct Virtual Adapter 10.0.19041.1
Realtek PCIe GbE Family Controller 10.48.315.2021
WAN Miniport (IKEv2) 10.0.19041.1
WAN Miniport (IP) 10.0.19041.1
WAN Miniport (IPv6) 10.0.19041.1
WAN Miniport (L2TP) 10.0.19041.1
WAN Miniport (Network Monitor) 10.0.19041.1
WAN Miniport (PPPOE) 10.0.19041.1
WAN Miniport (PPTP) 10.0.19041.1
WAN Miniport (SSTP) 10.0.19041.1
Baterías:
Adaptador de CA de Microsoft 10.0.19041.1
Batería con método de control compatible con ACPI de
10.0.19041.1
Microsoft
Bluetooth:
Bluetooth Device (RFCOMM Protocol TDI) 10.0.19041.1
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 151 of 466
Cámaras:
ASUS USB2.0 Webcam 10.0.19041.1741
Colas de impresión:
Cola de impresión raíz 10.0.19041.1
Fax 10.0.19041.1
Microsoft Print to PDF 10.0.19041.1
Microsoft XPS Document Writer 10.0.19041.1
OneNote 10.0.19041.1
Controladoras de almacenamiento:
Controladora de espacios de almacenamiento de Microsoft 10.0.19041.1949
Dispositivos de software:
Bluetooth 10.0.19041.1
Microsoft Device Association Root Enumerator 10.0.19041.1
Microsoft Radio Device Enumeration Bus 10.0.19041.1
Microsoft RRAS Root Enumerator 10.0.19041.1
Sintetizador por software GS de tabla de onda de 10.0.19041.1
Wi-Fi 10.0.19041.1
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 152 of 466
Dispositivos portátiles:
Datos 10.0.19041.746
SO 10.0.19041.746
Equipo:
Equipo basado en x64 ACPI 10.0.19041.1
Monitores:
Monitor genérico que no es PnP 10.0.19041.1151
Monitor PnP genérico 10.0.19041.1151
Procesadores:
Intel(R) Core(TM) i7-4700HQ CPU @ 2.40GHz 10.0.19041.1865
Intel(R) Core(TM) i7-4700HQ CPU @ 2.40GHz 10.0.19041.1865
Intel(R) Core(TM) i7-4700HQ CPU @ 2.40GHz 10.0.19041.1865
Intel(R) Core(TM) i7-4700HQ CPU @ 2.40GHz 10.0.19041.1865
Intel(R) Core(TM) i7-4700HQ CPU @ 2.40GHz 10.0.19041.1865
Intel(R) Core(TM) i7-4700HQ CPU @ 2.40GHz 10.0.19041.1865
Intel(R) Core(TM) i7-4700HQ CPU @ 2.40GHz 10.0.19041.1865
Intel(R) Core(TM) i7-4700HQ CPU @ 2.40GHz 10.0.19041.1865
Teclados:
Dispositivo de teclado HID 10.0.19041.1
Teclado PS/2 extendido para PC/AT (101/102 teclas) 10.0.19041.1
Unidades de disco:
KINGSTON SA400S37480G 10.0.19041.1865
Land 2531 USB Device 10.0.19041.1865
Unknown:
Desconocido
Volúmenes de almacenamiento:
Volumen 10.0.19041.1
Volumen 10.0.19041.1
Volumen 10.0.19041.1
Volumen 10.0.19041.1
Volumen 10.0.19041.1
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 153 of 466
Volumen 10.0.19041.1
Navegación
Volumen 10.0.19041.1
Volumen 10.0.19041.1
Volumen 10.0.19041.1
Volumen 10.0.19041.1
Volumen 10.0.19041.1
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 154 of 466
Dispositivo PCI Intel Dual Band Wireless-N 7260 BGN 2x2 HMC WiFi Adapter
Navegación
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 155 of 466
Navegación
Propiedades del dispositivo:
Descripción del controlador WAN Miniport (IKEv2)
Fecha del controlador 21/6/2006
Versión del controlador 10.0.19041.1
Proveedor del controlador Microsoft
Archivo INF netavpna.inf
INF Section Ndi-Mp-AgileVpn
ID del hardware ms_agilevpnminiport
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 156 of 466
Navegación
[ Adaptadores de red / WAN Miniport (PPTP) ]
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 157 of 466
Navegación
Fabricante del dispositivo:
Actualización del controlador http://www.aida64.com/goto/?p=drvupdates
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 158 of 466
[ Controladoras ATA/ATAPI IDE / Intel(R) 8 Series Chipset Family SATA AHCI Controller ]
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 159 of 466
[ Controladoras de bus serie universal / Controlador de host eXtensible Intel(R) USB 3.0 - 1.0
(Microsoft) ]
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 160 of 466
[ Controladoras de bus serie universal / USB EHCI nº 1 Intel(R) Serie 8/Serie C220 - 8C26 ]
[ Controladoras de bus serie universal / USB EHCI nº 2 Intel(R) Serie 8/Serie C220 - 8C2D ]
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 161 of 466
[ Dispositivos de interfaz humana (HID) / Controlador del sistema compatible con HID ]
[ Dispositivos de interfaz humana (HID) / Controles de radio inalámbrica compatibles con HID ]
[ Dispositivos de interfaz humana (HID) / Dispositivo de control del consumidor compatible con HID ]
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 162 of 466
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 163 of 466
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 164 of 466
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 165 of 466
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 166 of 466
[ Dispositivos del sistema / Intel Collaborative Processor Performance Control (CPPC) Driver ]
[ Dispositivos del sistema / Intel(R) 8 Series/C220 Series PCI Express Root Port #1 - 8C10 ]
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 167 of 466
[ Dispositivos del sistema / Intel(R) 8 Series/C220 Series PCI Express Root Port #3 - 8C14 ]
[ Dispositivos del sistema / Intel(R) 8 Series/C220 Series PCI Express Root Port #4 - 8C16 ]
[ Dispositivos del sistema / Intel(R) 8 Series/C220 Series PCI Express Root Port #5 - 8C18 ]
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 168 of 466
[ Dispositivos del sistema / Intel(R) Xeon(R) processor E3 - 1200 v3/4th Gen Core processor DRAM
Controller - 0C04 ]
[ Dispositivos del sistema / Intel(R) Xeon(R) processor E3 - 1200 v3/4th Gen Core processor PCI
Express x16 Controller - 0C01 ]
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 169 of 466
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 170 of 466
Navegación
[ Dispositivos del sistema / Recursos de la placa base ]
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 171 of 466
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 172 of 466
IRQ 180
Navegación
IRQ 181
IRQ 182
IRQ 183
IRQ 184
IRQ 185
IRQ 186
IRQ 187
IRQ 188
IRQ 189
IRQ 190
IRQ 191
IRQ 192
IRQ 193
IRQ 194
IRQ 195
IRQ 196
IRQ 197
IRQ 198
IRQ 199
IRQ 200
IRQ 201
IRQ 202
IRQ 203
IRQ 204
IRQ 256
IRQ 257
IRQ 258
IRQ 259
IRQ 260
IRQ 261
IRQ 262
IRQ 263
IRQ 264
IRQ 265
IRQ 266
IRQ 267
IRQ 268
IRQ 269
IRQ 270
IRQ 271
IRQ 272
IRQ 273
IRQ 274
IRQ 275
IRQ 276
IRQ 277
IRQ 278
IRQ 279
IRQ 280
IRQ 281
IRQ 282
IRQ 283
IRQ 284
IRQ 285
IRQ 286
IRQ 287
IRQ 288
IRQ 289
IRQ 290
IRQ 291
IRQ 292
IRQ 293
IRQ 294
IRQ 295
IRQ 296
IRQ 297
IRQ 298
IRQ 299
IRQ 300
IRQ 301
IRQ 302
IRQ 303
IRQ 304
IRQ 305
IRQ 306
IRQ 307
IRQ 308
IRQ 309
IRQ 310
IRQ 311
IRQ 312
IRQ 313
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 173 of 466
IRQ 314
Navegación
IRQ 315
IRQ 316
IRQ 317
IRQ 318
IRQ 319
IRQ 320
IRQ 321
IRQ 322
IRQ 323
IRQ 324
IRQ 325
IRQ 326
IRQ 327
IRQ 328
IRQ 329
IRQ 330
IRQ 331
IRQ 332
IRQ 333
IRQ 334
IRQ 335
IRQ 336
IRQ 337
IRQ 338
IRQ 339
IRQ 340
IRQ 341
IRQ 342
IRQ 343
IRQ 344
IRQ 345
IRQ 346
IRQ 347
IRQ 348
IRQ 349
IRQ 350
IRQ 351
IRQ 352
IRQ 353
IRQ 354
IRQ 355
IRQ 356
IRQ 357
IRQ 358
IRQ 359
IRQ 360
IRQ 361
IRQ 362
IRQ 363
IRQ 364
IRQ 365
IRQ 366
IRQ 367
IRQ 368
IRQ 369
IRQ 370
IRQ 371
IRQ 372
IRQ 373
IRQ 374
IRQ 375
IRQ 376
IRQ 377
IRQ 378
IRQ 379
IRQ 380
IRQ 381
IRQ 382
IRQ 383
IRQ 384
IRQ 385
IRQ 386
IRQ 387
IRQ 388
IRQ 389
IRQ 390
IRQ 391
IRQ 392
IRQ 393
IRQ 394
IRQ 395
IRQ 396
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 174 of 466
IRQ 397
Navegación
IRQ 398
IRQ 399
IRQ 400
IRQ 401
IRQ 402
IRQ 403
IRQ 404
IRQ 405
IRQ 406
IRQ 407
IRQ 408
IRQ 409
IRQ 410
IRQ 411
IRQ 412
IRQ 413
IRQ 414
IRQ 415
IRQ 416
IRQ 417
IRQ 418
IRQ 419
IRQ 420
IRQ 421
IRQ 422
IRQ 423
IRQ 424
IRQ 425
IRQ 426
IRQ 427
IRQ 428
IRQ 429
IRQ 430
IRQ 431
IRQ 432
IRQ 433
IRQ 434
IRQ 435
IRQ 436
IRQ 437
IRQ 438
IRQ 439
IRQ 440
IRQ 441
IRQ 442
IRQ 443
IRQ 444
IRQ 445
IRQ 446
IRQ 447
IRQ 448
IRQ 449
IRQ 450
IRQ 451
IRQ 452
IRQ 453
IRQ 454
IRQ 455
IRQ 456
IRQ 457
IRQ 458
IRQ 459
IRQ 460
IRQ 461
IRQ 462
IRQ 463
IRQ 464
IRQ 465
IRQ 466
IRQ 467
IRQ 468
IRQ 469
IRQ 470
IRQ 471
IRQ 472
IRQ 473
IRQ 474
IRQ 475
IRQ 476
IRQ 477
IRQ 478
IRQ 479
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 175 of 466
IRQ 480
Navegación
IRQ 481
IRQ 482
IRQ 483
IRQ 484
IRQ 485
IRQ 486
IRQ 487
IRQ 488
IRQ 489
IRQ 490
IRQ 491
IRQ 492
IRQ 493
IRQ 494
IRQ 495
IRQ 496
IRQ 497
IRQ 498
IRQ 499
IRQ 500
IRQ 501
IRQ 502
IRQ 503
IRQ 504
IRQ 505
IRQ 506
IRQ 507
IRQ 508
IRQ 509
IRQ 510
IRQ 511
IRQ 55
IRQ 56
IRQ 57
IRQ 58
IRQ 59
IRQ 60
IRQ 61
IRQ 62
IRQ 63
IRQ 64
IRQ 65
IRQ 66
IRQ 67
IRQ 68
IRQ 69
IRQ 70
IRQ 71
IRQ 72
IRQ 73
IRQ 74
IRQ 75
IRQ 76
IRQ 77
IRQ 78
IRQ 79
IRQ 80
IRQ 81
IRQ 82
IRQ 83
IRQ 84
IRQ 85
IRQ 86
IRQ 87
IRQ 88
IRQ 89
IRQ 90
IRQ 91
IRQ 92
IRQ 93
IRQ 94
IRQ 95
IRQ 96
IRQ 97
IRQ 98
IRQ 99
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 176 of 466
[ Dispositivos portátiles / OS ]
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 177 of 466
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 178 of 466
Fabricante de la CPU:
Nombre de la empresa Intel Corporation
https://ark.intel.com/content/www/us/en/ark/search.html?q=Intel%20Core%20i7-
Información del producto
4700HQ
Actualización del controlador http://www.aida64.com/goto/?p=drvupdates
Fabricante de la CPU:
Nombre de la empresa Intel Corporation
https://ark.intel.com/content/www/us/en/ark/search.html?q=Intel%20Core%20i7-
Información del producto
4700HQ
Actualización del controlador http://www.aida64.com/goto/?p=drvupdates
Fabricante de la CPU:
Nombre de la empresa Intel Corporation
https://ark.intel.com/content/www/us/en/ark/search.html?q=Intel%20Core%20i7-
Información del producto
4700HQ
Actualización del controlador http://www.aida64.com/goto/?p=drvupdates
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 179 of 466
Fabricante de la CPU:
Nombre de la empresa Intel Corporation
https://ark.intel.com/content/www/us/en/ark/search.html?q=Intel%20Core%20i7-
Información del producto
4700HQ
Actualización del controlador http://www.aida64.com/goto/?p=drvupdates
Fabricante de la CPU:
Nombre de la empresa Intel Corporation
https://ark.intel.com/content/www/us/en/ark/search.html?q=Intel%20Core%20i7-
Información del producto
4700HQ
Actualización del controlador http://www.aida64.com/goto/?p=drvupdates
Fabricante de la CPU:
Nombre de la empresa Intel Corporation
https://ark.intel.com/content/www/us/en/ark/search.html?q=Intel%20Core%20i7-
Información del producto
4700HQ
Actualización del controlador http://www.aida64.com/goto/?p=drvupdates
Fabricante de la CPU:
Nombre de la empresa Intel Corporation
https://ark.intel.com/content/www/us/en/ark/search.html?q=Intel%20Core%20i7-
Información del producto
4700HQ
Actualización del controlador http://www.aida64.com/goto/?p=drvupdates
Fabricante de la CPU:
Nombre de la empresa Intel Corporation
https://ark.intel.com/content/www/us/en/ark/search.html?q=Intel%20Core%20i7-
Información del producto
4700HQ
Actualización del controlador http://www.aida64.com/goto/?p=drvupdates
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 180 of 466
[ Unknown / Unknown ]
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 181 of 466
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 182 of 466
Navegación
Propiedades del dispositivo:
Descripción del controlador Volumen
Fecha del controlador 21/6/2006
Versión del controlador 10.0.19041.1
Proveedor del controlador Microsoft
Archivo INF volume.inf
INF Section volume_install.NT
ID del hardware STORAGE\Volume
Dispositivos físicos
Dispositivos PCI:
Bus 3, Dispositivo 0, función 0 Intel Dual Band Wireless-N 7260 BGN 2x2 HMC WiFi Adapter
Bus 0, Dispositivo 1, función 0 Intel Haswell - PCI Express x16 Controller
Bus 0, Dispositivo 0, función 0 Intel Haswell-MB - Host Bridge/DRAM Controller
Bus 0, Dispositivo 2, función 0 Intel Haswell-MB GT2 - Integrated Graphics Controller
Bus 0, Dispositivo 31, función 0 Intel HM86 Chipset - LPC Interface Controller [C2]
Bus 0, Dispositivo 27, función 0 Intel Lynx Point PCH - High Definition Audio Controller [C2]
Intel Lynx Point PCH - Host Embedded Controller Interface 1
Bus 0, Dispositivo 22, función 0
(HECI1) [C1]
Bus 0, Dispositivo 28, función 0 Intel Lynx Point PCH - PCI Express Root Port 1 [C2]
Bus 0, Dispositivo 28, función 2 Intel Lynx Point PCH - PCI Express Root Port 3 [C2]
Bus 0, Dispositivo 28, función 3 Intel Lynx Point PCH - PCI Express Root Port 4 [C2]
Bus 0, Dispositivo 28, función 4 Intel Lynx Point PCH - PCI Express Root Port 5 [C2]
Bus 0, Dispositivo 31, función 3 Intel Lynx Point PCH - SMBus Controller [C2]
Bus 0, Dispositivo 31, función 6 Intel Lynx Point PCH - Thermal Controller [C2]
Bus 0, Dispositivo 29, función 0 Intel Lynx Point PCH - USB 2.0 EHCI Host Controller 1 [C2]
Bus 0, Dispositivo 26, función 0 Intel Lynx Point PCH - USB 2.0 EHCI Host Controller 2 [C2]
Bus 0, Dispositivo 20, función 0 Intel Lynx Point PCH - USB 3.0 xHCI Host Controller [C2]
Intel Lynx Point-M PCH - SATA AHCI Controller (Ports 0-5)
Bus 0, Dispositivo 31, función 2
[C2]
Bus 1, Dispositivo 0, función 0 nVIDIA GeForce GTX 760M (Asus) Video Adapter
Bus 4, Dispositivo 0, función 0 Realtek RTL8168/8111 PCI-E Gigabit Ethernet Adapter
Bus 5, Dispositivo 0, función 0 Realtek RTS5227 PCI-E Card Reader
Dispositivos PnP:
PNP0C08 ACPI Driver/BIOS
PNP0A08 ACPI Three-wire Device Bus
ATK3001 Asus Keyboard Device Filter
ATK4001 Asus Wireless Radio Control
FIXEDBUTTON Botón de característica fija ACPI
PNP0C0A Control Method Battery
PNP0200 DMA Controller
ETD0108 ELAN PS/2 Port Smart-Pad
PNP0C09 Embedded Controller Device
PNP0103 High Precision Event Timer
INT340F Intel Collaborative Processor Performance Control (CPPC)
INT0800 Intel Flash EEPROM
INT340E Intel System Device
INT3F0D Intel Watchdog Timer
GENUINEINTEL_-_INTEL64_FAMILY_6_MODEL_60_-_INTEL(R)_CORE(TM)_I7-
Intel(R) Core(TM) i7-4700HQ CPU @ 2.40GHz
4700HQ_CPU_@_2.40GHZ
GENUINEINTEL_-_INTEL64_FAMILY_6_MODEL_60_-_INTEL(R)_CORE(TM)_I7-
Intel(R) Core(TM) i7-4700HQ CPU @ 2.40GHz
4700HQ_CPU_@_2.40GHZ
GENUINEINTEL_-_INTEL64_FAMILY_6_MODEL_60_-_INTEL(R)_CORE(TM)_I7-
Intel(R) Core(TM) i7-4700HQ CPU @ 2.40GHz
4700HQ_CPU_@_2.40GHZ
GENUINEINTEL_-_INTEL64_FAMILY_6_MODEL_60_-_INTEL(R)_CORE(TM)_I7-
Intel(R) Core(TM) i7-4700HQ CPU @ 2.40GHz
4700HQ_CPU_@_2.40GHZ
GENUINEINTEL_-_INTEL64_FAMILY_6_MODEL_60_-_INTEL(R)_CORE(TM)_I7-
Intel(R) Core(TM) i7-4700HQ CPU @ 2.40GHz
4700HQ_CPU_@_2.40GHZ
GENUINEINTEL_-_INTEL64_FAMILY_6_MODEL_60_-_INTEL(R)_CORE(TM)_I7-
Intel(R) Core(TM) i7-4700HQ CPU @ 2.40GHz
4700HQ_CPU_@_2.40GHZ
GENUINEINTEL_-_INTEL64_FAMILY_6_MODEL_60_-_INTEL(R)_CORE(TM)_I7-
Intel(R) Core(TM) i7-4700HQ CPU @ 2.40GHz
4700HQ_CPU_@_2.40GHZ
GENUINEINTEL_-_INTEL64_FAMILY_6_MODEL_60_-_INTEL(R)_CORE(TM)_I7-
Intel(R) Core(TM) i7-4700HQ CPU @ 2.40GHz
4700HQ_CPU_@_2.40GHZ
PNP0C0D Lid
ACPI0003 Microsoft AC Adapter
PNP0C14 Microsoft Windows Management Interface for ACPI
PNP0C14 Microsoft Windows Management Interface for ACPI
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 183 of 466
Dispositivos USB:
1BCF 2883 ASUS USB2.0 Webcam
0458 0186 Dispositivo compuesto USB
1A2C 0E24 Dispositivo compuesto USB
1BCF 2883 Dispositivo compuesto USB
04BB 0156 Dispositivo de almacenamiento USB
0458 0186 Dispositivo de entrada USB
0458 0186 Dispositivo de entrada USB
1A2C 0E24 Dispositivo de entrada USB
1A2C 0E24 Dispositivo de entrada USB
8087 8000 Generic USB Hub
8087 8008 Generic USB Hub
8087 07DC Intel(R) Wireless Bluetooth(R)
Dispositivos PCI
[ Intel Dual Band Wireless-N 7260 BGN 2x2 HMC WiFi Adapter ]
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 184 of 466
[ Intel Lynx Point PCH - Host Embedded Controller Interface 1 (HECI1) [C1] ]
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 185 of 466
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 186 of 466
[ Intel Lynx Point PCH - USB 2.0 EHCI Host Controller 1 [C2] ] Navegación
[ Intel Lynx Point PCH - USB 2.0 EHCI Host Controller 2 [C2] ]
[ Intel Lynx Point PCH - USB 3.0 xHCI Host Controller [C2] ]
[ Intel Lynx Point-M PCH - SATA AHCI Controller (Ports 0-5) [C2] ]
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 187 of 466
Dispositivos USB
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 188 of 466
[ Unknown Device ]
Recursos de dispositivos
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 189 of 466
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 190 of 466
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 191 of 466
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 192 of 466
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 193 of 466
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 194 of 466
Entrada
[ ASUS Touchpad ]
Impresoras
[ Fax ]
Propiedades de impresora:
Nombre de impresora Fax
No
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 195 of 466
Impresora
predeterminada Navegación
Recurso compartido No compartido
Puerto de impresora SHRFAX:
Controlador de
Microsoft Shared Fax Driver (v4.00)
impresora
Nombre del dispositivo Fax
Procesador de
winprint
impresión
Página de separación Ninguno
Disponibilidad Siempre
Prioridad 1
Trabajos de impresión en
0
cola
Estado Desconocido
Propiedades de impresora:
Nombre de impresora Microsoft Print to PDF
Impresora
Sí
predeterminada
Recurso compartido No compartido
Puerto de impresora PORTPROMPT:
Controlador de
Microsoft Print To PDF (v6.03)
impresora
Nombre del dispositivo Microsoft Print to PDF
Procesador de
winprint
impresión
Página de separación Ninguno
Disponibilidad Siempre
Prioridad 1
Trabajos de impresión en
0
cola
Estado Desconocido
Propiedades de impresora:
Nombre de impresora Microsoft XPS Document Writer
Impresora
No
predeterminada
Recurso compartido No compartido
Puerto de impresora PORTPROMPT:
Controlador de
Microsoft XPS Document Writer v4 (v6.03)
impresora
Nombre del dispositivo Microsoft XPS Document Writer
Procesador de
winprint
impresión
Página de separación Ninguno
Disponibilidad Siempre
Prioridad 1
Trabajos de impresión en
0
cola
Estado Desconocido
[ OneNote ]
Propiedades de impresora:
Nombre de impresora OneNote
Impresora
No
predeterminada
Recurso compartido No compartido
Microsoft.Office.OneNote_16001.12026.20112.0_x64__8wekyb3d8bbwe_microsoft.onenoteim_S-1-5-21-1163546357-
Puerto de impresora
429208663-839679816-1001
Controlador de
Microsoft Software Printer Driver (v6.03)
impresora
Nombre del dispositivo OneNote
Procesador de
winprint
impresión
Página de separación Ninguno
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 196 of 466
Disponibilidad Siempre
Navegación
Prioridad 1
Trabajos de impresión en
0
cola
Estado Desconocido
Inicio automático
Tareas programadas
Propiedades de la tarea:
Nombre de
Adobe Acrobat Update Task
tarea
Estado Activado
Nombre de la
C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe
aplicación
Parámetros de la
aplicación
Carpeta de
trabajo
Comentario This task keeps your Adobe Reader and Acrobat applications up to date with the latest enhancements and security fixes
Nombre de la
cuenta
Creador Adobe Systems Incorporated
Última
13/8/2023 19:53:59
ejecución
Siguiente
14/8/2023 11:00:00
ejecución
Desencadenadores de tareas:
At log on At log on of any user - After triggered, repeat every 3 hours indefinitely
Daily At 11:00:00 every day
Propiedades de la tarea:
Nombre de
ASUS Smart Gesture Launcher
tarea
Estado Activado
Nombre de la
"C:\Program Files (x86)\ASUS\ASUS Smart Gesture\AsTPCenter\x64\AsusTPLauncher.exe"
aplicación
Parámetros de la
aplicación
Carpeta de
trabajo
Comentario ASUS Smart Gesture Launcher
Nombre de la
cuenta
Creador ASUS
Última
13/8/2023 19:42:02
ejecución
Siguiente
Desconocido
ejecución
Desencadenadores de tareas:
At log on At log on of any user
[ GoogleUpdateTaskMachineCore{853C493E-B609-4B3A-989B-56830FDDB5E4} ]
Propiedades de la tarea:
Nombre de
GoogleUpdateTaskMachineCore{853C493E-B609-4B3A-989B-56830FDDB5E4}
tarea
Estado Activado
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 197 of 466
Desencadenadores de tareas:
At log on At log on of any user
Daily At 17:34:49 every day
[ GoogleUpdateTaskMachineUA{CF0E3927-1D32-488B-BFC8-AF08C362799B} ]
Propiedades de la tarea:
Nombre de
GoogleUpdateTaskMachineUA{CF0E3927-1D32-488B-BFC8-AF08C362799B}
tarea
Estado Activado
Nombre de la
"C:\Program Files (x86)\Google\Update\GoogleUpdate.exe"
aplicación
Parámetros de la
/ua /installsource scheduler
aplicación
Carpeta de
trabajo
Mantiene actualizado tu software de Google. Si esta tarea se desactiva o se detiene, tu software de Google no se mantendrá
Comentario actualizado, lo que implica que las vulnerabilidades de seguridad que puedan aparecer no podrán arreglarse y es posible que algunas
funciones no anden. Esta tarea se desinstala automáticamente si ningún software de Google la utiliza.
Nombre de la
Sistema
cuenta
Creador
Última
13/8/2023 20:03:56
ejecución
Siguiente
13/8/2023 21:34:49
ejecución
Desencadenadores de tareas:
Daily At 17:34:49 every day - After triggered, repeat every 1 hour for a duration of 1 day
[ MicrosoftEdgeUpdateTaskMachineCore ]
Propiedades de la tarea:
Nombre de
MicrosoftEdgeUpdateTaskMachineCore
tarea
Estado Activado
Nombre de la
C:\Program Files (x86)\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe
aplicación
Parámetros de la
/c
aplicación
Carpeta de
trabajo
Mantiene actualizado el software de Microsoft. Si esta tarea está deshabilitada o detenida, el software de Microsoft no se actualizará, lo
Comentario que significa que no se podrán corregir las vulnerabilidades que puedan surgir y es posible que las características no funcionen. Esta
tarea se desinstalará cuando el software de Microsoft no la esté usando.
Nombre de la
Sistema
cuenta
Creador
Última
13/8/2023 19:44:56
ejecución
Siguiente
14/8/2023 12:03:48
ejecución
Desencadenadores de tareas:
At log on At log on of any user
Daily At 12:03:48 every day
[ MicrosoftEdgeUpdateTaskMachineUA ]
Propiedades de la tarea:
Nombre de
MicrosoftEdgeUpdateTaskMachineUA
tarea
Estado Activado
Nombre de la
C:\Program Files (x86)\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe
aplicación
Parámetros de la
/ua /installsource scheduler
aplicación
Carpeta de
trabajo
Mantiene actualizado el software de Microsoft. Si esta tarea está deshabilitada o detenida, el software de Microsoft no se actualizará, lo
Comentario que significa que no se podrán corregir las vulnerabilidades que puedan surgir y es posible que las características no funcionen. Esta
tarea se desinstalará cuando el software de Microsoft no la esté usando.
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 198 of 466
Nombre de la Sistema
cuenta Navegación
Creador
Última
13/8/2023 20:33:49
ejecución
Siguiente
13/8/2023 21:33:48
ejecución
Desencadenadores de tareas:
Daily At 11:33:48 every day - After triggered, repeat every 1 hour for a duration of 1 day
Propiedades de la tarea:
Nombre de
OneDrive Reporting Task-S-1-5-21-1163546357-429208663-839679816-1001
tarea
Estado Activado
Nombre de la
%localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe
aplicación
Parámetros de la
/reporting
aplicación
Carpeta de
trabajo
Comentario
Nombre de la
USUARIO
cuenta
Creador Microsoft Corporation
Última
13/8/2023 19:44:56
ejecución
Siguiente
14/8/2023 17:22:52
ejecución
Desencadenadores de tareas:
One time At 17:22:52 on 11/8/2023 - After triggered, repeat every 1 day indefinitely
Propiedades de la tarea:
Nombre de
OneDrive Standalone Update Task-S-1-5-21-1163546357-429208663-839679816-1001
tarea
Estado Activado
Nombre de la
%localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe
aplicación
Parámetros de la
aplicación
Carpeta de
trabajo
Comentario
Nombre de la
USUARIO
cuenta
Creador Microsoft Corporation
Última
13/8/2023 19:44:56
ejecución
Siguiente
14/8/2023 17:59:21
ejecución
Desencadenadores de tareas:
One time At 16:00:00 on 1/5/1992 - After triggered, repeat every 1 day indefinitely
[ RtHDVBg_ListenToDevice ]
Propiedades de la tarea:
Nombre de
RtHDVBg_ListenToDevice
tarea
Estado Ejecutando
Nombre de la
"C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe"
aplicación
Parámetros de la
/AECBYLISTENTOSTATUS
aplicación
Carpeta de
trabajo
Comentario
Nombre de la
cuenta
Creador Realtek
Última
13/8/2023 19:42:29
ejecución
Siguiente
Desconocido
ejecución
Desencadenadores de tareas:
At log on At log on of any user
[ RtHDVBg ]
Propiedades de la tarea:
RtHDVBg
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 199 of 466
Nombre de
tarea Navegación
Estado Ejecutando
Nombre de la
"C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe"
aplicación
Parámetros de la
/MAXX4
aplicación
Carpeta de
trabajo
Comentario
Nombre de la
cuenta
Creador Realtek
Última
13/8/2023 19:42:29
ejecución
Siguiente
Desconocido
ejecución
Desencadenadores de tareas:
At log on At log on of any user
[ RTKCPL ]
Propiedades de la tarea:
Nombre de
RTKCPL
tarea
Estado Activado
Nombre de la
"C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe"
aplicación
Parámetros de la
/runcplsilence
aplicación
Carpeta de
trabajo
Comentario
Nombre de la
cuenta
Creador Realtek
Última
13/8/2023 19:42:29
ejecución
Siguiente
Desconocido
ejecución
Desencadenadores de tareas:
At log on At log on of any user
Programas instalados
Tamaño de Fecha de
Programa Versión GUID Editor
inst. inst.
7-Zip 19.00 (x64) 19.00 Desconocido 7-Zip Igor Pavlov
Adobe Systems 2023-08-
Adobe [ TRIAL VERSION ] 21.007.20091 Desconocido {AC76BA [ TRIAL VERSION ]
Incorporated 10
Adobe Systems 2023-08-
Adobe [ TRIAL VERSION ] 1.8.0 Desconocido {AC76BA [ TRIAL VERSION ]
Incorporated 11
2023-08-
AIDA64 [ TRIAL VERSION ] 6.80 Desconocido AIDA64 [ TRIAL VERSION ] FinalWire Ltd.
11
2023-08-
ASUS S [ TRIAL VERSION ] 4.0.18 Desconocido {4D3286 [ TRIAL VERSION ] ASUS
10
2023-08-
Docs 1.0 Desconocido b37aa0ed7233dc72cef95f8255572cd5 Google\Chrome
12
2023-08-
Documentos 1.0 Desconocido c5763d6374ea3e2fd351f74cde034395 Google\Chrome
11
f.lux 4.124 Desconocido Flux f.lux Software LLC
2023-08-
Gmail 1.0 Desconocido 7dd9bac47e62c14c1466cf81f9a8ee48 Google\Chrome
11
2023-08-
Google Drive 1.0 Desconocido 04dfd291179a73cc965877730fe29c14 Google\Chrome
11
2023-08-
Google Chrome 115.0.5790.171 Desconocido Google Chrome Google LLC
10
2023-08-
Hojas de cálculo 1.0 Desconocido 6c045a3c086726285026b3b733a15918 Google\Chrome
11
{F0E3AD40-2BBD-4360-9C76-
Intel(R) Processor Graphics 20.19.15.5171 Desconocido Intel Corporation
B9AC9A5886EA}
Microsoft Edge Update 1.3.177.11 Desconocido Microsoft Edge Update
Microsoft 2023-08-
Microsoft Edge 115.0.1901.203 Desconocido Microsoft Edge
Corporation 11
Microsoft
Microsoft Office Standard 2019 - es-es 16.0.10401.20025 Desconocido Standard2019Volume - es-es
Corporation
Microsoft
Microsoft OneDrive 23.153.0724.0003 Desconocido OneDriveSetup.exe
Corporation
Office 16 Click-to-Run Extensibility {90160000-008C-0000-1000- Microsoft 2023-08-
16.0.10401.20025 Desconocido
Component 0000000FF1CE} Corporation 10
Office 16 Click-to-Run Licensing {90160000-007E-0000-1000- Microsoft 2023-08-
16.0.10401.20025 Desconocido
Component 0000000FF1CE} Corporation 10
Office 16 Click-to-Run Localization
{90160000-008C-0C0A-1000- Microsoft 2023-08-
Component [español (españa, 16.0.10401.20025 Desconocido
0000000FF1CE} Corporation 10
internacional)]
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 200 of 466
Licencias
Tipos de archivos
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 201 of 466
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 202 of 466
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 203 of 466
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 204 of 466
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 205 of 466
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 206 of 466
Seguridad de Windows
Windows Update
Tipo de Fecha de
Descripción de actualización
actualización inst.
(Automatic Update) Desconocido
Actualización de inteligencia de seguridad para Microsoft Defender Antivirus - KB2267602 (Versión 1.395.192.0) Actualización 11/8/2023
Actualización de inteligencia de seguridad para Microsoft Defender Antivirus - KB2267602 (Versión 1.395.227.0) Actualización 11/8/2023
Actualización de inteligencia de seguridad para Microsoft Defender Antivirus - KB2267602 (Versión 1.395.361.0) Actualización 13/8/2023
Actualización de la plataforma antimalware de Microsoft Defender Antivirus - KB4052623 (versión
Actualización 11/8/2023
4.18.23070.1004)
Antivirus
Descripción del software Versión del software Fecha de base de datos de virus Virus conocidos
Windows Defender 4.18.23070.1004 13/8/2023 ?
Cortafuegos
Antiespías
Regional
Zona horaria:
Zona horaria actual Hora est. Pacífico, Sudamérica
Descripción de la zona horaria actual (UTC-05:00) Bogotá, Lima, Quito, Rio Branco
Cambiar a horario normal
Cambiar a horario de verano
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 207 of 466
Navegación
Idioma:
Nombre del idioma (nativo) español
Nombre del idioma (en inglés) Spanish
Nombre del idioma (ISO 639) es
País/Región:
Nombre del país (nativo) Ecuador
Nombre del país (en inglés) Ecuador
Nombre del país (ISO 3166) EC
Código del país 593
Moneda:
Nombre de la moneda (nativo) dólar estadounidense
Nombre de la moneda (en inglés) US Dollar
Símbolo de la moneda (nativo) $
Símbolo de la moneda (ISO 4217) USD
Formato de moneda $123.456.789,00
Formato de moneda negativo $-123.456.789,00
Formateado:
Formato de hora H:mm:ss
Formato de fecha corto d/M/yyyy
Formato de fecha largo dddd, d 'de' MMMM 'de' yyyy
Formato de números 123.456.789,00
Formato de números negativos -123.456.789,00
Formato de lista first; second; third
Dígitos nativos 0123456789
Días de la semana:
Nombre nativo para lunes lunes / lun.
Nombre nativo para martes martes / mar.
Nombre nativo para miércoles miércoles / mié.
Nombre nativo para jueves jueves / jue.
Nombre nativo para viernes viernes / vie.
Nombre nativo para sábado sábado / sáb.
Nombre nativo para domingo domingo / dom.
Meses:
Nombre nativo para enero enero / ene.
Nombre nativo para febrero febrero / feb.
Nombre nativo para marzo marzo / mar.
Nombre nativo para abril abril / abr.
Nombre nativo para mayo mayo / may.
Nombre nativo para junio junio / jun.
Nombre nativo para julio julio / jul.
Nombre nativo para agosto agosto / ago.
Nombre nativo para septiembre septiembre / sep.
Nombre nativo para octubre octubre / oct.
Nombre nativo para noviembre noviembre / nov.
Nombre nativo para diciembre diciembre / dic.
Misceláneos:
Tipo de calendario Gregorian (localized)
Tamaño de papel predeterminado A4
Sistema de medida Métrico
Entorno
Variable Valor
ALLUSERSPROFILE C:\ProgramData
APPDATA C:\Users\USUARIO\AppData\Roaming
CommonProgramFiles(x86) C:\Program Files (x86)\Common Files
CommonProgramFiles C:\Program Files (x86)\Common Files
CommonProgramW6432 C:\Program Files\Common Files
COMPUTERNAME DESKTOP-K618JK0
ComSpec C:\Windows\system32\cmd.exe
DriverData C:\Windows\System32\Drivers\DriverData
FPS_BROWSER_APP_PROFILE_STRING Internet Explorer
FPS_BROWSER_USER_PROFILE_STRING Default
HOMEDRIVE C:
HOMEPATH \Users\USUARIO
LOCALAPPDATA C:\Users\USUARIO\AppData\Local
LOGONSERVER \\DESKTOP-K618JK0
NUMBER_OF_PROCESSORS 8
NVIDIAWHITELISTED 0x01
OneDrive C:\Users\USUARIO\OneDrive
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 208 of 466
OneDriveConsumer C:\Users\USUARIO\OneDrive
Navegación
OS Windows_NT
C:\Windows\system32;C:\Windows;C:\Windows\System32\Wbem;C:\Windows\System32
Path \WindowsPowerShell\v1.0\;C:\Windows\System32
\OpenSSH\;C:\Users\USUARIO\AppData\Local\Microsoft\WindowsApps
PATHEXT .COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
PROCESSOR_ARCHITECTURE x86
PROCESSOR_ARCHITEW6432 AMD64
PROCESSOR_IDENTIFIER Intel64 Family 6 Model 60 Stepping 3, GenuineIntel
PROCESSOR_LEVEL 6
PROCESSOR_REVISION 3c03
ProgramData C:\ProgramData
ProgramFiles(x86) C:\Program Files (x86)
ProgramFiles C:\Program Files (x86)
ProgramW6432 C:\Program Files
PSModulePath C:\Program Files\WindowsPowerShell\Modules;C:\Windows\system32\WindowsPowerShell\v1.0\Modules
PUBLIC C:\Users\Public
SHIM_MCCOMPAT 0x810000001
SystemDrive C:
SystemRoot C:\Windows
TEMP C:\Users\USUARIO\AppData\Local\Temp
TMP C:\Users\USUARIO\AppData\Local\Temp
USERDOMAIN_ROAMINGPROFILE DESKTOP-K618JK0
USERDOMAIN DESKTOP-K618JK0
USERNAME USUARIO
USERPROFILE C:\Users\USUARIO
windir C:\Windows
Papelera de reciclaje
[ system.ini ]
[ win.ini ]
[ hosts ]
[ lmhosts.sam ]
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 209 of 466
CD Burning C:\Users\USUARIO\AppData\Local\Microsoft\Windows\Burn\Burn
Navegación
Common Administrative Tools C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools
Common AppData C:\ProgramData
Common Desktop C:\Users\Public\Desktop
Common Documents C:\Users\Public\Documents
Common Favorites C:\Users\USUARIO\Favorites
Common Files (x86) C:\Program Files (x86)\Common Files
Common Files C:\Program Files\Common Files
Common Music C:\Users\Public\Music
Common Pictures C:\Users\Public\Pictures
Common Programs C:\ProgramData\Microsoft\Windows\Start Menu\Programs
Common Start Menu C:\ProgramData\Microsoft\Windows\Start Menu
Common Startup C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup
Common Templates C:\ProgramData\Microsoft\Windows\Templates
Common Video C:\Users\Public\Videos
Cookies C:\Users\USUARIO\AppData\Local\Microsoft\Windows\INetCookies
Desktop C:\Users\USUARIO\Desktop
Device C:\Windows\inf
Favorites C:\Users\USUARIO\Favorites
Fonts C:\Windows\Fonts
History C:\Users\USUARIO\AppData\Local\Microsoft\Windows\History
Local AppData C:\Users\USUARIO\AppData\Local
My Documents C:\Users\USUARIO\Documents
My Music C:\Users\USUARIO\Music
My Pictures C:\Users\USUARIO\Pictures
My Video C:\Users\USUARIO\Videos
NetHood C:\Users\USUARIO\AppData\Roaming\Microsoft\Windows\Network Shortcuts
PrintHood C:\Users\USUARIO\AppData\Roaming\Microsoft\Windows\Printer Shortcuts
Profile C:\Users\USUARIO
Program Files (x86) C:\Program Files (x86)
Program Files C:\Program Files
Programs C:\Users\USUARIO\AppData\Roaming\Microsoft\Windows\Start Menu\Programs
Recent C:\Users\USUARIO\AppData\Roaming\Microsoft\Windows\Recent
Resources C:\Windows\resources
SendTo C:\Users\USUARIO\AppData\Roaming\Microsoft\Windows\SendTo
Start Menu C:\Users\USUARIO\AppData\Roaming\Microsoft\Windows\Start Menu
Startup C:\Users\USUARIO\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
System (x86) C:\Windows\SysWOW64
System C:\Windows\system32
Temp C:\Users\USUARIO\AppData\Local\Temp\
Templates C:\Users\USUARIO\AppData\Roaming\Microsoft\Windows\Templates
Windows C:\Windows
Registros de sucesos
Nombre
Tipo de Generado
del Categoría Usuario Origen Descripción
suceso el
registro
2023-08- Microsoft-
Aplicación Error Ninguno 10 Windows- 257: Los Servicios de cifrado no pudieron inicializar la base de datos del catálogo. El error ESENT era: -
17:00:48 CAPI2
2023-08-
Windows Search 1008: El servicio Windows Search se está iniciando y está intentando quitar el índice de búsqueda anter
Aplicación Advertencia 1 10
Service de índice completo}.
17:00:51
Software
2023-08-
Protection 1193: Error al recopilar la información de PKEY correspondiente a la clave de producto del OEM:DM. Err
Aplicación Advertencia Ninguno 10
Platform producto: F9D9N-97T2J-2H27M-9GVWC-D667Q
17:00:55
Service
2023-08-
Windows Search 3086: La configuración regional del sistema ha cambiado. Se eliminarán los datos existentes y deberá v
Aplicación Advertencia 3 10
Service Contexto: aplicación , catálogo SystemIndex
17:02:35
2023-08-
Aplicación Error Ninguno 10 SecurityCenter 16: Error al actualizar el estado de Windows Defender a SECURITY_PRODUCT_STATE_ON.
17:04:06
Software
2023-08- 8198: Error de la activación de licencia (slui.exe) con el siguiente código: hr=0x800704CF Argumentos
Protection
Aplicación Error Ninguno 10 RuleId=31e71c49-8da7-4a2f-ad92-45d98a1c79ba;Action=AutoActivate;AppId=55c92734-d682-4d71-9
Platform
17:04:15 d6ec3f16059f;SkuId=ed799377-74b8-4989-a244-14d082e65972;NotificationInterval=1440;Trigger=Us
Service
Software
2023-08- 8198: Error de la activación de licencia (slui.exe) con el siguiente código: hr=0x800704CF Argumentos
Protection
Aplicación Error Ninguno 10 RuleId=31e71c49-8da7-4a2f-ad92-45d98a1c79ba;Action=AutoActivate;AppId=55c92734-d682-4d71-9
Platform
17:13:30 d6ec3f16059f;SkuId=ed799377-74b8-4989-a244-14d082e65972;NotificationInterval=1440;Trigger=N
Service
Software
2023-08- 8198: Error de la activación de licencia (slui.exe) con el siguiente código: hr=0x800704CF Argumentos
Protection
Aplicación Error Ninguno 10 RuleId=31e71c49-8da7-4a2f-ad92-45d98a1c79ba;Action=AutoActivate;AppId=55c92734-d682-4d71-9
Platform
17:22:26 d6ec3f16059f;SkuId=ed799377-74b8-4989-a244-14d082e65972;NotificationInterval=1440;Trigger=Us
Service
Software
2023-08-
Protection
Aplicación Advertencia Ninguno 10 1029: No se puede obtener información de error detallada durante el uso de licencia. Último error 0xC0
Platform
17:29:36
Service
Software
2023-08-
Protection 8233: El motor de reglas informó de una activación de VL con errores. Motivo:0x8007007B Id. aplicació
Aplicación Advertencia Ninguno 10
Platform -f275c6370663, id. SKU = 6912a74b-a5fb-401a-bfdb-2e3ab46f4b02 Desencadenador=TimerEvent
17:29:47
Service
2023-08- Microsoft-
Aplicación Advertencia Ninguno 11 SYSTEM Windows- 10010: No se puede reiniciar la aplicación 'C:\Windows\explorer.exe' (PID 5196) - 1.
11:28:11 RestartManager
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 210 of 466
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 211 of 466
administrativo o para que siempre requiera el máximo privilegio y el usuario pertenece al grupo Admini
Navegación
token limitado con los privilegios administrativos quitados y los grupos administrativos deshabilitados. E
cuando Control de cuentas de usuario está habilitado, la aplicación no requiere un privilegio administrat
iniciar el programa mediante Ejecutar como administrador.
Microsoft-
2023-08-
Audit Windows-
Seguridad 12288 10 4608: Se está iniciando Windows. Este evento se registra cuando se inicia LSASS.EXE y se inicializa el s
Success Security-
16:59:11
Auditing
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-0-0 Nombre de cu
Id. de inicio de sesión: 0x0 Información de inicio de sesión: Tipo de inicio de sesión: 0 Modo de adminis
virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: - Nuevo inicio de sesión: Id. de segu
cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Inicio de sesión vinc
de red: - Dominio de cuenta de red: - GUID de inicio de sesión: {00000000-0000-0000-0000-00000000
proceso: Id. de proceso: 0x4 Nombre de proceso: ? Información de red: Nombre de estación de trabajo
origen: - Puerto de origen: - Información de autenticación detallada: Proceso de inicio de sesión: - Paqu
Servicios transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera
Microsoft-
2023-08- inicio. Lo genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema
Audit Windows-
Seguridad 12544 10 sesión. Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Servi
Success Security-
16:59:11 inicio de sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interacti
Auditing
Nuevo inicio de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella e
Los campos de red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estació
disponible y se puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qu
sesión de inicio de sesión puede suplantar. Los campos de información de autenticación proporcionan in
esta solicitud de inicio de sesión específica. - GUID de inicio de sesión es un identificador único que se p
este evento con un evento KDC. - Servicios transitados indica los servicios intermedios que participaron
sesión. - Nombre de paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de
clave de sesión generada. Será 0 si no se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
de cuenta: ? Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de inicio de sesión: 5 M
restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %%1833 Nuev
seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de se
vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio de sesión: {000
000000000000} Información de proceso: Id. de proceso: 0x2e8 Nombre de proceso: C:\Windows\Syste
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
16:59:11
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4648: Se intentó iniciar sesión con credenciales explícitas. Sujeto: Id. de seguridad: S-1-5-18 Nombre d
Dominio de cuenta: ? Id. de inicio de sesión: 0x3e7 GUID de inicio de sesión: {00000000-0000-0000-0
Microsoft- cuyas credenciales se usaron: Nombre de cuenta: UMFD-0 Dominio de cuenta: Font Driver Host GUID d
2023-08-
Audit Windows- -0000-0000-0000-000000000000} Servidor de destino: Nombre de servidor de destino: localhost Infor
Seguridad 12544 10
Success Security- Información de proceso: Id. de proceso: 0x250 Nombre de proceso: C:\Windows\System32\wininit.exe
16:59:11
Auditing Dirección de red: - Puerto: - Este evento se genera cuando un proceso intenta iniciar sesión en una cue
explícitamente las credenciales de la cuenta. Suele producirse en configuraciones de tipo de lote como t
se usa el comando RUNAS.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
de cuenta: ? Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de inicio de sesión: 2 M
restringido: - Cuenta virtual: %%1842 Token elevado: %%1843 Nivel de suplantación: %%1833 Nuev
seguridad: S-1-5-96-0-0 Nombre de cuenta: UMFD-0 Dominio de cuenta: Font Driver Host Id. de inicio
sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio de sesión
0000-000000000000} Información de proceso: Id. de proceso: 0x250 Nombre de proceso: C:\Windows
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
16:59:11
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4648: Se intentó iniciar sesión con credenciales explícitas. Sujeto: Id. de seguridad: S-1-5-18 Nombre d
Dominio de cuenta: ? Id. de inicio de sesión: 0x3e7 GUID de inicio de sesión: {00000000-0000-0000-0
Microsoft- cuyas credenciales se usaron: Nombre de cuenta: UMFD-1 Dominio de cuenta: Font Driver Host GUID d
2023-08-
Audit Windows- -0000-0000-0000-000000000000} Servidor de destino: Nombre de servidor de destino: localhost Infor
Seguridad 12544 10
Success Security- Información de proceso: Id. de proceso: 0x2b8 Nombre de proceso: C:\Windows\System32\winlogon.e
16:59:11
Auditing Dirección de red: - Puerto: - Este evento se genera cuando un proceso intenta iniciar sesión en una cue
explícitamente las credenciales de la cuenta. Suele producirse en configuraciones de tipo de lote como t
se usa el comando RUNAS.
Seguridad Audit 12544 2023-08- Microsoft- 4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Success 10 Windows- de cuenta: ? Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de inicio de sesión: 2 M
16:59:11 Security- restringido: - Cuenta virtual: %%1842 Token elevado: %%1843 Nivel de suplantación: %%1833 Nuev
Auditing seguridad: S-1-5-96-0-1 Nombre de cuenta: UMFD-1 Dominio de cuenta: Font Driver Host Id. de inicio
sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio de sesión
0000-000000000000} Información de proceso: Id. de proceso: 0x2b8 Nombre de proceso: C:\Windows
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 212 of 466
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08- Navegación
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
16:59:11
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
4688: Se creó un nuevo proceso. Firmante creador: Identificador de seguridad: S-1-5-18 Nombre de cu
Identificador de inicio de sesión: 0x3e7 Firmante de destino: Identificador de seguridad: S-1-0-0 Nomb
cuenta: - Identificador de inicio de sesión: 0x0 Información de proceso: Identificador del nuevo proceso
proceso: ???????????????e??? ????????? ???????????????e?????? Tipo de elevación de token: %%1936
16384 Identificador del proceso creador: 0x1f8 Nombre del proceso creador: ????????????????????4 Lín
proceso: ????0--?0????????????????????4 El tipo de elevación de token indica el tipo de token que se as
Microsoft-
2023-08- acuerdo con la directiva Control de cuentas de usuario. El tipo 1 es un token completo sin privilegios qu
Audit Windows-
Seguridad 13312 10 deshabilitados. Solo se usa un token completo si Control de cuentas de usuario está deshabilitado o si e
Success Security-
16:59:11 predefinida Administrador o una cuenta de servicio. El tipo 2 es un token elevado sin privilegios quitado
Auditing
usa un token elevado cuando Control de cuentas de usuario está habilitado y el usuario elige iniciar el p
como administrador. También se usa un token elevado cuando se configura una aplicación para que sie
administrativo o para que siempre requiera el máximo privilegio y el usuario pertenece al grupo Admini
token limitado con los privilegios administrativos quitados y los grupos administrativos deshabilitados. E
cuando Control de cuentas de usuario está habilitado, la aplicación no requiere un privilegio administrat
iniciar el programa mediante Ejecutar como administrador.
4688: Se creó un nuevo proceso. Firmante creador: Identificador de seguridad: S-1-5-18 Nombre de cu
Identificador de inicio de sesión: 0x3e7 Firmante de destino: Identificador de seguridad: S-1-0-0 Nomb
cuenta: - Identificador de inicio de sesión: 0x0 Información de proceso: Identificador del nuevo proceso
proceso: ??????????????e??? ????????? ???????????????e?????? Tipo de elevación de token: %%1936 E
16384 Identificador del proceso creador: 0x248 Nombre del proceso creador: ????????????????????4 Lí
proceso: ????0--?0????????????????????4 El tipo de elevación de token indica el tipo de token que se as
Microsoft-
2023-08- acuerdo con la directiva Control de cuentas de usuario. El tipo 1 es un token completo sin privilegios qu
Audit Windows-
Seguridad 13312 10 deshabilitados. Solo se usa un token completo si Control de cuentas de usuario está deshabilitado o si e
Success Security-
16:59:11 predefinida Administrador o una cuenta de servicio. El tipo 2 es un token elevado sin privilegios quitado
Auditing
usa un token elevado cuando Control de cuentas de usuario está habilitado y el usuario elige iniciar el p
como administrador. También se usa un token elevado cuando se configura una aplicación para que sie
administrativo o para que siempre requiera el máximo privilegio y el usuario pertenece al grupo Admini
token limitado con los privilegios administrativos quitados y los grupos administrativos deshabilitados. E
cuando Control de cuentas de usuario está habilitado, la aplicación no requiere un privilegio administrat
iniciar el programa mediante Ejecutar como administrador.
4688: Se creó un nuevo proceso. Firmante creador: Identificador de seguridad: S-1-5-18 Nombre de cu
Identificador de inicio de sesión: 0x3e7 Firmante de destino: Identificador de seguridad: S-1-0-0 Nomb
cuenta: - Identificador de inicio de sesión: 0x0 Información de proceso: Identificador del nuevo proceso
proceso: ????????????????-??6??8????0--?0????????????????????4? Tipo de elevación de token: %%19
16-16384 Identificador del proceso creador: 0x248 Nombre del proceso creador: ????????????????????4
proceso: ????0--?0????????????????????4? El tipo de elevación de token indica el tipo de token que se a
Microsoft-
2023-08- acuerdo con la directiva Control de cuentas de usuario. El tipo 1 es un token completo sin privilegios qu
Audit Windows-
Seguridad 13312 10 deshabilitados. Solo se usa un token completo si Control de cuentas de usuario está deshabilitado o si e
Success Security-
16:59:11 predefinida Administrador o una cuenta de servicio. El tipo 2 es un token elevado sin privilegios quitado
Auditing
usa un token elevado cuando Control de cuentas de usuario está habilitado y el usuario elige iniciar el p
como administrador. También se usa un token elevado cuando se configura una aplicación para que sie
administrativo o para que siempre requiera el máximo privilegio y el usuario pertenece al grupo Admini
token limitado con los privilegios administrativos quitados y los grupos administrativos deshabilitados. E
cuando Control de cuentas de usuario está habilitado, la aplicación no requiere un privilegio administrat
iniciar el programa mediante Ejecutar como administrador.
4688: Se creó un nuevo proceso. Firmante creador: Identificador de seguridad: S-1-5-18 Nombre de cu
Identificador de inicio de sesión: 0x3e7 Firmante de destino: Identificador de seguridad: S-1-0-0 Nomb
cuenta: - Identificador de inicio de sesión: 0x0 Información de proceso: Identificador del nuevo proceso
proceso: ????????????????-??6??0????0--?0???????????????e?????? Tipo de elevación de token: %%19
16-16384 Identificador del proceso creador: 0x250 Nombre del proceso creador: ???????????????e?????
proceso: ????0--?0???????????????e?????? El tipo de elevación de token indica el tipo de token que se a
Microsoft-
2023-08- acuerdo con la directiva Control de cuentas de usuario. El tipo 1 es un token completo sin privilegios qu
Audit Windows-
Seguridad 13312 10 deshabilitados. Solo se usa un token completo si Control de cuentas de usuario está deshabilitado o si e
Success Security-
16:59:11 predefinida Administrador o una cuenta de servicio. El tipo 2 es un token elevado sin privilegios quitado
Auditing
usa un token elevado cuando Control de cuentas de usuario está habilitado y el usuario elige iniciar el p
como administrador. También se usa un token elevado cuando se configura una aplicación para que sie
administrativo o para que siempre requiera el máximo privilegio y el usuario pertenece al grupo Admini
token limitado con los privilegios administrativos quitados y los grupos administrativos deshabilitados. E
cuando Control de cuentas de usuario está habilitado, la aplicación no requiere un privilegio administrat
iniciar el programa mediante Ejecutar como administrador.
4688: Se creó un nuevo proceso. Firmante creador: Identificador de seguridad: S-1-5-18 Nombre de cu
Identificador de inicio de sesión: 0x3e7 Firmante de destino: Identificador de seguridad: S-1-0-0 Nomb
cuenta: - Identificador de inicio de sesión: 0x0 Información de proceso: Identificador del nuevo proceso
proceso: ??????????????e??? ????????? ???????????????????????4? Tipo de elevación de token: %%193
16-16384 Identificador del proceso creador: 0x250 Nombre del proceso creador: ???????????????e?????
proceso: ????0--?0???????????????e?????? El tipo de elevación de token indica el tipo de token que se a
Microsoft-
2023-08- acuerdo con la directiva Control de cuentas de usuario. El tipo 1 es un token completo sin privilegios qu
Audit Windows-
Seguridad 13312 10 deshabilitados. Solo se usa un token completo si Control de cuentas de usuario está deshabilitado o si e
Success Security-
16:59:11 predefinida Administrador o una cuenta de servicio. El tipo 2 es un token elevado sin privilegios quitado
Auditing
usa un token elevado cuando Control de cuentas de usuario está habilitado y el usuario elige iniciar el p
como administrador. También se usa un token elevado cuando se configura una aplicación para que sie
administrativo o para que siempre requiera el máximo privilegio y el usuario pertenece al grupo Admini
token limitado con los privilegios administrativos quitados y los grupos administrativos deshabilitados. E
cuando Control de cuentas de usuario está habilitado, la aplicación no requiere un privilegio administrat
iniciar el programa mediante Ejecutar como administrador.
4688: Se creó un nuevo proceso. Firmante creador: Identificador de seguridad: S-1-5-18 Nombre de cu
Identificador de inicio de sesión: 0x3e7 Firmante de destino: Identificador de seguridad: S-1-0-0 Nomb
cuenta: - Identificador de inicio de sesión: 0x0 Información de proceso: Identificador del nuevo proceso
proceso: ??????????????e??? ????????? ???????????????e?????? Tipo de elevación de token: %%1936 E
16384 Identificador del proceso creador: 0x1f8 Nombre del proceso creador: ????????????????????4 Lín
proceso: ????0--?0????????????????????4 El tipo de elevación de token indica el tipo de token que se as
Microsoft-
2023-08- acuerdo con la directiva Control de cuentas de usuario. El tipo 1 es un token completo sin privilegios qu
Audit Windows-
Seguridad 13312 10 deshabilitados. Solo se usa un token completo si Control de cuentas de usuario está deshabilitado o si e
Success Security-
16:59:11 predefinida Administrador o una cuenta de servicio. El tipo 2 es un token elevado sin privilegios quitado
Auditing
usa un token elevado cuando Control de cuentas de usuario está habilitado y el usuario elige iniciar el p
como administrador. También se usa un token elevado cuando se configura una aplicación para que sie
administrativo o para que siempre requiera el máximo privilegio y el usuario pertenece al grupo Admini
token limitado con los privilegios administrativos quitados y los grupos administrativos deshabilitados. E
cuando Control de cuentas de usuario está habilitado, la aplicación no requiere un privilegio administrat
iniciar el programa mediante Ejecutar como administrador.
Seguridad Audit 13312 2023-08- Microsoft- 4688: Se creó un nuevo proceso. Firmante creador: Identificador de seguridad: S-1-5-18 Nombre de cu
Success 10 Windows- Identificador de inicio de sesión: 0x3e7 Firmante de destino: Identificador de seguridad: S-1-0-0 Nomb
16:59:11 Security- cuenta: - Identificador de inicio de sesión: 0x0 Información de proceso: Identificador del nuevo proceso
Auditing proceso: ??????????????-??6??8????0--?0????????????????????4? Tipo de elevación de token: %%1936
16384 Identificador del proceso creador: 0x188 Nombre del proceso creador: ????????????????????4? L
proceso: ????0--?0????????????????????4? El tipo de elevación de token indica el tipo de token que se a
acuerdo con la directiva Control de cuentas de usuario. El tipo 1 es un token completo sin privilegios qu
deshabilitados. Solo se usa un token completo si Control de cuentas de usuario está deshabilitado o si e
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 213 of 466
predefinida Administrador o una cuenta de servicio. El tipo 2 es un token elevado sin privilegios quitado
usa un token elevado cuando Navegación
Control de cuentas de usuario está habilitado y el usuario elige iniciar el p
como administrador. También se usa un token elevado cuando se configura una aplicación para que sie
administrativo o para que siempre requiera el máximo privilegio y el usuario pertenece al grupo Admini
token limitado con los privilegios administrativos quitados y los grupos administrativos deshabilitados. E
cuando Control de cuentas de usuario está habilitado, la aplicación no requiere un privilegio administrat
iniciar el programa mediante Ejecutar como administrador.
Microsoft-
2023-08-
Audit Windows-
Seguridad 13568 10 4902: Se creó la tabla de directiva de auditoría por usuario. Número de elementos: 0 Id. de directiva: 0
Success Security-
16:59:11
Auditing
Microsoft-
2023-08- 4717: Se concedió acceso de seguridad de sistema a una cuenta. Sujeto: Id. de seguridad: S-1-5-18 N
Audit Windows-
Seguridad 13569 10 Dominio de cuenta: ? Id. de inicio de sesión: 0x3e7 Cuenta modificada: Nombre de cuenta: S-1-5-80-3
Success Security-
16:59:11 1452333686-3865143136-4212226833 Acceso concedido: Derecho de acceso: SeServiceLogonRight
Auditing
4720: Se creó una cuenta de usuario. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: MINWINP
de inicio de sesión: 0x3e7 Nueva cuenta: Id. de seguridad: S-1-5-21-1163546357-429208663-8396798
Microsoft- WDAGUtilityAccount Dominio de cuenta: MINWINPC Atributos: Nombre de cuenta SAM: WDAGUtilityAcc
2023-08-
Audit Windows- %%1793 Nombre principal de usuario: - Directorio principal: %%1793 Unidad principal: %%1793 Ruta
Seguridad 13824 10
Success Security- 1793 Ruta de acceso de perfil: %%1793 Estaciones de trabajo de usuario: %%1793 Última contraseña
16:59:11
Auditing Expiración de cuenta: %%1794 Id. de grupo primario: 513 Se permite delegación a: - Valor de UAC an
UAC: 0x15 Control de cuentas de usuario: %%2080 %%2082 %%2084 Parámetros de usuario: %%17
de inicio de sesión: %%1797 Información adicional: Privilegios: -
4738: Se cambió una cuenta de usuario. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: MINWI
Id. de inicio de sesión: 0x3e7 Cuenta de destino: Id. de seguridad: S-1-5-21-1163546357-429208663-
Microsoft-
2023-08- cuenta: WDAGUtilityAccount Dominio de cuenta: MINWINPC Atributos cambiados: Nombre de cuenta SA
Audit Windows-
Seguridad 13824 10 Nombre principal de usuario: - Directorio principal: - Unidad principal: - Ruta de acceso de script: - Rut
Success Security-
16:59:11 Estaciones de trabajo de usuario: - Última contraseña establecida: - Expiración de cuenta: - Id. de grup
Auditing
delegación a: - Valor de UAC anterior: 0x15 Nuevo valor de UAC: 0x11 Control de cuentas de usuario: %
usuario: - Historial de SID: - Horas de inicio de sesión: - Información adicional: Privilegios: -
4738: Se cambió una cuenta de usuario. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: MINWI
Id. de inicio de sesión: 0x3e7 Cuenta de destino: Id. de seguridad: S-1-5-21-1163546357-429208663-
Microsoft-
2023-08- cuenta: WDAGUtilityAccount Dominio de cuenta: MINWINPC Atributos cambiados: Nombre de cuenta SA
Audit Windows-
Seguridad 13824 10 Nombre principal de usuario: - Directorio principal: - Unidad principal: - Ruta de acceso de script: - Rut
Success Security-
16:59:11 Estaciones de trabajo de usuario: - Última contraseña establecida: - Expiración de cuenta: - Id. de grup
Auditing
delegación a: - Valor de UAC anterior: - Nuevo valor de UAC: - Control de cuentas de usuario: - Paráme
SID: - Horas de inicio de sesión: - Información adicional: Privilegios: -
4738: Se cambió una cuenta de usuario. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: MINWI
Id. de inicio de sesión: 0x3e7 Cuenta de destino: Id. de seguridad: S-1-5-21-1163546357-429208663-
Microsoft-
2023-08- cuenta: WDAGUtilityAccount Dominio de cuenta: MINWINPC Atributos cambiados: Nombre de cuenta SA
Audit Windows-
Seguridad 13824 10 Nombre principal de usuario: - Directorio principal: - Unidad principal: - Ruta de acceso de script: - Rut
Success Security-
16:59:11 Estaciones de trabajo de usuario: - Última contraseña establecida: - Expiración de cuenta: - Id. de grup
Auditing
delegación a: - Valor de UAC anterior: - Nuevo valor de UAC: - Control de cuentas de usuario: - Paráme
SID: - Horas de inicio de sesión: - Información adicional: Privilegios: -
Microsoft- 4731: Se creó un grupo local con seguridad habilitada. Sujeto: Id. de seguridad: S-1-5-18 Nombre de c
2023-08-
Audit Windows- de cuenta: ? Id. de inicio de sesión: 0x3e7 Nuevo grupo: Id. de seguridad: S-1-5-32-558 Nombre de gr
Seguridad 13826 10
Success Security- sistema Dominio de grupo: Builtin Atributos: Nombre de cuenta SAM: Usuarios del monitor de sistema H
16:59:11
Auditing Información adicional: Privilegios: -
Microsoft- 4735: Se cambió un grupo local con seguridad habilitada. Sujeto: Id. de seguridad: S-1-5-18 Nombre d
2023-08-
Audit Windows- Dominio de cuenta: ? Id. de inicio de sesión: 0x3e7 Grupo: Id. de seguridad: S-1-5-32-558 Nombre de
Seguridad 13826 10
Success Security- de sistema Dominio de grupo: Builtin Atributos cambiados: Nombre de cuenta SAM: - Historial de SID:
16:59:11
Auditing Privilegios: -
Microsoft- 4731: Se creó un grupo local con seguridad habilitada. Sujeto: Id. de seguridad: S-1-5-18 Nombre de c
2023-08-
Audit Windows- de cuenta: ? Id. de inicio de sesión: 0x3e7 Nuevo grupo: Id. de seguridad: S-1-5-32-559 Nombre de gr
Seguridad 13826 10
Success Security- rendimiento Dominio de grupo: Builtin Atributos: Nombre de cuenta SAM: Usuarios del registro de rend
16:59:11
Auditing Información adicional: Privilegios: -
Microsoft- 4735: Se cambió un grupo local con seguridad habilitada. Sujeto: Id. de seguridad: S-1-5-18 Nombre d
2023-08-
Audit Windows- Dominio de cuenta: ? Id. de inicio de sesión: 0x3e7 Grupo: Id. de seguridad: S-1-5-32-559 Nombre de
Seguridad 13826 10
Success Security- de rendimiento Dominio de grupo: Builtin Atributos cambiados: Nombre de cuenta SAM: - Historial de S
16:59:11
Auditing Privilegios: -
Microsoft- 4731: Se creó un grupo local con seguridad habilitada. Sujeto: Id. de seguridad: S-1-5-18 Nombre de c
2023-08-
Audit Windows- de cuenta: ? Id. de inicio de sesión: 0x3e7 Nuevo grupo: Id. de seguridad: S-1-5-32-562 Nombre de gr
Seguridad 13826 10
Success Security- distribuidos Dominio de grupo: Builtin Atributos: Nombre de cuenta SAM: Usuarios COM distribuidos His
16:59:11
Auditing adicional: Privilegios: -
Microsoft- 4735: Se cambió un grupo local con seguridad habilitada. Sujeto: Id. de seguridad: S-1-5-18 Nombre d
2023-08-
Audit Windows- Dominio de cuenta: ? Id. de inicio de sesión: 0x3e7 Grupo: Id. de seguridad: S-1-5-32-562 Nombre de
Seguridad 13826 10
Success Security- distribuidos Dominio de grupo: Builtin Atributos cambiados: Nombre de cuenta SAM: - Historial de SID:
16:59:11
Auditing Privilegios: -
Microsoft-
2023-08- 4731: Se creó un grupo local con seguridad habilitada. Sujeto: Id. de seguridad: S-1-5-18 Nombre de c
Audit Windows-
Seguridad 13826 10 de cuenta: ? Id. de inicio de sesión: 0x3e7 Nuevo grupo: Id. de seguridad: S-1-5-32-568 Nombre de gr
Success Security-
16:59:11 grupo: Builtin Atributos: Nombre de cuenta SAM: IIS_IUSRS Historial de SID: - Información adicional: P
Auditing
Microsoft-
2023-08- 4735: Se cambió un grupo local con seguridad habilitada. Sujeto: Id. de seguridad: S-1-5-18 Nombre d
Audit Windows-
Seguridad 13826 10 Dominio de cuenta: ? Id. de inicio de sesión: 0x3e7 Grupo: Id. de seguridad: S-1-5-32-568 Nombre de
Success Security-
16:59:11 de grupo: Builtin Atributos cambiados: Nombre de cuenta SAM: - Historial de SID: - Información adicio
Auditing
Microsoft- 4732: Se agregó un miembro a un grupo local con seguridad habilitada. Sujeto: Id. de seguridad: S-1-5
2023-08-
Audit Windows- MINWINPC$ Dominio de cuenta: ? Id. de inicio de sesión: 0x3e7 Miembro: Id. de seguridad: S-1-5-17 N
Seguridad 13826 10
Success Security- Id. de seguridad: S-1-5-32-568 Nombre de grupo: IIS_IUSRS Dominio de grupo: Builtin Información ad
16:59:11
Auditing expiración: (null)
Microsoft- 4731: Se creó un grupo local con seguridad habilitada. Sujeto: Id. de seguridad: S-1-5-18 Nombre de c
2023-08-
Audit Windows- de cuenta: ? Id. de inicio de sesión: 0x3e7 Nuevo grupo: Id. de seguridad: S-1-5-32-573 Nombre de gr
Seguridad 13826 10
Success Security- eventos Dominio de grupo: Builtin Atributos: Nombre de cuenta SAM: Lectores del registro de eventos H
16:59:11
Auditing Información adicional: Privilegios: -
Microsoft- 4735: Se cambió un grupo local con seguridad habilitada. Sujeto: Id. de seguridad: S-1-5-18 Nombre d
2023-08-
Audit Windows- Dominio de cuenta: ? Id. de inicio de sesión: 0x3e7 Grupo: Id. de seguridad: S-1-5-32-573 Nombre de
Seguridad 13826 10
Success Security- de eventos Dominio de grupo: Builtin Atributos cambiados: Nombre de cuenta SAM: - Historial de SID:
16:59:11
Auditing Privilegios: -
Microsoft- 4731: Se creó un grupo local con seguridad habilitada. Sujeto: Id. de seguridad: S-1-5-18 Nombre de c
2023-08-
Audit Windows- de cuenta: ? Id. de inicio de sesión: 0x3e7 Nuevo grupo: Id. de seguridad: S-1-5-32-580 Nombre de gr
Seguridad 13826 10
Success Security- administración remota Dominio de grupo: Builtin Atributos: Nombre de cuenta SAM: Usuarios de admin
16:59:11
Auditing SID: - Información adicional: Privilegios: -
Microsoft- 4735: Se cambió un grupo local con seguridad habilitada. Sujeto: Id. de seguridad: S-1-5-18 Nombre d
2023-08-
Audit Windows- Dominio de cuenta: ? Id. de inicio de sesión: 0x3e7 Grupo: Id. de seguridad: S-1-5-32-580 Nombre de
Seguridad 13826 10
Success Security- administración remota Dominio de grupo: Builtin Atributos cambiados: Nombre de cuenta SAM: - Histor
16:59:11
Auditing adicional: Privilegios: -
Seguridad Audit 13826 2023-08- Microsoft- 4728: Se agregó un miembro a un grupo global con seguridad habilitada. Sujeto: Id. de seguridad: S-1
Success 10 Windows- MINWINPC$ Dominio de cuenta: ? Id. de inicio de sesión: 0x3e7 Miembro: Id. de seguridad: S-1-5-21-1
16:59:11
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 214 of 466
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 215 of 466
sesión vinculado: 0x18dc7 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio de s
Navegación
-0000-000000000000} Información de proceso: Id. de proceso: 0x2b8 Nombre de proceso: C:\Window
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
de cuenta: ? Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de inicio de sesión: 2 M
restringido: - Cuenta virtual: %%1842 Token elevado: %%1843 Nivel de suplantación: %%1833 Nuev
seguridad: S-1-5-90-0-1 Nombre de cuenta: DWM-1 Dominio de cuenta: Window Manager Id. de inicio
sesión vinculado: 0x18db5 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio de s
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2b8 Nombre de proceso: C:\Wi
\winlogon.exe Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puer
autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servic
Microsoft- paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio.
2023-08-
Audit Windows- tuvo acceso. Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión.
Seguridad 12544 10
Success Security- servicio de servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de se
16:59:12
Auditing de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio
para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos
originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponi
blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesió
suplantar. Los campos de información de autenticación proporcionan información detallada sobre esta s
específica. - GUID de inicio de sesión es un identificador único que se puede usar para correlacionar est
- Servicios transitados indica los servicios intermedios que participaron en esta solicitud de inicio de ses
indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la
Será 0 si no se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
de cuenta: ? Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de inicio de sesión: 5 M
restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %%1833 Nuev
seguridad: S-1-5-19 Nombre de cuenta: SERVICIO LOCAL Dominio de cuenta: NT AUTHORITY Id. de in
sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio de sesión
0000-000000000000} Información de proceso: Id. de proceso: 0x2e8 Nombre de proceso: C:\Windows
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
16:59:12
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft-
2023-08- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-2
Audit Windows-
Seguridad 12548 10 Servicio de red Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e4 Privilegios: SeAssignP
Success Security-
16:59:12 SeAuditPrivilege SeImpersonatePrivilege
Auditing
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
16:59:12
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
16:59:12
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
16:59:12
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft-
2023-08- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-9
Audit Windows-
Seguridad 12548 10 DWM-1 Dominio de cuenta: Window Manager Id. de inicio de sesión: 0x18db5 Privilegios: SeAssignPrim
Success Security-
16:59:12 SeAuditPrivilege SeImpersonatePrivilege
Auditing
Microsoft-
2023-08- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-9
Audit Windows-
Seguridad 12548 10 DWM-1 Dominio de cuenta: Window Manager Id. de inicio de sesión: 0x18dc7 Privilegios: SeAssignPrim
Success Security-
16:59:12 SeAuditPrivilege
Auditing
Microsoft-
2023-08- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 12548 10 SERVICIO LOCAL Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e5 Privilegios: SeAssig
Success Security-
16:59:12 SeAuditPrivilege SeImpersonatePrivilege
Auditing
Microsoft-
2023-08-
Audit Windows-
Seguridad 12292 10 5033: El controlador de Firewall de Windows se inició correctamente.
Success Security-
16:59:18
Auditing
Seguridad Audit 12544 2023-08- Microsoft- 4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Success 10 Windows- de cuenta: ? Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de inicio de sesión: 5 M
16:59:18 Security- restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %%1833 Nuev
Auditing seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de se
vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio de sesión: {000
000000000000} Información de proceso: Id. de proceso: 0x2e8 Nombre de proceso: C:\Windows\Syste
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 216 of 466
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
Navegación proporcionan información detallada sobre esta solicitud de inici
campos de información de autenticación
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
de cuenta: ? Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de inicio de sesión: 5 M
restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %%1833 Nuev
seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de se
vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio de sesión: {000
000000000000} Información de proceso: Id. de proceso: 0x2e8 Nombre de proceso: C:\Windows\Syste
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
16:59:18
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
de cuenta: ? Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de inicio de sesión: 5 M
restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %%1833 Nuev
seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de se
vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio de sesión: {000
000000000000} Información de proceso: Id. de proceso: 0x2e8 Nombre de proceso: C:\Windows\Syste
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
16:59:18
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
de cuenta: ? Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de inicio de sesión: 5 M
restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %%1833 Nuev
seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de se
vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio de sesión: {000
000000000000} Información de proceso: Id. de proceso: 0x2e8 Nombre de proceso: C:\Windows\Syste
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
16:59:18
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
de cuenta: ? Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de inicio de sesión: 5 M
restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %%1833 Nuev
seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de se
vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio de sesión: {000
000000000000} Información de proceso: Id. de proceso: 0x2e8 Nombre de proceso: C:\Windows\Syste
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
16:59:18
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Seguridad Audit 12544 2023-08- Microsoft- 4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Success 10 Windows- de cuenta: ? Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de inicio de sesión: 5 M
16:59:18 Security- restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %%1833 Nuev
Auditing seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de se
vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio de sesión: {000
000000000000} Información de proceso: Id. de proceso: 0x2e8 Nombre de proceso: C:\Windows\Syste
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 217 of 466
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre Navegación
los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
de cuenta: ? Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de inicio de sesión: 5 M
restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %%1833 Nuev
seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de se
vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio de sesión: {000
000000000000} Información de proceso: Id. de proceso: 0x2e8 Nombre de proceso: C:\Windows\Syste
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
16:59:18
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
de cuenta: ? Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de inicio de sesión: 5 M
restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %%1833 Nuev
seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de se
vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio de sesión: {000
000000000000} Información de proceso: Id. de proceso: 0x2e8 Nombre de proceso: C:\Windows\Syste
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
16:59:18
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
de cuenta: ? Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de inicio de sesión: 5 M
restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %%1833 Nuev
seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de se
vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio de sesión: {000
000000000000} Información de proceso: Id. de proceso: 0x2e8 Nombre de proceso: C:\Windows\Syste
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
16:59:18
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
de cuenta: ? Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de inicio de sesión: 5 M
restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %%1833 Nuev
seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de se
vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio de sesión: {000
000000000000} Información de proceso: Id. de proceso: 0x2e8 Nombre de proceso: C:\Windows\Syste
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
16:59:18
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
de cuenta: ? Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de inicio de sesión: 5 M
restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %%1833 Nuev
seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de se
vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio de sesión: {000
000000000000} Información de proceso: Id. de proceso: 0x2e8 Nombre de proceso: C:\Windows\Syste
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
16:59:18
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 218 of 466
Seguridad Audit 12544 2023-08- Microsoft- 4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Success 10 Windows- de cuenta: ? Id. de inicio deNavegación
sesión: 0x3e7 Información de inicio de sesión: Tipo de inicio de sesión: 5 M
16:59:18 Security- restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %%1833 Nuev
Auditing seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de se
vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio de sesión: {000
000000000000} Información de proceso: Id. de proceso: 0x2e8 Nombre de proceso: C:\Windows\Syste
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
16:59:18
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
16:59:18
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
16:59:18
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
16:59:18
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
16:59:18
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
16:59:18
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
16:59:18
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
16:59:18
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
16:59:18
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
16:59:18
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
16:59:18
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
16:59:18
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft-
2023-08- 4718: Se quitó acceso de seguridad de sistema de una cuenta. Sujeto: Id. de seguridad: S-1-5-18 Nom
Audit Windows-
Seguridad 13569 10 Dominio de cuenta: ? Id. de inicio de sesión: 0x3e7 Cuenta modificada: Nombre de cuenta: S-1-5-32-5
Success Security-
16:59:18 de acceso: SeInteractiveLogonRight
Auditing
Microsoft-
2023-08- 4718: Se quitó acceso de seguridad de sistema de una cuenta. Sujeto: Id. de seguridad: S-1-5-18 Nom
Audit Windows-
Seguridad 13569 10 Dominio de cuenta: ? Id. de inicio de sesión: 0x3e7 Cuenta modificada: Nombre de cuenta: S-1-5-32-5
Success Security-
16:59:18 de acceso: SeInteractiveLogonRight
Auditing
Microsoft-
2023-08- 4718: Se quitó acceso de seguridad de sistema de una cuenta. Sujeto: Id. de seguridad: S-1-5-18 Nom
Audit Windows-
Seguridad 13569 10 Dominio de cuenta: ? Id. de inicio de sesión: 0x3e7 Cuenta modificada: Nombre de cuenta: S-1-5-32-5
Success Security-
16:59:18 de acceso: SeNetworkLogonRight
Auditing
Microsoft-
2023-08- 4718: Se quitó acceso de seguridad de sistema de una cuenta. Sujeto: Id. de seguridad: S-1-5-18 Nom
Audit Windows-
Seguridad 13569 10 Dominio de cuenta: ? Id. de inicio de sesión: 0x3e7 Cuenta modificada: Nombre de cuenta: S-1-5-32-5
Success Security-
16:59:18 de acceso: SeInteractiveLogonRight
Auditing
Microsoft-
2023-08- 4718: Se quitó acceso de seguridad de sistema de una cuenta. Sujeto: Id. de seguridad: S-1-5-18 Nom
Audit Windows-
Seguridad 13569 10 Dominio de cuenta: ? Id. de inicio de sesión: 0x3e7 Cuenta modificada: Nombre de cuenta: S-1-5-32-5
Success Security-
16:59:18 de acceso: SeNetworkLogonRight
Auditing
Microsoft-
2023-08- 4718: Se quitó acceso de seguridad de sistema de una cuenta. Sujeto: Id. de seguridad: S-1-5-18 Nom
Audit Windows-
Seguridad 13569 10 Dominio de cuenta: ? Id. de inicio de sesión: 0x3e7 Cuenta modificada: Nombre de cuenta: S-1-5-80-3
Success Security-
16:59:18 1452333686-3865143136-4212226833 Acceso quitado: Derecho de acceso: SeServiceLogonRight
Auditing
Microsoft-
2023-08- 4717: Se concedió acceso de seguridad de sistema a una cuenta. Sujeto: Id. de seguridad: S-1-5-18 N
Audit Windows-
Seguridad 13569 10 Dominio de cuenta: ? Id. de inicio de sesión: 0x3e7 Cuenta modificada: Nombre de cuenta: S-1-5-32-5
Success Security-
16:59:18 Derecho de acceso: SeRemoteInteractiveLogonRight
Auditing
Seguridad Audit 13569 2023-08- Microsoft- 4717: Se concedió acceso de seguridad de sistema a una cuenta. Sujeto: Id. de seguridad: S-1-5-18 N
Success 10 Windows- Dominio de cuenta: ? Id. de inicio de sesión: 0x3e7 Cuenta modificada: Nombre de cuenta: S-1-5-32-5
16:59:18 Derecho de acceso: SeNetworkLogonRight
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 219 of 466
Security-
Auditing Navegación
Microsoft-
2023-08- 4717: Se concedió acceso de seguridad de sistema a una cuenta. Sujeto: Id. de seguridad: S-1-5-18 N
Audit Windows-
Seguridad 13569 10 Dominio de cuenta: ? Id. de inicio de sesión: 0x3e7 Cuenta modificada: Nombre de cuenta: S-1-5-32-5
Success Security-
16:59:18 Derecho de acceso: SeBatchLogonRight
Auditing
Microsoft-
2023-08- 4717: Se concedió acceso de seguridad de sistema a una cuenta. Sujeto: Id. de seguridad: S-1-5-18 N
Audit Windows-
Seguridad 13569 10 Dominio de cuenta: ? Id. de inicio de sesión: 0x3e7 Cuenta modificada: Nombre de cuenta: S-1-5-32-5
Success Security-
16:59:18 Derecho de acceso: SeBatchLogonRight
Auditing
Microsoft-
2023-08- 4718: Se quitó acceso de seguridad de sistema de una cuenta. Sujeto: Id. de seguridad: S-1-5-18 Nom
Audit Windows-
Seguridad 13569 10 Dominio de cuenta: ? Id. de inicio de sesión: 0x3e7 Cuenta modificada: Nombre de cuenta: S-1-1-0 Acc
Success Security-
16:59:18 acceso: SeInteractiveLogonRight
Auditing
Microsoft-
2023-08- 4718: Se quitó acceso de seguridad de sistema de una cuenta. Sujeto: Id. de seguridad: S-1-5-18 Nom
Audit Windows-
Seguridad 13569 10 Dominio de cuenta: ? Id. de inicio de sesión: 0x3e7 Cuenta modificada: Nombre de cuenta: S-1-1-0 Acc
Success Security-
16:59:18 acceso: SeRemoteInteractiveLogonRight
Auditing
Microsoft-
2023-08- 4717: Se concedió acceso de seguridad de sistema a una cuenta. Sujeto: Id. de seguridad: S-1-5-18 N
Audit Windows-
Seguridad 13569 10 Dominio de cuenta: ? Id. de inicio de sesión: 0x3e7 Cuenta modificada: Nombre de cuenta: S-1-5-21-1
Success Security-
16:59:18 839679816-501 Acceso concedido: Derecho de acceso: SeInteractiveLogonRight
Auditing
Microsoft-
2023-08- 4717: Se concedió acceso de seguridad de sistema a una cuenta. Sujeto: Id. de seguridad: S-1-5-18 N
Audit Windows-
Seguridad 13569 10 Dominio de cuenta: ? Id. de inicio de sesión: 0x3e7 Cuenta modificada: Nombre de cuenta: S-1-5-21-1
Success Security-
16:59:18 839679816-501 Acceso concedido: Derecho de acceso: SeDenyInteractiveLogonRight
Auditing
Microsoft-
2023-08- 4717: Se concedió acceso de seguridad de sistema a una cuenta. Sujeto: Id. de seguridad: S-1-5-18 N
Audit Windows-
Seguridad 13569 10 Dominio de cuenta: ? Id. de inicio de sesión: 0x3e7 Cuenta modificada: Nombre de cuenta: S-1-5-21-1
Success Security-
16:59:18 839679816-501 Acceso concedido: Derecho de acceso: SeDenyNetworkLogonRight
Auditing
Microsoft-
2023-08- 4718: Se quitó acceso de seguridad de sistema de una cuenta. Sujeto: Id. de seguridad: S-1-5-18 Nom
Audit Windows-
Seguridad 13569 10 Dominio de cuenta: ? Id. de inicio de sesión: 0x3e7 Cuenta modificada: Nombre de cuenta: S-1-5-90-0
Success Security-
16:59:18 acceso: SeInteractiveLogonRight
Auditing
Microsoft-
2023-08- 4717: Se concedió acceso de seguridad de sistema a una cuenta. Sujeto: Id. de seguridad: S-1-5-18 N
Audit Windows-
Seguridad 13569 10 Dominio de cuenta: ? Id. de inicio de sesión: 0x3e7 Cuenta modificada: Nombre de cuenta: S-1-5-32-5
Success Security-
16:59:18 Derecho de acceso: SeRemoteInteractiveLogonRight
Auditing
Microsoft-
2023-08- 4717: Se concedió acceso de seguridad de sistema a una cuenta. Sujeto: Id. de seguridad: S-1-5-18 N
Audit Windows-
Seguridad 13569 10 Dominio de cuenta: ? Id. de inicio de sesión: 0x3e7 Cuenta modificada: Nombre de cuenta: S-1-5-80-0
Success Security-
16:59:18 de acceso: SeServiceLogonRight
Auditing
4739: Se cambió la directiva de dominio. Tipo de cambio: Directiva de contraseñas modificada Sujeto:
Nombre de cuenta: MINWINPC$ Dominio de cuenta: ? Id. de inicio de sesión: 0x3e7 Dominio: Nombre
Microsoft-
2023-08- dominio: S-1-5-21-1163546357-429208663-839679816 Atributos cambiados: Vigencia mínima de la co
Audit Windows-
Seguridad 13569 10 Vigencia máxima de la contraseña: 42:00:00:00 Aplicar cierre de sesión: - Umbral de bloqueo: - Venta
Success Security-
16:59:18 bloqueo: - Duración del bloqueo: - Propiedades de contraseña: 0 Longitud mínima de contraseña: 0 Lon
Auditing
contraseña: 0 Cuota de cuenta de equipo: - Modo de dominio mixto: - Versión de comportamiento de d
OEM: - Información adicional: Privilegios: -
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 MINWINPC$ Dominio de la cuenta: ? Id. de inicio de sesión: 0x3e7 Operación de lectura: %%8100 Este
Success Security-
16:59:18 un usuario realiza una operación de lectura en las credenciales almacenadas en el Administrador de cre
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 MINWINPC$ Dominio de la cuenta: ? Id. de inicio de sesión: 0x3e7 Operación de lectura: %%8100 Este
Success Security-
16:59:18 un usuario realiza una operación de lectura en las credenciales almacenadas en el Administrador de cre
Auditing
Microsoft-
2023-08- 4725: Se deshabilitó una cuenta de usuario. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: MIN
Audit Windows-
Seguridad 13824 10 cuenta: ? Id. de inicio de sesión: 0x3e7 Cuenta de destino: Id. de seguridad: S-1-5-21-1163546357-42
Success Security-
16:59:18 Nombre de cuenta: Administrador Dominio de cuenta: MINWINPC
Auditing
4738: Se cambió una cuenta de usuario. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: MINWI
Id. de inicio de sesión: 0x3e7 Cuenta de destino: Id. de seguridad: S-1-5-21-1163546357-429208663-
Microsoft-
2023-08- cuenta: Administrador Dominio de cuenta: MINWINPC Atributos cambiados: Nombre de cuenta SAM: -
Audit Windows-
Seguridad 13824 10 Nombre principal de usuario: - Directorio principal: - Unidad principal: - Ruta de acceso de script: - Rut
Success Security-
16:59:18 Estaciones de trabajo de usuario: - Última contraseña establecida: - Expiración de cuenta: - Id. de grup
Auditing
delegación a: - Valor de UAC anterior: 0x210 Nuevo valor de UAC: 0x211 Control de cuentas de usuario
usuario: - Historial de SID: - Horas de inicio de sesión: - Información adicional: Privilegios: -
Microsoft-
2023-08- 4725: Se deshabilitó una cuenta de usuario. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: MIN
Audit Windows-
Seguridad 13824 10 cuenta: ? Id. de inicio de sesión: 0x3e7 Cuenta de destino: Id. de seguridad: S-1-5-21-1163546357-42
Success Security-
16:59:18 Nombre de cuenta: Invitado Dominio de cuenta: MINWINPC
Auditing
4738: Se cambió una cuenta de usuario. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: MINWI
Id. de inicio de sesión: 0x3e7 Cuenta de destino: Id. de seguridad: S-1-5-21-1163546357-429208663-
Microsoft-
2023-08- cuenta: Invitado Dominio de cuenta: MINWINPC Atributos cambiados: Nombre de cuenta SAM: - Nomb
Audit Windows-
Seguridad 13824 10 principal de usuario: - Directorio principal: - Unidad principal: - Ruta de acceso de script: - Ruta de acce
Success Security-
16:59:18 trabajo de usuario: - Última contraseña establecida: - Expiración de cuenta: - Id. de grupo primario: - S
Auditing
Valor de UAC anterior: 0x214 Nuevo valor de UAC: 0x215 Control de cuentas de usuario: %%2080 Par
Historial de SID: - Horas de inicio de sesión: - Información adicional: Privilegios: -
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 MINWINPC$ Dominio de la cuenta: ? Id. de inicio de sesión: 0x3e7 Operación de lectura: %%8100 Este
Success Security-
16:59:18 un usuario realiza una operación de lectura en las credenciales almacenadas en el Administrador de cre
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 MINWINPC$ Dominio de la cuenta: ? Id. de inicio de sesión: 0x3e7 Operación de lectura: %%8100 Este
Success Security-
16:59:18 un usuario realiza una operación de lectura en las credenciales almacenadas en el Administrador de cre
Auditing
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: MINWINPC$ Dominio de cuenta: ? Id. de inicio de sesión: 0x3e7 Grupo: Id. de seguridad: S-1-
Seguridad 13826 10
Success Security- Usuarios Dominio de grupo: Builtin Información de proceso: Id. de proceso: 0x2e8 Nombre de proceso:
16:59:18
Auditing \services.exe
Microsoft- 4732: Se agregó un miembro a un grupo local con seguridad habilitada. Sujeto: Id. de seguridad: S-1-5
2023-08-
Audit Windows- MINWINPC$ Dominio de cuenta: ? Id. de inicio de sesión: 0x3e7 Miembro: Id. de seguridad: S-1-5-4 No
Seguridad 13826 10
Success Security- de seguridad: S-1-5-32-545 Nombre de grupo: Usuarios Dominio de grupo: Builtin Información adiciona
16:59:18
Auditing expiración: (null)
Microsoft- 4732: Se agregó un miembro a un grupo local con seguridad habilitada. Sujeto: Id. de seguridad: S-1-5
2023-08-
Audit Windows- MINWINPC$ Dominio de cuenta: ? Id. de inicio de sesión: 0x3e7 Miembro: Id. de seguridad: S-1-5-11 N
Seguridad 13826 10
Success Security- Id. de seguridad: S-1-5-32-545 Nombre de grupo: Usuarios Dominio de grupo: Builtin Información adic
16:59:18
Auditing expiración: (null)
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 220 of 466
Seguridad Audit 12292 2023-08- Microsoft- 5024: El servicio Firewall de Windows se inició correctamente.
Success 10 Windows- Navegación
16:59:19 Security-
Auditing
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
de cuenta: ? Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de inicio de sesión: 5 M
restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %%1833 Nuev
seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de se
vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio de sesión: {000
000000000000} Información de proceso: Id. de proceso: 0x2e8 Nombre de proceso: C:\Windows\Syste
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
16:59:19
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
de cuenta: ? Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de inicio de sesión: 5 M
restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %%1833 Nuev
seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de se
vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio de sesión: {000
000000000000} Información de proceso: Id. de proceso: 0x2e8 Nombre de proceso: C:\Windows\Syste
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
16:59:19
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
de cuenta: ? Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de inicio de sesión: 5 M
restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %%1833 Nuev
seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de se
vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio de sesión: {000
000000000000} Información de proceso: Id. de proceso: 0x2e8 Nombre de proceso: C:\Windows\Syste
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
16:59:19
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
de cuenta: ? Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de inicio de sesión: 5 M
restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %%1833 Nuev
seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de se
vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio de sesión: {000
000000000000} Información de proceso: Id. de proceso: 0x2e8 Nombre de proceso: C:\Windows\Syste
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
16:59:19
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Seguridad Audit 12544 2023-08- Microsoft- 4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Success 10 Windows- de cuenta: ? Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de inicio de sesión: 5 M
16:59:19 Security- restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %%1833 Nuev
Auditing seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de se
vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio de sesión: {000
000000000000} Información de proceso: Id. de proceso: 0x2e8 Nombre de proceso: C:\Windows\Syste
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 221 of 466
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
Navegación
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
de cuenta: ? Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de inicio de sesión: 5 M
restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %%1833 Nuev
seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de se
vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio de sesión: {000
000000000000} Información de proceso: Id. de proceso: 0x2e8 Nombre de proceso: C:\Windows\Syste
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
16:59:19
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
de cuenta: ? Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de inicio de sesión: 5 M
restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %%1833 Nuev
seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de se
vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio de sesión: {000
000000000000} Información de proceso: Id. de proceso: 0x2e8 Nombre de proceso: C:\Windows\Syste
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
16:59:19
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
de cuenta: ? Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de inicio de sesión: 5 M
restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %%1833 Nuev
seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de se
vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio de sesión: {000
000000000000} Información de proceso: Id. de proceso: 0x2e8 Nombre de proceso: C:\Windows\Syste
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
16:59:19
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
de cuenta: ? Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de inicio de sesión: 5 M
restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %%1833 Nuev
seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de se
vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio de sesión: {000
000000000000} Información de proceso: Id. de proceso: 0x2e8 Nombre de proceso: C:\Windows\Syste
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
16:59:19
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
16:59:19
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
16:59:19
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
16:59:19
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
16:59:19
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
16:59:19
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 222 of 466
Seguridad Audit 12548 2023-08- Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
Success 10 Windows- SYSTEM Dominio de cuenta:Navegación
NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
16:59:19 Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
16:59:19
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
16:59:19
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
16:59:19
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
de cuenta: ? Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de inicio de sesión: 5 M
restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %%1833 Nuev
seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de se
vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio de sesión: {000
000000000000} Información de proceso: Id. de proceso: 0x2e8 Nombre de proceso: C:\Windows\Syste
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
16:59:20
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
de cuenta: ? Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de inicio de sesión: 5 M
restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %%1833 Nuev
seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de se
vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio de sesión: {000
000000000000} Información de proceso: Id. de proceso: 0x2e8 Nombre de proceso: C:\Windows\Syste
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
16:59:20
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
16:59:20
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
16:59:20
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
de cuenta: ? Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de inicio de sesión: 5 M
restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %%1833 Nuev
seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de se
vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio de sesión: {000
000000000000} Información de proceso: Id. de proceso: 0x2e8 Nombre de proceso: C:\Windows\Syste
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
16:59:21
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
16:59:21
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: MINWINPC$ Dominio de cuenta: ? Id. de inicio de sesión: 0x3e7 Grupo: Id. de seguridad: S-1-
Seguridad 13826 10
Success Security- Usuarios Dominio de grupo: Builtin Información de proceso: Id. de proceso: 0x11cc Nombre de proceso
16:59:21
Auditing \Microsoft\Edge\Application\92.0.902.67\Installer\setup.exe
Seguridad Audit 12544 2023-08- Microsoft- 4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Success 10 Windows- de cuenta: ? Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de inicio de sesión: 5 M
16:59:24 Security- restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %%1833 Nuev
Auditing seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de se
vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio de sesión: {000
000000000000} Información de proceso: Id. de proceso: 0x2e8 Nombre de proceso: C:\Windows\Syste
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 223 of 466
servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
que se realizó. Los tipos másNavegación
comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
de cuenta: ? Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de inicio de sesión: 5 M
restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %%1833 Nuev
seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de se
vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio de sesión: {000
000000000000} Información de proceso: Id. de proceso: 0x2e8 Nombre de proceso: C:\Windows\Syste
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
16:59:24
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
de cuenta: ? Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de inicio de sesión: 5 M
restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %%1833 Nuev
seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de se
vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio de sesión: {000
000000000000} Información de proceso: Id. de proceso: 0x2e8 Nombre de proceso: C:\Windows\Syste
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
16:59:24
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
de cuenta: ? Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de inicio de sesión: 5 M
restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %%1833 Nuev
seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de se
vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio de sesión: {000
000000000000} Información de proceso: Id. de proceso: 0x2e8 Nombre de proceso: C:\Windows\Syste
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
16:59:24
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
16:59:24
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
16:59:24
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
16:59:24
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
16:59:24
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Seguridad Audit 12544 2023-08- Microsoft- 4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Success 10 Windows- de cuenta: ? Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de inicio de sesión: 5 M
17:00:13 Security- restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %%1833 Nuev
Auditing seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de se
vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio de sesión: {000
000000000000} Información de proceso: Id. de proceso: 0x2e8 Nombre de proceso: C:\Windows\Syste
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 224 of 466
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
Navegación
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:00:13
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
4738: Se cambió una cuenta de usuario. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: MINWI
Id. de inicio de sesión: 0x3e7 Cuenta de destino: Id. de seguridad: S-1-5-21-1163546357-429208663-
Microsoft-
2023-08- cuenta: Administrador Dominio de cuenta: MINWINPC Atributos cambiados: Nombre de cuenta SAM: -
Audit Windows-
Seguridad 13824 10 Nombre principal de usuario: - Directorio principal: - Unidad principal: - Ruta de acceso de script: - Rut
Success Security-
17:00:13 Estaciones de trabajo de usuario: - Última contraseña establecida: - Expiración de cuenta: - Id. de grup
Auditing
delegación a: - Valor de UAC anterior: 0x211 Nuevo valor de UAC: 0x211 Control de cuentas de usuario
Historial de SID: - Horas de inicio de sesión: - Información adicional: Privilegios: -
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
de cuenta: ? Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de inicio de sesión: 5 M
restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %%1833 Nuev
seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de se
vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio de sesión: {000
000000000000} Información de proceso: Id. de proceso: 0x2e8 Nombre de proceso: C:\Windows\Syste
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:00:14
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:00:14
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
4907: Se cambió la configuración de auditoría en un objeto. Sujeto: Id. de seguridad: S-1-5-18 Nombre
Microsoft-
2023-08- Dominio de cuenta: ? Id. de inicio de sesión: 0x3e7 Objeto: Servidor del objeto: Security Tipo de objeto
Audit Windows-
Seguridad 13568 10 C:\Windows\Temp\winre\ExtractedFromWim Id. de identificador: 0x56c Información de proceso: Id. de
Success Security-
17:00:17 proceso: C:\Windows\System32\oobe\Setup.exe Configuración de auditoría: Descriptor de seguridad or
Auditing
seguridad: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
de cuenta: ? Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de inicio de sesión: 5 M
restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %%1833 Nuev
seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de se
vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio de sesión: {000
000000000000} Información de proceso: Id. de proceso: 0x2e8 Nombre de proceso: C:\Windows\Syste
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:00:20
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:00:20
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
de cuenta: ? Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de inicio de sesión: 5 M
restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %%1833 Nuev
seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de se
vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio de sesión: {000
000000000000} Información de proceso: Id. de proceso: 0x2e8 Nombre de proceso: C:\Windows\Syste
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:00:21
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:00:21
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Seguridad Audit 13312 2023-08- Microsoft- 4688: Se creó un nuevo proceso. Firmante creador: Identificador de seguridad: S-1-5-18 Nombre de cu
Success 10 Windows- Identificador de inicio de sesión: 0x3e7 Firmante de destino: Identificador de seguridad: S-1-0-0 Nomb
17:00:38 Security- cuenta: - Identificador de inicio de sesión: 0x0 Información de proceso: Identificador del nuevo proceso
Auditing proceso: ????-??6?4????0--?0??????? Tipo de elevación de token: %%1936 Etiqueta obligatoria: S-1-16
proceso creador: 0x4 Nombre del proceso creador: ??????? Línea de comandos de proceso: ????0--?0??
token indica el tipo de token que se asignó al nuevo proceso de acuerdo con la directiva Control de cuen
un token completo sin privilegios quitados ni grupos deshabilitados. Solo se usa un token completo si C
está deshabilitado o si el usuario es la cuenta predefinida Administrador o una cuenta de servicio. El tip
privilegios quitados ni grupos deshabilitados. Se usa un token elevado cuando Control de cuentas de us
usuario elige iniciar el programa mediante Ejecutar como administrador. También se usa un token eleva
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 225 of 466
aplicación para que siempre requiera un privilegio administrativo o para que siempre requiera el máxim
Navegación
pertenece al grupo Administradores. El tipo 3 es un token limitado con los privilegios administrativos qu
administrativos deshabilitados. El token limitado se usa cuando Control de cuentas de usuario está habi
requiere un privilegio administrativo y el usuario no elige iniciar el programa mediante Ejecutar como ad
Microsoft- 4696: Se asignó un símbolo (token) primario al proceso. Sujeto: Id. de seguridad: S-1-5-18 Nombre de
2023-08-
Audit Windows- cuenta: - Id. de inicio de sesión: 0x3e7 Información de proceso: Id. de proceso: 0x4 Nombre de proces
Seguridad 13312 10
Success Security- de proceso de destino: 0x7c Nombre de proceso de destino: Registry Información de nuevo símbolo: Id
17:00:38
Auditing Nombre de cuenta: - Dominio de cuenta: - Id. de inicio de sesión: 0x3e7
4688: Se creó un nuevo proceso. Firmante creador: Identificador de seguridad: S-1-5-18 Nombre de cu
Identificador de inicio de sesión: 0x3e7 Firmante de destino: Identificador de seguridad: S-1-0-0 Nomb
cuenta: - Identificador de inicio de sesión: 0x0 Información de proceso: Identificador del nuevo proceso
proceso: ??????????????-??6?4????0--?0??????? Tipo de elevación de token: %%1936 Etiqueta obligato
Identificador del proceso creador: 0x4 Nombre del proceso creador: ??????? Línea de comandos de proc
Microsoft- de elevación de token indica el tipo de token que se asignó al nuevo proceso de acuerdo con la directiva
2023-08-
Audit Windows- usuario. El tipo 1 es un token completo sin privilegios quitados ni grupos deshabilitados. Solo se usa un
Seguridad 13312 10
Success Security- cuentas de usuario está deshabilitado o si el usuario es la cuenta predefinida Administrador o una cuent
17:00:38
Auditing token elevado sin privilegios quitados ni grupos deshabilitados. Se usa un token elevado cuando Contro
habilitado y el usuario elige iniciar el programa mediante Ejecutar como administrador. También se usa
configura una aplicación para que siempre requiera un privilegio administrativo o para que siempre requ
usuario pertenece al grupo Administradores. El tipo 3 es un token limitado con los privilegios administra
administrativos deshabilitados. El token limitado se usa cuando Control de cuentas de usuario está habi
requiere un privilegio administrativo y el usuario no elige iniciar el programa mediante Ejecutar como ad
4688: Se creó un nuevo proceso. Firmante creador: Identificador de seguridad: S-1-5-18 Nombre de cu
Identificador de inicio de sesión: 0x3e7 Firmante de destino: Identificador de seguridad: S-1-0-0 Nomb
cuenta: - Identificador de inicio de sesión: 0x0 Información de proceso: Identificador del nuevo proceso
proceso: ???????????????e??? ????????? ???????????????e?????? Tipo de elevación de token: %%1936
16384 Identificador del proceso creador: 0x180 Nombre del proceso creador: ????????????????????4 Lí
proceso: ????0--?0????????????????????4 El tipo de elevación de token indica el tipo de token que se as
Microsoft-
2023-08- acuerdo con la directiva Control de cuentas de usuario. El tipo 1 es un token completo sin privilegios qu
Audit Windows-
Seguridad 13312 10 deshabilitados. Solo se usa un token completo si Control de cuentas de usuario está deshabilitado o si e
Success Security-
17:00:38 predefinida Administrador o una cuenta de servicio. El tipo 2 es un token elevado sin privilegios quitado
Auditing
usa un token elevado cuando Control de cuentas de usuario está habilitado y el usuario elige iniciar el p
como administrador. También se usa un token elevado cuando se configura una aplicación para que sie
administrativo o para que siempre requiera el máximo privilegio y el usuario pertenece al grupo Admini
token limitado con los privilegios administrativos quitados y los grupos administrativos deshabilitados. E
cuando Control de cuentas de usuario está habilitado, la aplicación no requiere un privilegio administrat
iniciar el programa mediante Ejecutar como administrador.
4826: Se cargaron los datos de configuración de arranque. Asunto: Id. de seguridad: S-1-5-18 Nombre
Microsoft- cuenta: - Id. de inicio de sesión: 0x3e7 Configuración general: Opciones de carga: - Opciones avanzada
2023-08-
Audit Windows- acceso a la configuración: %%1846 Registro de eventos del sistema: %%1843 Depuración del kernel:
Seguridad 13573 10
Success Security- VSM: %%1848 Configuración de la firma: Firma de prueba: %%1843 Firma de desarrollo: %%1843 De
17:00:38
Auditing integridad: %%1843 Configuración del hipervisor: Opciones de carga del hipervisor: - Tipo de inicio del
Depuración del hipervisor: %%1843
4688: Se creó un nuevo proceso. Firmante creador: Identificador de seguridad: S-1-5-18 Nombre de cu
Identificador de inicio de sesión: 0x3e7 Firmante de destino: Identificador de seguridad: S-1-0-0 Nomb
cuenta: - Identificador de inicio de sesión: 0x0 Información de proceso: Identificador del nuevo proceso
proceso: ??????????????-??6??0????0--?0????????????????????4? Tipo de elevación de token: %%1936
16384 Identificador del proceso creador: 0x180 Nombre del proceso creador: ????????????????????4? L
proceso: ????0--?0????????????????????4? El tipo de elevación de token indica el tipo de token que se a
Microsoft-
2023-08- acuerdo con la directiva Control de cuentas de usuario. El tipo 1 es un token completo sin privilegios qu
Audit Windows-
Seguridad 13312 10 deshabilitados. Solo se usa un token completo si Control de cuentas de usuario está deshabilitado o si e
Success Security-
17:00:39 predefinida Administrador o una cuenta de servicio. El tipo 2 es un token elevado sin privilegios quitado
Auditing
usa un token elevado cuando Control de cuentas de usuario está habilitado y el usuario elige iniciar el p
como administrador. También se usa un token elevado cuando se configura una aplicación para que sie
administrativo o para que siempre requiera el máximo privilegio y el usuario pertenece al grupo Admini
token limitado con los privilegios administrativos quitados y los grupos administrativos deshabilitados. E
cuando Control de cuentas de usuario está habilitado, la aplicación no requiere un privilegio administrat
iniciar el programa mediante Ejecutar como administrador.
4688: Se creó un nuevo proceso. Firmante creador: Identificador de seguridad: S-1-5-18 Nombre de cu
Identificador de inicio de sesión: 0x3e7 Firmante de destino: Identificador de seguridad: S-1-0-0 Nomb
cuenta: - Identificador de inicio de sesión: 0x0 Información de proceso: Identificador del nuevo proceso
proceso: ??????????????e??? ????????? ???????????????e?????? Tipo de elevación de token: %%1936 E
16384 Identificador del proceso creador: 0x1d4 Nombre del proceso creador: ????????????????????4 Lí
proceso: ????0--?0????????????????????4 El tipo de elevación de token indica el tipo de token que se as
Microsoft-
2023-08- acuerdo con la directiva Control de cuentas de usuario. El tipo 1 es un token completo sin privilegios qu
Audit Windows-
Seguridad 13312 10 deshabilitados. Solo se usa un token completo si Control de cuentas de usuario está deshabilitado o si e
Success Security-
17:00:40 predefinida Administrador o una cuenta de servicio. El tipo 2 es un token elevado sin privilegios quitado
Auditing
usa un token elevado cuando Control de cuentas de usuario está habilitado y el usuario elige iniciar el p
como administrador. También se usa un token elevado cuando se configura una aplicación para que sie
administrativo o para que siempre requiera el máximo privilegio y el usuario pertenece al grupo Admini
token limitado con los privilegios administrativos quitados y los grupos administrativos deshabilitados. E
cuando Control de cuentas de usuario está habilitado, la aplicación no requiere un privilegio administrat
iniciar el programa mediante Ejecutar como administrador.
4688: Se creó un nuevo proceso. Firmante creador: Identificador de seguridad: S-1-5-18 Nombre de cu
Identificador de inicio de sesión: 0x3e7 Firmante de destino: Identificador de seguridad: S-1-0-0 Nomb
cuenta: - Identificador de inicio de sesión: 0x0 Información de proceso: Identificador del nuevo proceso
proceso: ??????????????-??6??0????0--?0????????????????????4? Tipo de elevación de token: %%1936
16384 Identificador del proceso creador: 0x180 Nombre del proceso creador: ????????????????????4? L
proceso: ????0--?0????????????????????4? El tipo de elevación de token indica el tipo de token que se a
Microsoft-
2023-08- acuerdo con la directiva Control de cuentas de usuario. El tipo 1 es un token completo sin privilegios qu
Audit Windows-
Seguridad 13312 10 deshabilitados. Solo se usa un token completo si Control de cuentas de usuario está deshabilitado o si e
Success Security-
17:00:40 predefinida Administrador o una cuenta de servicio. El tipo 2 es un token elevado sin privilegios quitado
Auditing
usa un token elevado cuando Control de cuentas de usuario está habilitado y el usuario elige iniciar el p
como administrador. También se usa un token elevado cuando se configura una aplicación para que sie
administrativo o para que siempre requiera el máximo privilegio y el usuario pertenece al grupo Admini
token limitado con los privilegios administrativos quitados y los grupos administrativos deshabilitados. E
cuando Control de cuentas de usuario está habilitado, la aplicación no requiere un privilegio administrat
iniciar el programa mediante Ejecutar como administrador.
Seguridad Audit 13312 2023-08- Microsoft- 4688: Se creó un nuevo proceso. Firmante creador: Identificador de seguridad: S-1-5-18 Nombre de cu
Success 10 Windows- Identificador de inicio de sesión: 0x3e7 Firmante de destino: Identificador de seguridad: S-1-0-0 Nomb
17:00:40 Security- cuenta: - Identificador de inicio de sesión: 0x0 Información de proceso: Identificador del nuevo proceso
Auditing proceso: ???????????????e??? ????????? ???????????????e?????? Tipo de elevación de token: %%1936
16384 Identificador del proceso creador: 0x1d4 Nombre del proceso creador: ????????????????????4 Lí
proceso: ????0--?0????????????????????4 El tipo de elevación de token indica el tipo de token que se as
acuerdo con la directiva Control de cuentas de usuario. El tipo 1 es un token completo sin privilegios qu
deshabilitados. Solo se usa un token completo si Control de cuentas de usuario está deshabilitado o si e
predefinida Administrador o una cuenta de servicio. El tipo 2 es un token elevado sin privilegios quitado
usa un token elevado cuando Control de cuentas de usuario está habilitado y el usuario elige iniciar el p
como administrador. También se usa un token elevado cuando se configura una aplicación para que sie
administrativo o para que siempre requiera el máximo privilegio y el usuario pertenece al grupo Admini
token limitado con los privilegios administrativos quitados y los grupos administrativos deshabilitados. E
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 226 of 466
cuando Control de cuentas de usuario está habilitado, la aplicación no requiere un privilegio administrat
iniciar el programa medianteNavegación
Ejecutar como administrador.
4688: Se creó un nuevo proceso. Firmante creador: Identificador de seguridad: S-1-5-18 Nombre de cu
Identificador de inicio de sesión: 0x3e7 Firmante de destino: Identificador de seguridad: S-1-0-0 Nomb
cuenta: - Identificador de inicio de sesión: 0x0 Información de proceso: Identificador del nuevo proceso
proceso: ??????????????e??? ????????? ???????????????e?????? Tipo de elevación de token: %%1936 E
16384 Identificador del proceso creador: 0x22c Nombre del proceso creador: ????????????????????4 Lín
proceso: ????0--?0????????????????????4 El tipo de elevación de token indica el tipo de token que se as
Microsoft-
2023-08- acuerdo con la directiva Control de cuentas de usuario. El tipo 1 es un token completo sin privilegios qu
Audit Windows-
Seguridad 13312 10 deshabilitados. Solo se usa un token completo si Control de cuentas de usuario está deshabilitado o si e
Success Security-
17:00:40 predefinida Administrador o una cuenta de servicio. El tipo 2 es un token elevado sin privilegios quitado
Auditing
usa un token elevado cuando Control de cuentas de usuario está habilitado y el usuario elige iniciar el p
como administrador. También se usa un token elevado cuando se configura una aplicación para que sie
administrativo o para que siempre requiera el máximo privilegio y el usuario pertenece al grupo Admini
token limitado con los privilegios administrativos quitados y los grupos administrativos deshabilitados. E
cuando Control de cuentas de usuario está habilitado, la aplicación no requiere un privilegio administrat
iniciar el programa mediante Ejecutar como administrador.
4688: Se creó un nuevo proceso. Firmante creador: Identificador de seguridad: S-1-5-18 Nombre de cu
Identificador de inicio de sesión: 0x3e7 Firmante de destino: Identificador de seguridad: S-1-0-0 Nomb
cuenta: - Identificador de inicio de sesión: 0x0 Información de proceso: Identificador del nuevo proceso
proceso: ????????????????-??6??c????0--?0????????????????????4? Tipo de elevación de token: %%19
16-16384 Identificador del proceso creador: 0x22c Nombre del proceso creador: ????????????????????4
proceso: ????0--?0????????????????????4? El tipo de elevación de token indica el tipo de token que se a
Microsoft-
2023-08- acuerdo con la directiva Control de cuentas de usuario. El tipo 1 es un token completo sin privilegios qu
Audit Windows-
Seguridad 13312 10 deshabilitados. Solo se usa un token completo si Control de cuentas de usuario está deshabilitado o si e
Success Security-
17:00:40 predefinida Administrador o una cuenta de servicio. El tipo 2 es un token elevado sin privilegios quitado
Auditing
usa un token elevado cuando Control de cuentas de usuario está habilitado y el usuario elige iniciar el p
como administrador. También se usa un token elevado cuando se configura una aplicación para que sie
administrativo o para que siempre requiera el máximo privilegio y el usuario pertenece al grupo Admini
token limitado con los privilegios administrativos quitados y los grupos administrativos deshabilitados. E
cuando Control de cuentas de usuario está habilitado, la aplicación no requiere un privilegio administrat
iniciar el programa mediante Ejecutar como administrador.
4688: Se creó un nuevo proceso. Firmante creador: Identificador de seguridad: S-1-5-18 Nombre de cu
Identificador de inicio de sesión: 0x3e7 Firmante de destino: Identificador de seguridad: S-1-0-0 Nomb
cuenta: - Identificador de inicio de sesión: 0x0 Información de proceso: Identificador del nuevo proceso
proceso: ????????????????-??6??4????0--?0???????????????e?????? Tipo de elevación de token: %%19
16-16384 Identificador del proceso creador: 0x234 Nombre del proceso creador: ???????????????e?????
proceso: ????0--?0???????????????e?????? El tipo de elevación de token indica el tipo de token que se a
Microsoft-
2023-08- acuerdo con la directiva Control de cuentas de usuario. El tipo 1 es un token completo sin privilegios qu
Audit Windows-
Seguridad 13312 10 deshabilitados. Solo se usa un token completo si Control de cuentas de usuario está deshabilitado o si e
Success Security-
17:00:40 predefinida Administrador o una cuenta de servicio. El tipo 2 es un token elevado sin privilegios quitado
Auditing
usa un token elevado cuando Control de cuentas de usuario está habilitado y el usuario elige iniciar el p
como administrador. También se usa un token elevado cuando se configura una aplicación para que sie
administrativo o para que siempre requiera el máximo privilegio y el usuario pertenece al grupo Admini
token limitado con los privilegios administrativos quitados y los grupos administrativos deshabilitados. E
cuando Control de cuentas de usuario está habilitado, la aplicación no requiere un privilegio administrat
iniciar el programa mediante Ejecutar como administrador.
Microsoft-
2023-08-
Audit Windows-
Seguridad 12288 10 4608: Se está iniciando Windows. Este evento se registra cuando se inicia LSASS.EXE y se inicializa el s
Success Security-
17:00:42
Auditing
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-0-0 Nombre de cu
Id. de inicio de sesión: 0x0 Información de inicio de sesión: Tipo de inicio de sesión: 0 Modo de adminis
virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: - Nuevo inicio de sesión: Id. de segu
cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Inicio de sesión vinc
de red: - Dominio de cuenta de red: - GUID de inicio de sesión: {00000000-0000-0000-0000-00000000
proceso: Id. de proceso: 0x4 Nombre de proceso: ? Información de red: Nombre de estación de trabajo
origen: - Puerto de origen: - Información de autenticación detallada: Proceso de inicio de sesión: - Paqu
Servicios transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera
Microsoft-
2023-08- inicio. Lo genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema
Audit Windows-
Seguridad 12544 10 sesión. Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Servi
Success Security-
17:00:42 inicio de sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interacti
Auditing
Nuevo inicio de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella e
Los campos de red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estació
disponible y se puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qu
sesión de inicio de sesión puede suplantar. Los campos de información de autenticación proporcionan in
esta solicitud de inicio de sesión específica. - GUID de inicio de sesión es un identificador único que se p
este evento con un evento KDC. - Servicios transitados indica los servicios intermedios que participaron
sesión. - Nombre de paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de
clave de sesión generada. Será 0 si no se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2cc Nombre de proceso: C:\Win
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:00:42
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4648: Se intentó iniciar sesión con credenciales explícitas. Sujeto: Id. de seguridad: S-1-5-18 Nombre d
E9MMIPJ0JJN$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 GUID de inicio de sesión
Microsoft- 0000-000000000000} Cuenta cuyas credenciales se usaron: Nombre de cuenta: UMFD-0 Dominio de cu
2023-08-
Audit Windows- de inicio de sesión: {00000000-0000-0000-0000-000000000000} Servidor de destino: Nombre de serv
Seguridad 12544 10
Success Security- Información adicional: localhost Información de proceso: Id. de proceso: 0x234 Nombre de proceso: C:
17:00:42
Auditing \wininit.exe Información de red: Dirección de red: - Puerto: - Este evento se genera cuando un proceso
cuenta especificando explícitamente las credenciales de la cuenta. Suele producirse en configuraciones
programadas, o cuando se usa el comando RUNAS.
Seguridad Audit 12544 2023-08- Microsoft- 4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Success 10 Windows- Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
17:00:42 Security- administrador restringido: - Cuenta virtual: %%1842 Token elevado: %%1843 Nivel de suplantación: %
Auditing sesión: Id. de seguridad: S-1-5-96-0-0 Nombre de cuenta: UMFD-0 Dominio de cuenta: Font Driver Ho
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 227 of 466
0x94e9 Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID d
Navegación
{00000000-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x234 Nombre
C:\Windows\System32\wininit.exe Información de red: Nombre de estación de trabajo: - Dirección de r
origen: - Información de autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autent
transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se
genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema local que
Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe
sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (
de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se i
red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no
puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un pro
sesión puede suplantar. Los campos de información de autenticación proporcionan información detallad
de sesión específica. - GUID de inicio de sesión es un identificador único que se puede usar para correla
evento KDC. - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de
paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longi
generada. Será 0 si no se solicitó una clave de sesión.
4648: Se intentó iniciar sesión con credenciales explícitas. Sujeto: Id. de seguridad: S-1-5-18 Nombre d
E9MMIPJ0JJN$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 GUID de inicio de sesión
Microsoft- 0000-000000000000} Cuenta cuyas credenciales se usaron: Nombre de cuenta: UMFD-1 Dominio de cu
2023-08-
Audit Windows- de inicio de sesión: {00000000-0000-0000-0000-000000000000} Servidor de destino: Nombre de serv
Seguridad 12544 10
Success Security- Información adicional: localhost Información de proceso: Id. de proceso: 0x27c Nombre de proceso: C:
17:00:42
Auditing \winlogon.exe Información de red: Dirección de red: - Puerto: - Este evento se genera cuando un proce
una cuenta especificando explícitamente las credenciales de la cuenta. Suele producirse en configuracio
tareas programadas, o cuando se usa el comando RUNAS.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1842 Token elevado: %%1843 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-96-0-1 Nombre de cuenta: UMFD-1 Dominio de cuenta: Font Driver Ho
0x9513 Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID
{00000000-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x27c Nombre
C:\Windows\System32\winlogon.exe Información de red: Nombre de estación de trabajo: - Dirección d
origen: - Información de autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autent
Microsoft- transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se
2023-08-
Audit Windows- genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema local que
Seguridad 12544 10
Success Security- Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe
17:00:42
Auditing sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (
de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se i
red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no
puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un pro
sesión puede suplantar. Los campos de información de autenticación proporcionan información detallad
de sesión específica. - GUID de inicio de sesión es un identificador único que se puede usar para correla
evento KDC. - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de
paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longi
generada. Será 0 si no se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:00:42
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
4688: Se creó un nuevo proceso. Firmante creador: Identificador de seguridad: S-1-5-18 Nombre de cu
Identificador de inicio de sesión: 0x3e7 Firmante de destino: Identificador de seguridad: S-1-0-0 Nomb
cuenta: - Identificador de inicio de sesión: 0x0 Información de proceso: Identificador del nuevo proceso
proceso: ??????????????e??? ????????? ???????????????????????4? Tipo de elevación de token: %%193
16-16384 Identificador del proceso creador: 0x234 Nombre del proceso creador: ???????????????e?????
proceso: ????0--?0???????????????e?????? El tipo de elevación de token indica el tipo de token que se a
Microsoft-
2023-08- acuerdo con la directiva Control de cuentas de usuario. El tipo 1 es un token completo sin privilegios qu
Audit Windows-
Seguridad 13312 10 deshabilitados. Solo se usa un token completo si Control de cuentas de usuario está deshabilitado o si e
Success Security-
17:00:42 predefinida Administrador o una cuenta de servicio. El tipo 2 es un token elevado sin privilegios quitado
Auditing
usa un token elevado cuando Control de cuentas de usuario está habilitado y el usuario elige iniciar el p
como administrador. También se usa un token elevado cuando se configura una aplicación para que sie
administrativo o para que siempre requiera el máximo privilegio y el usuario pertenece al grupo Admini
token limitado con los privilegios administrativos quitados y los grupos administrativos deshabilitados. E
cuando Control de cuentas de usuario está habilitado, la aplicación no requiere un privilegio administrat
iniciar el programa mediante Ejecutar como administrador.
Microsoft-
2023-08-
Audit Windows-
Seguridad 13568 10 4902: Se creó la tabla de directiva de auditoría por usuario. Número de elementos: 0 Id. de directiva: 0
Success Security-
17:00:42
Auditing
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-20 Nombre de cuenta: Servicio de red Dominio de cuenta: NT AUTHOR
0x3e4 Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de
-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2cc Nombre de proceso:
\services.exe Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto
autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servic
Microsoft- paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio.
2023-08-
Audit Windows- tuvo acceso. Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión.
Seguridad 12544 10
Success Security- servicio de servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de se
17:00:43
Auditing de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio
para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos
originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponi
blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesió
suplantar. Los campos de información de autenticación proporcionan información detallada sobre esta s
específica. - GUID de inicio de sesión es un identificador único que se puede usar para correlacionar est
- Servicios transitados indica los servicios intermedios que participaron en esta solicitud de inicio de ses
indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la
Será 0 si no se solicitó una clave de sesión.
Seguridad Audit 12544 2023-08- Microsoft- 4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Success 10 Windows- Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
17:00:43 Security- administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
Auditing sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2cc Nombre de proceso: C:\Win
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 228 of 466
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
Navegación
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4648: Se intentó iniciar sesión con credenciales explícitas. Sujeto: Id. de seguridad: S-1-5-18 Nombre d
E9MMIPJ0JJN$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 GUID de inicio de sesión
Microsoft- 0000-000000000000} Cuenta cuyas credenciales se usaron: Nombre de cuenta: DWM-1 Dominio de cu
2023-08-
Audit Windows- de inicio de sesión: {00000000-0000-0000-0000-000000000000} Servidor de destino: Nombre de serv
Seguridad 12544 10
Success Security- Información adicional: localhost Información de proceso: Id. de proceso: 0x27c Nombre de proceso: C:
17:00:43
Auditing \winlogon.exe Información de red: Dirección de red: - Puerto: - Este evento se genera cuando un proce
una cuenta especificando explícitamente las credenciales de la cuenta. Suele producirse en configuracio
tareas programadas, o cuando se usa el comando RUNAS.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1842 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-90-0-1 Nombre de cuenta: DWM-1 Dominio de cuenta: Window Manage
0xe5ec Inicio de sesión vinculado: 0xe5fe Nombre de cuenta de red: - Dominio de cuenta de red: - GUI
{00000000-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x27c Nombre
C:\Windows\System32\winlogon.exe Información de red: Nombre de estación de trabajo: - Dirección d
origen: - Información de autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autent
Microsoft- transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se
2023-08-
Audit Windows- genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema local que
Seguridad 12544 10
Success Security- Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe
17:00:43
Auditing sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (
de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se i
red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no
puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un pro
sesión puede suplantar. Los campos de información de autenticación proporcionan información detallad
de sesión específica. - GUID de inicio de sesión es un identificador único que se puede usar para correla
evento KDC. - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de
paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longi
generada. Será 0 si no se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1842 Token elevado: %%1843 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-90-0-1 Nombre de cuenta: DWM-1 Dominio de cuenta: Window Manage
0xe5fe Inicio de sesión vinculado: 0xe5ec Nombre de cuenta de red: - Dominio de cuenta de red: - GUI
{00000000-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x27c Nombre
C:\Windows\System32\winlogon.exe Información de red: Nombre de estación de trabajo: - Dirección d
origen: - Información de autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autent
Microsoft- transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se
2023-08-
Audit Windows- genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema local que
Seguridad 12544 10
Success Security- Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe
17:00:43
Auditing sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (
de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se i
red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no
puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un pro
sesión puede suplantar. Los campos de información de autenticación proporcionan información detallad
de sesión específica. - GUID de inicio de sesión es un identificador único que se puede usar para correla
evento KDC. - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de
paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longi
generada. Será 0 si no se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2cc Nombre de proceso: C:\Win
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:00:43
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2cc Nombre de proceso: C:\Win
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:00:43
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Seguridad Audit 12544 2023-08- Microsoft- 4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Success 10 Windows- Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
17:00:43 Security- administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
Auditing sesión: Id. de seguridad: S-1-5-19 Nombre de cuenta: SERVICIO LOCAL Dominio de cuenta: NT AUTHO
0x3e5 Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de
-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2cc Nombre de proceso:
\services.exe Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto
autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servic
paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio.
tuvo acceso. Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión.
servicio de servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de se
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 229 of 466
de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio
para la que se creó el nuevoNavegación
inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos
originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponi
blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesió
suplantar. Los campos de información de autenticación proporcionan información detallada sobre esta s
específica. - GUID de inicio de sesión es un identificador único que se puede usar para correlacionar est
- Servicios transitados indica los servicios intermedios que participaron en esta solicitud de inicio de ses
indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la
Será 0 si no se solicitó una clave de sesión.
Microsoft-
2023-08- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-2
Audit Windows-
Seguridad 12548 10 Servicio de red Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e4 Privilegios: SeAssignP
Success Security-
17:00:43 SeAuditPrivilege SeImpersonatePrivilege
Auditing
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:00:43
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft-
2023-08- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-9
Audit Windows-
Seguridad 12548 10 DWM-1 Dominio de cuenta: Window Manager Id. de inicio de sesión: 0xe5ec Privilegios: SeAssignPrima
Success Security-
17:00:43 SeAuditPrivilege SeImpersonatePrivilege
Auditing
Microsoft-
2023-08- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-9
Audit Windows-
Seguridad 12548 10 DWM-1 Dominio de cuenta: Window Manager Id. de inicio de sesión: 0xe5fe Privilegios: SeAssignPrimar
Success Security-
17:00:43 SeAuditPrivilege
Auditing
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:00:43
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:00:43
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft-
2023-08- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 12548 10 SERVICIO LOCAL Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e5 Privilegios: SeAssig
Success Security-
17:00:43 SeAuditPrivilege SeImpersonatePrivilege
Auditing
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2cc Nombre de proceso: C:\Win
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:00:47
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2cc Nombre de proceso: C:\Win
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:00:47
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2cc Nombre de proceso: C:\Win
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:00:47
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:00:47
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 230 of 466
Seguridad Audit 12548 2023-08- Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
Success 10 Windows- SYSTEM Dominio de cuenta:Navegación
NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
17:00:47 Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:00:47
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2cc Nombre de proceso: C:\Win
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:00:48
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2cc Nombre de proceso: C:\Win
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:00:48
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2cc Nombre de proceso: C:\Win
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:00:48
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2cc Nombre de proceso: C:\Win
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:00:48
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Seguridad Audit 12544 2023-08- Microsoft- 4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Success 10 Windows- Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
17:00:48 Security- administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
Auditing sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2cc Nombre de proceso: C:\Win
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 231 of 466
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
Navegación
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2cc Nombre de proceso: C:\Win
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:00:48
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2cc Nombre de proceso: C:\Win
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:00:48
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2cc Nombre de proceso: C:\Win
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:00:48
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4648: Se intentó iniciar sesión con credenciales explícitas. Sujeto: Id. de seguridad: S-1-5-18 Nombre d
E9MMIPJ0JJN$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 GUID de inicio de sesión
Microsoft- 0000-000000000000} Cuenta cuyas credenciales se usaron: Nombre de cuenta: defaultuser0 Dominio
2023-08-
Audit Windows- GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000} Servidor de destino: Nombre d
Seguridad 12544 10
Success Security- localhost Información adicional: localhost Información de proceso: Id. de proceso: 0x54c Nombre de pr
17:00:48
Auditing \oobe\msoobe.exe Información de red: Dirección de red: - Puerto: - Este evento se genera cuando un p
en una cuenta especificando explícitamente las credenciales de la cuenta. Suele producirse en configura
tareas programadas, o cuando se usa el comando RUNAS.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-21-1163546357-429208663-839679816-1000 Nombre de cuenta: defa
DESKTOP-K618JK0 Id. de inicio de sesión: 0x2707a Inicio de sesión vinculado: 0x27151 Nombre de cue
cuenta de red: - GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000} Información d
0x54c Nombre de proceso: C:\Windows\System32\oobe\msoobe.exe Información de red: Nombre de e
E9MMIPJ0JJN Dirección de red de origen: - Puerto de origen: - Información de autenticación detallada:
Microsoft- Advapi Paquete de autenticación: Negotiate Servicios transitados: - Nombre de paquete (solo NTLM): -
2023-08-
Audit Windows- evento se genera cuando se crea una sesión de inicio. Lo genera el equipo al que se tuvo acceso. Los ca
Seguridad 12544 10
Success Security- cuenta del sistema local que solicitó el inicio de sesión. Suele ser un servicio como el servicio de servido
17:00:48
Auditing Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica la clase de inicio de sesión que se
comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión indican la cuenta para la que
sesión, es decir, aquella en la que se inició la sesión. Los campos de red indican dónde se originó una so
remota. Nombre de estación de trabajo no está siempre disponible y se puede dejar en blanco en algun
de suplantación indica en qué medida un proceso en la sesión de inicio de sesión puede suplantar. Los c
autenticación proporcionan información detallada sobre esta solicitud de inicio de sesión específica. - GU
identificador único que se puede usar para correlacionar este evento con un evento KDC. - Servicios tra
intermedios que participaron en esta solicitud de inicio de sesión. - Nombre de paquete indica el subpro
protocolos NTLM. - Longitud de clave indica la longitud de la clave de sesión generada. Será 0 si no se s
Seguridad Audit 12544 2023-08- Microsoft- 4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Success 10 Windows- Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
17:00:48 Security- administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1843 Nivel de suplantación: %
Auditing sesión: Id. de seguridad: S-1-5-21-1163546357-429208663-839679816-1000 Nombre de cuenta: defa
DESKTOP-K618JK0 Id. de inicio de sesión: 0x27151 Inicio de sesión vinculado: 0x2707a Nombre de cue
cuenta de red: - GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000} Información d
0x54c Nombre de proceso: C:\Windows\System32\oobe\msoobe.exe Información de red: Nombre de e
E9MMIPJ0JJN Dirección de red de origen: - Puerto de origen: - Información de autenticación detallada:
Advapi Paquete de autenticación: Negotiate Servicios transitados: - Nombre de paquete (solo NTLM): -
evento se genera cuando se crea una sesión de inicio. Lo genera el equipo al que se tuvo acceso. Los ca
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 232 of 466
cuenta del sistema local que solicitó el inicio de sesión. Suele ser un servicio como el servicio de servido
Winlogon.exe o Services.exe. Navegación
El campo Tipo de inicio de sesión indica la clase de inicio de sesión que se
comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión indican la cuenta para la que
sesión, es decir, aquella en la que se inició la sesión. Los campos de red indican dónde se originó una so
remota. Nombre de estación de trabajo no está siempre disponible y se puede dejar en blanco en algun
de suplantación indica en qué medida un proceso en la sesión de inicio de sesión puede suplantar. Los c
autenticación proporcionan información detallada sobre esta solicitud de inicio de sesión específica. - GU
identificador único que se puede usar para correlacionar este evento con un evento KDC. - Servicios tra
intermedios que participaron en esta solicitud de inicio de sesión. - Nombre de paquete indica el subpro
protocolos NTLM. - Longitud de clave indica la longitud de la clave de sesión generada. Será 0 si no se s
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:00:48
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:00:48
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:00:48
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:00:48
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:00:48
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:00:48
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:00:48
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:00:48
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1000 Nombre de cuenta: defaultuser0 Dominio de cuenta: DESKTOP-K618JK0 Id. de inicio
Seguridad 12548 10
Success Security- Privilegios: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeR
17:00:48
Auditing SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImper
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 E9MMIPJ0JJN$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de lectura:
Success Security-
17:00:48 produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el Adm
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 E9MMIPJ0JJN$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de lectura:
Success Security-
17:00:48 produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el Adm
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 E9MMIPJ0JJN$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de lectura:
Success Security-
17:00:48 produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el Adm
Auditing
4720: Se creó una cuenta de usuario. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: WIN-E9M
cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Nueva cuenta: Id. de seguridad: S-1-5-21-116354
Microsoft- 1000 Nombre de cuenta: defaultuser0 Dominio de cuenta: DESKTOP-K618JK0 Atributos: Nombre de cu
2023-08-
Audit Windows- Nombre para mostrar: %%1793 Nombre principal de usuario: - Directorio principal: %%1793 Unidad p
Seguridad 13824 10
Success Security- acceso de script: %%1793 Ruta de acceso de perfil: %%1793 Estaciones de trabajo de usuario: %%17
17:00:48
Auditing establecida: %%1794 Expiración de cuenta: %%1794 Id. de grupo primario: 513 Se permite delegació
0x0 Nuevo valor de UAC: 0x15 Control de cuentas de usuario: %%2080 %%2082 %%2084 Parámetro
Historial de SID: - Horas de inicio de sesión: %%1797 Información adicional: Privilegios: -
Microsoft-
2023-08- 4722: Se habilitó una cuenta de usuario. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: WIN-E
Audit Windows-
Seguridad 13824 10 cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Cuenta de destino: Id. de seguridad: S-1-5-21-116
Success Security-
17:00:48 839679816-1000 Nombre de cuenta: defaultuser0 Dominio de cuenta: DESKTOP-K618JK0
Auditing
4738: Se cambió una cuenta de usuario. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: WIN-E
cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Cuenta de destino: Id. de seguridad: S-1-5-21-116
Microsoft- 839679816-1000 Nombre de cuenta: defaultuser0 Dominio de cuenta: DESKTOP-K618JK0 Atributos cam
2023-08-
Audit Windows- SAM: defaultuser0 Nombre para mostrar: %%1793 Nombre principal de usuario: - Directorio principal:
Seguridad 13824 10
Success Security- %1793 Ruta de acceso de script: %%1793 Ruta de acceso de perfil: %%1793 Estaciones de trabajo de
17:00:48
Auditing contraseña establecida: %%1794 Expiración de cuenta: %%1794 Id. de grupo primario: 513 Se permit
UAC anterior: 0x15 Nuevo valor de UAC: 0x14 Control de cuentas de usuario: %%2048 Parámetros de
de SID: - Horas de inicio de sesión: %%1797 Información adicional: Privilegios: -
4738: Se cambió una cuenta de usuario. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: WIN-E
cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Cuenta de destino: Id. de seguridad: S-1-5-21-116
Microsoft- 839679816-1000 Nombre de cuenta: defaultuser0 Dominio de cuenta: DESKTOP-K618JK0 Atributos cam
2023-08-
Audit Windows- SAM: defaultuser0 Nombre para mostrar: %%1793 Nombre principal de usuario: - Directorio principal:
Seguridad 13824 10
Success Security- %1793 Ruta de acceso de script: %%1793 Ruta de acceso de perfil: %%1793 Estaciones de trabajo de
17:00:48
Auditing contraseña establecida: 10/8/2023 17:00:48 Expiración de cuenta: %%1794 Id. de grupo primario: 51
Valor de UAC anterior: 0x14 Nuevo valor de UAC: 0x14 Control de cuentas de usuario: - Parámetros de
Horas de inicio de sesión: %%1797 Información adicional: Privilegios: -
Microsoft-
2023-08- 4724: Se intentó restablecer la contraseña de una cuenta. Sujeto: Id. de seguridad: S-1-5-18 Nombre
Audit Windows-
Seguridad 13824 10 E9MMIPJ0JJN$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Cuenta de destino: Id. d
Success Security-
17:00:48 1163546357-429208663-839679816-1000 Nombre de cuenta: defaultuser0 Dominio de cuenta: DESKT
Auditing
4738: Se cambió una cuenta de usuario. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: WIN-E
cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Cuenta de destino: Id. de seguridad: S-1-5-21-116
Microsoft- 839679816-1000 Nombre de cuenta: defaultuser0 Dominio de cuenta: DESKTOP-K618JK0 Atributos cam
2023-08-
Audit Windows- SAM: defaultuser0 Nombre para mostrar: %%1793 Nombre principal de usuario: - Directorio principal:
Seguridad 13824 10
Success Security- %1793 Ruta de acceso de script: %%1793 Ruta de acceso de perfil: %%1793 Estaciones de trabajo de
17:00:48
Auditing contraseña establecida: 10/8/2023 17:00:48 Expiración de cuenta: %%1794 Id. de grupo primario: 51
Valor de UAC anterior: 0x14 Nuevo valor de UAC: 0x214 Control de cuentas de usuario: %%2089 Parám
de SID: - Horas de inicio de sesión: %%1797 Información adicional: Privilegios: -
Seguridad 13824
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 233 of 466
Audit 2023-08- Microsoft- 4724: Se intentó restablecer la contraseña de una cuenta. Sujeto: Id. de seguridad: S-1-5-18 Nombre
Success 10 Windows- Navegación
E9MMIPJ0JJN$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Cuenta de destino: Id. d
17:00:48 Security- 1163546357-429208663-839679816-1000 Nombre de cuenta: defaultuser0 Dominio de cuenta: DESKT
Auditing
4728: Se agregó un miembro a un grupo global con seguridad habilitada. Sujeto: Id. de seguridad: S-1
Microsoft-
2023-08- WIN-E9MMIPJ0JJN$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Miembro: Id. de se
Audit Windows-
Seguridad 13826 10 1163546357-429208663-839679816-1000 Nombre de cuenta: - Grupo: Id. de seguridad: S-1-5-21-11
Success Security-
17:00:48 839679816-513 Nombre de grupo: Ninguno Dominio de grupo: DESKTOP-K618JK0 Información adicion
Auditing
expiración: (null)
Microsoft- 4732: Se agregó un miembro a un grupo local con seguridad habilitada. Sujeto: Id. de seguridad: S-1-5
2023-08-
Audit Windows- E9MMIPJ0JJN$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Miembro: Id. de segurid
Seguridad 13826 10
Success Security- 429208663-839679816-1000 Nombre de cuenta: - Grupo: Id. de seguridad: S-1-5-32-545 Nombre de
17:00:48
Auditing grupo: Builtin Información adicional: Privilegios: - Hora de expiración: (null)
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: WIN-E9MMIPJ0JJN$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id.
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:00:48
Auditing C:\Windows\System32\oobe\msoobe.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: WIN-E9MMIPJ0JJN$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id.
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:00:48
Auditing C:\Windows\System32\oobe\msoobe.exe
Microsoft- 4732: Se agregó un miembro a un grupo local con seguridad habilitada. Sujeto: Id. de seguridad: S-1-5
2023-08-
Audit Windows- E9MMIPJ0JJN$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Miembro: Id. de segurid
Seguridad 13826 10
Success Security- 429208663-839679816-1000 Nombre de cuenta: - Grupo: Id. de seguridad: S-1-5-32-544 Nombre de
17:00:48
Auditing Dominio de grupo: Builtin Información adicional: Privilegios: - Hora de expiración: (null)
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: WIN-E9MMIPJ0JJN$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id.
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:00:48
Auditing C:\Windows\System32\oobe\msoobe.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: WIN-E9MMIPJ0JJN$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id.
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:00:48
Auditing C:\Windows\System32\oobe\msoobe.exe
Microsoft- 5061: Operación criptográfica. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: WIN-E9MMIPJ0JJ
2023-08-
Audit Windows- WORKGROUP Id. de inicio de sesión: 0x3e7 Parámetros criptográficos: Nombre de proveedor: Microsoft
Seguridad 12290 10
Success Security- Provider Nombre de algoritmo: RSA Nombre de clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
17:00:49
Auditing criptográfica: Operación: %%2481 Código de retorno: 0x0
Microsoft- 5061: Operación criptográfica. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: WIN-E9MMIPJ0JJ
2023-08-
Audit Windows- WORKGROUP Id. de inicio de sesión: 0x3e7 Parámetros criptográficos: Nombre de proveedor: Microsoft
Seguridad 12290 10
Success Security- Provider Nombre de algoritmo: RSA Nombre de clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
17:00:49
Auditing criptográfica: Operación: %%2480 Código de retorno: 0x0
Microsoft-
2023-08-
Audit Windows-
Seguridad 12292 10 5033: El controlador de Firewall de Windows se inició correctamente.
Success Security-
17:00:49
Auditing
5058: Operación de archivo de clave. Tema: Id. de seguridad: S-1-5-18 Nombre de cuenta: WIN-E9MM
cuentas: WORKGROUP Id. de inicio de sesión: 0x3e7 Información del proceso: Id. de proceso: 1032 Ho
Microsoft-
2023-08- 2023-08-10T22:00:48.7888901Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software
Audit Windows-
Seguridad 12292 10 Nombre del algoritmo: RSA Nombre de la clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo de clav
Success Security-
17:00:49 operación de archivo de clave: Ruta del archivo:
Auditing
C:\ProgramData\Microsoft\Crypto\SystemKeys\292e7a32958c490ada9966f6ee075f9a_b4d35e75-786c-
Operación: %%2459 Código de retorno: 0x0
5058: Operación de archivo de clave. Tema: Id. de seguridad: S-1-5-18 Nombre de cuenta: WIN-E9MM
cuentas: WORKGROUP Id. de inicio de sesión: 0x3e7 Información del proceso: Id. de proceso: 1032 Ho
Microsoft-
2023-08- 2023-08-10T22:00:48.7888901Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software
Audit Windows-
Seguridad 12292 10 Nombre del algoritmo: UNKNOWN Nombre de la clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
Success Security-
17:00:49 Información de la operación de archivo de clave: Ruta del archivo:
Auditing
C:\ProgramData\Microsoft\Crypto\SystemKeys\292e7a32958c490ada9966f6ee075f9a_b4d35e75-786c-
Operación: %%2458 Código de retorno: 0x0
5059: Operación de migración de claves. Tema: Id. de seguridad: S-1-5-18 Nombre de cuenta: WIN-E9
Microsoft-
2023-08- cuentas: WORKGROUP Id. de inicio de sesión: 0x3e7 Información del proceso: Id. de proceso: 1032 Tie
Audit Windows-
Seguridad 12292 10 2023-08-10T22:00:48.7888901Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software
Success Security-
17:00:49 Nombre del algoritmo: RSA Nombre de la clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo de clav
Auditing
adicional: Operación: %%2464 Código de retorno: 0x0
Microsoft-
2023-08-
Audit Windows-
Seguridad 12292 10 5024: El servicio Firewall de Windows se inició correctamente.
Success Security-
17:00:49
Auditing
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2cc Nombre de proceso: C:\Win
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:00:49
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Seguridad Audit 12544 2023-08- Microsoft- 4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Success 10 Windows- Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
17:00:49 Security- administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
Auditing sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2cc Nombre de proceso: C:\Win
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 234 of 466
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
Navegación
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2cc Nombre de proceso: C:\Win
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:00:49
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2cc Nombre de proceso: C:\Win
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:00:49
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2cc Nombre de proceso: C:\Win
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:00:49
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2cc Nombre de proceso: C:\Win
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:00:49
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Seguridad Audit 12544 2023-08- Microsoft- 4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Success 10 Windows- Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
17:00:49 Security- administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
Auditing sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2cc Nombre de proceso: C:\Win
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 235 of 466
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
Navegación
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2cc Nombre de proceso: C:\Win
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:00:49
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2cc Nombre de proceso: C:\Win
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:00:49
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2cc Nombre de proceso: C:\Win
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:00:49
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2cc Nombre de proceso: C:\Win
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:00:49
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Seguridad Audit 12544 2023-08- Microsoft- 4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Success 10 Windows- Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
17:00:49 Security- administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
Auditing sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2cc Nombre de proceso: C:\Win
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 236 of 466
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
Navegación
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2cc Nombre de proceso: C:\Win
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:00:49
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2cc Nombre de proceso: C:\Win
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:00:49
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:00:49
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:00:49
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:00:49
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:00:49
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:00:49
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:00:49
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:00:49
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:00:49
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:00:49
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:00:49
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:00:49
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:00:49
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:00:49
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:00:49
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Seguridad Audit 13826 Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
Success Windows- cuenta: WIN-E9MMIPJ0JJN$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e4 Grupo: Id.
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 237 of 466
2023-08- Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
10 Auditing Navegación
C:\Windows\System32\svchost.exe
17:00:49
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2cc Nombre de proceso: C:\Win
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:00:50
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:00:50
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
4907: Se cambió la configuración de auditoría en un objeto. Sujeto: Id. de seguridad: S-1-5-18 Nombre
Microsoft-
2023-08- E9MMIPJ0JJN$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Objeto: Servidor del obj
Audit Windows-
Seguridad 13568 10 File Nombre del objeto: C:\Windows\Temp\winre\ExtractedFromWim Id. de identificador: 0x9bc Inform
Success Security-
17:00:50 proceso: 0x54c Nombre de proceso: C:\Windows\System32\oobe\msoobe.exe Configuración de auditor
Auditing
original: ? Nuevo descriptor de seguridad: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: WIN-E9MMIPJ0JJN$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id.
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:00:50
Auditing C:\Windows\System32\svchost.exe
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2cc Nombre de proceso: C:\Win
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:00:51
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2cc Nombre de proceso: C:\Win
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:00:51
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:00:51
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:00:51
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: WIN-E9MMIPJ0JJN$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id.
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:00:51
Auditing C:\Windows\System32\SearchIndexer.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: WIN-E9MMIPJ0JJN$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id.
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:00:51
Auditing C:\Windows\System32\svchost.exe
Microsoft- 5061: Operación criptográfica. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: WIN-E9MMIPJ0JJ
2023-08-
Audit Windows- WORKGROUP Id. de inicio de sesión: 0x3e7 Parámetros criptográficos: Nombre de proveedor: Microsoft
Seguridad 12290 10
Success Security- Provider Nombre de algoritmo: RSA Nombre de clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
17:00:53
Auditing criptográfica: Operación: %%2480 Código de retorno: 0x0
Microsoft- 5061: Operación criptográfica. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: WIN-E9MMIPJ0JJ
2023-08-
Audit Windows- WORKGROUP Id. de inicio de sesión: 0x3e7 Parámetros criptográficos: Nombre de proveedor: Microsoft
Seguridad 12290 10
Success Security- Provider Nombre de algoritmo: RSA Nombre de clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
17:00:53
Auditing criptográfica: Operación: %%2480 Código de retorno: 0x0
Seguridad 12290
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 238 of 466
Audit 2023-08- Microsoft- 5061: Operación criptográfica. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: WIN-E9MMIPJ0JJ
Success 10 Windows- WORKGROUP Id. de inicio deNavegación
sesión: 0x3e7 Parámetros criptográficos: Nombre de proveedor: Microsoft
17:00:53 Security- Provider Nombre de algoritmo: RSA Nombre de clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
Auditing criptográfica: Operación: %%2480 Código de retorno: 0x0
Microsoft- 5061: Operación criptográfica. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: WIN-E9MMIPJ0JJ
2023-08-
Audit Windows- WORKGROUP Id. de inicio de sesión: 0x3e7 Parámetros criptográficos: Nombre de proveedor: Microsoft
Seguridad 12290 10
Success Security- Provider Nombre de algoritmo: RSA Nombre de clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
17:00:53
Auditing criptográfica: Operación: %%2480 Código de retorno: 0x0
5058: Operación de archivo de clave. Tema: Id. de seguridad: S-1-5-18 Nombre de cuenta: WIN-E9MM
cuentas: WORKGROUP Id. de inicio de sesión: 0x3e7 Información del proceso: Id. de proceso: 1032 Ho
Microsoft-
2023-08- 2023-08-10T22:00:48.7888901Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software
Audit Windows-
Seguridad 12292 10 Nombre del algoritmo: UNKNOWN Nombre de la clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
Success Security-
17:00:53 Información de la operación de archivo de clave: Ruta del archivo:
Auditing
C:\ProgramData\Microsoft\Crypto\SystemKeys\292e7a32958c490ada9966f6ee075f9a_b4d35e75-786c-
Operación: %%2458 Código de retorno: 0x0
5058: Operación de archivo de clave. Tema: Id. de seguridad: S-1-5-18 Nombre de cuenta: WIN-E9MM
cuentas: WORKGROUP Id. de inicio de sesión: 0x3e7 Información del proceso: Id. de proceso: 1032 Ho
Microsoft-
2023-08- 2023-08-10T22:00:48.7888901Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software
Audit Windows-
Seguridad 12292 10 Nombre del algoritmo: UNKNOWN Nombre de la clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
Success Security-
17:00:53 Información de la operación de archivo de clave: Ruta del archivo:
Auditing
C:\ProgramData\Microsoft\Crypto\SystemKeys\292e7a32958c490ada9966f6ee075f9a_b4d35e75-786c-
Operación: %%2458 Código de retorno: 0x0
5059: Operación de migración de claves. Tema: Id. de seguridad: S-1-5-18 Nombre de cuenta: WIN-E9
Microsoft-
2023-08- cuentas: WORKGROUP Id. de inicio de sesión: 0x3e7 Información del proceso: Id. de proceso: 1032 Tie
Audit Windows-
Seguridad 12292 10 2023-08-10T22:00:48.7888901Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software
Success Security-
17:00:53 Nombre del algoritmo: RSA Nombre de la clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo de clav
Auditing
adicional: Operación: %%2464 Código de retorno: 0x0
5058: Operación de archivo de clave. Tema: Id. de seguridad: S-1-5-18 Nombre de cuenta: WIN-E9MM
cuentas: WORKGROUP Id. de inicio de sesión: 0x3e7 Información del proceso: Id. de proceso: 1032 Ho
Microsoft-
2023-08- 2023-08-10T22:00:48.7888901Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software
Audit Windows-
Seguridad 12292 10 Nombre del algoritmo: UNKNOWN Nombre de la clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
Success Security-
17:00:53 Información de la operación de archivo de clave: Ruta del archivo:
Auditing
C:\ProgramData\Microsoft\Crypto\SystemKeys\292e7a32958c490ada9966f6ee075f9a_b4d35e75-786c-
Operación: %%2458 Código de retorno: 0x0
5058: Operación de archivo de clave. Tema: Id. de seguridad: S-1-5-18 Nombre de cuenta: WIN-E9MM
cuentas: WORKGROUP Id. de inicio de sesión: 0x3e7 Información del proceso: Id. de proceso: 1032 Ho
Microsoft-
2023-08- 2023-08-10T22:00:48.7888901Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software
Audit Windows-
Seguridad 12292 10 Nombre del algoritmo: UNKNOWN Nombre de la clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
Success Security-
17:00:53 Información de la operación de archivo de clave: Ruta del archivo:
Auditing
C:\ProgramData\Microsoft\Crypto\SystemKeys\292e7a32958c490ada9966f6ee075f9a_b4d35e75-786c-
Operación: %%2458 Código de retorno: 0x0
5059: Operación de migración de claves. Tema: Id. de seguridad: S-1-5-18 Nombre de cuenta: WIN-E9
Microsoft-
2023-08- cuentas: WORKGROUP Id. de inicio de sesión: 0x3e7 Información del proceso: Id. de proceso: 1032 Tie
Audit Windows-
Seguridad 12292 10 2023-08-10T22:00:48.7888901Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software
Success Security-
17:00:53 Nombre del algoritmo: RSA Nombre de la clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo de clav
Auditing
adicional: Operación: %%2464 Código de retorno: 0x0
Microsoft-
2023-08- 4781: Se cambió el nombre de una cuenta: Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: WIN
Audit Windows-
Seguridad 13824 10 cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Cuenta de destino: Id. de seguridad: S-1-5-32-544
Success Security-
17:00:53 Anterior nombre de cuenta: Administradores Nuevo nombre de cuenta: Administradores Información ad
Auditing
Microsoft-
2023-08- 4781: Se cambió el nombre de una cuenta: Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: WIN
Audit Windows-
Seguridad 13824 10 cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Cuenta de destino: Id. de seguridad: S-1-5-32-545
Success Security-
17:00:53 Anterior nombre de cuenta: Usuarios Nuevo nombre de cuenta: Usuarios Información adicional: Privileg
Auditing
Microsoft-
2023-08- 4781: Se cambió el nombre de una cuenta: Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: WIN
Audit Windows-
Seguridad 13824 10 cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Cuenta de destino: Id. de seguridad: S-1-5-32-546
Success Security-
17:00:53 Anterior nombre de cuenta: Invitados Nuevo nombre de cuenta: Invitados Información adicional: Privile
Auditing
Microsoft- 4781: Se cambió el nombre de una cuenta: Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: WIN
2023-08-
Audit Windows- cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Cuenta de destino: Id. de seguridad: S-1-5-32-558
Seguridad 13824 10
Success Security- Anterior nombre de cuenta: Usuarios del monitor de sistema Nuevo nombre de cuenta: Usuarios del mo
17:00:53
Auditing adicional: Privilegios: -
Microsoft- 4781: Se cambió el nombre de una cuenta: Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: WIN
2023-08-
Audit Windows- cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Cuenta de destino: Id. de seguridad: S-1-5-32-559
Seguridad 13824 10
Success Security- Anterior nombre de cuenta: Usuarios del registro de rendimiento Nuevo nombre de cuenta: Usuarios de
17:00:53
Auditing Información adicional: Privilegios: -
Microsoft- 4781: Se cambió el nombre de una cuenta: Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: WIN
2023-08-
Audit Windows- cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Cuenta de destino: Id. de seguridad: S-1-5-32-562
Seguridad 13824 10
Success Security- Anterior nombre de cuenta: Usuarios COM distribuidos Nuevo nombre de cuenta: Usuarios COM distribu
17:00:53
Auditing Privilegios: -
Microsoft-
2023-08- 4781: Se cambió el nombre de una cuenta: Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: WIN
Audit Windows-
Seguridad 13824 10 cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Cuenta de destino: Id. de seguridad: S-1-5-32-568
Success Security-
17:00:53 Anterior nombre de cuenta: IIS_IUSRS Nuevo nombre de cuenta: IIS_IUSRS Información adicional: Pri
Auditing
Microsoft- 4781: Se cambió el nombre de una cuenta: Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: WIN
2023-08-
Audit Windows- cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Cuenta de destino: Id. de seguridad: S-1-5-32-573
Seguridad 13824 10
Success Security- Anterior nombre de cuenta: Lectores del registro de eventos Nuevo nombre de cuenta: Lectores del reg
17:00:53
Auditing adicional: Privilegios: -
Microsoft- 4781: Se cambió el nombre de una cuenta: Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: WIN
2023-08-
Audit Windows- cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Cuenta de destino: Id. de seguridad: S-1-5-32-580
Seguridad 13824 10
Success Security- Anterior nombre de cuenta: Usuarios de administración remota Nuevo nombre de cuenta: Usuarios de a
17:00:53
Auditing Información adicional: Privilegios: -
Microsoft- 4781: Se cambió el nombre de una cuenta: Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: WIN
2023-08-
Audit Windows- cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Cuenta de destino: Id. de seguridad: S-1-5-32-581
Seguridad 13824 10
Success Security- Anterior nombre de cuenta: System Managed Accounts Group Nuevo nombre de cuenta: System Manag
17:00:53
Auditing Información adicional: Privilegios: -
Microsoft- 4781: Se cambió el nombre de una cuenta: Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: WIN
2023-08-
Audit Windows- cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Cuenta de destino: Id. de seguridad: S-1-5-32-583
Seguridad 13824 10
Success Security- Anterior nombre de cuenta: Propietarios del dispositivo Nuevo nombre de cuenta: Propietarios del dispo
17:00:53
Auditing Privilegios: -
4738: Se cambió una cuenta de usuario. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: WIN-E
cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Cuenta de destino: Id. de seguridad: S-1-5-21-116
Microsoft- 839679816-500 Nombre de cuenta: Administrador Dominio de cuenta: DESKTOP-K618JK0 Atributos ca
2023-08-
Audit Windows- SAM: Administrador Nombre para mostrar: %%1793 Nombre principal de usuario: - Directorio principa
Seguridad 13824 10
Success Security- %%1793 Ruta de acceso de script: %%1793 Ruta de acceso de perfil: %%1793 Estaciones de trabajo
17:00:53
Auditing contraseña establecida: %%1794 Expiración de cuenta: %%1794 Id. de grupo primario: 513 Se permit
UAC anterior: 0x211 Nuevo valor de UAC: 0x211 Control de cuentas de usuario: - Parámetros de usuar
- Horas de inicio de sesión: %%1797 Información adicional: Privilegios: -
Seguridad 13824
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 239 of 466
Audit 2023-08- Microsoft- 4738: Se cambió una cuenta de usuario. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: WIN-E
Success 10 Windows- cuenta: WORKGROUP Id. deNavegación
inicio de sesión: 0x3e7 Cuenta de destino: Id. de seguridad: S-1-5-21-116
17:00:53 Security- 839679816-500 Nombre de cuenta: Administrador Dominio de cuenta: DESKTOP-K618JK0 Atributos ca
Auditing SAM: Administrador Nombre para mostrar: %%1793 Nombre principal de usuario: - Directorio principa
%%1793 Ruta de acceso de script: %%1793 Ruta de acceso de perfil: %%1793 Estaciones de trabajo
contraseña establecida: %%1794 Expiración de cuenta: %%1794 Id. de grupo primario: 513 Se permit
UAC anterior: 0x211 Nuevo valor de UAC: 0x211 Control de cuentas de usuario: - Parámetros de usuar
- Horas de inicio de sesión: %%1797 Información adicional: Privilegios: -
4738: Se cambió una cuenta de usuario. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: WIN-E
cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Cuenta de destino: Id. de seguridad: S-1-5-21-116
Microsoft- 839679816-501 Nombre de cuenta: Invitado Dominio de cuenta: DESKTOP-K618JK0 Atributos cambiad
2023-08-
Audit Windows- Invitado Nombre para mostrar: %%1793 Nombre principal de usuario: - Directorio principal: %%1793
Seguridad 13824 10
Success Security- Ruta de acceso de script: %%1793 Ruta de acceso de perfil: %%1793 Estaciones de trabajo de usuario
17:00:53
Auditing establecida: %%1794 Expiración de cuenta: %%1794 Id. de grupo primario: 513 Se permite delegació
0x215 Nuevo valor de UAC: 0x215 Control de cuentas de usuario: - Parámetros de usuario: %%1793 H
inicio de sesión: %%1797 Información adicional: Privilegios: -
4738: Se cambió una cuenta de usuario. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: WIN-E
cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Cuenta de destino: Id. de seguridad: S-1-5-21-116
Microsoft- 839679816-501 Nombre de cuenta: Invitado Dominio de cuenta: DESKTOP-K618JK0 Atributos cambiad
2023-08-
Audit Windows- Invitado Nombre para mostrar: %%1793 Nombre principal de usuario: - Directorio principal: %%1793
Seguridad 13824 10
Success Security- Ruta de acceso de script: %%1793 Ruta de acceso de perfil: %%1793 Estaciones de trabajo de usuario
17:00:53
Auditing establecida: %%1794 Expiración de cuenta: %%1794 Id. de grupo primario: 513 Se permite delegació
0x215 Nuevo valor de UAC: 0x215 Control de cuentas de usuario: - Parámetros de usuario: %%1793 H
inicio de sesión: %%1797 Información adicional: Privilegios: -
4738: Se cambió una cuenta de usuario. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: WIN-E
cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Cuenta de destino: Id. de seguridad: S-1-5-21-116
Microsoft- 839679816-503 Nombre de cuenta: DefaultAccount Dominio de cuenta: DESKTOP-K618JK0 Atributos ca
2023-08-
Audit Windows- SAM: DefaultAccount Nombre para mostrar: %%1793 Nombre principal de usuario: - Directorio principa
Seguridad 13824 10
Success Security- %%1793 Ruta de acceso de script: %%1793 Ruta de acceso de perfil: %%1793 Estaciones de trabajo
17:00:53
Auditing contraseña establecida: %%1794 Expiración de cuenta: %%1794 Id. de grupo primario: 513 Se permit
UAC anterior: 0x215 Nuevo valor de UAC: 0x215 Control de cuentas de usuario: - Parámetros de usuar
- Horas de inicio de sesión: %%1797 Información adicional: Privilegios: -
4738: Se cambió una cuenta de usuario. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: WIN-E
cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Cuenta de destino: Id. de seguridad: S-1-5-21-116
Microsoft- 839679816-503 Nombre de cuenta: DefaultAccount Dominio de cuenta: DESKTOP-K618JK0 Atributos ca
2023-08-
Audit Windows- SAM: DefaultAccount Nombre para mostrar: %%1793 Nombre principal de usuario: - Directorio principa
Seguridad 13824 10
Success Security- %%1793 Ruta de acceso de script: %%1793 Ruta de acceso de perfil: %%1793 Estaciones de trabajo
17:00:53
Auditing contraseña establecida: %%1794 Expiración de cuenta: %%1794 Id. de grupo primario: 513 Se permit
UAC anterior: 0x215 Nuevo valor de UAC: 0x215 Control de cuentas de usuario: - Parámetros de usuar
- Horas de inicio de sesión: %%1797 Información adicional: Privilegios: -
4738: Se cambió una cuenta de usuario. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: WIN-E
cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Cuenta de destino: Id. de seguridad: S-1-5-21-116
Microsoft- 839679816-504 Nombre de cuenta: WDAGUtilityAccount Dominio de cuenta: DESKTOP-K618JK0 Atribu
2023-08-
Audit Windows- cuenta SAM: WDAGUtilityAccount Nombre para mostrar: %%1793 Nombre principal de usuario: - Direc
Seguridad 13824 10
Success Security- Unidad principal: %%1793 Ruta de acceso de script: %%1793 Ruta de acceso de perfil: %%1793 Esta
17:00:53
Auditing %%1793 Última contraseña establecida: 10/8/2023 16:59:11 Expiración de cuenta: %%1794 Id. de gr
delegación a: - Valor de UAC anterior: 0x11 Nuevo valor de UAC: 0x11 Control de cuentas de usuario: -
1793 Historial de SID: - Horas de inicio de sesión: %%1797 Información adicional: Privilegios: -
4738: Se cambió una cuenta de usuario. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: WIN-E
cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Cuenta de destino: Id. de seguridad: S-1-5-21-116
Microsoft- 839679816-504 Nombre de cuenta: WDAGUtilityAccount Dominio de cuenta: DESKTOP-K618JK0 Atribu
2023-08-
Audit Windows- cuenta SAM: WDAGUtilityAccount Nombre para mostrar: %%1793 Nombre principal de usuario: - Direc
Seguridad 13824 10
Success Security- Unidad principal: %%1793 Ruta de acceso de script: %%1793 Ruta de acceso de perfil: %%1793 Esta
17:00:53
Auditing %%1793 Última contraseña establecida: 10/8/2023 16:59:11 Expiración de cuenta: %%1794 Id. de gr
delegación a: - Valor de UAC anterior: 0x11 Nuevo valor de UAC: 0x11 Control de cuentas de usuario: -
1793 Historial de SID: - Horas de inicio de sesión: %%1797 Información adicional: Privilegios: -
Microsoft- 4781: Se cambió el nombre de una cuenta: Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: WIN
2023-08-
Audit Windows- cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Cuenta de destino: Id. de seguridad: S-1-5-21-116
Seguridad 13824 10
Success Security- 839679816-513 Dominio de cuenta: DESKTOP-K618JK0 Anterior nombre de cuenta: Ninguno Nuevo no
17:00:53
Auditing Información adicional: Privilegios: -
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 E9MMIPJ0JJN$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de lectura:
Success Security-
17:00:53 produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el Adm
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 E9MMIPJ0JJN$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de lectura:
Success Security-
17:00:53 produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el Adm
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 E9MMIPJ0JJN$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de lectura:
Success Security-
17:00:53 produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el Adm
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 SERVICIO LOCAL Dominio de la cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e5 Operación de lect
Success Security-
17:00:53 produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el Adm
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 SERVICIO LOCAL Dominio de la cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e5 Operación de lect
Success Security-
17:00:53 produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el Adm
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 SERVICIO LOCAL Dominio de la cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e5 Operación de lect
Success Security-
17:00:53 produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el Adm
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 E9MMIPJ0JJN$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de lectura:
Success Security-
17:00:53 produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el Adm
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 E9MMIPJ0JJN$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de lectura:
Success Security-
17:00:53 produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el Adm
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 E9MMIPJ0JJN$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de lectura:
Success Security-
17:00:53 produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el Adm
Auditing
Microsoft- 4735: Se cambió un grupo local con seguridad habilitada. Sujeto: Id. de seguridad: S-1-5-18 Nombre d
2023-08-
Audit Windows- Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id. de seguridad: S-1-5-32-544
Seguridad 13826 10
Success Security- Administradores Dominio de grupo: Builtin Atributos cambiados: Nombre de cuenta SAM: - Historial de
17:00:53
Auditing Privilegios: -
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 240 of 466
Seguridad Audit 13826 2023-08- Microsoft- 4735: Se cambió un grupo local con seguridad habilitada. Sujeto: Id. de seguridad: S-1-5-18 Nombre d
Success 10 Windows- Dominio de cuenta: WORKGROUP Navegación
Id. de inicio de sesión: 0x3e7 Grupo: Id. de seguridad: S-1-5-32-544
17:00:53 Security- Administradores Dominio de grupo: Builtin Atributos cambiados: Nombre de cuenta SAM: Administrado
Auditing Información adicional: Privilegios: -
Microsoft-
2023-08- 4735: Se cambió un grupo local con seguridad habilitada. Sujeto: Id. de seguridad: S-1-5-18 Nombre d
Audit Windows-
Seguridad 13826 10 Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id. de seguridad: S-1-5-32-545
Success Security-
17:00:53 Dominio de grupo: Builtin Atributos cambiados: Nombre de cuenta SAM: - Historial de SID: - Informaci
Auditing
Microsoft- 4735: Se cambió un grupo local con seguridad habilitada. Sujeto: Id. de seguridad: S-1-5-18 Nombre d
2023-08-
Audit Windows- Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id. de seguridad: S-1-5-32-545
Seguridad 13826 10
Success Security- Dominio de grupo: Builtin Atributos cambiados: Nombre de cuenta SAM: Usuarios Historial de SID: - In
17:00:53
Auditing Privilegios: -
Microsoft-
2023-08- 4735: Se cambió un grupo local con seguridad habilitada. Sujeto: Id. de seguridad: S-1-5-18 Nombre d
Audit Windows-
Seguridad 13826 10 Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id. de seguridad: S-1-5-32-546
Success Security-
17:00:53 Dominio de grupo: Builtin Atributos cambiados: Nombre de cuenta SAM: - Historial de SID: - Informaci
Auditing
Microsoft- 4735: Se cambió un grupo local con seguridad habilitada. Sujeto: Id. de seguridad: S-1-5-18 Nombre d
2023-08-
Audit Windows- Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id. de seguridad: S-1-5-32-546
Seguridad 13826 10
Success Security- Dominio de grupo: Builtin Atributos cambiados: Nombre de cuenta SAM: Invitados Historial de SID: - In
17:00:53
Auditing Privilegios: -
Microsoft- 4735: Se cambió un grupo local con seguridad habilitada. Sujeto: Id. de seguridad: S-1-5-18 Nombre d
2023-08-
Audit Windows- Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id. de seguridad: S-1-5-32-558
Seguridad 13826 10
Success Security- del monitor de sistema Dominio de grupo: Builtin Atributos cambiados: Nombre de cuenta SAM: - Histo
17:00:53
Auditing adicional: Privilegios: -
Microsoft- 4735: Se cambió un grupo local con seguridad habilitada. Sujeto: Id. de seguridad: S-1-5-18 Nombre d
2023-08-
Audit Windows- Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id. de seguridad: S-1-5-32-558
Seguridad 13826 10
Success Security- del monitor de sistema Dominio de grupo: Builtin Atributos cambiados: Nombre de cuenta SAM: Usuario
17:00:53
Auditing Historial de SID: - Información adicional: Privilegios: -
Microsoft- 4735: Se cambió un grupo local con seguridad habilitada. Sujeto: Id. de seguridad: S-1-5-18 Nombre d
2023-08-
Audit Windows- Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id. de seguridad: S-1-5-32-559
Seguridad 13826 10
Success Security- del registro de rendimiento Dominio de grupo: Builtin Atributos cambiados: Nombre de cuenta SAM: - H
17:00:53
Auditing adicional: Privilegios: -
Microsoft- 4735: Se cambió un grupo local con seguridad habilitada. Sujeto: Id. de seguridad: S-1-5-18 Nombre d
2023-08-
Audit Windows- Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id. de seguridad: S-1-5-32-559
Seguridad 13826 10
Success Security- del registro de rendimiento Dominio de grupo: Builtin Atributos cambiados: Nombre de cuenta SAM: Us
17:00:53
Auditing rendimiento Historial de SID: - Información adicional: Privilegios: -
Microsoft- 4735: Se cambió un grupo local con seguridad habilitada. Sujeto: Id. de seguridad: S-1-5-18 Nombre d
2023-08-
Audit Windows- Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id. de seguridad: S-1-5-32-562
Seguridad 13826 10
Success Security- COM distribuidos Dominio de grupo: Builtin Atributos cambiados: Nombre de cuenta SAM: - Historial de
17:00:53
Auditing Privilegios: -
Microsoft- 4735: Se cambió un grupo local con seguridad habilitada. Sujeto: Id. de seguridad: S-1-5-18 Nombre d
2023-08-
Audit Windows- Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id. de seguridad: S-1-5-32-562
Seguridad 13826 10
Success Security- COM distribuidos Dominio de grupo: Builtin Atributos cambiados: Nombre de cuenta SAM: Usuarios COM
17:00:53
Auditing SID: - Información adicional: Privilegios: -
Microsoft- 4735: Se cambió un grupo local con seguridad habilitada. Sujeto: Id. de seguridad: S-1-5-18 Nombre d
2023-08-
Audit Windows- Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id. de seguridad: S-1-5-32-568
Seguridad 13826 10
Success Security- IIS_IUSRS Dominio de grupo: Builtin Atributos cambiados: Nombre de cuenta SAM: - Historial de SID:
17:00:53
Auditing Privilegios: -
Microsoft- 4735: Se cambió un grupo local con seguridad habilitada. Sujeto: Id. de seguridad: S-1-5-18 Nombre d
2023-08-
Audit Windows- Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id. de seguridad: S-1-5-32-568
Seguridad 13826 10
Success Security- IIS_IUSRS Dominio de grupo: Builtin Atributos cambiados: Nombre de cuenta SAM: IIS_IUSRS Historia
17:00:53
Auditing adicional: Privilegios: -
Microsoft- 4735: Se cambió un grupo local con seguridad habilitada. Sujeto: Id. de seguridad: S-1-5-18 Nombre d
2023-08-
Audit Windows- Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id. de seguridad: S-1-5-32-573
Seguridad 13826 10
Success Security- del registro de eventos Dominio de grupo: Builtin Atributos cambiados: Nombre de cuenta SAM: - Histo
17:00:53
Auditing adicional: Privilegios: -
Microsoft- 4735: Se cambió un grupo local con seguridad habilitada. Sujeto: Id. de seguridad: S-1-5-18 Nombre d
2023-08-
Audit Windows- Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id. de seguridad: S-1-5-32-573
Seguridad 13826 10
Success Security- del registro de eventos Dominio de grupo: Builtin Atributos cambiados: Nombre de cuenta SAM: Lectore
17:00:53
Auditing Historial de SID: - Información adicional: Privilegios: -
Microsoft- 4735: Se cambió un grupo local con seguridad habilitada. Sujeto: Id. de seguridad: S-1-5-18 Nombre d
2023-08-
Audit Windows- Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id. de seguridad: S-1-5-32-580
Seguridad 13826 10
Success Security- de administración remota Dominio de grupo: Builtin Atributos cambiados: Nombre de cuenta SAM: - His
17:00:53
Auditing adicional: Privilegios: -
Microsoft- 4735: Se cambió un grupo local con seguridad habilitada. Sujeto: Id. de seguridad: S-1-5-18 Nombre d
2023-08-
Audit Windows- Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id. de seguridad: S-1-5-32-580
Seguridad 13826 10
Success Security- de administración remota Dominio de grupo: Builtin Atributos cambiados: Nombre de cuenta SAM: Usua
17:00:53
Auditing remota Historial de SID: - Información adicional: Privilegios: -
Microsoft- 4735: Se cambió un grupo local con seguridad habilitada. Sujeto: Id. de seguridad: S-1-5-18 Nombre d
2023-08-
Audit Windows- Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id. de seguridad: S-1-5-32-581
Seguridad 13826 10
Success Security- Managed Accounts Group Dominio de grupo: Builtin Atributos cambiados: Nombre de cuenta SAM: - His
17:00:53
Auditing adicional: Privilegios: -
Microsoft- 4735: Se cambió un grupo local con seguridad habilitada. Sujeto: Id. de seguridad: S-1-5-18 Nombre d
2023-08-
Audit Windows- Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id. de seguridad: S-1-5-32-581
Seguridad 13826 10
Success Security- Managed Accounts Group Dominio de grupo: Builtin Atributos cambiados: Nombre de cuenta SAM: Syst
17:00:53
Auditing Historial de SID: - Información adicional: Privilegios: -
Microsoft- 4735: Se cambió un grupo local con seguridad habilitada. Sujeto: Id. de seguridad: S-1-5-18 Nombre d
2023-08-
Audit Windows- Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id. de seguridad: S-1-5-32-583
Seguridad 13826 10
Success Security- Propietarios del dispositivo Dominio de grupo: Builtin Atributos cambiados: Nombre de cuenta SAM: - H
17:00:53
Auditing adicional: Privilegios: -
Microsoft- 4735: Se cambió un grupo local con seguridad habilitada. Sujeto: Id. de seguridad: S-1-5-18 Nombre d
2023-08-
Audit Windows- Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id. de seguridad: S-1-5-32-583
Seguridad 13826 10
Success Security- Propietarios del dispositivo Dominio de grupo: Builtin Atributos cambiados: Nombre de cuenta SAM: Pro
17:00:53
Auditing Historial de SID: - Información adicional: Privilegios: -
Microsoft- 4737: Se cambió un grupo global con seguridad habilitada. Sujeto: Id. de seguridad: S-1-5-18 Nombre
2023-08-
Audit Windows- E9MMIPJ0JJN$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id. de seguridad
Seguridad 13826 10
Success Security- 429208663-839679816-513 Nombre de grupo: Ninguno Dominio de grupo: DESKTOP-K618JK0 Atributo
17:00:53
Auditing cuenta SAM: - Historial de SID: - Información adicional: Privilegios: -
Microsoft- 4737: Se cambió un grupo global con seguridad habilitada. Sujeto: Id. de seguridad: S-1-5-18 Nombre
2023-08-
Audit Windows- E9MMIPJ0JJN$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id. de seguridad
Seguridad 13826 10
Success Security- 429208663-839679816-513 Nombre de grupo: Ninguno Dominio de grupo: DESKTOP-K618JK0 Atributo
17:00:53
Auditing cuenta SAM: Ninguno Historial de SID: - Información adicional: Privilegios: -
Microsoft- 5061: Operación criptográfica. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: WIN-E9MMIPJ0JJ
2023-08-
Audit Windows- WORKGROUP Id. de inicio de sesión: 0x3e7 Parámetros criptográficos: Nombre de proveedor: Microsoft
Seguridad 12290 10
Success Security- Provider Nombre de algoritmo: RSA Nombre de clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
17:00:55
Auditing criptográfica: Operación: %%2480 Código de retorno: 0x0
Seguridad Audit 12290 Microsoft- 5061: Operación criptográfica. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: WIN-E9MMIPJ0JJ
Success Windows- WORKGROUP Id. de inicio de sesión: 0x3e7 Parámetros criptográficos: Nombre de proveedor: Microsoft
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 241 of 466
2023-08- Security- Provider Nombre de algoritmo: RSA Nombre de clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
10 Auditing Navegación
criptográfica: Operación: %%2480 Código de retorno: 0x0
17:00:55
5058: Operación de archivo de clave. Tema: Id. de seguridad: S-1-5-18 Nombre de cuenta: WIN-E9MM
cuentas: WORKGROUP Id. de inicio de sesión: 0x3e7 Información del proceso: Id. de proceso: 1032 Ho
Microsoft-
2023-08- 2023-08-10T22:00:48.7888901Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software
Audit Windows-
Seguridad 12292 10 Nombre del algoritmo: UNKNOWN Nombre de la clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
Success Security-
17:00:55 Información de la operación de archivo de clave: Ruta del archivo:
Auditing
C:\ProgramData\Microsoft\Crypto\SystemKeys\292e7a32958c490ada9966f6ee075f9a_b4d35e75-786c-
Operación: %%2458 Código de retorno: 0x0
5058: Operación de archivo de clave. Tema: Id. de seguridad: S-1-5-18 Nombre de cuenta: WIN-E9MM
cuentas: WORKGROUP Id. de inicio de sesión: 0x3e7 Información del proceso: Id. de proceso: 1032 Ho
Microsoft-
2023-08- 2023-08-10T22:00:48.7888901Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software
Audit Windows-
Seguridad 12292 10 Nombre del algoritmo: UNKNOWN Nombre de la clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
Success Security-
17:00:55 Información de la operación de archivo de clave: Ruta del archivo:
Auditing
C:\ProgramData\Microsoft\Crypto\SystemKeys\292e7a32958c490ada9966f6ee075f9a_b4d35e75-786c-
Operación: %%2458 Código de retorno: 0x0
5059: Operación de migración de claves. Tema: Id. de seguridad: S-1-5-18 Nombre de cuenta: WIN-E9
Microsoft-
2023-08- cuentas: WORKGROUP Id. de inicio de sesión: 0x3e7 Información del proceso: Id. de proceso: 1032 Tie
Audit Windows-
Seguridad 12292 10 2023-08-10T22:00:48.7888901Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software
Success Security-
17:00:55 Nombre del algoritmo: RSA Nombre de la clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo de clav
Auditing
adicional: Operación: %%2464 Código de retorno: 0x0
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 SERVICIO LOCAL Dominio de la cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e5 Operación de lect
Success Security-
17:00:55 produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el Adm
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 SERVICIO LOCAL Dominio de la cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e5 Operación de lect
Success Security-
17:00:55 produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el Adm
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 SERVICIO LOCAL Dominio de la cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e5 Operación de lect
Success Security-
17:00:55 produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el Adm
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 E9MMIPJ0JJN$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de lectura:
Success Security-
17:00:55 produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el Adm
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 E9MMIPJ0JJN$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de lectura:
Success Security-
17:00:55 produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el Adm
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 E9MMIPJ0JJN$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de lectura:
Success Security-
17:00:55 produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el Adm
Auditing
4648: Se intentó iniciar sesión con credenciales explícitas. Sujeto: Id. de seguridad: S-1-5-18 Nombre d
E9MMIPJ0JJN$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 GUID de inicio de sesión
Microsoft- 0000-000000000000} Cuenta cuyas credenciales se usaron: Nombre de cuenta: defaultuser0 Dominio
2023-08-
Audit Windows- GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000} Servidor de destino: Nombre d
Seguridad 12544 10
Success Security- localhost Información adicional: localhost Información de proceso: Id. de proceso: 0xb0c Nombre de pr
17:00:56
Auditing \svchost.exe Información de red: Dirección de red: 127.0.0.1 Puerto: 0 Este evento se genera cuando u
sesión en una cuenta especificando explícitamente las credenciales de la cuenta. Suele producirse en co
como tareas programadas, o cuando se usa el comando RUNAS.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-21-1163546357-429208663-839679816-1000 Nombre de cuenta: defa
DESKTOP-K618JK0 Id. de inicio de sesión: 0x4fb2d Inicio de sesión vinculado: 0x4fb4a Nombre de cuen
cuenta de red: - GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000} Información d
0xb0c Nombre de proceso: C:\Windows\System32\svchost.exe Información de red: Nombre de estación
E9MMIPJ0JJN Dirección de red de origen: 127.0.0.1 Puerto de origen: 0 Información de autenticación d
Microsoft- sesión: User32 Paquete de autenticación: Negotiate Servicios transitados: - Nombre de paquete (solo N
2023-08-
Audit Windows- Este evento se genera cuando se crea una sesión de inicio. Lo genera el equipo al que se tuvo acceso. L
Seguridad 12544 10
Success Security- indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un servicio como el servicio
17:00:56
Auditing como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica la clase de inicio de sesión
comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión indican la cuenta para la que
sesión, es decir, aquella en la que se inició la sesión. Los campos de red indican dónde se originó una so
remota. Nombre de estación de trabajo no está siempre disponible y se puede dejar en blanco en algun
de suplantación indica en qué medida un proceso en la sesión de inicio de sesión puede suplantar. Los c
autenticación proporcionan información detallada sobre esta solicitud de inicio de sesión específica. - GU
identificador único que se puede usar para correlacionar este evento con un evento KDC. - Servicios tra
intermedios que participaron en esta solicitud de inicio de sesión. - Nombre de paquete indica el subpro
protocolos NTLM. - Longitud de clave indica la longitud de la clave de sesión generada. Será 0 si no se s
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1843 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-21-1163546357-429208663-839679816-1000 Nombre de cuenta: defa
DESKTOP-K618JK0 Id. de inicio de sesión: 0x4fb4a Inicio de sesión vinculado: 0x4fb2d Nombre de cuen
cuenta de red: - GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000} Información d
0xb0c Nombre de proceso: C:\Windows\System32\svchost.exe Información de red: Nombre de estación
E9MMIPJ0JJN Dirección de red de origen: 127.0.0.1 Puerto de origen: 0 Información de autenticación d
Microsoft- sesión: User32 Paquete de autenticación: Negotiate Servicios transitados: - Nombre de paquete (solo N
2023-08-
Audit Windows- Este evento se genera cuando se crea una sesión de inicio. Lo genera el equipo al que se tuvo acceso. L
Seguridad 12544 10
Success Security- indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un servicio como el servicio
17:00:56
Auditing como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica la clase de inicio de sesión
comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión indican la cuenta para la que
sesión, es decir, aquella en la que se inició la sesión. Los campos de red indican dónde se originó una so
remota. Nombre de estación de trabajo no está siempre disponible y se puede dejar en blanco en algun
de suplantación indica en qué medida un proceso en la sesión de inicio de sesión puede suplantar. Los c
autenticación proporcionan información detallada sobre esta solicitud de inicio de sesión específica. - GU
identificador único que se puede usar para correlacionar este evento con un evento KDC. - Servicios tra
intermedios que participaron en esta solicitud de inicio de sesión. - Nombre de paquete indica el subpro
protocolos NTLM. - Longitud de clave indica la longitud de la clave de sesión generada. Será 0 si no se s
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1000 Nombre de cuenta: defaultuser0 Dominio de cuenta: DESKTOP-K618JK0 Id. de inicio
Seguridad 12548 10
Success Security- Privilegios: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeR
17:00:56
Auditing SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImper
Seguridad Audit 12290 2023-08- Microsoft- 5061: Operación criptográfica. Sujeto: Id. de seguridad: S-1-5-21-1163546357-429208663-839679816
Failure 10 Windows- defaultuser0 Dominio de cuenta: DESKTOP-K618JK0 Id. de inicio de sesión: 0x4fb4a Parámetros criptog
17:00:57 proveedor: Microsoft Software Key Storage Provider Nombre de algoritmo: UNKNOWN Nombre de clave
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 242 of 466
Security- Devices Platform device certificate Tipo de clave: %%2500 Operación criptográfica: Operación: %%248
Auditing 0x80090016 Navegación
5061: Operación criptográfica. Sujeto: Id. de seguridad: S-1-5-21-1163546357-429208663-839679816
Microsoft-
2023-08- defaultuser0 Dominio de cuenta: DESKTOP-K618JK0 Id. de inicio de sesión: 0x4fb4a Parámetros criptog
Audit Windows-
Seguridad 12290 10 proveedor: Microsoft Software Key Storage Provider Nombre de algoritmo: UNKNOWN Nombre de clave
Failure Security-
17:00:57 Devices Platform device certificate Tipo de clave: %%2500 Operación criptográfica: Operación: %%248
Auditing
0x80090016
5061: Operación criptográfica. Sujeto: Id. de seguridad: S-1-5-21-1163546357-429208663-839679816
Microsoft-
2023-08- defaultuser0 Dominio de cuenta: DESKTOP-K618JK0 Id. de inicio de sesión: 0x4fb4a Parámetros criptog
Audit Windows-
Seguridad 12290 10 proveedor: Microsoft Software Key Storage Provider Nombre de algoritmo: UNKNOWN Nombre de clave
Failure Security-
17:00:57 Devices Platform device certificate Tipo de clave: %%2500 Operación criptográfica: Operación: %%248
Auditing
0x80090016
Microsoft- 5061: Operación criptográfica. Sujeto: Id. de seguridad: S-1-5-19 Nombre de cuenta: SERVICIO LOCAL
2023-08-
Audit Windows- AUTHORITY Id. de inicio de sesión: 0x3e5 Parámetros criptográficos: Nombre de proveedor: Microsoft S
Seguridad 12290 10
Failure Security- Nombre de algoritmo: UNKNOWN Nombre de clave: Microsoft Connected Devices Platform device certifi
17:00:57
Auditing Operación criptográfica: Operación: %%2480 Código de retorno: 0x80090016
Microsoft- 5061: Operación criptográfica. Sujeto: Id. de seguridad: S-1-5-19 Nombre de cuenta: SERVICIO LOCAL
2023-08-
Audit Windows- AUTHORITY Id. de inicio de sesión: 0x3e5 Parámetros criptográficos: Nombre de proveedor: Microsoft S
Seguridad 12290 10
Failure Security- Nombre de algoritmo: UNKNOWN Nombre de clave: Microsoft Connected Devices Platform device certifi
17:00:57
Auditing Operación criptográfica: Operación: %%2480 Código de retorno: 0x80090016
Microsoft- 5061: Operación criptográfica. Sujeto: Id. de seguridad: S-1-5-19 Nombre de cuenta: SERVICIO LOCAL
2023-08-
Audit Windows- AUTHORITY Id. de inicio de sesión: 0x3e5 Parámetros criptográficos: Nombre de proveedor: Microsoft S
Seguridad 12290 10
Failure Security- Nombre de algoritmo: UNKNOWN Nombre de clave: Microsoft Connected Devices Platform device certifi
17:00:57
Auditing Operación criptográfica: Operación: %%2480 Código de retorno: 0x80090016
Microsoft- 5061: Operación criptográfica. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: WIN-E9MMIPJ0JJ
2023-08-
Audit Windows- WORKGROUP Id. de inicio de sesión: 0x3e7 Parámetros criptográficos: Nombre de proveedor: Microsoft
Seguridad 12290 10
Success Security- Provider Nombre de algoritmo: RSA Nombre de clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
17:00:57
Auditing criptográfica: Operación: %%2480 Código de retorno: 0x0
Microsoft- 5061: Operación criptográfica. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: WIN-E9MMIPJ0JJ
2023-08-
Audit Windows- WORKGROUP Id. de inicio de sesión: 0x3e7 Parámetros criptográficos: Nombre de proveedor: Microsoft
Seguridad 12290 10
Success Security- Provider Nombre de algoritmo: RSA Nombre de clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
17:00:57
Auditing criptográfica: Operación: %%2480 Código de retorno: 0x0
Microsoft- 5061: Operación criptográfica. Sujeto: Id. de seguridad: S-1-5-21-1163546357-429208663-839679816
2023-08-
Audit Windows- defaultuser0 Dominio de cuenta: DESKTOP-K618JK0 Id. de inicio de sesión: 0x4fb4a Parámetros criptog
Seguridad 12290 10
Success Security- proveedor: Microsoft Software Key Storage Provider Nombre de algoritmo: ECDSA_P256 Nombre de cla
17:00:57
Auditing Devices Platform device certificate Tipo de clave: %%2500 Operación criptográfica: Operación: %%248
Microsoft- 5061: Operación criptográfica. Sujeto: Id. de seguridad: S-1-5-21-1163546357-429208663-839679816
2023-08-
Audit Windows- defaultuser0 Dominio de cuenta: DESKTOP-K618JK0 Id. de inicio de sesión: 0x4fb4a Parámetros criptog
Seguridad 12290 10
Success Security- proveedor: Microsoft Software Key Storage Provider Nombre de algoritmo: ECDSA_P256 Nombre de cla
17:00:57
Auditing Devices Platform device certificate Tipo de clave: %%2500 Operación criptográfica: Operación: %%248
Microsoft- 5061: Operación criptográfica. Sujeto: Id. de seguridad: S-1-5-19 Nombre de cuenta: SERVICIO LOCAL
2023-08-
Audit Windows- AUTHORITY Id. de inicio de sesión: 0x3e5 Parámetros criptográficos: Nombre de proveedor: Microsoft S
Seguridad 12290 10
Success Security- Nombre de algoritmo: ECDSA_P256 Nombre de clave: Microsoft Connected Devices Platform device cer
17:00:57
Auditing 2500 Operación criptográfica: Operación: %%2481 Código de retorno: 0x0
Microsoft- 5061: Operación criptográfica. Sujeto: Id. de seguridad: S-1-5-19 Nombre de cuenta: SERVICIO LOCAL
2023-08-
Audit Windows- AUTHORITY Id. de inicio de sesión: 0x3e5 Parámetros criptográficos: Nombre de proveedor: Microsoft S
Seguridad 12290 10
Success Security- Nombre de algoritmo: ECDSA_P256 Nombre de clave: Microsoft Connected Devices Platform device cer
17:00:57
Auditing 2500 Operación criptográfica: Operación: %%2480 Código de retorno: 0x0
Microsoft- 5061: Operación criptográfica. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: WIN-E9MMIPJ0JJ
2023-08-
Audit Windows- WORKGROUP Id. de inicio de sesión: 0x3e7 Parámetros criptográficos: Nombre de proveedor: Microsoft
Seguridad 12290 10
Success Security- Provider Nombre de algoritmo: RSA Nombre de clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
17:00:57
Auditing criptográfica: Operación: %%2480 Código de retorno: 0x0
Microsoft- 5061: Operación criptográfica. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: WIN-E9MMIPJ0JJ
2023-08-
Audit Windows- WORKGROUP Id. de inicio de sesión: 0x3e7 Parámetros criptográficos: Nombre de proveedor: Microsoft
Seguridad 12290 10
Success Security- Provider Nombre de algoritmo: RSA Nombre de clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
17:00:57
Auditing criptográfica: Operación: %%2480 Código de retorno: 0x0
5058: Operación de archivo de clave. Tema: Id. de seguridad: S-1-5-18 Nombre de cuenta: WIN-E9MM
cuentas: WORKGROUP Id. de inicio de sesión: 0x3e7 Información del proceso: Id. de proceso: 1032 Ho
Microsoft-
2023-08- 2023-08-10T22:00:48.7888901Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software
Audit Windows-
Seguridad 12292 10 Nombre del algoritmo: UNKNOWN Nombre de la clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
Success Security-
17:00:57 Información de la operación de archivo de clave: Ruta del archivo:
Auditing
C:\ProgramData\Microsoft\Crypto\SystemKeys\292e7a32958c490ada9966f6ee075f9a_b4d35e75-786c-
Operación: %%2458 Código de retorno: 0x0
5058: Operación de archivo de clave. Tema: Id. de seguridad: S-1-5-18 Nombre de cuenta: WIN-E9MM
cuentas: WORKGROUP Id. de inicio de sesión: 0x3e7 Información del proceso: Id. de proceso: 1032 Ho
Microsoft-
2023-08- 2023-08-10T22:00:48.7888901Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software
Audit Windows-
Seguridad 12292 10 Nombre del algoritmo: UNKNOWN Nombre de la clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
Success Security-
17:00:57 Información de la operación de archivo de clave: Ruta del archivo:
Auditing
C:\ProgramData\Microsoft\Crypto\SystemKeys\292e7a32958c490ada9966f6ee075f9a_b4d35e75-786c-
Operación: %%2458 Código de retorno: 0x0
5059: Operación de migración de claves. Tema: Id. de seguridad: S-1-5-18 Nombre de cuenta: WIN-E9
Microsoft-
2023-08- cuentas: WORKGROUP Id. de inicio de sesión: 0x3e7 Información del proceso: Id. de proceso: 1032 Tie
Audit Windows-
Seguridad 12292 10 2023-08-10T22:00:48.7888901Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software
Success Security-
17:00:57 Nombre del algoritmo: RSA Nombre de la clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo de clav
Auditing
adicional: Operación: %%2464 Código de retorno: 0x0
5058: Operación de archivo de clave. Tema: Id. de seguridad: S-1-5-21-1163546357-429208663-8396
cuenta: defaultuser0 Dominio de cuentas: DESKTOP-K618JK0 Id. de inicio de sesión: 0x4fb4a Informac
Microsoft-
2023-08- proceso: 3952 Hora de creación del proceso: 2023-08-10T22:00:57.1940547Z Parámetros criptográfico
Audit Windows-
Seguridad 12292 10 Microsoft Software Key Storage Provider Nombre del algoritmo: ECDSA_P256 Nombre de la clave: Micro
Success Security-
17:00:57 Platform device certificate Tipo de clave: %%2500 Información de la operación de archivo de clave: Ru
Auditing
C:\Users\defaultuser0\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662
d2fc0c5f591f Operación: %%2459 Código de retorno: 0x0
5058: Operación de archivo de clave. Tema: Id. de seguridad: S-1-5-21-1163546357-429208663-8396
cuenta: defaultuser0 Dominio de cuentas: DESKTOP-K618JK0 Id. de inicio de sesión: 0x4fb4a Informac
Microsoft-
2023-08- proceso: 3952 Hora de creación del proceso: 2023-08-10T22:00:57.1940547Z Parámetros criptográfico
Audit Windows-
Seguridad 12292 10 Microsoft Software Key Storage Provider Nombre del algoritmo: UNKNOWN Nombre de la clave: Microso
Success Security-
17:00:57 Platform device certificate Tipo de clave: %%2500 Información de la operación de archivo de clave: Ru
Auditing
C:\Users\defaultuser0\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662
d2fc0c5f591f Operación: %%2458 Código de retorno: 0x0
5059: Operación de migración de claves. Tema: Id. de seguridad: S-1-5-21-1163546357-429208663-8
Microsoft-
2023-08- cuenta: defaultuser0 Dominio de cuentas: DESKTOP-K618JK0 Id. de inicio de sesión: 0x4fb4a Informac
Audit Windows-
Seguridad 12292 10 proceso: 3952 Tiempo de creación del proceso: 2023-08-10T22:00:57.1940547Z Parámetros criptográf
Success Security-
17:00:57 Microsoft Software Key Storage Provider Nombre del algoritmo: ECDSA_P256 Nombre de la clave: Micro
Auditing
Platform device certificate Tipo de clave: %%2500 Información adicional: Operación: %%2464 Código
5059: Operación de migración de claves. Tema: Id. de seguridad: S-1-5-21-1163546357-429208663-8
Microsoft-
2023-08- cuenta: defaultuser0 Dominio de cuentas: DESKTOP-K618JK0 Id. de inicio de sesión: 0x4fb4a Informac
Audit Windows-
Seguridad 12292 10 proceso: 3952 Tiempo de creación del proceso: 2023-08-10T22:00:57.1940547Z Parámetros criptográf
Success Security-
17:00:57 Microsoft Software Key Storage Provider Nombre del algoritmo: ECDSA_P256 Nombre de la clave: Micro
Auditing
Platform device certificate Tipo de clave: %%2500 Información adicional: Operación: %%2464 Código
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 243 of 466
Seguridad Audit 12292 2023-08- Microsoft- 5059: Operación de migración de claves. Tema: Id. de seguridad: S-1-5-21-1163546357-429208663-8
Success 10 Windows- cuenta: defaultuser0 Dominio Navegación
de cuentas: DESKTOP-K618JK0 Id. de inicio de sesión: 0x4fb4a Informac
17:00:57 Security- proceso: 3952 Tiempo de creación del proceso: 2023-08-10T22:00:57.1940547Z Parámetros criptográf
Auditing Microsoft Software Key Storage Provider Nombre del algoritmo: ECDSA_P256 Nombre de la clave: Micro
Platform device certificate Tipo de clave: %%2500 Información adicional: Operación: %%2464 Código
5058: Operación de archivo de clave. Tema: Id. de seguridad: S-1-5-19 Nombre de cuenta: SERVICIO
NT AUTHORITY Id. de inicio de sesión: 0x3e5 Información del proceso: Id. de proceso: 5208 Hora de cr
Microsoft-
2023-08- 10T22:00:57.3720533Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software Key Stor
Audit Windows-
Seguridad 12292 10 algoritmo: ECDSA_P256 Nombre de la clave: Microsoft Connected Devices Platform device certificate Ti
Success Security-
17:00:57 Información de la operación de archivo de clave: Ruta del archivo:
Auditing
C:\Windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13
-786c-44e4-b23c-d2fc0c5f591f Operación: %%2459 Código de retorno: 0x0
5058: Operación de archivo de clave. Tema: Id. de seguridad: S-1-5-19 Nombre de cuenta: SERVICIO
NT AUTHORITY Id. de inicio de sesión: 0x3e5 Información del proceso: Id. de proceso: 5208 Hora de cr
Microsoft-
2023-08- 10T22:00:57.3720533Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software Key Stor
Audit Windows-
Seguridad 12292 10 algoritmo: UNKNOWN Nombre de la clave: Microsoft Connected Devices Platform device certificate Tipo
Success Security-
17:00:57 Información de la operación de archivo de clave: Ruta del archivo:
Auditing
C:\Windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13
-786c-44e4-b23c-d2fc0c5f591f Operación: %%2458 Código de retorno: 0x0
5059: Operación de migración de claves. Tema: Id. de seguridad: S-1-5-19 Nombre de cuenta: SERVIC
Microsoft-
2023-08- cuentas: NT AUTHORITY Id. de inicio de sesión: 0x3e5 Información del proceso: Id. de proceso: 5208 T
Audit Windows-
Seguridad 12292 10 proceso: 2023-08-10T22:00:57.3720533Z Parámetros criptográficos: Nombre del proveedor: Microsoft
Success Security-
17:00:57 Provider Nombre del algoritmo: ECDSA_P256 Nombre de la clave: Microsoft Connected Devices Platform
Auditing
clave: %%2500 Información adicional: Operación: %%2464 Código de retorno: 0x0
5059: Operación de migración de claves. Tema: Id. de seguridad: S-1-5-19 Nombre de cuenta: SERVIC
Microsoft-
2023-08- cuentas: NT AUTHORITY Id. de inicio de sesión: 0x3e5 Información del proceso: Id. de proceso: 5208 T
Audit Windows-
Seguridad 12292 10 proceso: 2023-08-10T22:00:57.3720533Z Parámetros criptográficos: Nombre del proveedor: Microsoft
Success Security-
17:00:57 Provider Nombre del algoritmo: ECDSA_P256 Nombre de la clave: Microsoft Connected Devices Platform
Auditing
clave: %%2500 Información adicional: Operación: %%2464 Código de retorno: 0x0
5059: Operación de migración de claves. Tema: Id. de seguridad: S-1-5-19 Nombre de cuenta: SERVIC
Microsoft-
2023-08- cuentas: NT AUTHORITY Id. de inicio de sesión: 0x3e5 Información del proceso: Id. de proceso: 5208 T
Audit Windows-
Seguridad 12292 10 proceso: 2023-08-10T22:00:57.3720533Z Parámetros criptográficos: Nombre del proveedor: Microsoft
Success Security-
17:00:57 Provider Nombre del algoritmo: ECDSA_P256 Nombre de la clave: Microsoft Connected Devices Platform
Auditing
clave: %%2500 Información adicional: Operación: %%2464 Código de retorno: 0x0
5058: Operación de archivo de clave. Tema: Id. de seguridad: S-1-5-18 Nombre de cuenta: WIN-E9MM
cuentas: WORKGROUP Id. de inicio de sesión: 0x3e7 Información del proceso: Id. de proceso: 1032 Ho
Microsoft-
2023-08- 2023-08-10T22:00:48.7888901Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software
Audit Windows-
Seguridad 12292 10 Nombre del algoritmo: UNKNOWN Nombre de la clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
Success Security-
17:00:57 Información de la operación de archivo de clave: Ruta del archivo:
Auditing
C:\ProgramData\Microsoft\Crypto\SystemKeys\292e7a32958c490ada9966f6ee075f9a_b4d35e75-786c-
Operación: %%2458 Código de retorno: 0x0
5058: Operación de archivo de clave. Tema: Id. de seguridad: S-1-5-18 Nombre de cuenta: WIN-E9MM
cuentas: WORKGROUP Id. de inicio de sesión: 0x3e7 Información del proceso: Id. de proceso: 1032 Ho
Microsoft-
2023-08- 2023-08-10T22:00:48.7888901Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software
Audit Windows-
Seguridad 12292 10 Nombre del algoritmo: UNKNOWN Nombre de la clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
Success Security-
17:00:57 Información de la operación de archivo de clave: Ruta del archivo:
Auditing
C:\ProgramData\Microsoft\Crypto\SystemKeys\292e7a32958c490ada9966f6ee075f9a_b4d35e75-786c-
Operación: %%2458 Código de retorno: 0x0
5059: Operación de migración de claves. Tema: Id. de seguridad: S-1-5-18 Nombre de cuenta: WIN-E9
Microsoft-
2023-08- cuentas: WORKGROUP Id. de inicio de sesión: 0x3e7 Información del proceso: Id. de proceso: 1032 Tie
Audit Windows-
Seguridad 12292 10 2023-08-10T22:00:48.7888901Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software
Success Security-
17:00:57 Nombre del algoritmo: RSA Nombre de la clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo de clav
Auditing
adicional: Operación: %%2464 Código de retorno: 0x0
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2cc Nombre de proceso: C:\Win
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:00:57
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:00:57
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1000 Nombre de la cuenta: defaultuser0 Dominio de la cuenta: DESKTOP-K618JK0 Id. de in
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:00:57
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1000 Nombre de la cuenta: defaultuser0 Dominio de la cuenta: DESKTOP-K618JK0 Id. de in
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:00:57
Auditing almacenadas en el Administrador de credenciales.
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 E9MMIPJ0JJN$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de lectura:
Success Security-
17:00:57 produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el Adm
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 E9MMIPJ0JJN$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de lectura:
Success Security-
17:00:57 produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el Adm
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 E9MMIPJ0JJN$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de lectura:
Success Security-
17:00:57 produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el Adm
Auditing
Seguridad Audit 13824 2023-08- Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
Success 10 Windows- 839679816-1000 Nombre de la cuenta: defaultuser0 Dominio de la cuenta: DESKTOP-K618JK0 Id. de in
17:00:57
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 244 of 466
Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
Auditing Navegación
almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1000 Nombre de la cuenta: defaultuser0 Dominio de la cuenta: DESKTOP-K618JK0 Id. de in
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:00:57
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1000 Nombre de la cuenta: defaultuser0 Dominio de la cuenta: DESKTOP-K618JK0 Id. de in
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:00:57
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1000 Nombre de la cuenta: defaultuser0 Dominio de la cuenta: DESKTOP-K618JK0 Id. de in
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:00:57
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1000 Nombre de la cuenta: defaultuser0 Dominio de la cuenta: DESKTOP-K618JK0 Id. de in
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:00:57
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1000 Nombre de la cuenta: defaultuser0 Dominio de la cuenta: DESKTOP-K618JK0 Id. de in
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:00:57
Auditing almacenadas en el Administrador de credenciales.
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 E9MMIPJ0JJN$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de lectura:
Success Security-
17:00:57 produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el Adm
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 E9MMIPJ0JJN$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de lectura:
Success Security-
17:00:57 produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el Adm
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 E9MMIPJ0JJN$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de lectura:
Success Security-
17:00:57 produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el Adm
Auditing
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: WIN-E9MMIPJ0JJN$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id.
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:00:57
Auditing C:\Windows\System32\svchost.exe
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2cc Nombre de proceso: C:\Win
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:00:58
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:00:58
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2cc Nombre de proceso: C:\Win
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:01:01
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Seguridad Audit 12544 2023-08- Microsoft- 4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Success 10 Windows- Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
17:01:01 Security- administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
Auditing sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2cc Nombre de proceso: C:\Win
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 245 of 466
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
Navegación
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:01:01
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:01:01
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2cc Nombre de proceso: C:\Win
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:01:46
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:01:46
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2cc Nombre de proceso: C:\Win
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:01:47
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:01:47
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
2023-08- Microsoft-
Audit
Seguridad 103 10 Windows- 1100: Se cerró el servicio de registro de eventos.
Success
17:01:51 Eventlog
Microsoft- 4647: Cierre de sesión iniciado por el usuario: Sujeto: Id. de seguridad: S-1-5-21-1163546357-429208
2023-08-
Audit Windows- Nombre de cuenta: defaultuser0 Dominio de cuenta: DESKTOP-K618JK0 Id. de inicio de sesión: 0x4fb4
Seguridad 12545 10
Success Security- cuando se inicia un cierre de sesión. No se puede producir ninguna actividad adicional iniciada por el us
17:01:51
Auditing interpretar como un evento de cierre de sesión.
Microsoft- 4798: Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18
2023-08-
Audit Windows- E9MMIPJ0JJN$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Usuario: Id. de segurida
Seguridad 13824 10
Success Security- 429208663-839679816-500 Nombre de cuenta: Administrador Dominio de cuenta: DESKTOP-K618JK0
17:01:51
Auditing de proceso: 0xb0c Nombre de proceso: C:\Windows\System32\svchost.exe
Microsoft- 4798: Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18
2023-08-
Audit Windows- E9MMIPJ0JJN$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Usuario: Id. de segurida
Seguridad 13824 10
Success Security- 429208663-839679816-503 Nombre de cuenta: DefaultAccount Dominio de cuenta: DESKTOP-K618JK0
17:01:51
Auditing de proceso: 0xb0c Nombre de proceso: C:\Windows\System32\svchost.exe
Microsoft- 4798: Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18
2023-08-
Audit Windows- E9MMIPJ0JJN$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Usuario: Id. de segurida
Seguridad 13824 10
Success Security- 429208663-839679816-1000 Nombre de cuenta: defaultuser0 Dominio de cuenta: DESKTOP-K618JK0
17:01:51
Auditing de proceso: 0xb0c Nombre de proceso: C:\Windows\System32\svchost.exe
Microsoft- 4798: Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18
2023-08-
Audit Windows- E9MMIPJ0JJN$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Usuario: Id. de segurida
Seguridad 13824 10
Success Security- 429208663-839679816-501 Nombre de cuenta: Invitado Dominio de cuenta: DESKTOP-K618JK0 Inform
17:01:51
Auditing proceso: 0xb0c Nombre de proceso: C:\Windows\System32\svchost.exe
Microsoft- 4798: Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18
2023-08-
Audit Windows- E9MMIPJ0JJN$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Usuario: Id. de segurida
Seguridad 13824 10
Success Security- 429208663-839679816-504 Nombre de cuenta: WDAGUtilityAccount Dominio de cuenta: DESKTOP-K61
17:01:51
Auditing proceso: Id. de proceso: 0xb0c Nombre de proceso: C:\Windows\System32\svchost.exe
4688: Se creó un nuevo proceso. Firmante creador: Identificador de seguridad: S-1-5-18 Nombre de cu
Identificador de inicio de sesión: 0x3e7 Firmante de destino: Identificador de seguridad: S-1-0-0 Nomb
cuenta: - Identificador de inicio de sesión: 0x0 Información de proceso: Identificador del nuevo proceso
proceso: ????-??6?4????0--?0??????? Tipo de elevación de token: %%1936 Etiqueta obligatoria: S-1-16
proceso creador: 0x4 Nombre del proceso creador: ??????? Línea de comandos de proceso: ????0--?0??
Microsoft- token indica el tipo de token que se asignó al nuevo proceso de acuerdo con la directiva Control de cuen
2023-08-
Audit Windows- un token completo sin privilegios quitados ni grupos deshabilitados. Solo se usa un token completo si C
Seguridad 13312 10
Success Security- está deshabilitado o si el usuario es la cuenta predefinida Administrador o una cuenta de servicio. El tip
17:01:57
Auditing privilegios quitados ni grupos deshabilitados. Se usa un token elevado cuando Control de cuentas de us
usuario elige iniciar el programa mediante Ejecutar como administrador. También se usa un token eleva
aplicación para que siempre requiera un privilegio administrativo o para que siempre requiera el máxim
pertenece al grupo Administradores. El tipo 3 es un token limitado con los privilegios administrativos qu
administrativos deshabilitados. El token limitado se usa cuando Control de cuentas de usuario está habi
requiere un privilegio administrativo y el usuario no elige iniciar el programa mediante Ejecutar como ad
Seguridad 13312
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 246 of 466
Audit 2023-08- Microsoft- 4696: Se asignó un símbolo (token) primario al proceso. Sujeto: Id. de seguridad: S-1-5-18 Nombre de
Success 10 Windows- Navegación
cuenta: - Id. de inicio de sesión: 0x3e7 Información de proceso: Id. de proceso: 0x4 Nombre de proces
17:01:57 Security- de proceso de destino: 0x7c Nombre de proceso de destino: Registry Información de nuevo símbolo: Id
Auditing Nombre de cuenta: - Dominio de cuenta: - Id. de inicio de sesión: 0x3e7
4688: Se creó un nuevo proceso. Firmante creador: Identificador de seguridad: S-1-5-18 Nombre de cu
Identificador de inicio de sesión: 0x3e7 Firmante de destino: Identificador de seguridad: S-1-0-0 Nomb
cuenta: - Identificador de inicio de sesión: 0x0 Información de proceso: Identificador del nuevo proceso
proceso: ??????????????-??6?4????0--?0??????? Tipo de elevación de token: %%1936 Etiqueta obligato
Identificador del proceso creador: 0x4 Nombre del proceso creador: ??????? Línea de comandos de proc
Microsoft- de elevación de token indica el tipo de token que se asignó al nuevo proceso de acuerdo con la directiva
2023-08-
Audit Windows- usuario. El tipo 1 es un token completo sin privilegios quitados ni grupos deshabilitados. Solo se usa un
Seguridad 13312 10
Success Security- cuentas de usuario está deshabilitado o si el usuario es la cuenta predefinida Administrador o una cuent
17:01:57
Auditing token elevado sin privilegios quitados ni grupos deshabilitados. Se usa un token elevado cuando Contro
habilitado y el usuario elige iniciar el programa mediante Ejecutar como administrador. También se usa
configura una aplicación para que siempre requiera un privilegio administrativo o para que siempre requ
usuario pertenece al grupo Administradores. El tipo 3 es un token limitado con los privilegios administra
administrativos deshabilitados. El token limitado se usa cuando Control de cuentas de usuario está habi
requiere un privilegio administrativo y el usuario no elige iniciar el programa mediante Ejecutar como ad
4688: Se creó un nuevo proceso. Firmante creador: Identificador de seguridad: S-1-5-18 Nombre de cu
Identificador de inicio de sesión: 0x3e7 Firmante de destino: Identificador de seguridad: S-1-0-0 Nomb
cuenta: - Identificador de inicio de sesión: 0x0 Información de proceso: Identificador del nuevo proceso
proceso: ???????????????e??? ????????? ???????????????e?????? Tipo de elevación de token: %%1936
16384 Identificador del proceso creador: 0x17c Nombre del proceso creador: ????????????????????4 Lín
proceso: ????0--?0????????????????????4 El tipo de elevación de token indica el tipo de token que se as
Microsoft-
2023-08- acuerdo con la directiva Control de cuentas de usuario. El tipo 1 es un token completo sin privilegios qu
Audit Windows-
Seguridad 13312 10 deshabilitados. Solo se usa un token completo si Control de cuentas de usuario está deshabilitado o si e
Success Security-
17:01:57 predefinida Administrador o una cuenta de servicio. El tipo 2 es un token elevado sin privilegios quitado
Auditing
usa un token elevado cuando Control de cuentas de usuario está habilitado y el usuario elige iniciar el p
como administrador. También se usa un token elevado cuando se configura una aplicación para que sie
administrativo o para que siempre requiera el máximo privilegio y el usuario pertenece al grupo Admini
token limitado con los privilegios administrativos quitados y los grupos administrativos deshabilitados. E
cuando Control de cuentas de usuario está habilitado, la aplicación no requiere un privilegio administrat
iniciar el programa mediante Ejecutar como administrador.
4826: Se cargaron los datos de configuración de arranque. Asunto: Id. de seguridad: S-1-5-18 Nombre
Microsoft- cuenta: - Id. de inicio de sesión: 0x3e7 Configuración general: Opciones de carga: - Opciones avanzada
2023-08-
Audit Windows- acceso a la configuración: %%1846 Registro de eventos del sistema: %%1843 Depuración del kernel:
Seguridad 13573 10
Success Security- VSM: %%1848 Configuración de la firma: Firma de prueba: %%1843 Firma de desarrollo: %%1843 De
17:01:57
Auditing integridad: %%1843 Configuración del hipervisor: Opciones de carga del hipervisor: - Tipo de inicio del
Depuración del hipervisor: %%1843
4688: Se creó un nuevo proceso. Firmante creador: Identificador de seguridad: S-1-5-18 Nombre de cu
Identificador de inicio de sesión: 0x3e7 Firmante de destino: Identificador de seguridad: S-1-0-0 Nomb
cuenta: - Identificador de inicio de sesión: 0x0 Información de proceso: Identificador del nuevo proceso
proceso: ??????????????-??6??c????0--?0????????????????????4? Tipo de elevación de token: %%1936
16384 Identificador del proceso creador: 0x17c Nombre del proceso creador: ????????????????????4? L
proceso: ????0--?0????????????????????4? El tipo de elevación de token indica el tipo de token que se a
Microsoft-
2023-08- acuerdo con la directiva Control de cuentas de usuario. El tipo 1 es un token completo sin privilegios qu
Audit Windows-
Seguridad 13312 10 deshabilitados. Solo se usa un token completo si Control de cuentas de usuario está deshabilitado o si e
Success Security-
17:01:58 predefinida Administrador o una cuenta de servicio. El tipo 2 es un token elevado sin privilegios quitado
Auditing
usa un token elevado cuando Control de cuentas de usuario está habilitado y el usuario elige iniciar el p
como administrador. También se usa un token elevado cuando se configura una aplicación para que sie
administrativo o para que siempre requiera el máximo privilegio y el usuario pertenece al grupo Admini
token limitado con los privilegios administrativos quitados y los grupos administrativos deshabilitados. E
cuando Control de cuentas de usuario está habilitado, la aplicación no requiere un privilegio administrat
iniciar el programa mediante Ejecutar como administrador.
4688: Se creó un nuevo proceso. Firmante creador: Identificador de seguridad: S-1-5-18 Nombre de cu
Identificador de inicio de sesión: 0x3e7 Firmante de destino: Identificador de seguridad: S-1-0-0 Nomb
cuenta: - Identificador de inicio de sesión: 0x0 Información de proceso: Identificador del nuevo proceso
proceso: ??????????????e??? ????????? ???????????????e?????? Tipo de elevación de token: %%1936 E
16384 Identificador del proceso creador: 0x1cc Nombre del proceso creador: ????????????????????4 Lín
proceso: ????0--?0????????????????????4 El tipo de elevación de token indica el tipo de token que se as
Microsoft-
2023-08- acuerdo con la directiva Control de cuentas de usuario. El tipo 1 es un token completo sin privilegios qu
Audit Windows-
Seguridad 13312 10 deshabilitados. Solo se usa un token completo si Control de cuentas de usuario está deshabilitado o si e
Success Security-
17:01:59 predefinida Administrador o una cuenta de servicio. El tipo 2 es un token elevado sin privilegios quitado
Auditing
usa un token elevado cuando Control de cuentas de usuario está habilitado y el usuario elige iniciar el p
como administrador. También se usa un token elevado cuando se configura una aplicación para que sie
administrativo o para que siempre requiera el máximo privilegio y el usuario pertenece al grupo Admini
token limitado con los privilegios administrativos quitados y los grupos administrativos deshabilitados. E
cuando Control de cuentas de usuario está habilitado, la aplicación no requiere un privilegio administrat
iniciar el programa mediante Ejecutar como administrador.
4688: Se creó un nuevo proceso. Firmante creador: Identificador de seguridad: S-1-5-18 Nombre de cu
Identificador de inicio de sesión: 0x3e7 Firmante de destino: Identificador de seguridad: S-1-0-0 Nomb
cuenta: - Identificador de inicio de sesión: 0x0 Información de proceso: Identificador del nuevo proceso
proceso: ??????????????-??6??c????0--?0????????????????????4? Tipo de elevación de token: %%1936
16384 Identificador del proceso creador: 0x17c Nombre del proceso creador: ????????????????????4? L
proceso: ????0--?0????????????????????4? El tipo de elevación de token indica el tipo de token que se a
Microsoft-
2023-08- acuerdo con la directiva Control de cuentas de usuario. El tipo 1 es un token completo sin privilegios qu
Audit Windows-
Seguridad 13312 10 deshabilitados. Solo se usa un token completo si Control de cuentas de usuario está deshabilitado o si e
Success Security-
17:01:59 predefinida Administrador o una cuenta de servicio. El tipo 2 es un token elevado sin privilegios quitado
Auditing
usa un token elevado cuando Control de cuentas de usuario está habilitado y el usuario elige iniciar el p
como administrador. También se usa un token elevado cuando se configura una aplicación para que sie
administrativo o para que siempre requiera el máximo privilegio y el usuario pertenece al grupo Admini
token limitado con los privilegios administrativos quitados y los grupos administrativos deshabilitados. E
cuando Control de cuentas de usuario está habilitado, la aplicación no requiere un privilegio administrat
iniciar el programa mediante Ejecutar como administrador.
4688: Se creó un nuevo proceso. Firmante creador: Identificador de seguridad: S-1-5-18 Nombre de cu
Identificador de inicio de sesión: 0x3e7 Firmante de destino: Identificador de seguridad: S-1-0-0 Nomb
cuenta: - Identificador de inicio de sesión: 0x0 Información de proceso: Identificador del nuevo proceso
proceso: ???????????????e??? ????????? ???????????????e?????? Tipo de elevación de token: %%1936
16384 Identificador del proceso creador: 0x1cc Nombre del proceso creador: ????????????????????4 Lín
proceso: ????0--?0????????????????????4 El tipo de elevación de token indica el tipo de token que se as
Microsoft-
2023-08- acuerdo con la directiva Control de cuentas de usuario. El tipo 1 es un token completo sin privilegios qu
Audit Windows-
Seguridad 13312 10 deshabilitados. Solo se usa un token completo si Control de cuentas de usuario está deshabilitado o si e
Success Security-
17:01:59 predefinida Administrador o una cuenta de servicio. El tipo 2 es un token elevado sin privilegios quitado
Auditing
usa un token elevado cuando Control de cuentas de usuario está habilitado y el usuario elige iniciar el p
como administrador. También se usa un token elevado cuando se configura una aplicación para que sie
administrativo o para que siempre requiera el máximo privilegio y el usuario pertenece al grupo Admini
token limitado con los privilegios administrativos quitados y los grupos administrativos deshabilitados. E
cuando Control de cuentas de usuario está habilitado, la aplicación no requiere un privilegio administrat
iniciar el programa mediante Ejecutar como administrador.
Seguridad Audit 13312 2023-08- Microsoft- 4688: Se creó un nuevo proceso. Firmante creador: Identificador de seguridad: S-1-5-18 Nombre de cu
Success 10 Windows- Identificador de inicio de sesión: 0x3e7 Firmante de destino: Identificador de seguridad: S-1-0-0 Nomb
17:01:59 cuenta: - Identificador de inicio de sesión: 0x0 Información de proceso: Identificador del nuevo proceso
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 247 of 466
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 248 of 466
Audit 2023-08- Microsoft- 4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Success 10 Windows- Dominio de cuenta: WORKGROUP Navegación
Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
17:02:01 Security- administrador restringido: - Cuenta virtual: %%1842 Token elevado: %%1843 Nivel de suplantación: %
Auditing sesión: Id. de seguridad: S-1-5-96-0-1 Nombre de cuenta: UMFD-1 Dominio de cuenta: Font Driver Ho
0x94bb Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID
{00000000-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x274 Nombre
C:\Windows\System32\winlogon.exe Información de red: Nombre de estación de trabajo: - Dirección d
origen: - Información de autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autent
transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se
genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema local que
Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe
sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (
de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se i
red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no
puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un pro
sesión puede suplantar. Los campos de información de autenticación proporcionan información detallad
de sesión específica. - GUID de inicio de sesión es un identificador único que se puede usar para correla
evento KDC. - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de
paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longi
generada. Será 0 si no se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2c4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:02:01
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:02:01
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
4688: Se creó un nuevo proceso. Firmante creador: Identificador de seguridad: S-1-5-18 Nombre de cu
Identificador de inicio de sesión: 0x3e7 Firmante de destino: Identificador de seguridad: S-1-0-0 Nomb
cuenta: - Identificador de inicio de sesión: 0x0 Información de proceso: Identificador del nuevo proceso
proceso: ??????????????e??? ????????? ???????????????????????4? Tipo de elevación de token: %%193
16-16384 Identificador del proceso creador: 0x22c Nombre del proceso creador: ???????????????e?????
proceso: ????0--?0???????????????e?????? El tipo de elevación de token indica el tipo de token que se a
Microsoft-
2023-08- acuerdo con la directiva Control de cuentas de usuario. El tipo 1 es un token completo sin privilegios qu
Audit Windows-
Seguridad 13312 10 deshabilitados. Solo se usa un token completo si Control de cuentas de usuario está deshabilitado o si e
Success Security-
17:02:01 predefinida Administrador o una cuenta de servicio. El tipo 2 es un token elevado sin privilegios quitado
Auditing
usa un token elevado cuando Control de cuentas de usuario está habilitado y el usuario elige iniciar el p
como administrador. También se usa un token elevado cuando se configura una aplicación para que sie
administrativo o para que siempre requiera el máximo privilegio y el usuario pertenece al grupo Admini
token limitado con los privilegios administrativos quitados y los grupos administrativos deshabilitados. E
cuando Control de cuentas de usuario está habilitado, la aplicación no requiere un privilegio administrat
iniciar el programa mediante Ejecutar como administrador.
Microsoft-
2023-08-
Audit Windows-
Seguridad 13568 10 4902: Se creó la tabla de directiva de auditoría por usuario. Número de elementos: 0 Id. de directiva: 0
Success Security-
17:02:01
Auditing
Microsoft- 5061: Operación criptográfica. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K618J
2023-08-
Audit Windows- WORKGROUP Id. de inicio de sesión: 0x3e7 Parámetros criptográficos: Nombre de proveedor: Microsoft
Seguridad 12290 10
Success Security- Provider Nombre de algoritmo: RSA Nombre de clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
17:02:02
Auditing criptográfica: Operación: %%2480 Código de retorno: 0x0
Microsoft- 5061: Operación criptográfica. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K618J
2023-08-
Audit Windows- WORKGROUP Id. de inicio de sesión: 0x3e7 Parámetros criptográficos: Nombre de proveedor: Microsoft
Seguridad 12290 10
Success Security- Provider Nombre de algoritmo: RSA Nombre de clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
17:02:02
Auditing criptográfica: Operación: %%2480 Código de retorno: 0x0
5058: Operación de archivo de clave. Tema: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K
cuentas: WORKGROUP Id. de inicio de sesión: 0x3e7 Información del proceso: Id. de proceso: 1084 Ho
Microsoft-
2023-08- 2023-08-10T22:02:02.1687008Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software
Audit Windows-
Seguridad 12292 10 Nombre del algoritmo: UNKNOWN Nombre de la clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
Success Security-
17:02:02 Información de la operación de archivo de clave: Ruta del archivo:
Auditing
C:\ProgramData\Microsoft\Crypto\SystemKeys\292e7a32958c490ada9966f6ee075f9a_b4d35e75-786c-
Operación: %%2458 Código de retorno: 0x0
5058: Operación de archivo de clave. Tema: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K
cuentas: WORKGROUP Id. de inicio de sesión: 0x3e7 Información del proceso: Id. de proceso: 1084 Ho
Microsoft-
2023-08- 2023-08-10T22:02:02.1687008Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software
Audit Windows-
Seguridad 12292 10 Nombre del algoritmo: UNKNOWN Nombre de la clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
Success Security-
17:02:02 Información de la operación de archivo de clave: Ruta del archivo:
Auditing
C:\ProgramData\Microsoft\Crypto\SystemKeys\292e7a32958c490ada9966f6ee075f9a_b4d35e75-786c-
Operación: %%2458 Código de retorno: 0x0
5059: Operación de migración de claves. Tema: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTO
Microsoft-
2023-08- cuentas: WORKGROUP Id. de inicio de sesión: 0x3e7 Información del proceso: Id. de proceso: 1084 Tie
Audit Windows-
Seguridad 12292 10 2023-08-10T22:02:02.1687008Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software
Success Security-
17:02:02 Nombre del algoritmo: RSA Nombre de la clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo de clav
Auditing
adicional: Operación: %%2464 Código de retorno: 0x0
Microsoft-
2023-08-
Audit Windows-
Seguridad 12292 10 5033: El controlador de Firewall de Windows se inició correctamente.
Success Security-
17:02:02
Auditing
Seguridad Audit 12544 2023-08- Microsoft- 4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Success 10 Windows- Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
17:02:02 Security- administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
Auditing sesión: Id. de seguridad: S-1-5-20 Nombre de cuenta: Servicio de red Dominio de cuenta: NT AUTHOR
0x3e4 Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de
-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2c4 Nombre de proceso:
\services.exe Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto
autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servic
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 249 of 466
paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio.
tuvo acceso. Los campos deNavegación
firmante indican la cuenta del sistema local que solicitó el inicio de sesión.
servicio de servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de se
de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio
para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos
originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponi
blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesió
suplantar. Los campos de información de autenticación proporcionan información detallada sobre esta s
específica. - GUID de inicio de sesión es un identificador único que se puede usar para correlacionar est
- Servicios transitados indica los servicios intermedios que participaron en esta solicitud de inicio de ses
indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la
Será 0 si no se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2c4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:02:02
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4648: Se intentó iniciar sesión con credenciales explícitas. Sujeto: Id. de seguridad: S-1-5-18 Nombre d
$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 GUID de inicio de sesión: {00000000
Microsoft- 000000000000} Cuenta cuyas credenciales se usaron: Nombre de cuenta: DWM-1 Dominio de cuenta:
2023-08-
Audit Windows- inicio de sesión: {00000000-0000-0000-0000-000000000000} Servidor de destino: Nombre de servido
Seguridad 12544 10
Success Security- Información adicional: localhost Información de proceso: Id. de proceso: 0x274 Nombre de proceso: C:
17:02:02
Auditing \winlogon.exe Información de red: Dirección de red: - Puerto: - Este evento se genera cuando un proce
una cuenta especificando explícitamente las credenciales de la cuenta. Suele producirse en configuracio
tareas programadas, o cuando se usa el comando RUNAS.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1842 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-90-0-1 Nombre de cuenta: DWM-1 Dominio de cuenta: Window Manage
0xe8c9 Inicio de sesión vinculado: 0xe8ec Nombre de cuenta de red: - Dominio de cuenta de red: - GU
{00000000-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x274 Nombre
C:\Windows\System32\winlogon.exe Información de red: Nombre de estación de trabajo: - Dirección d
origen: - Información de autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autent
Microsoft- transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se
2023-08-
Audit Windows- genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema local que
Seguridad 12544 10
Success Security- Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe
17:02:02
Auditing sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (
de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se i
red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no
puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un pro
sesión puede suplantar. Los campos de información de autenticación proporcionan información detallad
de sesión específica. - GUID de inicio de sesión es un identificador único que se puede usar para correla
evento KDC. - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de
paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longi
generada. Será 0 si no se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1842 Token elevado: %%1843 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-90-0-1 Nombre de cuenta: DWM-1 Dominio de cuenta: Window Manage
0xe8ec Inicio de sesión vinculado: 0xe8c9 Nombre de cuenta de red: - Dominio de cuenta de red: - GU
{00000000-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x274 Nombre
C:\Windows\System32\winlogon.exe Información de red: Nombre de estación de trabajo: - Dirección d
origen: - Información de autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autent
Microsoft- transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se
2023-08-
Audit Windows- genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema local que
Seguridad 12544 10
Success Security- Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe
17:02:02
Auditing sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (
de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se i
red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no
puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un pro
sesión puede suplantar. Los campos de información de autenticación proporcionan información detallad
de sesión específica. - GUID de inicio de sesión es un identificador único que se puede usar para correla
evento KDC. - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de
paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longi
generada. Será 0 si no se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2c4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:02:02
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Seguridad Audit 12544 2023-08- Microsoft- 4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Success 10 Windows- Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
17:02:02 administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 250 of 466
Security- sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Auditing Navegación
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2c4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2c4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:02:02
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2c4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:02:02
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-19 Nombre de cuenta: SERVICIO LOCAL Dominio de cuenta: NT AUTHO
0x3e5 Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de
-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2c4 Nombre de proceso:
\services.exe Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto
autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servic
Microsoft- paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio.
2023-08-
Audit Windows- tuvo acceso. Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión.
Seguridad 12544 10
Success Security- servicio de servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de se
17:02:02
Auditing de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio
para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos
originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponi
blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesió
suplantar. Los campos de información de autenticación proporcionan información detallada sobre esta s
específica. - GUID de inicio de sesión es un identificador único que se puede usar para correlacionar est
- Servicios transitados indica los servicios intermedios que participaron en esta solicitud de inicio de ses
indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la
Será 0 si no se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2c4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:02:02
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Seguridad Audit 12544 2023-08- Microsoft- 4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Success 10 Windows- Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
17:02:02 Security- administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
Auditing sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2c4 Nombre de proceso: C:\Wi
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 251 of 466
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
Navegación
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2c4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:02:02
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2c4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:02:02
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2c4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:02:02
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2c4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:02:02
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Seguridad Audit 12544 2023-08- Microsoft- 4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Success 10 Windows- Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
17:02:02 Security- administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
Auditing sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2c4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 252 of 466
Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Navegación
servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2c4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:02:02
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2c4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:02:02
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2c4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:02:02
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2c4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:02:02
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Seguridad Audit 12544 2023-08- Microsoft- 4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Success 10 Windows- Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
17:02:02 Security- administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
Auditing sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2c4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 253 of 466
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
Navegación
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4648: Se intentó iniciar sesión con credenciales explícitas. Sujeto: Id. de seguridad: S-1-5-18 Nombre d
$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 GUID de inicio de sesión: {00000000
Microsoft- 000000000000} Cuenta cuyas credenciales se usaron: Nombre de cuenta: defaultuser0 Dominio de cue
2023-08-
Audit Windows- de inicio de sesión: {00000000-0000-0000-0000-000000000000} Servidor de destino: Nombre de serv
Seguridad 12544 10
Success Security- Información adicional: localhost Información de proceso: Id. de proceso: 0x640 Nombre de proceso: C:
17:02:02
Auditing \svchost.exe Información de red: Dirección de red: 127.0.0.1 Puerto: 0 Este evento se genera cuando u
sesión en una cuenta especificando explícitamente las credenciales de la cuenta. Suele producirse en co
como tareas programadas, o cuando se usa el comando RUNAS.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-21-1163546357-429208663-839679816-1000 Nombre de cuenta: defa
DESKTOP-K618JK0 Id. de inicio de sesión: 0x25a99 Inicio de sesión vinculado: 0x25b58 Nombre de cue
cuenta de red: - GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000} Información d
0x640 Nombre de proceso: C:\Windows\System32\svchost.exe Información de red: Nombre de estació
K618JK0 Dirección de red de origen: 127.0.0.1 Puerto de origen: 0 Información de autenticación detalla
Microsoft- sesión: User32 Paquete de autenticación: Negotiate Servicios transitados: - Nombre de paquete (solo N
2023-08-
Audit Windows- Este evento se genera cuando se crea una sesión de inicio. Lo genera el equipo al que se tuvo acceso. L
Seguridad 12544 10
Success Security- indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un servicio como el servicio
17:02:02
Auditing como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica la clase de inicio de sesión
comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión indican la cuenta para la que
sesión, es decir, aquella en la que se inició la sesión. Los campos de red indican dónde se originó una so
remota. Nombre de estación de trabajo no está siempre disponible y se puede dejar en blanco en algun
de suplantación indica en qué medida un proceso en la sesión de inicio de sesión puede suplantar. Los c
autenticación proporcionan información detallada sobre esta solicitud de inicio de sesión específica. - GU
identificador único que se puede usar para correlacionar este evento con un evento KDC. - Servicios tra
intermedios que participaron en esta solicitud de inicio de sesión. - Nombre de paquete indica el subpro
protocolos NTLM. - Longitud de clave indica la longitud de la clave de sesión generada. Será 0 si no se s
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1843 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-21-1163546357-429208663-839679816-1000 Nombre de cuenta: defa
DESKTOP-K618JK0 Id. de inicio de sesión: 0x25b58 Inicio de sesión vinculado: 0x25a99 Nombre de cue
cuenta de red: - GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000} Información d
0x640 Nombre de proceso: C:\Windows\System32\svchost.exe Información de red: Nombre de estació
K618JK0 Dirección de red de origen: 127.0.0.1 Puerto de origen: 0 Información de autenticación detalla
Microsoft- sesión: User32 Paquete de autenticación: Negotiate Servicios transitados: - Nombre de paquete (solo N
2023-08-
Audit Windows- Este evento se genera cuando se crea una sesión de inicio. Lo genera el equipo al que se tuvo acceso. L
Seguridad 12544 10
Success Security- indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un servicio como el servicio
17:02:02
Auditing como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica la clase de inicio de sesión
comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión indican la cuenta para la que
sesión, es decir, aquella en la que se inició la sesión. Los campos de red indican dónde se originó una so
remota. Nombre de estación de trabajo no está siempre disponible y se puede dejar en blanco en algun
de suplantación indica en qué medida un proceso en la sesión de inicio de sesión puede suplantar. Los c
autenticación proporcionan información detallada sobre esta solicitud de inicio de sesión específica. - GU
identificador único que se puede usar para correlacionar este evento con un evento KDC. - Servicios tra
intermedios que participaron en esta solicitud de inicio de sesión. - Nombre de paquete indica el subpro
protocolos NTLM. - Longitud de clave indica la longitud de la clave de sesión generada. Será 0 si no se s
Microsoft-
2023-08- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-2
Audit Windows-
Seguridad 12548 10 Servicio de red Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e4 Privilegios: SeAssignP
Success Security-
17:02:02 SeAuditPrivilege SeImpersonatePrivilege
Auditing
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:02:02
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft-
2023-08- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-9
Audit Windows-
Seguridad 12548 10 DWM-1 Dominio de cuenta: Window Manager Id. de inicio de sesión: 0xe8c9 Privilegios: SeAssignPrima
Success Security-
17:02:02 SeAuditPrivilege SeImpersonatePrivilege
Auditing
Microsoft-
2023-08- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-9
Audit Windows-
Seguridad 12548 10 DWM-1 Dominio de cuenta: Window Manager Id. de inicio de sesión: 0xe8ec Privilegios: SeAssignPrima
Success Security-
17:02:02 SeAuditPrivilege
Auditing
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:02:02
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:02:02
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:02:02
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:02:02
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft-
2023-08- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 12548 10 SERVICIO LOCAL Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e5 Privilegios: SeAssig
Success Security-
17:02:02 SeAuditPrivilege SeImpersonatePrivilege
Auditing
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:02:02
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:02:02
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 254 of 466
Seguridad Audit 12548 2023-08- Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
Success 10 Windows- SYSTEM Dominio de cuenta:Navegación
NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
17:02:02 Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:02:02
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:02:02
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:02:02
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:02:02
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:02:02
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:02:02
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:02:02
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:02:02
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:02:02
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1000 Nombre de cuenta: defaultuser0 Dominio de cuenta: DESKTOP-K618JK0 Id. de inicio
Seguridad 12548 10
Success Security- Privilegios: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeR
17:02:02
Auditing SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImper
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
17:02:02 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
17:02:02 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
17:02:02 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft- 5061: Operación criptográfica. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K618J
2023-08-
Audit Windows- WORKGROUP Id. de inicio de sesión: 0x3e7 Parámetros criptográficos: Nombre de proveedor: Microsoft
Seguridad 12290 10
Success Security- Provider Nombre de algoritmo: RSA Nombre de clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
17:02:03
Auditing criptográfica: Operación: %%2480 Código de retorno: 0x0
Microsoft- 5061: Operación criptográfica. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K618J
2023-08-
Audit Windows- WORKGROUP Id. de inicio de sesión: 0x3e7 Parámetros criptográficos: Nombre de proveedor: Microsoft
Seguridad 12290 10
Success Security- Provider Nombre de algoritmo: RSA Nombre de clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
17:02:03
Auditing criptográfica: Operación: %%2480 Código de retorno: 0x0
Microsoft- 5061: Operación criptográfica. Sujeto: Id. de seguridad: S-1-5-21-1163546357-429208663-839679816
2023-08-
Audit Windows- defaultuser0 Dominio de cuenta: DESKTOP-K618JK0 Id. de inicio de sesión: 0x25b58 Parámetros cripto
Seguridad 12290 10
Success Security- proveedor: Microsoft Software Key Storage Provider Nombre de algoritmo: ECDSA_P256 Nombre de cla
17:02:03
Auditing Devices Platform device certificate Tipo de clave: %%2500 Operación criptográfica: Operación: %%248
Microsoft- 5061: Operación criptográfica. Sujeto: Id. de seguridad: S-1-5-19 Nombre de cuenta: SERVICIO LOCAL
2023-08-
Audit Windows- AUTHORITY Id. de inicio de sesión: 0x3e5 Parámetros criptográficos: Nombre de proveedor: Microsoft S
Seguridad 12290 10
Success Security- Nombre de algoritmo: ECDSA_P256 Nombre de clave: Microsoft Connected Devices Platform device cer
17:02:03
Auditing 2500 Operación criptográfica: Operación: %%2480 Código de retorno: 0x0
5058: Operación de archivo de clave. Tema: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K
cuentas: WORKGROUP Id. de inicio de sesión: 0x3e7 Información del proceso: Id. de proceso: 1084 Ho
Microsoft-
2023-08- 2023-08-10T22:02:02.1687008Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software
Audit Windows-
Seguridad 12292 10 Nombre del algoritmo: UNKNOWN Nombre de la clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
Success Security-
17:02:03 Información de la operación de archivo de clave: Ruta del archivo:
Auditing
C:\ProgramData\Microsoft\Crypto\SystemKeys\292e7a32958c490ada9966f6ee075f9a_b4d35e75-786c-
Operación: %%2458 Código de retorno: 0x0
5058: Operación de archivo de clave. Tema: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K
cuentas: WORKGROUP Id. de inicio de sesión: 0x3e7 Información del proceso: Id. de proceso: 1084 Ho
Microsoft-
2023-08- 2023-08-10T22:02:02.1687008Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software
Audit Windows-
Seguridad 12292 10 Nombre del algoritmo: UNKNOWN Nombre de la clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
Success Security-
17:02:03 Información de la operación de archivo de clave: Ruta del archivo:
Auditing
C:\ProgramData\Microsoft\Crypto\SystemKeys\292e7a32958c490ada9966f6ee075f9a_b4d35e75-786c-
Operación: %%2458 Código de retorno: 0x0
5059: Operación de migración de claves. Tema: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTO
Microsoft-
2023-08- cuentas: WORKGROUP Id. de inicio de sesión: 0x3e7 Información del proceso: Id. de proceso: 1084 Tie
Audit Windows-
Seguridad 12292 10 2023-08-10T22:02:02.1687008Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software
Success Security-
17:02:03 Nombre del algoritmo: RSA Nombre de la clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo de clav
Auditing
adicional: Operación: %%2464 Código de retorno: 0x0
5058: Operación de archivo de clave. Tema: Id. de seguridad: S-1-5-21-1163546357-429208663-8396
cuenta: defaultuser0 Dominio de cuentas: DESKTOP-K618JK0 Id. de inicio de sesión: 0x25b58 Informac
Microsoft-
2023-08- proceso: 3836 Hora de creación del proceso: 2023-08-10T22:02:03.1736334Z Parámetros criptográfico
Audit Windows-
Seguridad 12292 10 Microsoft Software Key Storage Provider Nombre del algoritmo: UNKNOWN Nombre de la clave: Microso
Success Security-
17:02:03 Platform device certificate Tipo de clave: %%2500 Información de la operación de archivo de clave: Ru
Auditing
C:\Users\defaultuser0\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662
d2fc0c5f591f Operación: %%2458 Código de retorno: 0x0
Seguridad 12292
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 255 of 466
Audit 2023-08- Microsoft- 5059: Operación de migración de claves. Tema: Id. de seguridad: S-1-5-21-1163546357-429208663-8
Success 10 Windows- cuenta: defaultuser0 Dominio Navegación
de cuentas: DESKTOP-K618JK0 Id. de inicio de sesión: 0x25b58 Informac
17:02:03 Security- proceso: 3836 Tiempo de creación del proceso: 2023-08-10T22:02:03.1736334Z Parámetros criptográf
Auditing Microsoft Software Key Storage Provider Nombre del algoritmo: ECDSA_P256 Nombre de la clave: Micro
Platform device certificate Tipo de clave: %%2500 Información adicional: Operación: %%2464 Código
5058: Operación de archivo de clave. Tema: Id. de seguridad: S-1-5-19 Nombre de cuenta: SERVICIO
NT AUTHORITY Id. de inicio de sesión: 0x3e5 Información del proceso: Id. de proceso: 4216 Hora de cr
Microsoft-
2023-08- 10T22:02:03.5196601Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software Key Stor
Audit Windows-
Seguridad 12292 10 algoritmo: UNKNOWN Nombre de la clave: Microsoft Connected Devices Platform device certificate Tipo
Success Security-
17:02:03 Información de la operación de archivo de clave: Ruta del archivo:
Auditing
C:\Windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13
-786c-44e4-b23c-d2fc0c5f591f Operación: %%2458 Código de retorno: 0x0
5059: Operación de migración de claves. Tema: Id. de seguridad: S-1-5-19 Nombre de cuenta: SERVIC
Microsoft-
2023-08- cuentas: NT AUTHORITY Id. de inicio de sesión: 0x3e5 Información del proceso: Id. de proceso: 4216 T
Audit Windows-
Seguridad 12292 10 proceso: 2023-08-10T22:02:03.5196601Z Parámetros criptográficos: Nombre del proveedor: Microsoft
Success Security-
17:02:03 Provider Nombre del algoritmo: ECDSA_P256 Nombre de la clave: Microsoft Connected Devices Platform
Auditing
clave: %%2500 Información adicional: Operación: %%2464 Código de retorno: 0x0
Microsoft-
2023-08-
Audit Windows-
Seguridad 12292 10 5024: El servicio Firewall de Windows se inició correctamente.
Success Security-
17:02:03
Auditing
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2c4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:02:03
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2c4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:02:03
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2c4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:02:03
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2c4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:02:03
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Seguridad 12544
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 256 of 466
Audit 2023-08- Microsoft- 4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Success 10 Windows- Dominio de cuenta: WORKGROUP Navegación
Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
17:02:03 Security- administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
Auditing sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2c4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2c4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:02:03
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2c4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:02:03
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2c4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:02:03
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2c4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:02:03
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Seguridad Audit 12544 2023-08- Microsoft- 4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Success 10 Windows- Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
17:02:03 administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 257 of 466
Security- sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Auditing Navegación
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2c4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2c4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:02:03
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:02:03
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:02:03
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:02:03
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:02:03
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:02:03
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:02:03
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:02:03
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:02:03
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:02:03
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:02:03
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:02:03
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
17:02:03 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
17:02:03 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
17:02:03 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1000 Nombre de la cuenta: defaultuser0 Dominio de la cuenta: DESKTOP-K618JK0 Id. de in
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:02:03
Auditing almacenadas en el Administrador de credenciales.
Seguridad Audit 13824 2023-08- Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
Success 10 Windows- 839679816-1000 Nombre de la cuenta: defaultuser0 Dominio de la cuenta: DESKTOP-K618JK0 Id. de in
17:02:03
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 258 of 466
Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
Auditing Navegación
almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1000 Nombre de la cuenta: defaultuser0 Dominio de la cuenta: DESKTOP-K618JK0 Id. de in
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:02:03
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1000 Nombre de la cuenta: defaultuser0 Dominio de la cuenta: DESKTOP-K618JK0 Id. de in
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:02:03
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1000 Nombre de la cuenta: defaultuser0 Dominio de la cuenta: DESKTOP-K618JK0 Id. de in
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:02:03
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1000 Nombre de la cuenta: defaultuser0 Dominio de la cuenta: DESKTOP-K618JK0 Id. de in
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:02:03
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:02:03
Auditing C:\Windows\System32\svchost.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e4 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:02:03
Auditing C:\Windows\System32\svchost.exe
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2c4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:02:35
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:02:35
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:02:35
Auditing C:\Windows\System32\SearchIndexer.exe
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2c4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:02:37
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2c4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:02:37
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:02:37
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Seguridad Audit 12548 2023-08- Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
Success 10 Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
17:02:37
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 259 of 466
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 260 of 466
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 261 of 466
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000}Navegación
Información de proceso: Id. de proceso: 0x2c4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:03:01
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft-
2023-08- 4725: Se deshabilitó una cuenta de usuario. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: DE
Audit Windows-
Seguridad 13824 10 cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Cuenta de destino: Id. de seguridad: S-1-5-21-116
Success Security-
17:03:02 839679816-1000 Nombre de cuenta: defaultuser0 Dominio de cuenta: DESKTOP-K618JK0
Auditing
4738: Se cambió una cuenta de usuario. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKT
cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Cuenta de destino: Id. de seguridad: S-1-5-21-116
Microsoft- 839679816-1000 Nombre de cuenta: defaultuser0 Dominio de cuenta: DESKTOP-K618JK0 Atributos cam
2023-08-
Audit Windows- SAM: defaultuser0 Nombre para mostrar: %%1793 Nombre principal de usuario: - Directorio principal:
Seguridad 13824 10
Success Security- %1793 Ruta de acceso de script: %%1793 Ruta de acceso de perfil: %%1793 Estaciones de trabajo de
17:03:02
Auditing contraseña establecida: 10/08/2023 17:00:48 Expiración de cuenta: %%1794 Id. de grupo primario: 5
Valor de UAC anterior: 0x214 Nuevo valor de UAC: 0x211 Control de cuentas de usuario: %%2080 %%
%%1793 Historial de SID: - Horas de inicio de sesión: %%1797 Información adicional: Privilegios: -
Microsoft- 4733: Se quitó un miembro de un grupo local con seguridad habilitada. Sujeto: Id. de seguridad: S-1-5
2023-08-
Audit Windows- DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Miembro: Id. de s
Seguridad 13826 10
Success Security- 1163546357-429208663-839679816-1000 Nombre de cuenta: - Grupo: Id. de seguridad: S-1-5-32-54
17:03:02
Auditing Administradores Dominio de grupo: Builtin Información adicional: Privilegios: -
Microsoft- 5061: Operación criptográfica. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K618J
2023-08-
Audit Windows- WORKGROUP Id. de inicio de sesión: 0x3e7 Parámetros criptográficos: Nombre de proveedor: Microsoft
Seguridad 12290 10
Success Security- Provider Nombre de algoritmo: RSA Nombre de clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
17:03:03
Auditing criptográfica: Operación: %%2480 Código de retorno: 0x0
Microsoft- 5061: Operación criptográfica. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K618J
2023-08-
Audit Windows- WORKGROUP Id. de inicio de sesión: 0x3e7 Parámetros criptográficos: Nombre de proveedor: Microsoft
Seguridad 12290 10
Success Security- Provider Nombre de algoritmo: RSA Nombre de clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
17:03:03
Auditing criptográfica: Operación: %%2480 Código de retorno: 0x0
Microsoft- 5061: Operación criptográfica. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K618J
2023-08-
Audit Windows- WORKGROUP Id. de inicio de sesión: 0x3e7 Parámetros criptográficos: Nombre de proveedor: Microsoft
Seguridad 12290 10
Success Security- Provider Nombre de algoritmo: RSA Nombre de clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
17:03:03
Auditing criptográfica: Operación: %%2480 Código de retorno: 0x0
Microsoft- 5061: Operación criptográfica. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K618J
2023-08-
Audit Windows- WORKGROUP Id. de inicio de sesión: 0x3e7 Parámetros criptográficos: Nombre de proveedor: Microsoft
Seguridad 12290 10
Success Security- Provider Nombre de algoritmo: RSA Nombre de clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
17:03:03
Auditing criptográfica: Operación: %%2480 Código de retorno: 0x0
Microsoft- 5061: Operación criptográfica. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K618J
2023-08-
Audit Windows- WORKGROUP Id. de inicio de sesión: 0x3e7 Parámetros criptográficos: Nombre de proveedor: Microsoft
Seguridad 12290 10
Success Security- Provider Nombre de algoritmo: RSA Nombre de clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
17:03:03
Auditing criptográfica: Operación: %%2480 Código de retorno: 0x0
Microsoft- 5061: Operación criptográfica. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K618J
2023-08-
Audit Windows- WORKGROUP Id. de inicio de sesión: 0x3e7 Parámetros criptográficos: Nombre de proveedor: Microsoft
Seguridad 12290 10
Success Security- Provider Nombre de algoritmo: RSA Nombre de clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
17:03:03
Auditing criptográfica: Operación: %%2480 Código de retorno: 0x0
5058: Operación de archivo de clave. Tema: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K
cuentas: WORKGROUP Id. de inicio de sesión: 0x3e7 Información del proceso: Id. de proceso: 1084 Ho
Microsoft-
2023-08- 2023-08-10T22:02:02.1687008Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software
Audit Windows-
Seguridad 12292 10 Nombre del algoritmo: UNKNOWN Nombre de la clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
Success Security-
17:03:03 Información de la operación de archivo de clave: Ruta del archivo:
Auditing
C:\ProgramData\Microsoft\Crypto\SystemKeys\292e7a32958c490ada9966f6ee075f9a_b4d35e75-786c-
Operación: %%2458 Código de retorno: 0x0
5058: Operación de archivo de clave. Tema: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K
cuentas: WORKGROUP Id. de inicio de sesión: 0x3e7 Información del proceso: Id. de proceso: 1084 Ho
Microsoft-
2023-08- 2023-08-10T22:02:02.1687008Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software
Audit Windows-
Seguridad 12292 10 Nombre del algoritmo: UNKNOWN Nombre de la clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
Success Security-
17:03:03 Información de la operación de archivo de clave: Ruta del archivo:
Auditing
C:\ProgramData\Microsoft\Crypto\SystemKeys\292e7a32958c490ada9966f6ee075f9a_b4d35e75-786c-
Operación: %%2458 Código de retorno: 0x0
5059: Operación de migración de claves. Tema: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTO
Microsoft-
2023-08- cuentas: WORKGROUP Id. de inicio de sesión: 0x3e7 Información del proceso: Id. de proceso: 1084 Tie
Audit Windows-
Seguridad 12292 10 2023-08-10T22:02:02.1687008Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software
Success Security-
17:03:03 Nombre del algoritmo: RSA Nombre de la clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo de clav
Auditing
adicional: Operación: %%2464 Código de retorno: 0x0
5058: Operación de archivo de clave. Tema: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K
cuentas: WORKGROUP Id. de inicio de sesión: 0x3e7 Información del proceso: Id. de proceso: 1084 Ho
Microsoft-
2023-08- 2023-08-10T22:02:02.1687008Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software
Audit Windows-
Seguridad 12292 10 Nombre del algoritmo: UNKNOWN Nombre de la clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
Success Security-
17:03:03 Información de la operación de archivo de clave: Ruta del archivo:
Auditing
C:\ProgramData\Microsoft\Crypto\SystemKeys\292e7a32958c490ada9966f6ee075f9a_b4d35e75-786c-
Operación: %%2458 Código de retorno: 0x0
5058: Operación de archivo de clave. Tema: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K
cuentas: WORKGROUP Id. de inicio de sesión: 0x3e7 Información del proceso: Id. de proceso: 1084 Ho
Microsoft-
2023-08- 2023-08-10T22:02:02.1687008Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software
Audit Windows-
Seguridad 12292 10 Nombre del algoritmo: UNKNOWN Nombre de la clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
Success Security-
17:03:03 Información de la operación de archivo de clave: Ruta del archivo:
Auditing
C:\ProgramData\Microsoft\Crypto\SystemKeys\292e7a32958c490ada9966f6ee075f9a_b4d35e75-786c-
Operación: %%2458 Código de retorno: 0x0
5059: Operación de migración de claves. Tema: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTO
Microsoft-
2023-08- cuentas: WORKGROUP Id. de inicio de sesión: 0x3e7 Información del proceso: Id. de proceso: 1084 Tie
Audit Windows-
Seguridad 12292 10 2023-08-10T22:02:02.1687008Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software
Success Security-
17:03:03 Nombre del algoritmo: RSA Nombre de la clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo de clav
Auditing
adicional: Operación: %%2464 Código de retorno: 0x0
Seguridad Audit 12292 Microsoft- 5058: Operación de archivo de clave. Tema: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K
Success Windows- cuentas: WORKGROUP Id. de inicio de sesión: 0x3e7 Información del proceso: Id. de proceso: 1084 Ho
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 262 of 466
2023-08- Security- 2023-08-10T22:02:02.1687008Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software
10 Auditing Navegación
Nombre del algoritmo: UNKNOWN Nombre de la clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
17:03:03 Información de la operación de archivo de clave: Ruta del archivo:
C:\ProgramData\Microsoft\Crypto\SystemKeys\292e7a32958c490ada9966f6ee075f9a_b4d35e75-786c-
Operación: %%2458 Código de retorno: 0x0
5058: Operación de archivo de clave. Tema: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K
cuentas: WORKGROUP Id. de inicio de sesión: 0x3e7 Información del proceso: Id. de proceso: 1084 Ho
Microsoft-
2023-08- 2023-08-10T22:02:02.1687008Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software
Audit Windows-
Seguridad 12292 10 Nombre del algoritmo: UNKNOWN Nombre de la clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
Success Security-
17:03:03 Información de la operación de archivo de clave: Ruta del archivo:
Auditing
C:\ProgramData\Microsoft\Crypto\SystemKeys\292e7a32958c490ada9966f6ee075f9a_b4d35e75-786c-
Operación: %%2458 Código de retorno: 0x0
5059: Operación de migración de claves. Tema: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTO
Microsoft-
2023-08- cuentas: WORKGROUP Id. de inicio de sesión: 0x3e7 Información del proceso: Id. de proceso: 1084 Tie
Audit Windows-
Seguridad 12292 10 2023-08-10T22:02:02.1687008Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software
Success Security-
17:03:03 Nombre del algoritmo: RSA Nombre de la clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo de clav
Auditing
adicional: Operación: %%2464 Código de retorno: 0x0
4648: Se intentó iniciar sesión con credenciales explícitas. Sujeto: Id. de seguridad: S-1-5-18 Nombre d
$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 GUID de inicio de sesión: {00000000
Microsoft- 000000000000} Cuenta cuyas credenciales se usaron: Nombre de cuenta: UMFD-2 Dominio de cuenta:
2023-08-
Audit Windows- inicio de sesión: {00000000-0000-0000-0000-000000000000} Servidor de destino: Nombre de servido
Seguridad 12544 10
Success Security- Información adicional: localhost Información de proceso: Id. de proceso: 0x484 Nombre de proceso: C:
17:03:03
Auditing \winlogon.exe Información de red: Dirección de red: - Puerto: - Este evento se genera cuando un proce
una cuenta especificando explícitamente las credenciales de la cuenta. Suele producirse en configuracio
tareas programadas, o cuando se usa el comando RUNAS.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1842 Token elevado: %%1843 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-96-0-2 Nombre de cuenta: UMFD-2 Dominio de cuenta: Font Driver Ho
0x71415 Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID
{00000000-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x484 Nombre
C:\Windows\System32\winlogon.exe Información de red: Nombre de estación de trabajo: - Dirección d
origen: - Información de autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autent
Microsoft- transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se
2023-08-
Audit Windows- genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema local que
Seguridad 12544 10
Success Security- Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe
17:03:03
Auditing sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (
de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se i
red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no
puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un pro
sesión puede suplantar. Los campos de información de autenticación proporcionan información detallad
de sesión específica. - GUID de inicio de sesión es un identificador único que se puede usar para correla
evento KDC. - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de
paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longi
generada. Será 0 si no se solicitó una clave de sesión.
4648: Se intentó iniciar sesión con credenciales explícitas. Sujeto: Id. de seguridad: S-1-5-18 Nombre d
$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 GUID de inicio de sesión: {00000000
Microsoft- 000000000000} Cuenta cuyas credenciales se usaron: Nombre de cuenta: DWM-2 Dominio de cuenta:
2023-08-
Audit Windows- inicio de sesión: {00000000-0000-0000-0000-000000000000} Servidor de destino: Nombre de servido
Seguridad 12544 10
Success Security- Información adicional: localhost Información de proceso: Id. de proceso: 0x484 Nombre de proceso: C:
17:03:03
Auditing \winlogon.exe Información de red: Dirección de red: - Puerto: - Este evento se genera cuando un proce
una cuenta especificando explícitamente las credenciales de la cuenta. Suele producirse en configuracio
tareas programadas, o cuando se usa el comando RUNAS.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1842 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-90-0-2 Nombre de cuenta: DWM-2 Dominio de cuenta: Window Manage
0x72a78 Inicio de sesión vinculado: 0x72a96 Nombre de cuenta de red: - Dominio de cuenta de red: -
{00000000-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x484 Nombre
C:\Windows\System32\winlogon.exe Información de red: Nombre de estación de trabajo: - Dirección d
origen: - Información de autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autent
Microsoft- transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se
2023-08-
Audit Windows- genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema local que
Seguridad 12544 10
Success Security- Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe
17:03:03
Auditing sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (
de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se i
red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no
puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un pro
sesión puede suplantar. Los campos de información de autenticación proporcionan información detallad
de sesión específica. - GUID de inicio de sesión es un identificador único que se puede usar para correla
evento KDC. - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de
paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longi
generada. Será 0 si no se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1842 Token elevado: %%1843 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-90-0-2 Nombre de cuenta: DWM-2 Dominio de cuenta: Window Manage
0x72a96 Inicio de sesión vinculado: 0x72a78 Nombre de cuenta de red: - Dominio de cuenta de red: -
{00000000-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x484 Nombre
C:\Windows\System32\winlogon.exe Información de red: Nombre de estación de trabajo: - Dirección d
origen: - Información de autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autent
Microsoft- transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se
2023-08-
Audit Windows- genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema local que
Seguridad 12544 10
Success Security- Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe
17:03:03
Auditing sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (
de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se i
red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no
puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un pro
sesión puede suplantar. Los campos de información de autenticación proporcionan información detallad
de sesión específica. - GUID de inicio de sesión es un identificador único que se puede usar para correla
evento KDC. - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de
paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longi
generada. Será 0 si no se solicitó una clave de sesión.
4648: Se intentó iniciar sesión con credenciales explícitas. Sujeto: Id. de seguridad: S-1-5-18 Nombre d
$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 GUID de inicio de sesión: {00000000
Microsoft- 000000000000} Cuenta cuyas credenciales se usaron: Nombre de cuenta: USUARIO Dominio de cuenta
2023-08-
Audit Windows- de inicio de sesión: {00000000-0000-0000-0000-000000000000} Servidor de destino: Nombre de serv
Seguridad 12544 10
Success Security- Información adicional: localhost Información de proceso: Id. de proceso: 0x640 Nombre de proceso: C:
17:03:03
Auditing \svchost.exe Información de red: Dirección de red: 127.0.0.1 Puerto: 0 Este evento se genera cuando u
sesión en una cuenta especificando explícitamente las credenciales de la cuenta. Suele producirse en co
como tareas programadas, o cuando se usa el comando RUNAS.
Seguridad 12544
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 263 of 466
Audit 2023-08- Microsoft- 4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Success 10 Windows- Dominio de cuenta: WORKGROUP Navegación
Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
17:03:03 Security- administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
Auditing sesión: Id. de seguridad: S-1-5-21-1163546357-429208663-839679816-1001 Nombre de cuenta: USU
DESKTOP-K618JK0 Id. de inicio de sesión: 0x7483c Inicio de sesión vinculado: 0x74899 Nombre de cue
cuenta de red: - GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000} Información d
0x640 Nombre de proceso: C:\Windows\System32\svchost.exe Información de red: Nombre de estació
K618JK0 Dirección de red de origen: 127.0.0.1 Puerto de origen: 0 Información de autenticación detalla
sesión: User32 Paquete de autenticación: Negotiate Servicios transitados: - Nombre de paquete (solo N
Este evento se genera cuando se crea una sesión de inicio. Lo genera el equipo al que se tuvo acceso. L
indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un servicio como el servicio
como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica la clase de inicio de sesión
comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión indican la cuenta para la que
sesión, es decir, aquella en la que se inició la sesión. Los campos de red indican dónde se originó una so
remota. Nombre de estación de trabajo no está siempre disponible y se puede dejar en blanco en algun
de suplantación indica en qué medida un proceso en la sesión de inicio de sesión puede suplantar. Los c
autenticación proporcionan información detallada sobre esta solicitud de inicio de sesión específica. - GU
identificador único que se puede usar para correlacionar este evento con un evento KDC. - Servicios tra
intermedios que participaron en esta solicitud de inicio de sesión. - Nombre de paquete indica el subpro
protocolos NTLM. - Longitud de clave indica la longitud de la clave de sesión generada. Será 0 si no se s
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1843 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-21-1163546357-429208663-839679816-1001 Nombre de cuenta: USU
DESKTOP-K618JK0 Id. de inicio de sesión: 0x74899 Inicio de sesión vinculado: 0x7483c Nombre de cue
cuenta de red: - GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000} Información d
0x640 Nombre de proceso: C:\Windows\System32\svchost.exe Información de red: Nombre de estació
K618JK0 Dirección de red de origen: 127.0.0.1 Puerto de origen: 0 Información de autenticación detalla
Microsoft- sesión: User32 Paquete de autenticación: Negotiate Servicios transitados: - Nombre de paquete (solo N
2023-08-
Audit Windows- Este evento se genera cuando se crea una sesión de inicio. Lo genera el equipo al que se tuvo acceso. L
Seguridad 12544 10
Success Security- indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un servicio como el servicio
17:03:03
Auditing como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica la clase de inicio de sesión
comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión indican la cuenta para la que
sesión, es decir, aquella en la que se inició la sesión. Los campos de red indican dónde se originó una so
remota. Nombre de estación de trabajo no está siempre disponible y se puede dejar en blanco en algun
de suplantación indica en qué medida un proceso en la sesión de inicio de sesión puede suplantar. Los c
autenticación proporcionan información detallada sobre esta solicitud de inicio de sesión específica. - GU
identificador único que se puede usar para correlacionar este evento con un evento KDC. - Servicios tra
intermedios que participaron en esta solicitud de inicio de sesión. - Nombre de paquete indica el subpro
protocolos NTLM. - Longitud de clave indica la longitud de la clave de sesión generada. Será 0 si no se s
Microsoft- 4634: Se cerró sesión en una cuenta. Sujeto: Id. de seguridad: S-1-5-21-1163546357-429208663-839
2023-08-
Audit Windows- cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id. de inicio de sesión: 0x61d1f Tipo de inicio
Seguridad 12545 10
Success Security- genera cuando se destruye una sesión de inicio. Puede estar correlacionado de manera positiva con un
17:03:03
Auditing mediante el valor Id. de inicio de sesión. Los id. de inicio de sesión solo son únicos entre reinicios en el
Microsoft- 4634: Se cerró sesión en una cuenta. Sujeto: Id. de seguridad: S-1-5-21-1163546357-429208663-839
2023-08-
Audit Windows- cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id. de inicio de sesión: 0x61d01 Tipo de inicio
Seguridad 12545 10
Success Security- genera cuando se destruye una sesión de inicio. Puede estar correlacionado de manera positiva con un
17:03:03
Auditing mediante el valor Id. de inicio de sesión. Los id. de inicio de sesión solo son únicos entre reinicios en el
Microsoft- 4647: Cierre de sesión iniciado por el usuario: Sujeto: Id. de seguridad: S-1-5-21-1163546357-429208
2023-08-
Audit Windows- Nombre de cuenta: defaultuser0 Dominio de cuenta: DESKTOP-K618JK0 Id. de inicio de sesión: 0x25b5
Seguridad 12545 10
Success Security- cuando se inicia un cierre de sesión. No se puede producir ninguna actividad adicional iniciada por el us
17:03:03
Auditing interpretar como un evento de cierre de sesión.
Microsoft- 4634: Se cerró sesión en una cuenta. Sujeto: Id. de seguridad: S-1-5-96-0-1 Nombre de cuenta: UMFD
2023-08-
Audit Windows- Driver Host Id. de inicio de sesión: 0x94bb Tipo de inicio de sesión: 2 Este evento se genera cuando se
Seguridad 12545 10
Success Security- Puede estar correlacionado de manera positiva con un evento de inicio de sesión mediante el valor Id. d
17:03:03
Auditing inicio de sesión solo son únicos entre reinicios en el mismo equipo.
Microsoft-
2023-08- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-9
Audit Windows-
Seguridad 12548 10 DWM-2 Dominio de cuenta: Window Manager Id. de inicio de sesión: 0x72a78 Privilegios: SeAssignPrim
Success Security-
17:03:03 SeAuditPrivilege SeImpersonatePrivilege
Auditing
Microsoft-
2023-08- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-9
Audit Windows-
Seguridad 12548 10 DWM-2 Dominio de cuenta: Window Manager Id. de inicio de sesión: 0x72a96 Privilegios: SeAssignPrim
Success Security-
17:03:03 SeAuditPrivilege
Auditing
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id. de inicio de
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:03:03
Auditing SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
17:03:03 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
17:03:03 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
17:03:03 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft- 4798: Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18
2023-08-
Audit Windows- -K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Usuario: Id. de seguridad: S
Seguridad 13824 10
Success Security- 429208663-839679816-500 Nombre de cuenta: Administrador Dominio de cuenta: DESKTOP-K618JK0
17:03:03
Auditing de proceso: 0x640 Nombre de proceso: C:\Windows\System32\svchost.exe
Microsoft- 4798: Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18
2023-08-
Audit Windows- -K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Usuario: Id. de seguridad: S
Seguridad 13824 10
Success Security- 429208663-839679816-503 Nombre de cuenta: DefaultAccount Dominio de cuenta: DESKTOP-K618JK0
17:03:03
Auditing de proceso: 0x640 Nombre de proceso: C:\Windows\System32\svchost.exe
Microsoft- 4798: Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18
2023-08-
Audit Windows- -K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Usuario: Id. de seguridad: S
Seguridad 13824 10
Success Security- 429208663-839679816-1000 Nombre de cuenta: defaultuser0 Dominio de cuenta: DESKTOP-K618JK0
17:03:03
Auditing de proceso: 0x640 Nombre de proceso: C:\Windows\System32\svchost.exe
Microsoft- 4798: Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18
2023-08-
Audit Windows- -K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Usuario: Id. de seguridad: S
Seguridad 13824 10
Success Security- 429208663-839679816-501 Nombre de cuenta: Invitado Dominio de cuenta: DESKTOP-K618JK0 Inform
17:03:03
Auditing proceso: 0x640 Nombre de proceso: C:\Windows\System32\svchost.exe
Microsoft- 4798: Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18
2023-08-
Audit Windows- -K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Usuario: Id. de seguridad: S
Seguridad 13824 10
Success Security- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Info
17:03:03
Auditing proceso: 0x640 Nombre de proceso: C:\Windows\System32\svchost.exe
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 264 of 466
Seguridad Audit 13824 2023-08- Microsoft- 4798: Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18
Success 10 Windows- Navegación
-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Usuario: Id. de seguridad: S
17:03:03 Security- 429208663-839679816-504 Nombre de cuenta: WDAGUtilityAccount Dominio de cuenta: DESKTOP-K61
Auditing proceso: Id. de proceso: 0x640 Nombre de proceso: C:\Windows\System32\svchost.exe
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
17:03:03 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
17:03:03 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
17:03:03 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:03:03
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:03:03
Auditing almacenadas en el Administrador de credenciales.
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
17:03:03 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
17:03:03 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
17:03:03 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:03:03
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:03:03
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:03:03
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:03:03
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:03:03
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:03:03
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:03:03
Auditing C:\Windows\System32\svchost.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:03:03
Auditing C:\Windows\System32\svchost.exe
Microsoft- 5061: Operación criptográfica. Sujeto: Id. de seguridad: S-1-5-21-1163546357-429208663-839679816
2023-08-
Audit Windows- USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id. de inicio de sesión: 0x74899 Parámetros criptográ
Seguridad 12290 10
Failure Security- Microsoft Software Key Storage Provider Nombre de algoritmo: UNKNOWN Nombre de clave: Microsoft
17:03:04
Auditing device certificate Tipo de clave: %%2500 Operación criptográfica: Operación: %%2480 Código de retor
Microsoft- 5061: Operación criptográfica. Sujeto: Id. de seguridad: S-1-5-21-1163546357-429208663-839679816
2023-08-
Audit Windows- USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id. de inicio de sesión: 0x74899 Parámetros criptográ
Seguridad 12290 10
Failure Security- Microsoft Software Key Storage Provider Nombre de algoritmo: UNKNOWN Nombre de clave: Microsoft
17:03:04
Auditing device certificate Tipo de clave: %%2500 Operación criptográfica: Operación: %%2480 Código de retor
Microsoft- 5061: Operación criptográfica. Sujeto: Id. de seguridad: S-1-5-21-1163546357-429208663-839679816
2023-08-
Audit Windows- USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id. de inicio de sesión: 0x74899 Parámetros criptográ
Seguridad 12290 10
Failure Security- Microsoft Software Key Storage Provider Nombre de algoritmo: UNKNOWN Nombre de clave: Microsoft
17:03:04
Auditing device certificate Tipo de clave: %%2500 Operación criptográfica: Operación: %%2480 Código de retor
Microsoft- 5061: Operación criptográfica. Sujeto: Id. de seguridad: S-1-5-21-1163546357-429208663-839679816
2023-08-
Audit Windows- USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id. de inicio de sesión: 0x74899 Parámetros criptográ
Seguridad 12290 10
Success Security- Microsoft Software Key Storage Provider Nombre de algoritmo: ECDSA_P256 Nombre de clave: Microso
17:03:04
Auditing device certificate Tipo de clave: %%2500 Operación criptográfica: Operación: %%2481 Código de retor
Microsoft- 5061: Operación criptográfica. Sujeto: Id. de seguridad: S-1-5-21-1163546357-429208663-839679816
2023-08-
Audit Windows- USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id. de inicio de sesión: 0x74899 Parámetros criptográ
Seguridad 12290 10
Success Security- Microsoft Software Key Storage Provider Nombre de algoritmo: ECDSA_P256 Nombre de clave: Microso
17:03:04
Auditing device certificate Tipo de clave: %%2500 Operación criptográfica: Operación: %%2480 Código de retor
5058: Operación de archivo de clave. Tema: Id. de seguridad: S-1-5-21-1163546357-429208663-8396
cuenta: USUARIO Dominio de cuentas: DESKTOP-K618JK0 Id. de inicio de sesión: 0x74899 Información
Microsoft-
2023-08- 952 Hora de creación del proceso: 2023-08-10T22:03:04.0258848Z Parámetros criptográficos: Nombre
Audit Windows-
Seguridad 12292 10 Software Key Storage Provider Nombre del algoritmo: ECDSA_P256 Nombre de la clave: Microsoft Conn
Success Security-
17:03:04 device certificate Tipo de clave: %%2500 Información de la operación de archivo de clave: Ruta del arc
Auditing
C:\Users\USUARIO\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_b4
d2fc0c5f591f Operación: %%2459 Código de retorno: 0x0
Seguridad Audit 12292 2023-08- Microsoft- 5058: Operación de archivo de clave. Tema: Id. de seguridad: S-1-5-21-1163546357-429208663-8396
Success 10 Windows- cuenta: USUARIO Dominio de cuentas: DESKTOP-K618JK0 Id. de inicio de sesión: 0x74899 Información
17:03:04 952 Hora de creación del proceso: 2023-08-10T22:03:04.0258848Z Parámetros criptográficos: Nombre
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 265 of 466
Security- Software Key Storage Provider Nombre del algoritmo: UNKNOWN Nombre de la clave: Microsoft Connec
Auditing Navegación
certificate Tipo de clave: %%2500 Información de la operación de archivo de clave: Ruta del archivo:
C:\Users\USUARIO\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_b4
d2fc0c5f591f Operación: %%2458 Código de retorno: 0x0
5059: Operación de migración de claves. Tema: Id. de seguridad: S-1-5-21-1163546357-429208663-8
Microsoft-
2023-08- cuenta: USUARIO Dominio de cuentas: DESKTOP-K618JK0 Id. de inicio de sesión: 0x74899 Información
Audit Windows-
Seguridad 12292 10 952 Tiempo de creación del proceso: 2023-08-10T22:03:04.0258848Z Parámetros criptográficos: Nomb
Success Security-
17:03:04 Software Key Storage Provider Nombre del algoritmo: ECDSA_P256 Nombre de la clave: Microsoft Conn
Auditing
device certificate Tipo de clave: %%2500 Información adicional: Operación: %%2464 Código de retorn
5059: Operación de migración de claves. Tema: Id. de seguridad: S-1-5-21-1163546357-429208663-8
Microsoft-
2023-08- cuenta: USUARIO Dominio de cuentas: DESKTOP-K618JK0 Id. de inicio de sesión: 0x74899 Información
Audit Windows-
Seguridad 12292 10 952 Tiempo de creación del proceso: 2023-08-10T22:03:04.0258848Z Parámetros criptográficos: Nomb
Success Security-
17:03:04 Software Key Storage Provider Nombre del algoritmo: ECDSA_P256 Nombre de la clave: Microsoft Conn
Auditing
device certificate Tipo de clave: %%2500 Información adicional: Operación: %%2464 Código de retorn
5059: Operación de migración de claves. Tema: Id. de seguridad: S-1-5-21-1163546357-429208663-8
Microsoft-
2023-08- cuenta: USUARIO Dominio de cuentas: DESKTOP-K618JK0 Id. de inicio de sesión: 0x74899 Información
Audit Windows-
Seguridad 12292 10 952 Tiempo de creación del proceso: 2023-08-10T22:03:04.0258848Z Parámetros criptográficos: Nomb
Success Security-
17:03:04 Software Key Storage Provider Nombre del algoritmo: ECDSA_P256 Nombre de la clave: Microsoft Conn
Auditing
device certificate Tipo de clave: %%2500 Información adicional: Operación: %%2464 Código de retorn
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2c4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:03:04
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2c4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:03:04
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4634: Se cerró sesión en una cuenta. Sujeto: Id. de seguridad: S-1-5-90-0-1 Nombre de cuenta: DWM
2023-08-
Audit Windows- Window Manager Id. de inicio de sesión: 0xe8ec Tipo de inicio de sesión: 2 Este evento se genera cuand
Seguridad 12545 10
Success Security- inicio. Puede estar correlacionado de manera positiva con un evento de inicio de sesión mediante el valo
17:03:04
Auditing id. de inicio de sesión solo son únicos entre reinicios en el mismo equipo.
Microsoft- 4634: Se cerró sesión en una cuenta. Sujeto: Id. de seguridad: S-1-5-90-0-1 Nombre de cuenta: DWM
2023-08-
Audit Windows- Window Manager Id. de inicio de sesión: 0xe8c9 Tipo de inicio de sesión: 2 Este evento se genera cuan
Seguridad 12545 10
Success Security- inicio. Puede estar correlacionado de manera positiva con un evento de inicio de sesión mediante el valo
17:03:04
Auditing id. de inicio de sesión solo son únicos entre reinicios en el mismo equipo.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:03:04
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:03:04
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:03:04
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:03:04
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:03:04
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5061: Operación criptográfica. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K618J
2023-08-
Audit Windows- WORKGROUP Id. de inicio de sesión: 0x3e7 Parámetros criptográficos: Nombre de proveedor: Microsoft
Seguridad 12290 10
Success Security- Provider Nombre de algoritmo: RSA Nombre de clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
17:03:06
Auditing criptográfica: Operación: %%2480 Código de retorno: 0x0
Microsoft- 5061: Operación criptográfica. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K618J
2023-08-
Audit Windows- WORKGROUP Id. de inicio de sesión: 0x3e7 Parámetros criptográficos: Nombre de proveedor: Microsoft
Seguridad 12290 10
Success Security- Provider Nombre de algoritmo: RSA Nombre de clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
17:03:06
Auditing criptográfica: Operación: %%2480 Código de retorno: 0x0
Seguridad Audit 12292 2023-08- Microsoft- 5058: Operación de archivo de clave. Tema: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K
Success 10 Windows- cuentas: WORKGROUP Id. de inicio de sesión: 0x3e7 Información del proceso: Id. de proceso: 1084 Ho
17:03:06 Security- 2023-08-10T22:02:02.1687008Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software
Auditing Nombre del algoritmo: UNKNOWN Nombre de la clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
Información de la operación de archivo de clave: Ruta del archivo:
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 266 of 466
C:\ProgramData\Microsoft\Crypto\SystemKeys\292e7a32958c490ada9966f6ee075f9a_b4d35e75-786c-
Operación: %%2458 CódigoNavegación
de retorno: 0x0
5058: Operación de archivo de clave. Tema: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K
cuentas: WORKGROUP Id. de inicio de sesión: 0x3e7 Información del proceso: Id. de proceso: 1084 Ho
Microsoft-
2023-08- 2023-08-10T22:02:02.1687008Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software
Audit Windows-
Seguridad 12292 10 Nombre del algoritmo: UNKNOWN Nombre de la clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
Success Security-
17:03:06 Información de la operación de archivo de clave: Ruta del archivo:
Auditing
C:\ProgramData\Microsoft\Crypto\SystemKeys\292e7a32958c490ada9966f6ee075f9a_b4d35e75-786c-
Operación: %%2458 Código de retorno: 0x0
5059: Operación de migración de claves. Tema: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTO
Microsoft-
2023-08- cuentas: WORKGROUP Id. de inicio de sesión: 0x3e7 Información del proceso: Id. de proceso: 1084 Tie
Audit Windows-
Seguridad 12292 10 2023-08-10T22:02:02.1687008Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software
Success Security-
17:03:06 Nombre del algoritmo: RSA Nombre de la clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo de clav
Auditing
adicional: Operación: %%2464 Código de retorno: 0x0
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:03:06
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:03:06
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:03:06
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:03:06
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:03:06
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:03:06
Auditing almacenadas en el Administrador de credenciales.
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
17:03:06 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
17:03:06 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
17:03:06 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:03:06
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:03:06
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:03:06
Auditing almacenadas en el Administrador de credenciales.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2c4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:03:10
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:03:10
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Seguridad Audit 12544 2023-08- Microsoft- 4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Success 10 Windows- Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
17:03:11 Security- administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
Auditing sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2c4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 267 of 466
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
Navegación proporcionan información detallada sobre esta solicitud de inici
campos de información de autenticación
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:03:11
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:03:11
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:03:11
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:03:11
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:03:11
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:03:11
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:03:11
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:03:11
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:03:11
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:03:11
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:03:12
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:03:12
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:03:12
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:03:14
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:03:14
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:03:14
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5061: Operación criptográfica. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K618J
2023-08-
Audit Windows- WORKGROUP Id. de inicio de sesión: 0x3e7 Parámetros criptográficos: Nombre de proveedor: Microsoft
Seguridad 12290 10
Success Security- Provider Nombre de algoritmo: RSA Nombre de clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
17:03:16
Auditing criptográfica: Operación: %%2480 Código de retorno: 0x0
Microsoft- 5061: Operación criptográfica. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K618J
2023-08-
Audit Windows- WORKGROUP Id. de inicio de sesión: 0x3e7 Parámetros criptográficos: Nombre de proveedor: Microsoft
Seguridad 12290 10
Success Security- Provider Nombre de algoritmo: RSA Nombre de clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
17:03:16
Auditing criptográfica: Operación: %%2480 Código de retorno: 0x0
5058: Operación de archivo de clave. Tema: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K
cuentas: WORKGROUP Id. de inicio de sesión: 0x3e7 Información del proceso: Id. de proceso: 1084 Ho
Microsoft-
2023-08- 2023-08-10T22:02:02.1687008Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software
Audit Windows-
Seguridad 12292 10 Nombre del algoritmo: UNKNOWN Nombre de la clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
Success Security-
17:03:16 Información de la operación de archivo de clave: Ruta del archivo:
Auditing
C:\ProgramData\Microsoft\Crypto\SystemKeys\292e7a32958c490ada9966f6ee075f9a_b4d35e75-786c-
Operación: %%2458 Código de retorno: 0x0
5058: Operación de archivo de clave. Tema: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K
cuentas: WORKGROUP Id. de inicio de sesión: 0x3e7 Información del proceso: Id. de proceso: 1084 Ho
Microsoft-
2023-08- 2023-08-10T22:02:02.1687008Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software
Audit Windows-
Seguridad 12292 10 Nombre del algoritmo: UNKNOWN Nombre de la clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
Success Security-
17:03:16 Información de la operación de archivo de clave: Ruta del archivo:
Auditing
C:\ProgramData\Microsoft\Crypto\SystemKeys\292e7a32958c490ada9966f6ee075f9a_b4d35e75-786c-
Operación: %%2458 Código de retorno: 0x0
5059: Operación de migración de claves. Tema: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTO
Microsoft-
2023-08- cuentas: WORKGROUP Id. de inicio de sesión: 0x3e7 Información del proceso: Id. de proceso: 1084 Tie
Audit Windows-
Seguridad 12292 10 2023-08-10T22:02:02.1687008Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software
Success Security-
17:03:16 Nombre del algoritmo: RSA Nombre de la clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo de clav
Auditing
adicional: Operación: %%2464 Código de retorno: 0x0
Seguridad Audit 13824 Microsoft-
Success Windows-
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 268 of 466
2023-08- Security- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
10 Auditing DESKTOP-K618JK0$ Dominio Navegación
de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
17:03:16 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
17:03:16 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
17:03:16 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft- 5061: Operación criptográfica. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K618J
2023-08-
Audit Windows- WORKGROUP Id. de inicio de sesión: 0x3e7 Parámetros criptográficos: Nombre de proveedor: Microsoft
Seguridad 12290 10
Success Security- Provider Nombre de algoritmo: RSA Nombre de clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
17:03:38
Auditing criptográfica: Operación: %%2480 Código de retorno: 0x0
Microsoft- 5061: Operación criptográfica. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K618J
2023-08-
Audit Windows- WORKGROUP Id. de inicio de sesión: 0x3e7 Parámetros criptográficos: Nombre de proveedor: Microsoft
Seguridad 12290 10
Success Security- Provider Nombre de algoritmo: RSA Nombre de clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
17:03:38
Auditing criptográfica: Operación: %%2480 Código de retorno: 0x0
5058: Operación de archivo de clave. Tema: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K
cuentas: WORKGROUP Id. de inicio de sesión: 0x3e7 Información del proceso: Id. de proceso: 1084 Ho
Microsoft-
2023-08- 2023-08-10T22:02:02.1687008Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software
Audit Windows-
Seguridad 12292 10 Nombre del algoritmo: UNKNOWN Nombre de la clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
Success Security-
17:03:38 Información de la operación de archivo de clave: Ruta del archivo:
Auditing
C:\ProgramData\Microsoft\Crypto\SystemKeys\292e7a32958c490ada9966f6ee075f9a_b4d35e75-786c-
Operación: %%2458 Código de retorno: 0x0
5058: Operación de archivo de clave. Tema: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K
cuentas: WORKGROUP Id. de inicio de sesión: 0x3e7 Información del proceso: Id. de proceso: 1084 Ho
Microsoft-
2023-08- 2023-08-10T22:02:02.1687008Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software
Audit Windows-
Seguridad 12292 10 Nombre del algoritmo: UNKNOWN Nombre de la clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
Success Security-
17:03:38 Información de la operación de archivo de clave: Ruta del archivo:
Auditing
C:\ProgramData\Microsoft\Crypto\SystemKeys\292e7a32958c490ada9966f6ee075f9a_b4d35e75-786c-
Operación: %%2458 Código de retorno: 0x0
5059: Operación de migración de claves. Tema: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTO
Microsoft-
2023-08- cuentas: WORKGROUP Id. de inicio de sesión: 0x3e7 Información del proceso: Id. de proceso: 1084 Tie
Audit Windows-
Seguridad 12292 10 2023-08-10T22:02:02.1687008Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software
Success Security-
17:03:38 Nombre del algoritmo: RSA Nombre de la clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo de clav
Auditing
adicional: Operación: %%2464 Código de retorno: 0x0
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
17:03:38 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
17:03:38 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
17:03:38 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2c4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:03:48
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:03:48
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2c4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:03:56
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:03:56
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Seguridad Audit 13826 Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
Success Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 269 of 466
2023-08- Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
10 Auditing Navegación
C:\Windows\System32\svchost.exe
17:04:01
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2c4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:04:03
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2c4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:04:03
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:04:03
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:04:03
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2c4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:04:04
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:04:04
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:04:12
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:04:12
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:04:12
Auditing almacenadas en el Administrador de credenciales.
Seguridad Audit 12544 2023-08- Microsoft- 4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Success 10 Windows- Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
17:04:13 Security- administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
Auditing sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2c4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 270 of 466
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
Navegación
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:04:13
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 SERVICIO LOCAL Dominio de la cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e5 Operación de lect
Success Security-
17:04:14 produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el Adm
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 SERVICIO LOCAL Dominio de la cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e5 Operación de lect
Success Security-
17:04:14 produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el Adm
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 SERVICIO LOCAL Dominio de la cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e5 Operación de lect
Success Security-
17:04:14 produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el Adm
Auditing
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:04:14
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:04:14
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:04:14
Auditing almacenadas en el Administrador de credenciales.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2c4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:04:23
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2c4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:04:23
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:04:23
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:04:23
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft-
2023-08- 5382: Se leyeron las credenciales de bóveda. Asunto: Id. de seguridad: S-1-5-18 Nombre de la cuenta:
Audit Windows-
Seguridad 13824 10 de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Este evento se produce cuando un usuario lee
Success Security-
17:04:23 en el almacén.
Auditing
Microsoft- 5061: Operación criptográfica. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K618J
2023-08-
Audit Windows- WORKGROUP Id. de inicio de sesión: 0x3e7 Parámetros criptográficos: Nombre de proveedor: Microsoft
Seguridad 12290 10
Success Security- Provider Nombre de algoritmo: RSA Nombre de clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
17:05:02
Auditing criptográfica: Operación: %%2480 Código de retorno: 0x0
Microsoft- 5061: Operación criptográfica. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K618J
2023-08-
Audit Windows- WORKGROUP Id. de inicio de sesión: 0x3e7 Parámetros criptográficos: Nombre de proveedor: Microsoft
Seguridad 12290 10
Success Security- Provider Nombre de algoritmo: RSA Nombre de clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
17:05:02
Auditing criptográfica: Operación: %%2480 Código de retorno: 0x0
5058: Operación de archivo de clave. Tema: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K
cuentas: WORKGROUP Id. de inicio de sesión: 0x3e7 Información del proceso: Id. de proceso: 1084 Ho
Microsoft-
2023-08- 2023-08-10T22:02:02.1687008Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software
Audit Windows-
Seguridad 12292 10 Nombre del algoritmo: UNKNOWN Nombre de la clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
Success Security-
17:05:02 Información de la operación de archivo de clave: Ruta del archivo:
Auditing
C:\ProgramData\Microsoft\Crypto\SystemKeys\292e7a32958c490ada9966f6ee075f9a_b4d35e75-786c-
Operación: %%2458 Código de retorno: 0x0
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 271 of 466
Seguridad Audit 12292 2023-08- Microsoft- 5058: Operación de archivo de clave. Tema: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K
Success 10 Windows- cuentas: WORKGROUP Id. de Navegación
inicio de sesión: 0x3e7 Información del proceso: Id. de proceso: 1084 Ho
17:05:02 Security- 2023-08-10T22:02:02.1687008Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software
Auditing Nombre del algoritmo: UNKNOWN Nombre de la clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
Información de la operación de archivo de clave: Ruta del archivo:
C:\ProgramData\Microsoft\Crypto\SystemKeys\292e7a32958c490ada9966f6ee075f9a_b4d35e75-786c-
Operación: %%2458 Código de retorno: 0x0
5059: Operación de migración de claves. Tema: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTO
Microsoft-
2023-08- cuentas: WORKGROUP Id. de inicio de sesión: 0x3e7 Información del proceso: Id. de proceso: 1084 Tie
Audit Windows-
Seguridad 12292 10 2023-08-10T22:02:02.1687008Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software
Success Security-
17:05:02 Nombre del algoritmo: RSA Nombre de la clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo de clav
Auditing
adicional: Operación: %%2464 Código de retorno: 0x0
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
17:05:02 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
17:05:02 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
17:05:02 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:05:17
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:05:17
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:05:17
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:05:17
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:05:18
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:05:18
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 4798: Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-21
2023-08-
Audit Windows- 839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id. de inicio de
Seguridad 13824 10
Success Security- de seguridad: S-1-5-21-1163546357-429208663-839679816-1001 Nombre de cuenta: USUARIO Domi
17:08:59
Auditing K618JK0 Información de proceso: Id. de proceso: 0xd6c Nombre de proceso: C:\Windows\System32\ru
Microsoft- 4798: Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-21
2023-08-
Audit Windows- 839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id. de inicio de
Seguridad 13824 10
Success Security- de seguridad: S-1-5-21-1163546357-429208663-839679816-1001 Nombre de cuenta: USUARIO Domi
17:09:05
Auditing K618JK0 Información de proceso: Id. de proceso: 0x1318 Nombre de proceso: C:\Windows\explorer.ex
Microsoft- 5061: Operación criptográfica. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K618J
2023-08-
Audit Windows- WORKGROUP Id. de inicio de sesión: 0x3e7 Parámetros criptográficos: Nombre de proveedor: Microsoft
Seguridad 12290 10
Success Security- Provider Nombre de algoritmo: RSA Nombre de clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
17:09:15
Auditing criptográfica: Operación: %%2480 Código de retorno: 0x0
Microsoft- 5061: Operación criptográfica. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K618J
2023-08-
Audit Windows- WORKGROUP Id. de inicio de sesión: 0x3e7 Parámetros criptográficos: Nombre de proveedor: Microsoft
Seguridad 12290 10
Success Security- Provider Nombre de algoritmo: RSA Nombre de clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
17:09:15
Auditing criptográfica: Operación: %%2480 Código de retorno: 0x0
Microsoft- 5061: Operación criptográfica. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K618J
2023-08-
Audit Windows- WORKGROUP Id. de inicio de sesión: 0x3e7 Parámetros criptográficos: Nombre de proveedor: Microsoft
Seguridad 12290 10
Success Security- Provider Nombre de algoritmo: RSA Nombre de clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
17:09:15
Auditing criptográfica: Operación: %%2480 Código de retorno: 0x0
Microsoft- 5061: Operación criptográfica. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K618J
2023-08-
Audit Windows- WORKGROUP Id. de inicio de sesión: 0x3e7 Parámetros criptográficos: Nombre de proveedor: Microsoft
Seguridad 12290 10
Success Security- Provider Nombre de algoritmo: RSA Nombre de clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
17:09:15
Auditing criptográfica: Operación: %%2480 Código de retorno: 0x0
Microsoft- 5061: Operación criptográfica. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K618J
2023-08-
Audit Windows- WORKGROUP Id. de inicio de sesión: 0x3e7 Parámetros criptográficos: Nombre de proveedor: Microsoft
Seguridad 12290 10
Success Security- Provider Nombre de algoritmo: RSA Nombre de clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
17:09:15
Auditing criptográfica: Operación: %%2480 Código de retorno: 0x0
Microsoft- 5061: Operación criptográfica. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K618J
2023-08-
Audit Windows- WORKGROUP Id. de inicio de sesión: 0x3e7 Parámetros criptográficos: Nombre de proveedor: Microsoft
Seguridad 12290 10
Success Security- Provider Nombre de algoritmo: RSA Nombre de clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
17:09:15
Auditing criptográfica: Operación: %%2480 Código de retorno: 0x0
Microsoft- 5061: Operación criptográfica. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K618J
2023-08-
Audit Windows- WORKGROUP Id. de inicio de sesión: 0x3e7 Parámetros criptográficos: Nombre de proveedor: Microsoft
Seguridad 12290 10
Success Security- Provider Nombre de algoritmo: RSA Nombre de clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
17:09:15
Auditing criptográfica: Operación: %%2480 Código de retorno: 0x0
Microsoft- 5061: Operación criptográfica. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K618J
2023-08-
Audit Windows- WORKGROUP Id. de inicio de sesión: 0x3e7 Parámetros criptográficos: Nombre de proveedor: Microsoft
Seguridad 12290 10
Success Security- Provider Nombre de algoritmo: RSA Nombre de clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
17:09:15
Auditing criptográfica: Operación: %%2480 Código de retorno: 0x0
5058: Operación de archivo de clave. Tema: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K
cuentas: WORKGROUP Id. de inicio de sesión: 0x3e7 Información del proceso: Id. de proceso: 7752 Ho
Microsoft-
2023-08- 2023-08-10T22:09:15.6839365Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software
Audit Windows-
Seguridad 12292 10 Nombre del algoritmo: UNKNOWN Nombre de la clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
Success Security-
17:09:15 Información de la operación de archivo de clave: Ruta del archivo:
Auditing
C:\ProgramData\Microsoft\Crypto\SystemKeys\292e7a32958c490ada9966f6ee075f9a_b4d35e75-786c-
Operación: %%2458 Código de retorno: 0x0
Seguridad Audit 12292 2023-08- Microsoft- 5058: Operación de archivo de clave. Tema: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K
Success 10 Windows- cuentas: WORKGROUP Id. de inicio de sesión: 0x3e7 Información del proceso: Id. de proceso: 7752 Ho
17:09:15 Security- 2023-08-10T22:09:15.6839365Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software
Auditing Nombre del algoritmo: UNKNOWN Nombre de la clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 272 of 466
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 273 of 466
Security-
Auditing Navegación
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
17:09:15 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
17:09:15 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
17:09:15 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
17:09:15 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
17:09:15 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
17:09:15 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
17:09:15 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
17:09:15 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
17:09:15 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:09:15
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:09:15
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:09:15
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:09:15
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:09:15
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:09:15
Auditing almacenadas en el Administrador de credenciales.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2c4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:09:16
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:09:16
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:09:19
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:09:19
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:09:19
Auditing almacenadas en el Administrador de credenciales.
Seguridad 12544
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 274 of 466
Audit 2023-08- Microsoft- 4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Success 10 Windows- Dominio de cuenta: WORKGROUP Navegación
Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
17:09:21 Security- administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
Auditing sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2c4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2c4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:09:21
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:09:21
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:09:21
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft-
2023-08- 5382: Se leyeron las credenciales de bóveda. Asunto: Id. de seguridad: S-1-5-18 Nombre de la cuenta:
Audit Windows-
Seguridad 13824 10 de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Este evento se produce cuando un usuario lee
Success Security-
17:09:21 en el almacén.
Auditing
Microsoft-
2023-08- 5382: Se leyeron las credenciales de bóveda. Asunto: Id. de seguridad: S-1-5-18 Nombre de la cuenta:
Audit Windows-
Seguridad 13824 10 de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Este evento se produce cuando un usuario lee
Success Security-
17:09:21 en el almacén.
Auditing
Microsoft-
2023-08- 5382: Se leyeron las credenciales de bóveda. Asunto: Id. de seguridad: S-1-5-18 Nombre de la cuenta:
Audit Windows-
Seguridad 13824 10 de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Este evento se produce cuando un usuario lee
Success Security-
17:09:21 en el almacén.
Auditing
Microsoft-
2023-08- 5382: Se leyeron las credenciales de bóveda. Asunto: Id. de seguridad: S-1-5-18 Nombre de la cuenta:
Audit Windows-
Seguridad 13824 10 de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Este evento se produce cuando un usuario lee
Success Security-
17:09:21 en el almacén.
Auditing
Microsoft-
2023-08- 5382: Se leyeron las credenciales de bóveda. Asunto: Id. de seguridad: S-1-5-18 Nombre de la cuenta:
Audit Windows-
Seguridad 13824 10 de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Este evento se produce cuando un usuario lee
Success Security-
17:09:21 en el almacén.
Auditing
Microsoft-
2023-08- 5382: Se leyeron las credenciales de bóveda. Asunto: Id. de seguridad: S-1-5-18 Nombre de la cuenta:
Audit Windows-
Seguridad 13824 10 de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Este evento se produce cuando un usuario lee
Success Security-
17:09:21 en el almacén.
Auditing
Microsoft-
2023-08- 5382: Se leyeron las credenciales de bóveda. Asunto: Id. de seguridad: S-1-5-18 Nombre de la cuenta:
Audit Windows-
Seguridad 13824 10 de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Este evento se produce cuando un usuario lee
Success Security-
17:09:21 en el almacén.
Auditing
Microsoft-
2023-08- 5382: Se leyeron las credenciales de bóveda. Asunto: Id. de seguridad: S-1-5-18 Nombre de la cuenta:
Audit Windows-
Seguridad 13824 10 de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Este evento se produce cuando un usuario lee
Success Security-
17:09:21 en el almacén.
Auditing
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2c4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:09:22
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Seguridad 12548
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 275 of 466
Audit 2023-08- Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
Success 10 Windows- SYSTEM Dominio de cuenta:Navegación
NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
17:09:22 Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft-
2023-08- 5382: Se leyeron las credenciales de bóveda. Asunto: Id. de seguridad: S-1-5-18 Nombre de la cuenta:
Audit Windows-
Seguridad 13824 10 de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Este evento se produce cuando un usuario lee
Success Security-
17:09:23 en el almacén.
Auditing
4907: Se cambió la configuración de auditoría en un objeto. Sujeto: Id. de seguridad: S-1-5-18 Nombre
Microsoft- K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Objeto: Servidor del objeto:
2023-08-
Audit Windows- Nombre del objeto: C:\Windows\WinSxS\FileMaps\_0000000000000000.cdf-ms Id. de identificador: 0x
Seguridad 13568 10
Success Security- Id. de proceso: 0x1064 Nombre de proceso: C:\Windows\WinSxS\amd64_microsoft-windows-
17:09:24
Auditing servicingstack_31bf3856ad364e35_10.0.19041.1940_none_7dd80d767cb5c7b0\TiWorker.exe Configur
de seguridad original: ? Nuevo descriptor de seguridad: S:ARAI(AU;SAFA;0x1f0116;;;WD)
4907: Se cambió la configuración de auditoría en un objeto. Sujeto: Id. de seguridad: S-1-5-18 Nombre
Microsoft- K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Objeto: Servidor del objeto:
2023-08-
Audit Windows- Nombre del objeto: C:\Windows\WinSxS\FileMaps\$$.cdf-ms Id. de identificador: 0x3e4 Información de
Seguridad 13568 10
Success Security- 0x1064 Nombre de proceso: C:\Windows\WinSxS\amd64_microsoft-windows-
17:09:24
Auditing servicingstack_31bf3856ad364e35_10.0.19041.1940_none_7dd80d767cb5c7b0\TiWorker.exe Configur
de seguridad original: ? Nuevo descriptor de seguridad: S:ARAI(AU;SAFA;0x1f0116;;;WD)
4907: Se cambió la configuración de auditoría en un objeto. Sujeto: Id. de seguridad: S-1-5-18 Nombre
Microsoft- K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Objeto: Servidor del objeto:
2023-08-
Audit Windows- Nombre del objeto: C:\Windows\WinSxS\FileMaps\$$_system32_21f9a9c4a2f8b514.cdf-ms Id. de iden
Seguridad 13568 10
Success Security- de proceso: Id. de proceso: 0x1064 Nombre de proceso: C:\Windows\WinSxS\amd64_microsoft-window
17:09:24
Auditing servicingstack_31bf3856ad364e35_10.0.19041.1940_none_7dd80d767cb5c7b0\TiWorker.exe Configur
de seguridad original: ? Nuevo descriptor de seguridad: S:ARAI(AU;SAFA;0x1f0116;;;WD)
4907: Se cambió la configuración de auditoría en un objeto. Sujeto: Id. de seguridad: S-1-5-18 Nombre
Microsoft- K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Objeto: Servidor del objeto:
2023-08-
Audit Windows- Nombre del objeto: C:\Windows\WinSxS\FileMaps\$$_system32_winbioplugins_071a28c5b510fb6a.cdf-
Seguridad 13568 10
Success Security- 0x374 Información de proceso: Id. de proceso: 0x1064 Nombre de proceso: C:\Windows\WinSxS\amd6
17:09:24
Auditing servicingstack_31bf3856ad364e35_10.0.19041.1940_none_7dd80d767cb5c7b0\TiWorker.exe Configur
de seguridad original: ? Nuevo descriptor de seguridad: S:ARAI(AU;SAFA;0x1f0116;;;WD)
4907: Se cambió la configuración de auditoría en un objeto. Sujeto: Id. de seguridad: S-1-5-18 Nombre
Microsoft- K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Objeto: Servidor del objeto:
2023-08-
Audit Windows- Nombre del objeto: C:\Windows\WinSxS\FileMaps\$$_system32_winbioplugins_facedriver_1cf62c11bac
Seguridad 13568 10
Success Security- identificador: 0x3f0 Información de proceso: Id. de proceso: 0x1064 Nombre de proceso: C:\Windows\
17:09:24
Auditing windows-servicingstack_31bf3856ad364e35_10.0.19041.1940_none_7dd80d767cb5c7b0\TiWorker.exe
Descriptor de seguridad original: ? Nuevo descriptor de seguridad: S:ARAI(AU;SAFA;0x1f0116;;;WD)
4907: Se cambió la configuración de auditoría en un objeto. Sujeto: Id. de seguridad: S-1-5-18 Nombre
Microsoft- K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Objeto: Servidor del objeto:
2023-08-
Audit Windows- Nombre del objeto: C:\Windows\WinSxS\FileMaps\$$_system32_winbioplugins_facedriver_amd64_a24
Seguridad 13568 10
Success Security- identificador: 0x3e4 Información de proceso: Id. de proceso: 0x1064 Nombre de proceso: C:\Windows\
17:09:24
Auditing windows-servicingstack_31bf3856ad364e35_10.0.19041.1940_none_7dd80d767cb5c7b0\TiWorker.exe
Descriptor de seguridad original: ? Nuevo descriptor de seguridad: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e4 Operación de le
Success Security-
17:09:29 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e4 Operación de le
Success Security-
17:09:29 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e4 Operación de le
Success Security-
17:09:29 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2c4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:10:00
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2c4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:10:00
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:10:00
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Seguridad 12548
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 276 of 466
Audit 2023-08- Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
Success 10 Windows- SYSTEM Dominio de cuenta:Navegación
NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
17:10:00 Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:10:00
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:10:00
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:10:00
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:10:00
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:10:00
Auditing proceso: 0x2144 Nombre de proceso: \Device\HarddiskVolume7\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:10:00
Auditing proceso: 0x2144 Nombre de proceso: \Device\HarddiskVolume7\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:10:00
Auditing proceso: 0x2144 Nombre de proceso: \Device\HarddiskVolume7\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:10:00
Auditing proceso: 0x2144 Nombre de proceso: \Device\HarddiskVolume7\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:10:00
Auditing proceso: 0x2144 Nombre de proceso: \Device\HarddiskVolume7\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:10:00
Auditing proceso: 0x2144 Nombre de proceso: \Device\HarddiskVolume7\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:10:00
Auditing proceso: 0x2144 Nombre de proceso: \Device\HarddiskVolume7\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:10:00
Auditing proceso: 0x2144 Nombre de proceso: \Device\HarddiskVolume7\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:10:02
Auditing proceso: 0x2144 Nombre de proceso: \Device\HarddiskVolume7\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:10:05
Auditing proceso: 0x2144 Nombre de proceso: \Device\HarddiskVolume7\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:10:05
Auditing proceso: 0x2144 Nombre de proceso: \Device\HarddiskVolume7\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:10:05
Auditing proceso: 0x2144 Nombre de proceso: \Device\HarddiskVolume7\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:10:05
Auditing proceso: 0x2144 Nombre de proceso: \Device\HarddiskVolume7\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:10:05
Auditing proceso: 0x2144 Nombre de proceso: \Device\HarddiskVolume7\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:10:05
Auditing proceso: 0x2144 Nombre de proceso: \Device\HarddiskVolume7\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:10:05
Auditing proceso: 0x2144 Nombre de proceso: \Device\HarddiskVolume7\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:10:05
Auditing proceso: 0x2144 Nombre de proceso: \Device\HarddiskVolume7\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:10:05
Auditing proceso: 0x2144 Nombre de proceso: \Device\HarddiskVolume7\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:10:05
Auditing proceso: 0x2144 Nombre de proceso: \Device\HarddiskVolume7\SDI_RUS\SDI_x64_R2102.exe
Seguridad Audit 13826 Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
Success Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 277 of 466
2023-08- Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
10 Auditing proceso: 0x2144 Nombre deNavegación
proceso: \Device\HarddiskVolume7\SDI_RUS\SDI_x64_R2102.exe
17:10:05
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:10:05
Auditing proceso: 0x2144 Nombre de proceso: \Device\HarddiskVolume7\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:10:05
Auditing proceso: 0x2144 Nombre de proceso: \Device\HarddiskVolume7\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:10:05
Auditing proceso: 0x2144 Nombre de proceso: \Device\HarddiskVolume7\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:10:05
Auditing proceso: 0x2144 Nombre de proceso: \Device\HarddiskVolume7\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:10:05
Auditing proceso: 0x2144 Nombre de proceso: \Device\HarddiskVolume7\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:10:05
Auditing proceso: 0x2144 Nombre de proceso: \Device\HarddiskVolume7\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:10:05
Auditing proceso: 0x2144 Nombre de proceso: \Device\HarddiskVolume7\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:10:05
Auditing proceso: 0x2144 Nombre de proceso: \Device\HarddiskVolume7\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:10:05
Auditing proceso: 0x2144 Nombre de proceso: \Device\HarddiskVolume7\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:10:05
Auditing proceso: 0x2144 Nombre de proceso: \Device\HarddiskVolume7\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:10:05
Auditing proceso: 0x2144 Nombre de proceso: \Device\HarddiskVolume7\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:10:05
Auditing proceso: 0x2144 Nombre de proceso: \Device\HarddiskVolume7\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:10:05
Auditing proceso: 0x2144 Nombre de proceso: \Device\HarddiskVolume7\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:10:05
Auditing proceso: 0x2144 Nombre de proceso: \Device\HarddiskVolume7\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:10:05
Auditing proceso: 0x2144 Nombre de proceso: \Device\HarddiskVolume7\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:10:05
Auditing proceso: 0x2144 Nombre de proceso: \Device\HarddiskVolume7\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:10:05
Auditing proceso: 0x2144 Nombre de proceso: \Device\HarddiskVolume7\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:10:05
Auditing proceso: 0x2144 Nombre de proceso: \Device\HarddiskVolume7\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:10:05
Auditing proceso: 0x2144 Nombre de proceso: \Device\HarddiskVolume7\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:10:05
Auditing proceso: 0x2144 Nombre de proceso: \Device\HarddiskVolume7\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:10:05
Auditing proceso: 0x2144 Nombre de proceso: \Device\HarddiskVolume7\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:10:05
Auditing proceso: 0x2144 Nombre de proceso: \Device\HarddiskVolume7\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:10:05
Auditing proceso: 0x2144 Nombre de proceso: \Device\HarddiskVolume7\SDI_RUS\SDI_x64_R2102.exe
Seguridad Audit 13826 2023-08- Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
Success 10 Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
17:10:06
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 278 of 466
Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
Auditing Navegación
C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:10:06
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:10:06
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:10:06
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:10:06
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:10:06
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:10:06
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:10:06
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:10:06
Auditing proceso: 0x2144 Nombre de proceso: \Device\HarddiskVolume7\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:10:06
Auditing proceso: 0x2144 Nombre de proceso: \Device\HarddiskVolume7\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:10:06
Auditing proceso: 0x2144 Nombre de proceso: \Device\HarddiskVolume7\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:10:06
Auditing proceso: 0x2144 Nombre de proceso: \Device\HarddiskVolume7\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:10:06
Auditing proceso: 0x2144 Nombre de proceso: \Device\HarddiskVolume7\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:10:06
Auditing proceso: 0x2144 Nombre de proceso: \Device\HarddiskVolume7\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:10:06
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:10:06
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:10:06
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:10:06
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:10:06
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:10:06
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:10:06
Auditing proceso: 0x2144 Nombre de proceso: \Device\HarddiskVolume7\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:10:06
Auditing proceso: 0x2144 Nombre de proceso: \Device\HarddiskVolume7\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:10:06
Auditing proceso: 0x2144 Nombre de proceso: \Device\HarddiskVolume7\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:10:06
Auditing proceso: 0x2144 Nombre de proceso: \Device\HarddiskVolume7\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:10:06
Auditing proceso: 0x2144 Nombre de proceso: \Device\HarddiskVolume7\SDI_RUS\SDI_x64_R2102.exe
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 279 of 466
Seguridad Audit 13826 2023-08- Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
Success 10 Windows- 429208663-839679816-1001 Navegación
Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
17:10:06 Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
Auditing proceso: 0x2144 Nombre de proceso: \Device\HarddiskVolume7\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:10:06
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:10:06
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:10:06
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:10:06
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:10:06
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:10:06
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:10:06
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:10:06
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:10:06
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:10:06
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:10:06
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:10:06
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:10:06
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:10:06
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:10:06
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:10:06
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:10:06
Auditing proceso: 0x2144 Nombre de proceso: \Device\HarddiskVolume7\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:10:06
Auditing proceso: 0x2144 Nombre de proceso: \Device\HarddiskVolume7\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:10:06
Auditing proceso: 0x2144 Nombre de proceso: \Device\HarddiskVolume7\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:10:06
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:10:06
Auditing proceso: 0x2144 Nombre de proceso: \Device\HarddiskVolume7\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:10:06
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:10:06
Auditing C:\Windows\System32\VSSVC.exe
Seguridad Audit 13826 Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
Success Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 280 of 466
2023-08- Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
10 Auditing proceso: 0x2144 Nombre deNavegación
proceso: \Device\HarddiskVolume7\SDI_RUS\SDI_x64_R2102.exe
17:10:06
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:10:06
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:10:06
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:10:06
Auditing proceso: 0x2144 Nombre de proceso: \Device\HarddiskVolume7\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:10:06
Auditing proceso: 0x2144 Nombre de proceso: \Device\HarddiskVolume7\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:10:06
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:10:06
Auditing proceso: 0x2144 Nombre de proceso: \Device\HarddiskVolume7\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:10:06
Auditing proceso: 0x2144 Nombre de proceso: \Device\HarddiskVolume7\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:10:06
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:10:06
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:10:06
Auditing proceso: 0x2144 Nombre de proceso: \Device\HarddiskVolume7\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:10:06
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:10:06
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:10:06
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:10:06
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:10:06
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:10:06
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:10:06
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:10:06
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:10:06
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:10:06
Auditing proceso: 0x2144 Nombre de proceso: \Device\HarddiskVolume7\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:10:06
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:10:06
Auditing proceso: 0x2144 Nombre de proceso: \Device\HarddiskVolume7\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:10:06
Auditing C:\Windows\System32\VSSVC.exe
Seguridad Audit 13826 2023-08- Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
Success 10 Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
17:10:06
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 281 of 466
Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
Auditing Navegación
C:\Windows\System32\VSSVC.exe
Microsoft-
2023-08- 4904: Se intentó registrar un origen de evento de seguridad. Sujeto: Id. de seguridad: S-1-5-18 Nomb
Audit Windows-
Seguridad 13568 10 K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Proceso: Id. de proceso: 0x1
Success Security-
17:10:07 C:\Windows\System32\VSSVC.exe Origen de evento: Nombre de origen: VSSAudit Id. de origen de eve
Auditing
Microsoft-
2023-08- 4905: Se intentó anular el registro de un origen de evento de seguridad. Sujeto: Id. de seguridad: S-1-
Audit Windows-
Seguridad 13568 10 DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Proceso: Id. de pr
Success Security-
17:10:07 proceso: C:\Windows\System32\VSSVC.exe Origen de evento: Nombre de origen: VSSAudit Id. de orig
Auditing
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2c4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:10:10
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:10:10
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2c4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:10:18
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:10:18
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2c4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:10:52
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:10:52
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2c4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:11:57
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 282 of 466
Seguridad Audit 12548 2023-08- Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
Success 10 Windows- SYSTEM Dominio de cuenta:Navegación
NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
17:11:57 Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2c4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:12:11
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:12:11
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:12:12
Auditing C:\Windows\System32\SearchIndexer.exe
Microsoft- 5061: Operación criptográfica. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K618J
2023-08-
Audit Windows- WORKGROUP Id. de inicio de sesión: 0x3e7 Parámetros criptográficos: Nombre de proveedor: Microsoft
Seguridad 12290 10
Success Security- Provider Nombre de algoritmo: RSA Nombre de clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
17:13:29
Auditing criptográfica: Operación: %%2480 Código de retorno: 0x0
Microsoft- 5061: Operación criptográfica. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K618J
2023-08-
Audit Windows- WORKGROUP Id. de inicio de sesión: 0x3e7 Parámetros criptográficos: Nombre de proveedor: Microsoft
Seguridad 12290 10
Success Security- Provider Nombre de algoritmo: RSA Nombre de clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
17:13:29
Auditing criptográfica: Operación: %%2480 Código de retorno: 0x0
Microsoft- 5061: Operación criptográfica. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K618J
2023-08-
Audit Windows- WORKGROUP Id. de inicio de sesión: 0x3e7 Parámetros criptográficos: Nombre de proveedor: Microsoft
Seguridad 12290 10
Success Security- Provider Nombre de algoritmo: RSA Nombre de clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
17:13:29
Auditing criptográfica: Operación: %%2480 Código de retorno: 0x0
Microsoft- 5061: Operación criptográfica. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K618J
2023-08-
Audit Windows- WORKGROUP Id. de inicio de sesión: 0x3e7 Parámetros criptográficos: Nombre de proveedor: Microsoft
Seguridad 12290 10
Success Security- Provider Nombre de algoritmo: RSA Nombre de clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
17:13:29
Auditing criptográfica: Operación: %%2480 Código de retorno: 0x0
Microsoft- 5061: Operación criptográfica. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K618J
2023-08-
Audit Windows- WORKGROUP Id. de inicio de sesión: 0x3e7 Parámetros criptográficos: Nombre de proveedor: Microsoft
Seguridad 12290 10
Success Security- Provider Nombre de algoritmo: RSA Nombre de clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
17:13:29
Auditing criptográfica: Operación: %%2480 Código de retorno: 0x0
Microsoft- 5061: Operación criptográfica. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K618J
2023-08-
Audit Windows- WORKGROUP Id. de inicio de sesión: 0x3e7 Parámetros criptográficos: Nombre de proveedor: Microsoft
Seguridad 12290 10
Success Security- Provider Nombre de algoritmo: RSA Nombre de clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
17:13:29
Auditing criptográfica: Operación: %%2480 Código de retorno: 0x0
5058: Operación de archivo de clave. Tema: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K
cuentas: WORKGROUP Id. de inicio de sesión: 0x3e7 Información del proceso: Id. de proceso: 6428 Ho
Microsoft-
2023-08- 2023-08-10T22:13:29.7957452Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software
Audit Windows-
Seguridad 12292 10 Nombre del algoritmo: UNKNOWN Nombre de la clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
Success Security-
17:13:29 Información de la operación de archivo de clave: Ruta del archivo:
Auditing
C:\ProgramData\Microsoft\Crypto\SystemKeys\292e7a32958c490ada9966f6ee075f9a_b4d35e75-786c-
Operación: %%2458 Código de retorno: 0x0
5058: Operación de archivo de clave. Tema: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K
cuentas: WORKGROUP Id. de inicio de sesión: 0x3e7 Información del proceso: Id. de proceso: 6428 Ho
Microsoft-
2023-08- 2023-08-10T22:13:29.7957452Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software
Audit Windows-
Seguridad 12292 10 Nombre del algoritmo: UNKNOWN Nombre de la clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
Success Security-
17:13:29 Información de la operación de archivo de clave: Ruta del archivo:
Auditing
C:\ProgramData\Microsoft\Crypto\SystemKeys\292e7a32958c490ada9966f6ee075f9a_b4d35e75-786c-
Operación: %%2458 Código de retorno: 0x0
5059: Operación de migración de claves. Tema: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTO
Microsoft-
2023-08- cuentas: WORKGROUP Id. de inicio de sesión: 0x3e7 Información del proceso: Id. de proceso: 6428 Tie
Audit Windows-
Seguridad 12292 10 2023-08-10T22:13:29.7957452Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software
Success Security-
17:13:29 Nombre del algoritmo: RSA Nombre de la clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo de clav
Auditing
adicional: Operación: %%2464 Código de retorno: 0x0
5058: Operación de archivo de clave. Tema: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K
cuentas: WORKGROUP Id. de inicio de sesión: 0x3e7 Información del proceso: Id. de proceso: 6428 Ho
Microsoft-
2023-08- 2023-08-10T22:13:29.7957452Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software
Audit Windows-
Seguridad 12292 10 Nombre del algoritmo: UNKNOWN Nombre de la clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
Success Security-
17:13:29 Información de la operación de archivo de clave: Ruta del archivo:
Auditing
C:\ProgramData\Microsoft\Crypto\SystemKeys\292e7a32958c490ada9966f6ee075f9a_b4d35e75-786c-
Operación: %%2458 Código de retorno: 0x0
5058: Operación de archivo de clave. Tema: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K
cuentas: WORKGROUP Id. de inicio de sesión: 0x3e7 Información del proceso: Id. de proceso: 6428 Ho
Microsoft-
2023-08- 2023-08-10T22:13:29.7957452Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software
Audit Windows-
Seguridad 12292 10 Nombre del algoritmo: UNKNOWN Nombre de la clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
Success Security-
17:13:29 Información de la operación de archivo de clave: Ruta del archivo:
Auditing
C:\ProgramData\Microsoft\Crypto\SystemKeys\292e7a32958c490ada9966f6ee075f9a_b4d35e75-786c-
Operación: %%2458 Código de retorno: 0x0
5059: Operación de migración de claves. Tema: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTO
Microsoft-
2023-08- cuentas: WORKGROUP Id. de inicio de sesión: 0x3e7 Información del proceso: Id. de proceso: 6428 Tie
Audit Windows-
Seguridad 12292 10 2023-08-10T22:13:29.7957452Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software
Success Security-
17:13:29 Nombre del algoritmo: RSA Nombre de la clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo de clav
Auditing
adicional: Operación: %%2464 Código de retorno: 0x0
Seguridad Audit 12292 2023-08- Microsoft- 5058: Operación de archivo de clave. Tema: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K
Success 10 Windows- cuentas: WORKGROUP Id. de inicio de sesión: 0x3e7 Información del proceso: Id. de proceso: 6428 Ho
17:13:29 Security- 2023-08-10T22:13:29.7957452Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software
Auditing Nombre del algoritmo: UNKNOWN Nombre de la clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
Información de la operación de archivo de clave: Ruta del archivo:
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 283 of 466
C:\ProgramData\Microsoft\Crypto\SystemKeys\292e7a32958c490ada9966f6ee075f9a_b4d35e75-786c-
Operación: %%2458 CódigoNavegación
de retorno: 0x0
5058: Operación de archivo de clave. Tema: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K
cuentas: WORKGROUP Id. de inicio de sesión: 0x3e7 Información del proceso: Id. de proceso: 6428 Ho
Microsoft-
2023-08- 2023-08-10T22:13:29.7957452Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software
Audit Windows-
Seguridad 12292 10 Nombre del algoritmo: UNKNOWN Nombre de la clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
Success Security-
17:13:29 Información de la operación de archivo de clave: Ruta del archivo:
Auditing
C:\ProgramData\Microsoft\Crypto\SystemKeys\292e7a32958c490ada9966f6ee075f9a_b4d35e75-786c-
Operación: %%2458 Código de retorno: 0x0
5059: Operación de migración de claves. Tema: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTO
Microsoft-
2023-08- cuentas: WORKGROUP Id. de inicio de sesión: 0x3e7 Información del proceso: Id. de proceso: 6428 Tie
Audit Windows-
Seguridad 12292 10 2023-08-10T22:13:29.7957452Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software
Success Security-
17:13:29 Nombre del algoritmo: RSA Nombre de la clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo de clav
Auditing
adicional: Operación: %%2464 Código de retorno: 0x0
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2c4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:13:29
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:13:29
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:13:29
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:13:29
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:13:29
Auditing almacenadas en el Administrador de credenciales.
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
17:13:29 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
17:13:29 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
17:13:29 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
17:13:29 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
17:13:29 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
17:13:29 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 SERVICIO LOCAL Dominio de la cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e5 Operación de lect
Success Security-
17:13:29 produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el Adm
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 SERVICIO LOCAL Dominio de la cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e5 Operación de lect
Success Security-
17:13:29 produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el Adm
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 SERVICIO LOCAL Dominio de la cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e5 Operación de lect
Success Security-
17:13:29 produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el Adm
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
17:13:29 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
17:13:29 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
17:13:29 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Seguridad 13824
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 284 of 466
Audit 2023-08- Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
Success 10 Windows- DESKTOP-K618JK0$ Dominio Navegación
de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e4 Operación de le
17:13:29 Security- se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e4 Operación de le
Success Security-
17:13:29 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e4 Operación de le
Success Security-
17:13:29 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:13:29
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:13:29
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:13:29
Auditing almacenadas en el Administrador de credenciales.
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 SERVICIO LOCAL Dominio de la cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e5 Operación de lect
Success Security-
17:13:30 produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el Adm
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 SERVICIO LOCAL Dominio de la cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e5 Operación de lect
Success Security-
17:13:30 produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el Adm
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 SERVICIO LOCAL Dominio de la cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e5 Operación de lect
Success Security-
17:13:30 produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el Adm
Auditing
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:13:30
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:13:30
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:13:30
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5061: Operación criptográfica. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K618J
2023-08-
Audit Windows- WORKGROUP Id. de inicio de sesión: 0x3e7 Parámetros criptográficos: Nombre de proveedor: Microsoft
Seguridad 12290 10
Success Security- Provider Nombre de algoritmo: RSA Nombre de clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
17:13:34
Auditing criptográfica: Operación: %%2480 Código de retorno: 0x0
Microsoft- 5061: Operación criptográfica. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K618J
2023-08-
Audit Windows- WORKGROUP Id. de inicio de sesión: 0x3e7 Parámetros criptográficos: Nombre de proveedor: Microsoft
Seguridad 12290 10
Success Security- Provider Nombre de algoritmo: RSA Nombre de clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
17:13:34
Auditing criptográfica: Operación: %%2480 Código de retorno: 0x0
5058: Operación de archivo de clave. Tema: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K
cuentas: WORKGROUP Id. de inicio de sesión: 0x3e7 Información del proceso: Id. de proceso: 6428 Ho
Microsoft-
2023-08- 2023-08-10T22:13:29.7957452Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software
Audit Windows-
Seguridad 12292 10 Nombre del algoritmo: UNKNOWN Nombre de la clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
Success Security-
17:13:34 Información de la operación de archivo de clave: Ruta del archivo:
Auditing
C:\ProgramData\Microsoft\Crypto\SystemKeys\292e7a32958c490ada9966f6ee075f9a_b4d35e75-786c-
Operación: %%2458 Código de retorno: 0x0
5058: Operación de archivo de clave. Tema: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K
cuentas: WORKGROUP Id. de inicio de sesión: 0x3e7 Información del proceso: Id. de proceso: 6428 Ho
Microsoft-
2023-08- 2023-08-10T22:13:29.7957452Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software
Audit Windows-
Seguridad 12292 10 Nombre del algoritmo: UNKNOWN Nombre de la clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
Success Security-
17:13:34 Información de la operación de archivo de clave: Ruta del archivo:
Auditing
C:\ProgramData\Microsoft\Crypto\SystemKeys\292e7a32958c490ada9966f6ee075f9a_b4d35e75-786c-
Operación: %%2458 Código de retorno: 0x0
5059: Operación de migración de claves. Tema: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTO
Microsoft-
2023-08- cuentas: WORKGROUP Id. de inicio de sesión: 0x3e7 Información del proceso: Id. de proceso: 6428 Tie
Audit Windows-
Seguridad 12292 10 2023-08-10T22:13:29.7957452Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software
Success Security-
17:13:34 Nombre del algoritmo: RSA Nombre de la clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo de clav
Auditing
adicional: Operación: %%2464 Código de retorno: 0x0
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2c4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:13:34
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:13:34
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 285 of 466
Seguridad Audit 13824 2023-08- Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Success 10 Windows- DESKTOP-K618JK0$ Dominio Navegación
de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
17:13:34 Security- se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
17:13:34 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
17:13:34 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft- 5061: Operación criptográfica. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K618J
2023-08-
Audit Windows- WORKGROUP Id. de inicio de sesión: 0x3e7 Parámetros criptográficos: Nombre de proveedor: Microsoft
Seguridad 12290 10
Success Security- Provider Nombre de algoritmo: RSA Nombre de clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
17:13:35
Auditing criptográfica: Operación: %%2480 Código de retorno: 0x0
Microsoft- 5061: Operación criptográfica. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K618J
2023-08-
Audit Windows- WORKGROUP Id. de inicio de sesión: 0x3e7 Parámetros criptográficos: Nombre de proveedor: Microsoft
Seguridad 12290 10
Success Security- Provider Nombre de algoritmo: RSA Nombre de clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
17:13:35
Auditing criptográfica: Operación: %%2480 Código de retorno: 0x0
5058: Operación de archivo de clave. Tema: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K
cuentas: WORKGROUP Id. de inicio de sesión: 0x3e7 Información del proceso: Id. de proceso: 6428 Ho
Microsoft-
2023-08- 2023-08-10T22:13:29.7957452Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software
Audit Windows-
Seguridad 12292 10 Nombre del algoritmo: UNKNOWN Nombre de la clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
Success Security-
17:13:35 Información de la operación de archivo de clave: Ruta del archivo:
Auditing
C:\ProgramData\Microsoft\Crypto\SystemKeys\292e7a32958c490ada9966f6ee075f9a_b4d35e75-786c-
Operación: %%2458 Código de retorno: 0x0
5058: Operación de archivo de clave. Tema: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K
cuentas: WORKGROUP Id. de inicio de sesión: 0x3e7 Información del proceso: Id. de proceso: 6428 Ho
Microsoft-
2023-08- 2023-08-10T22:13:29.7957452Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software
Audit Windows-
Seguridad 12292 10 Nombre del algoritmo: UNKNOWN Nombre de la clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
Success Security-
17:13:35 Información de la operación de archivo de clave: Ruta del archivo:
Auditing
C:\ProgramData\Microsoft\Crypto\SystemKeys\292e7a32958c490ada9966f6ee075f9a_b4d35e75-786c-
Operación: %%2458 Código de retorno: 0x0
5059: Operación de migración de claves. Tema: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTO
Microsoft-
2023-08- cuentas: WORKGROUP Id. de inicio de sesión: 0x3e7 Información del proceso: Id. de proceso: 6428 Tie
Audit Windows-
Seguridad 12292 10 2023-08-10T22:13:29.7957452Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software
Success Security-
17:13:35 Nombre del algoritmo: RSA Nombre de la clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo de clav
Auditing
adicional: Operación: %%2464 Código de retorno: 0x0
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
17:13:35 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
17:13:35 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
17:13:35 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft- 4798: Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-21
2023-08-
Audit Windows- 839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id. de inicio de
Seguridad 13824 10
Success Security- de seguridad: S-1-5-21-1163546357-429208663-839679816-1001 Nombre de cuenta: USUARIO Domi
17:13:45
Auditing K618JK0 Información de proceso: Id. de proceso: 0x1318 Nombre de proceso: C:\Windows\explorer.ex
Microsoft- 4798: Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-21
2023-08-
Audit Windows- 839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id. de inicio de
Seguridad 13824 10
Success Security- de seguridad: S-1-5-21-1163546357-429208663-839679816-1001 Nombre de cuenta: USUARIO Domi
17:13:45
Auditing K618JK0 Información de proceso: Id. de proceso: 0x1318 Nombre de proceso: C:\Windows\explorer.ex
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2c4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:13:59
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:13:59
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 5061: Operación criptográfica. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K618J
2023-08-
Audit Windows- WORKGROUP Id. de inicio de sesión: 0x3e7 Parámetros criptográficos: Nombre de proveedor: Microsoft
Seguridad 12290 10
Success Security- Provider Nombre de algoritmo: RSA Nombre de clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
17:14:22
Auditing criptográfica: Operación: %%2480 Código de retorno: 0x0
Microsoft- 5061: Operación criptográfica. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K618J
2023-08-
Audit Windows- WORKGROUP Id. de inicio de sesión: 0x3e7 Parámetros criptográficos: Nombre de proveedor: Microsoft
Seguridad 12290 10
Success Security- Provider Nombre de algoritmo: RSA Nombre de clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
17:14:22
Auditing criptográfica: Operación: %%2480 Código de retorno: 0x0
5058: Operación de archivo de clave. Tema: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K
cuentas: WORKGROUP Id. de inicio de sesión: 0x3e7 Información del proceso: Id. de proceso: 6428 Ho
Microsoft-
2023-08- 2023-08-10T22:13:29.7957452Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software
Audit Windows-
Seguridad 12292 10 Nombre del algoritmo: UNKNOWN Nombre de la clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
Success Security-
17:14:22 Información de la operación de archivo de clave: Ruta del archivo:
Auditing
C:\ProgramData\Microsoft\Crypto\SystemKeys\292e7a32958c490ada9966f6ee075f9a_b4d35e75-786c-
Operación: %%2458 Código de retorno: 0x0
Seguridad Audit 12292 Microsoft- 5058: Operación de archivo de clave. Tema: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K
Success Windows- cuentas: WORKGROUP Id. de inicio de sesión: 0x3e7 Información del proceso: Id. de proceso: 6428 Ho
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 286 of 466
2023-08- Security- 2023-08-10T22:13:29.7957452Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software
10 Auditing Navegación
Nombre del algoritmo: UNKNOWN Nombre de la clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
17:14:22 Información de la operación de archivo de clave: Ruta del archivo:
C:\ProgramData\Microsoft\Crypto\SystemKeys\292e7a32958c490ada9966f6ee075f9a_b4d35e75-786c-
Operación: %%2458 Código de retorno: 0x0
5059: Operación de migración de claves. Tema: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTO
Microsoft-
2023-08- cuentas: WORKGROUP Id. de inicio de sesión: 0x3e7 Información del proceso: Id. de proceso: 6428 Tie
Audit Windows-
Seguridad 12292 10 2023-08-10T22:13:29.7957452Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software
Success Security-
17:14:22 Nombre del algoritmo: RSA Nombre de la clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo de clav
Auditing
adicional: Operación: %%2464 Código de retorno: 0x0
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
17:14:22 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
17:14:22 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
17:14:22 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2c4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:14:23
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:14:23
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft-
2023-08- 5382: Se leyeron las credenciales de bóveda. Asunto: Id. de seguridad: S-1-5-18 Nombre de la cuenta:
Audit Windows-
Seguridad 13824 10 de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Este evento se produce cuando un usuario lee
Success Security-
17:14:23 en el almacén.
Auditing
Microsoft- 5061: Operación criptográfica. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K618J
2023-08-
Audit Windows- WORKGROUP Id. de inicio de sesión: 0x3e7 Parámetros criptográficos: Nombre de proveedor: Microsoft
Seguridad 12290 10
Success Security- Provider Nombre de algoritmo: RSA Nombre de clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
17:14:24
Auditing criptográfica: Operación: %%2480 Código de retorno: 0x0
Microsoft- 5061: Operación criptográfica. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K618J
2023-08-
Audit Windows- WORKGROUP Id. de inicio de sesión: 0x3e7 Parámetros criptográficos: Nombre de proveedor: Microsoft
Seguridad 12290 10
Success Security- Provider Nombre de algoritmo: RSA Nombre de clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
17:14:24
Auditing criptográfica: Operación: %%2480 Código de retorno: 0x0
5058: Operación de archivo de clave. Tema: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K
cuentas: WORKGROUP Id. de inicio de sesión: 0x3e7 Información del proceso: Id. de proceso: 6428 Ho
Microsoft-
2023-08- 2023-08-10T22:13:29.7957452Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software
Audit Windows-
Seguridad 12292 10 Nombre del algoritmo: UNKNOWN Nombre de la clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
Success Security-
17:14:24 Información de la operación de archivo de clave: Ruta del archivo:
Auditing
C:\ProgramData\Microsoft\Crypto\SystemKeys\292e7a32958c490ada9966f6ee075f9a_b4d35e75-786c-
Operación: %%2458 Código de retorno: 0x0
5058: Operación de archivo de clave. Tema: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K
cuentas: WORKGROUP Id. de inicio de sesión: 0x3e7 Información del proceso: Id. de proceso: 6428 Ho
Microsoft-
2023-08- 2023-08-10T22:13:29.7957452Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software
Audit Windows-
Seguridad 12292 10 Nombre del algoritmo: UNKNOWN Nombre de la clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
Success Security-
17:14:24 Información de la operación de archivo de clave: Ruta del archivo:
Auditing
C:\ProgramData\Microsoft\Crypto\SystemKeys\292e7a32958c490ada9966f6ee075f9a_b4d35e75-786c-
Operación: %%2458 Código de retorno: 0x0
5059: Operación de migración de claves. Tema: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTO
Microsoft-
2023-08- cuentas: WORKGROUP Id. de inicio de sesión: 0x3e7 Información del proceso: Id. de proceso: 6428 Tie
Audit Windows-
Seguridad 12292 10 2023-08-10T22:13:29.7957452Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software
Success Security-
17:14:24 Nombre del algoritmo: RSA Nombre de la clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo de clav
Auditing
adicional: Operación: %%2464 Código de retorno: 0x0
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
17:14:24 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
17:14:24 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
17:14:24 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:14:37
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:14:37
Auditing almacenadas en el Administrador de credenciales.
Seguridad Audit 13824 2023-08- Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
Success 10 Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
17:14:37
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 287 of 466
Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
Auditing Navegación
almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:14:37
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:14:37
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:14:37
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:16:52
Auditing proceso: 0x123c Nombre de proceso: \Device\HarddiskVolume8\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:16:52
Auditing proceso: 0x123c Nombre de proceso: \Device\HarddiskVolume8\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:16:52
Auditing proceso: 0x123c Nombre de proceso: \Device\HarddiskVolume8\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:16:52
Auditing proceso: 0x123c Nombre de proceso: \Device\HarddiskVolume8\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:16:52
Auditing proceso: 0x123c Nombre de proceso: \Device\HarddiskVolume8\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:16:52
Auditing proceso: 0x123c Nombre de proceso: \Device\HarddiskVolume8\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:16:52
Auditing proceso: 0x123c Nombre de proceso: \Device\HarddiskVolume8\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:16:52
Auditing proceso: 0x123c Nombre de proceso: \Device\HarddiskVolume8\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:16:53
Auditing proceso: 0x123c Nombre de proceso: \Device\HarddiskVolume8\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:16:55
Auditing proceso: 0x123c Nombre de proceso: \Device\HarddiskVolume8\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:16:55
Auditing proceso: 0x123c Nombre de proceso: \Device\HarddiskVolume8\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:16:55
Auditing proceso: 0x123c Nombre de proceso: \Device\HarddiskVolume8\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:16:55
Auditing proceso: 0x123c Nombre de proceso: \Device\HarddiskVolume8\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:16:55
Auditing proceso: 0x123c Nombre de proceso: \Device\HarddiskVolume8\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:16:55
Auditing proceso: 0x123c Nombre de proceso: \Device\HarddiskVolume8\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:16:55
Auditing proceso: 0x123c Nombre de proceso: \Device\HarddiskVolume8\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:16:55
Auditing proceso: 0x123c Nombre de proceso: \Device\HarddiskVolume8\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:16:55
Auditing proceso: 0x123c Nombre de proceso: \Device\HarddiskVolume8\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:16:55
Auditing proceso: 0x123c Nombre de proceso: \Device\HarddiskVolume8\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:16:55
Auditing proceso: 0x123c Nombre de proceso: \Device\HarddiskVolume8\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:16:55
Auditing proceso: 0x123c Nombre de proceso: \Device\HarddiskVolume8\SDI_RUS\SDI_x64_R2102.exe
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 288 of 466
Seguridad Audit 13826 2023-08- Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
Success 10 Windows- 429208663-839679816-1001 Navegación
Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
17:16:55 Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
Auditing proceso: 0x123c Nombre de proceso: \Device\HarddiskVolume8\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:16:55
Auditing proceso: 0x123c Nombre de proceso: \Device\HarddiskVolume8\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:16:55
Auditing proceso: 0x123c Nombre de proceso: \Device\HarddiskVolume8\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:16:55
Auditing proceso: 0x123c Nombre de proceso: \Device\HarddiskVolume8\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:16:55
Auditing proceso: 0x123c Nombre de proceso: \Device\HarddiskVolume8\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:16:55
Auditing proceso: 0x123c Nombre de proceso: \Device\HarddiskVolume8\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:16:55
Auditing proceso: 0x123c Nombre de proceso: \Device\HarddiskVolume8\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:16:55
Auditing proceso: 0x123c Nombre de proceso: \Device\HarddiskVolume8\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:16:55
Auditing proceso: 0x123c Nombre de proceso: \Device\HarddiskVolume8\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:16:55
Auditing proceso: 0x123c Nombre de proceso: \Device\HarddiskVolume8\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:16:55
Auditing proceso: 0x123c Nombre de proceso: \Device\HarddiskVolume8\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:16:55
Auditing proceso: 0x123c Nombre de proceso: \Device\HarddiskVolume8\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:16:55
Auditing proceso: 0x123c Nombre de proceso: \Device\HarddiskVolume8\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:16:55
Auditing proceso: 0x123c Nombre de proceso: \Device\HarddiskVolume8\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:16:55
Auditing proceso: 0x123c Nombre de proceso: \Device\HarddiskVolume8\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:16:55
Auditing proceso: 0x123c Nombre de proceso: \Device\HarddiskVolume8\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:16:55
Auditing proceso: 0x123c Nombre de proceso: \Device\HarddiskVolume8\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:16:55
Auditing proceso: 0x123c Nombre de proceso: \Device\HarddiskVolume8\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:16:55
Auditing proceso: 0x123c Nombre de proceso: \Device\HarddiskVolume8\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:16:55
Auditing proceso: 0x123c Nombre de proceso: \Device\HarddiskVolume8\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:16:55
Auditing proceso: 0x123c Nombre de proceso: \Device\HarddiskVolume8\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:16:55
Auditing proceso: 0x123c Nombre de proceso: \Device\HarddiskVolume8\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:16:56
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:16:56
Auditing C:\Windows\System32\VSSVC.exe
Seguridad Audit 13826 Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
Success Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 289 of 466
2023-08- Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
10 Auditing Navegación
C:\Windows\System32\VSSVC.exe
17:16:56
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:16:56
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:16:56
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:16:56
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:16:56
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:16:56
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:16:56
Auditing proceso: 0x123c Nombre de proceso: \Device\HarddiskVolume8\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:16:56
Auditing proceso: 0x123c Nombre de proceso: \Device\HarddiskVolume8\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:16:56
Auditing proceso: 0x123c Nombre de proceso: \Device\HarddiskVolume8\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:16:56
Auditing proceso: 0x123c Nombre de proceso: \Device\HarddiskVolume8\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:16:56
Auditing proceso: 0x123c Nombre de proceso: \Device\HarddiskVolume8\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:16:56
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:16:56
Auditing proceso: 0x123c Nombre de proceso: \Device\HarddiskVolume8\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:16:56
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:16:56
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:16:56
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:16:56
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:16:56
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:16:56
Auditing proceso: 0x123c Nombre de proceso: \Device\HarddiskVolume8\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:16:56
Auditing proceso: 0x123c Nombre de proceso: \Device\HarddiskVolume8\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:16:56
Auditing proceso: 0x123c Nombre de proceso: \Device\HarddiskVolume8\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:16:56
Auditing proceso: 0x123c Nombre de proceso: \Device\HarddiskVolume8\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:16:56
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:16:56
Auditing proceso: 0x123c Nombre de proceso: \Device\HarddiskVolume8\SDI_RUS\SDI_x64_R2102.exe
Seguridad Audit 13826 2023-08- Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
Success 10 Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
17:16:56
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 290 of 466
Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
Auditing Navegación
C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:16:56
Auditing proceso: 0x123c Nombre de proceso: \Device\HarddiskVolume8\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:16:56
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:16:56
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:16:56
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:16:56
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:16:56
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:16:56
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:16:56
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:16:56
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:16:56
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:16:56
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:16:56
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:16:56
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:16:56
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:16:56
Auditing proceso: 0x123c Nombre de proceso: \Device\HarddiskVolume8\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:16:56
Auditing proceso: 0x123c Nombre de proceso: \Device\HarddiskVolume8\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:16:56
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:16:56
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:16:56
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:16:56
Auditing proceso: 0x123c Nombre de proceso: \Device\HarddiskVolume8\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:16:56
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:16:56
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:16:56
Auditing proceso: 0x123c Nombre de proceso: \Device\HarddiskVolume8\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:16:56
Auditing proceso: 0x123c Nombre de proceso: \Device\HarddiskVolume8\SDI_RUS\SDI_x64_R2102.exe
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 291 of 466
Seguridad Audit 13826 2023-08- Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
Success 10 Windows- 429208663-839679816-1001 Navegación
Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
17:16:56 Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
Auditing proceso: 0x123c Nombre de proceso: \Device\HarddiskVolume8\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:16:56
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:16:56
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:16:56
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:16:56
Auditing proceso: 0x123c Nombre de proceso: \Device\HarddiskVolume8\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:16:56
Auditing proceso: 0x123c Nombre de proceso: \Device\HarddiskVolume8\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:16:56
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:16:56
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:16:56
Auditing proceso: 0x123c Nombre de proceso: \Device\HarddiskVolume8\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:16:56
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:16:56
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:16:56
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:16:56
Auditing proceso: 0x123c Nombre de proceso: \Device\HarddiskVolume8\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:16:56
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:16:56
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:16:56
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:16:56
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:16:56
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:16:56
Auditing proceso: 0x123c Nombre de proceso: \Device\HarddiskVolume8\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:16:56
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:16:56
Auditing proceso: 0x123c Nombre de proceso: \Device\HarddiskVolume8\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:16:56
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:16:56
Auditing C:\Windows\System32\VSSVC.exe
Microsoft-
2023-08- 4904: Se intentó registrar un origen de evento de seguridad. Sujeto: Id. de seguridad: S-1-5-18 Nomb
Audit Windows-
Seguridad 13568 10 K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Proceso: Id. de proceso: 0x1
Success Security-
17:16:58 C:\Windows\System32\VSSVC.exe Origen de evento: Nombre de origen: VSSAudit Id. de origen de eve
Auditing
Seguridad Audit 13568 Microsoft-
Success Windows-
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 292 of 466
2023-08- Security- 4905: Se intentó anular el registro de un origen de evento de seguridad. Sujeto: Id. de seguridad: S-1-
10 Auditing DESKTOP-K618JK0$ Dominio Navegación
de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Proceso: Id. de pr
17:16:58 proceso: C:\Windows\System32\VSSVC.exe Origen de evento: Nombre de origen: VSSAudit Id. de orig
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2c4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:17:02
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:17:02
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 5061: Operación criptográfica. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K618J
2023-08-
Audit Windows- WORKGROUP Id. de inicio de sesión: 0x3e7 Parámetros criptográficos: Nombre de proveedor: Microsoft
Seguridad 12290 10
Success Security- Provider Nombre de algoritmo: RSA Nombre de clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
17:17:03
Auditing criptográfica: Operación: %%2480 Código de retorno: 0x0
Microsoft- 5061: Operación criptográfica. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K618J
2023-08-
Audit Windows- WORKGROUP Id. de inicio de sesión: 0x3e7 Parámetros criptográficos: Nombre de proveedor: Microsoft
Seguridad 12290 10
Success Security- Provider Nombre de algoritmo: RSA Nombre de clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
17:17:03
Auditing criptográfica: Operación: %%2480 Código de retorno: 0x0
Microsoft- 5061: Operación criptográfica. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K618J
2023-08-
Audit Windows- WORKGROUP Id. de inicio de sesión: 0x3e7 Parámetros criptográficos: Nombre de proveedor: Microsoft
Seguridad 12290 10
Success Security- Provider Nombre de algoritmo: RSA Nombre de clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
17:17:03
Auditing criptográfica: Operación: %%2480 Código de retorno: 0x0
Microsoft- 5061: Operación criptográfica. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K618J
2023-08-
Audit Windows- WORKGROUP Id. de inicio de sesión: 0x3e7 Parámetros criptográficos: Nombre de proveedor: Microsoft
Seguridad 12290 10
Success Security- Provider Nombre de algoritmo: RSA Nombre de clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
17:17:03
Auditing criptográfica: Operación: %%2480 Código de retorno: 0x0
5058: Operación de archivo de clave. Tema: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K
cuentas: WORKGROUP Id. de inicio de sesión: 0x3e7 Información del proceso: Id. de proceso: 6428 Ho
Microsoft-
2023-08- 2023-08-10T22:13:29.7957452Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software
Audit Windows-
Seguridad 12292 10 Nombre del algoritmo: UNKNOWN Nombre de la clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
Success Security-
17:17:03 Información de la operación de archivo de clave: Ruta del archivo:
Auditing
C:\ProgramData\Microsoft\Crypto\SystemKeys\292e7a32958c490ada9966f6ee075f9a_b4d35e75-786c-
Operación: %%2458 Código de retorno: 0x0
5058: Operación de archivo de clave. Tema: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K
cuentas: WORKGROUP Id. de inicio de sesión: 0x3e7 Información del proceso: Id. de proceso: 6428 Ho
Microsoft-
2023-08- 2023-08-10T22:13:29.7957452Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software
Audit Windows-
Seguridad 12292 10 Nombre del algoritmo: UNKNOWN Nombre de la clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
Success Security-
17:17:03 Información de la operación de archivo de clave: Ruta del archivo:
Auditing
C:\ProgramData\Microsoft\Crypto\SystemKeys\292e7a32958c490ada9966f6ee075f9a_b4d35e75-786c-
Operación: %%2458 Código de retorno: 0x0
5059: Operación de migración de claves. Tema: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTO
Microsoft-
2023-08- cuentas: WORKGROUP Id. de inicio de sesión: 0x3e7 Información del proceso: Id. de proceso: 6428 Tie
Audit Windows-
Seguridad 12292 10 2023-08-10T22:13:29.7957452Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software
Success Security-
17:17:03 Nombre del algoritmo: RSA Nombre de la clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo de clav
Auditing
adicional: Operación: %%2464 Código de retorno: 0x0
5058: Operación de archivo de clave. Tema: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K
cuentas: WORKGROUP Id. de inicio de sesión: 0x3e7 Información del proceso: Id. de proceso: 6428 Ho
Microsoft-
2023-08- 2023-08-10T22:13:29.7957452Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software
Audit Windows-
Seguridad 12292 10 Nombre del algoritmo: UNKNOWN Nombre de la clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
Success Security-
17:17:03 Información de la operación de archivo de clave: Ruta del archivo:
Auditing
C:\ProgramData\Microsoft\Crypto\SystemKeys\292e7a32958c490ada9966f6ee075f9a_b4d35e75-786c-
Operación: %%2458 Código de retorno: 0x0
5058: Operación de archivo de clave. Tema: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K
cuentas: WORKGROUP Id. de inicio de sesión: 0x3e7 Información del proceso: Id. de proceso: 6428 Ho
Microsoft-
2023-08- 2023-08-10T22:13:29.7957452Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software
Audit Windows-
Seguridad 12292 10 Nombre del algoritmo: UNKNOWN Nombre de la clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
Success Security-
17:17:03 Información de la operación de archivo de clave: Ruta del archivo:
Auditing
C:\ProgramData\Microsoft\Crypto\SystemKeys\292e7a32958c490ada9966f6ee075f9a_b4d35e75-786c-
Operación: %%2458 Código de retorno: 0x0
5059: Operación de migración de claves. Tema: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTO
Microsoft-
2023-08- cuentas: WORKGROUP Id. de inicio de sesión: 0x3e7 Información del proceso: Id. de proceso: 6428 Tie
Audit Windows-
Seguridad 12292 10 2023-08-10T22:13:29.7957452Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software
Success Security-
17:17:03 Nombre del algoritmo: RSA Nombre de la clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo de clav
Auditing
adicional: Operación: %%2464 Código de retorno: 0x0
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
17:17:03 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
17:17:03 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
17:17:03 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
17:17:03 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Seguridad Audit 13824 2023-08- Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Success 10 Windows- DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
17:17:03 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 293 of 466
Security-
Auditing Navegación
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
17:17:03 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft- 5061: Operación criptográfica. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K618J
2023-08-
Audit Windows- WORKGROUP Id. de inicio de sesión: 0x3e7 Parámetros criptográficos: Nombre de proveedor: Microsoft
Seguridad 12290 10
Success Security- Provider Nombre de algoritmo: RSA Nombre de clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
17:17:04
Auditing criptográfica: Operación: %%2480 Código de retorno: 0x0
Microsoft- 5061: Operación criptográfica. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K618J
2023-08-
Audit Windows- WORKGROUP Id. de inicio de sesión: 0x3e7 Parámetros criptográficos: Nombre de proveedor: Microsoft
Seguridad 12290 10
Success Security- Provider Nombre de algoritmo: RSA Nombre de clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
17:17:04
Auditing criptográfica: Operación: %%2480 Código de retorno: 0x0
Microsoft- 5061: Operación criptográfica. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K618J
2023-08-
Audit Windows- WORKGROUP Id. de inicio de sesión: 0x3e7 Parámetros criptográficos: Nombre de proveedor: Microsoft
Seguridad 12290 10
Success Security- Provider Nombre de algoritmo: RSA Nombre de clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
17:17:04
Auditing criptográfica: Operación: %%2480 Código de retorno: 0x0
Microsoft- 5061: Operación criptográfica. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K618J
2023-08-
Audit Windows- WORKGROUP Id. de inicio de sesión: 0x3e7 Parámetros criptográficos: Nombre de proveedor: Microsoft
Seguridad 12290 10
Success Security- Provider Nombre de algoritmo: RSA Nombre de clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
17:17:04
Auditing criptográfica: Operación: %%2480 Código de retorno: 0x0
5058: Operación de archivo de clave. Tema: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K
cuentas: WORKGROUP Id. de inicio de sesión: 0x3e7 Información del proceso: Id. de proceso: 6428 Ho
Microsoft-
2023-08- 2023-08-10T22:13:29.7957452Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software
Audit Windows-
Seguridad 12292 10 Nombre del algoritmo: UNKNOWN Nombre de la clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
Success Security-
17:17:04 Información de la operación de archivo de clave: Ruta del archivo:
Auditing
C:\ProgramData\Microsoft\Crypto\SystemKeys\292e7a32958c490ada9966f6ee075f9a_b4d35e75-786c-
Operación: %%2458 Código de retorno: 0x0
5058: Operación de archivo de clave. Tema: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K
cuentas: WORKGROUP Id. de inicio de sesión: 0x3e7 Información del proceso: Id. de proceso: 6428 Ho
Microsoft-
2023-08- 2023-08-10T22:13:29.7957452Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software
Audit Windows-
Seguridad 12292 10 Nombre del algoritmo: UNKNOWN Nombre de la clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
Success Security-
17:17:04 Información de la operación de archivo de clave: Ruta del archivo:
Auditing
C:\ProgramData\Microsoft\Crypto\SystemKeys\292e7a32958c490ada9966f6ee075f9a_b4d35e75-786c-
Operación: %%2458 Código de retorno: 0x0
5059: Operación de migración de claves. Tema: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTO
Microsoft-
2023-08- cuentas: WORKGROUP Id. de inicio de sesión: 0x3e7 Información del proceso: Id. de proceso: 6428 Tie
Audit Windows-
Seguridad 12292 10 2023-08-10T22:13:29.7957452Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software
Success Security-
17:17:04 Nombre del algoritmo: RSA Nombre de la clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo de clav
Auditing
adicional: Operación: %%2464 Código de retorno: 0x0
5058: Operación de archivo de clave. Tema: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K
cuentas: WORKGROUP Id. de inicio de sesión: 0x3e7 Información del proceso: Id. de proceso: 6428 Ho
Microsoft-
2023-08- 2023-08-10T22:13:29.7957452Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software
Audit Windows-
Seguridad 12292 10 Nombre del algoritmo: UNKNOWN Nombre de la clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
Success Security-
17:17:04 Información de la operación de archivo de clave: Ruta del archivo:
Auditing
C:\ProgramData\Microsoft\Crypto\SystemKeys\292e7a32958c490ada9966f6ee075f9a_b4d35e75-786c-
Operación: %%2458 Código de retorno: 0x0
5058: Operación de archivo de clave. Tema: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K
cuentas: WORKGROUP Id. de inicio de sesión: 0x3e7 Información del proceso: Id. de proceso: 6428 Ho
Microsoft-
2023-08- 2023-08-10T22:13:29.7957452Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software
Audit Windows-
Seguridad 12292 10 Nombre del algoritmo: UNKNOWN Nombre de la clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
Success Security-
17:17:04 Información de la operación de archivo de clave: Ruta del archivo:
Auditing
C:\ProgramData\Microsoft\Crypto\SystemKeys\292e7a32958c490ada9966f6ee075f9a_b4d35e75-786c-
Operación: %%2458 Código de retorno: 0x0
5059: Operación de migración de claves. Tema: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTO
Microsoft-
2023-08- cuentas: WORKGROUP Id. de inicio de sesión: 0x3e7 Información del proceso: Id. de proceso: 6428 Tie
Audit Windows-
Seguridad 12292 10 2023-08-10T22:13:29.7957452Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software
Success Security-
17:17:04 Nombre del algoritmo: RSA Nombre de la clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo de clav
Auditing
adicional: Operación: %%2464 Código de retorno: 0x0
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
17:17:04 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
17:17:04 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
17:17:04 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
17:17:04 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
17:17:04 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
17:17:04 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Seguridad Audit 12544 2023-08- Microsoft- 4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Success 10 Windows- Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
17:17:10 Security- administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
Auditing sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2c4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 294 of 466
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
Navegación
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:17:10
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2c4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:18:07
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:18:07
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2c4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:18:54
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:18:54
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:18:55
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:18:55
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:18:55
Auditing almacenadas en el Administrador de credenciales.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2c4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:18:58
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:18:58
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:19:03
Auditing proceso: 0x1810 Nombre de proceso: \Device\HarddiskVolume9\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:19:03
Auditing proceso: 0x1810 Nombre de proceso: \Device\HarddiskVolume9\SDI_RUS\SDI_x64_R2102.exe
Seguridad 13826
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 295 of 466
Audit 2023-08- Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
Success 10 Windows- 429208663-839679816-1001 Navegación
Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
17:19:03 Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
Auditing proceso: 0x1810 Nombre de proceso: \Device\HarddiskVolume9\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:19:03
Auditing proceso: 0x1810 Nombre de proceso: \Device\HarddiskVolume9\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:19:03
Auditing proceso: 0x1810 Nombre de proceso: \Device\HarddiskVolume9\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:19:03
Auditing proceso: 0x1810 Nombre de proceso: \Device\HarddiskVolume9\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:19:03
Auditing proceso: 0x1810 Nombre de proceso: \Device\HarddiskVolume9\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:19:03
Auditing proceso: 0x1810 Nombre de proceso: \Device\HarddiskVolume9\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:19:04
Auditing proceso: 0x1810 Nombre de proceso: \Device\HarddiskVolume9\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:19:06
Auditing proceso: 0x1810 Nombre de proceso: \Device\HarddiskVolume9\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:19:06
Auditing proceso: 0x1810 Nombre de proceso: \Device\HarddiskVolume9\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:19:06
Auditing proceso: 0x1810 Nombre de proceso: \Device\HarddiskVolume9\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:19:06
Auditing proceso: 0x1810 Nombre de proceso: \Device\HarddiskVolume9\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:19:06
Auditing proceso: 0x1810 Nombre de proceso: \Device\HarddiskVolume9\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:19:06
Auditing proceso: 0x1810 Nombre de proceso: \Device\HarddiskVolume9\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:19:06
Auditing proceso: 0x1810 Nombre de proceso: \Device\HarddiskVolume9\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:19:06
Auditing proceso: 0x1810 Nombre de proceso: \Device\HarddiskVolume9\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:19:06
Auditing proceso: 0x1810 Nombre de proceso: \Device\HarddiskVolume9\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:19:06
Auditing proceso: 0x1810 Nombre de proceso: \Device\HarddiskVolume9\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:19:06
Auditing proceso: 0x1810 Nombre de proceso: \Device\HarddiskVolume9\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:19:06
Auditing proceso: 0x1810 Nombre de proceso: \Device\HarddiskVolume9\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:19:06
Auditing proceso: 0x1810 Nombre de proceso: \Device\HarddiskVolume9\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:19:06
Auditing proceso: 0x1810 Nombre de proceso: \Device\HarddiskVolume9\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:19:06
Auditing proceso: 0x1810 Nombre de proceso: \Device\HarddiskVolume9\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:19:06
Auditing proceso: 0x1810 Nombre de proceso: \Device\HarddiskVolume9\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:19:06
Auditing proceso: 0x1810 Nombre de proceso: \Device\HarddiskVolume9\SDI_RUS\SDI_x64_R2102.exe
Seguridad Audit 13826 Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
Success Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 296 of 466
2023-08- Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
10 Auditing proceso: 0x1810 Nombre deNavegación
proceso: \Device\HarddiskVolume9\SDI_RUS\SDI_x64_R2102.exe
17:19:06
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:19:06
Auditing proceso: 0x1810 Nombre de proceso: \Device\HarddiskVolume9\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:19:06
Auditing proceso: 0x1810 Nombre de proceso: \Device\HarddiskVolume9\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:19:06
Auditing proceso: 0x1810 Nombre de proceso: \Device\HarddiskVolume9\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:19:06
Auditing proceso: 0x1810 Nombre de proceso: \Device\HarddiskVolume9\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:19:06
Auditing proceso: 0x1810 Nombre de proceso: \Device\HarddiskVolume9\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:19:06
Auditing proceso: 0x1810 Nombre de proceso: \Device\HarddiskVolume9\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:19:06
Auditing proceso: 0x1810 Nombre de proceso: \Device\HarddiskVolume9\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:19:06
Auditing proceso: 0x1810 Nombre de proceso: \Device\HarddiskVolume9\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:19:07
Auditing proceso: 0x1810 Nombre de proceso: \Device\HarddiskVolume9\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:19:07
Auditing proceso: 0x1810 Nombre de proceso: \Device\HarddiskVolume9\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:19:07
Auditing proceso: 0x1810 Nombre de proceso: \Device\HarddiskVolume9\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:19:07
Auditing proceso: 0x1810 Nombre de proceso: \Device\HarddiskVolume9\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:19:07
Auditing proceso: 0x1810 Nombre de proceso: \Device\HarddiskVolume9\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:19:07
Auditing proceso: 0x1810 Nombre de proceso: \Device\HarddiskVolume9\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:19:07
Auditing proceso: 0x1810 Nombre de proceso: \Device\HarddiskVolume9\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:19:07
Auditing proceso: 0x1810 Nombre de proceso: \Device\HarddiskVolume9\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:19:07
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:19:07
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:19:07
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:19:07
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:19:07
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:19:07
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:19:07
Auditing C:\Windows\System32\VSSVC.exe
Seguridad Audit 13826 2023-08- Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
Success 10 Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
17:19:07
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 297 of 466
Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
Auditing Navegación
C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:19:07
Auditing proceso: 0x1810 Nombre de proceso: \Device\HarddiskVolume9\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:19:07
Auditing proceso: 0x1810 Nombre de proceso: \Device\HarddiskVolume9\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:19:07
Auditing proceso: 0x1810 Nombre de proceso: \Device\HarddiskVolume9\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:19:07
Auditing proceso: 0x1810 Nombre de proceso: \Device\HarddiskVolume9\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:19:07
Auditing proceso: 0x1810 Nombre de proceso: \Device\HarddiskVolume9\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:19:07
Auditing proceso: 0x1810 Nombre de proceso: \Device\HarddiskVolume9\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:19:07
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:19:07
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:19:07
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:19:07
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:19:07
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:19:07
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:19:07
Auditing proceso: 0x1810 Nombre de proceso: \Device\HarddiskVolume9\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:19:07
Auditing proceso: 0x1810 Nombre de proceso: \Device\HarddiskVolume9\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:19:07
Auditing proceso: 0x1810 Nombre de proceso: \Device\HarddiskVolume9\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:19:07
Auditing proceso: 0x1810 Nombre de proceso: \Device\HarddiskVolume9\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:19:07
Auditing proceso: 0x1810 Nombre de proceso: \Device\HarddiskVolume9\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:19:07
Auditing proceso: 0x1810 Nombre de proceso: \Device\HarddiskVolume9\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:19:07
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:19:07
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:19:07
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:19:07
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:19:07
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:19:07
Auditing C:\Windows\System32\VSSVC.exe
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 298 of 466
Seguridad Audit 13826 2023-08- Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
Success 10 Windows- cuenta: DESKTOP-K618JK0$Navegación
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
17:19:07 Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:19:07
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:19:07
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:19:07
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:19:07
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:19:07
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:19:07
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:19:07
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:19:07
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:19:07
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:19:07
Auditing proceso: 0x1810 Nombre de proceso: \Device\HarddiskVolume9\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:19:07
Auditing proceso: 0x1810 Nombre de proceso: \Device\HarddiskVolume9\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:19:07
Auditing proceso: 0x1810 Nombre de proceso: \Device\HarddiskVolume9\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:19:07
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:19:07
Auditing proceso: 0x1810 Nombre de proceso: \Device\HarddiskVolume9\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:19:07
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:19:07
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:19:07
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:19:07
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:19:07
Auditing proceso: 0x1810 Nombre de proceso: \Device\HarddiskVolume9\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:19:07
Auditing proceso: 0x1810 Nombre de proceso: \Device\HarddiskVolume9\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:19:07
Auditing proceso: 0x1810 Nombre de proceso: \Device\HarddiskVolume9\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:19:07
Auditing proceso: 0x1810 Nombre de proceso: \Device\HarddiskVolume9\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:19:07
Auditing proceso: 0x1810 Nombre de proceso: \Device\HarddiskVolume9\SDI_RUS\SDI_x64_R2102.exe
Seguridad Audit 13826 Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
Success Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 299 of 466
2023-08- Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
10 Auditing Navegación
C:\Windows\System32\VSSVC.exe
17:19:07
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:19:07
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:19:07
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:19:07
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:19:07
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:19:07
Auditing proceso: 0x1810 Nombre de proceso: \Device\HarddiskVolume9\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:19:07
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:19:07
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:19:07
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:19:07
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:19:07
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:19:07
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:19:07
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:19:07
Auditing proceso: 0x1810 Nombre de proceso: \Device\HarddiskVolume9\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:19:07
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:19:07
Auditing proceso: 0x1810 Nombre de proceso: \Device\HarddiskVolume9\SDI_RUS\SDI_x64_R2102.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:19:07
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:19:07
Auditing C:\Windows\System32\VSSVC.exe
Microsoft-
2023-08- 4904: Se intentó registrar un origen de evento de seguridad. Sujeto: Id. de seguridad: S-1-5-18 Nomb
Audit Windows-
Seguridad 13568 10 K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Proceso: Id. de proceso: 0x1
Success Security-
17:19:09 C:\Windows\System32\VSSVC.exe Origen de evento: Nombre de origen: VSSAudit Id. de origen de eve
Auditing
Microsoft-
2023-08- 4905: Se intentó anular el registro de un origen de evento de seguridad. Sujeto: Id. de seguridad: S-1-
Audit Windows-
Seguridad 13568 10 DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Proceso: Id. de pr
Success Security-
17:19:09 proceso: C:\Windows\System32\VSSVC.exe Origen de evento: Nombre de origen: VSSAudit Id. de orig
Auditing
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:19:34
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:19:34
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:19:34
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:19:34
Auditing almacenadas en el Administrador de credenciales.
Seguridad Audit 13824 2023-08- Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
Success 10 Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
17:19:34
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 300 of 466
Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
Auditing Navegación
almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:19:34
Auditing almacenadas en el Administrador de credenciales.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2c4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:19:38
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:19:38
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4726: Se eliminó una cuenta de usuario. Sujeto: Id. de seguridad: S-1-5-21-1163546357-429208663-8
2023-08-
Audit Windows- cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id. de inicio de sesión: 0x7483c Cuenta de de
Seguridad 13824 10
Success Security- 5-21-1163546357-429208663-839679816-1000 Nombre de cuenta: defaultuser0 Dominio de cuenta: D
17:19:38
Auditing Información adicional: Privilegios: -
Microsoft- 4733: Se quitó un miembro de un grupo local con seguridad habilitada. Sujeto: Id. de seguridad: S-1-5
2023-08-
Audit Windows- 839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id. de inicio de
Seguridad 13826 10
Success Security- de seguridad: S-1-5-21-1163546357-429208663-839679816-1000 Nombre de cuenta: - Grupo: Id. de
17:19:38
Auditing Nombre de grupo: Usuarios Dominio de grupo: Builtin Información adicional: Privilegios: -
4729: Se quitó un miembro de un grupo global con seguridad habilitada. Sujeto: Id. de seguridad: S-1-
Microsoft-
2023-08- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Audit Windows-
Seguridad 13826 10 Miembro: Id. de seguridad: S-1-5-21-1163546357-429208663-839679816-1000 Nombre de cuenta: -
Success Security-
17:19:38 5-21-1163546357-429208663-839679816-513 Nombre de grupo: Ninguno Dominio de grupo: DESKTO
Auditing
adicional: Privilegios: -
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id.
Seguridad 13826 10
Success Security- Grupo: Id. de seguridad: S-1-5-32-544 Nombre de grupo: Administradores Dominio de grupo: Builtin In
17:19:39
Auditing proceso: 0x59c Nombre de proceso: C:\Windows\System32\svchost.exe
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2c4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:20:11
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:20:11
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2c4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:20:35
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:20:35
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4647: Cierre de sesión iniciado por el usuario: Sujeto: Id. de seguridad: S-1-5-21-1163546357-429208
2023-08-
Audit Windows- Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id. de inicio de sesión: 0x74899 E
Seguridad 12545 10
Success Security- se inicia un cierre de sesión. No se puede producir ninguna actividad adicional iniciada por el usuario. E
17:22:07
Auditing interpretar como un evento de cierre de sesión.
Seguridad Audit 13824 Microsoft- 4798: Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18
Success Windows- -K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Usuario: Id. de seguridad: S
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 301 of 466
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 302 of 466
administrativo o para que siempre requiera el máximo privilegio y el usuario pertenece al grupo Admini
Navegación
token limitado con los privilegios administrativos quitados y los grupos administrativos deshabilitados. E
cuando Control de cuentas de usuario está habilitado, la aplicación no requiere un privilegio administrat
iniciar el programa mediante Ejecutar como administrador.
4688: Se creó un nuevo proceso. Firmante creador: Identificador de seguridad: S-1-5-18 Nombre de cu
Identificador de inicio de sesión: 0x3e7 Firmante de destino: Identificador de seguridad: S-1-0-0 Nomb
cuenta: - Identificador de inicio de sesión: 0x0 Información de proceso: Identificador del nuevo proceso
proceso: ??????????????-??6??c????0--?0????????????????????4? Tipo de elevación de token: %%1936
16384 Identificador del proceso creador: 0x1ac Nombre del proceso creador: ????????????????????4? L
proceso: ????0--?0????????????????????4? El tipo de elevación de token indica el tipo de token que se a
Microsoft-
2023-08- acuerdo con la directiva Control de cuentas de usuario. El tipo 1 es un token completo sin privilegios qu
Audit Windows-
Seguridad 13312 10 deshabilitados. Solo se usa un token completo si Control de cuentas de usuario está deshabilitado o si e
Success Security-
17:22:20 predefinida Administrador o una cuenta de servicio. El tipo 2 es un token elevado sin privilegios quitado
Auditing
usa un token elevado cuando Control de cuentas de usuario está habilitado y el usuario elige iniciar el p
como administrador. También se usa un token elevado cuando se configura una aplicación para que sie
administrativo o para que siempre requiera el máximo privilegio y el usuario pertenece al grupo Admini
token limitado con los privilegios administrativos quitados y los grupos administrativos deshabilitados. E
cuando Control de cuentas de usuario está habilitado, la aplicación no requiere un privilegio administrat
iniciar el programa mediante Ejecutar como administrador.
4688: Se creó un nuevo proceso. Firmante creador: Identificador de seguridad: S-1-5-18 Nombre de cu
Identificador de inicio de sesión: 0x3e7 Firmante de destino: Identificador de seguridad: S-1-0-0 Nomb
cuenta: - Identificador de inicio de sesión: 0x0 Información de proceso: Identificador del nuevo proceso
proceso: ???????????????e??? ????????? ???????????????e?????? Tipo de elevación de token: %%1936
16384 Identificador del proceso creador: 0x200 Nombre del proceso creador: ????????????????????4 Lí
proceso: ????0--?0????????????????????4 El tipo de elevación de token indica el tipo de token que se as
Microsoft-
2023-08- acuerdo con la directiva Control de cuentas de usuario. El tipo 1 es un token completo sin privilegios qu
Audit Windows-
Seguridad 13312 10 deshabilitados. Solo se usa un token completo si Control de cuentas de usuario está deshabilitado o si e
Success Security-
17:22:20 predefinida Administrador o una cuenta de servicio. El tipo 2 es un token elevado sin privilegios quitado
Auditing
usa un token elevado cuando Control de cuentas de usuario está habilitado y el usuario elige iniciar el p
como administrador. También se usa un token elevado cuando se configura una aplicación para que sie
administrativo o para que siempre requiera el máximo privilegio y el usuario pertenece al grupo Admini
token limitado con los privilegios administrativos quitados y los grupos administrativos deshabilitados. E
cuando Control de cuentas de usuario está habilitado, la aplicación no requiere un privilegio administrat
iniciar el programa mediante Ejecutar como administrador.
4688: Se creó un nuevo proceso. Firmante creador: Identificador de seguridad: S-1-5-18 Nombre de cu
Identificador de inicio de sesión: 0x3e7 Firmante de destino: Identificador de seguridad: S-1-0-0 Nomb
cuenta: - Identificador de inicio de sesión: 0x0 Información de proceso: Identificador del nuevo proceso
proceso: ??????????????e??? ????????? ???????????????e?????? Tipo de elevación de token: %%1936 E
16384 Identificador del proceso creador: 0x3ec Nombre del proceso creador: ????????????????????4 Lín
proceso: ????0--?0????????????????????4 El tipo de elevación de token indica el tipo de token que se as
Microsoft-
2023-08- acuerdo con la directiva Control de cuentas de usuario. El tipo 1 es un token completo sin privilegios qu
Audit Windows-
Seguridad 13312 10 deshabilitados. Solo se usa un token completo si Control de cuentas de usuario está deshabilitado o si e
Success Security-
17:22:20 predefinida Administrador o una cuenta de servicio. El tipo 2 es un token elevado sin privilegios quitado
Auditing
usa un token elevado cuando Control de cuentas de usuario está habilitado y el usuario elige iniciar el p
como administrador. También se usa un token elevado cuando se configura una aplicación para que sie
administrativo o para que siempre requiera el máximo privilegio y el usuario pertenece al grupo Admini
token limitado con los privilegios administrativos quitados y los grupos administrativos deshabilitados. E
cuando Control de cuentas de usuario está habilitado, la aplicación no requiere un privilegio administrat
iniciar el programa mediante Ejecutar como administrador.
4688: Se creó un nuevo proceso. Firmante creador: Identificador de seguridad: S-1-5-18 Nombre de cu
Identificador de inicio de sesión: 0x3e7 Firmante de destino: Identificador de seguridad: S-1-0-0 Nomb
cuenta: - Identificador de inicio de sesión: 0x0 Información de proceso: Identificador del nuevo proceso
proceso: ????????????????-??6??4????0--?0???????????????e?????? Tipo de elevación de token: %%19
16-16384 Identificador del proceso creador: 0x3f4 Nombre del proceso creador: ???????????????e?????
proceso: ????0--?0???????????????e?????? El tipo de elevación de token indica el tipo de token que se a
Microsoft-
2023-08- acuerdo con la directiva Control de cuentas de usuario. El tipo 1 es un token completo sin privilegios qu
Audit Windows-
Seguridad 13312 10 deshabilitados. Solo se usa un token completo si Control de cuentas de usuario está deshabilitado o si e
Success Security-
17:22:20 predefinida Administrador o una cuenta de servicio. El tipo 2 es un token elevado sin privilegios quitado
Auditing
usa un token elevado cuando Control de cuentas de usuario está habilitado y el usuario elige iniciar el p
como administrador. También se usa un token elevado cuando se configura una aplicación para que sie
administrativo o para que siempre requiera el máximo privilegio y el usuario pertenece al grupo Admini
token limitado con los privilegios administrativos quitados y los grupos administrativos deshabilitados. E
cuando Control de cuentas de usuario está habilitado, la aplicación no requiere un privilegio administrat
iniciar el programa mediante Ejecutar como administrador.
Microsoft-
2023-08-
Audit Windows-
Seguridad 12288 10 4608: Se está iniciando Windows. Este evento se registra cuando se inicia LSASS.EXE y se inicializa el s
Success Security-
17:22:21
Auditing
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-0-0 Nombre de cu
Id. de inicio de sesión: 0x0 Información de inicio de sesión: Tipo de inicio de sesión: 0 Modo de adminis
virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: - Nuevo inicio de sesión: Id. de segu
cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Inicio de sesión vinc
de red: - Dominio de cuenta de red: - GUID de inicio de sesión: {00000000-0000-0000-0000-00000000
proceso: Id. de proceso: 0x4 Nombre de proceso: ? Información de red: Nombre de estación de trabajo
origen: - Puerto de origen: - Información de autenticación detallada: Proceso de inicio de sesión: - Paqu
Servicios transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera
Microsoft-
2023-08- inicio. Lo genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema
Audit Windows-
Seguridad 12544 10 sesión. Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Servi
Success Security-
17:22:21 inicio de sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interacti
Auditing
Nuevo inicio de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella e
Los campos de red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estació
disponible y se puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qu
sesión de inicio de sesión puede suplantar. Los campos de información de autenticación proporcionan in
esta solicitud de inicio de sesión específica. - GUID de inicio de sesión es un identificador único que se p
este evento con un evento KDC. - Servicios transitados indica los servicios intermedios que participaron
sesión. - Nombre de paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de
clave de sesión generada. Será 0 si no se solicitó una clave de sesión.
4648: Se intentó iniciar sesión con credenciales explícitas. Sujeto: Id. de seguridad: S-1-5-18 Nombre d
$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 GUID de inicio de sesión: {00000000
Microsoft- 000000000000} Cuenta cuyas credenciales se usaron: Nombre de cuenta: UMFD-0 Dominio de cuenta:
2023-08-
Audit Windows- inicio de sesión: {00000000-0000-0000-0000-000000000000} Servidor de destino: Nombre de servido
Seguridad 12544 10
Success Security- Información adicional: localhost Información de proceso: Id. de proceso: 0x3f4 Nombre de proceso: C:\
17:22:21
Auditing \wininit.exe Información de red: Dirección de red: - Puerto: - Este evento se genera cuando un proceso
cuenta especificando explícitamente las credenciales de la cuenta. Suele producirse en configuraciones
programadas, o cuando se usa el comando RUNAS.
Seguridad Audit 12544 2023-08- Microsoft- 4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Success 10 Windows- Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
17:22:21 Security- administrador restringido: - Cuenta virtual: %%1842 Token elevado: %%1843 Nivel de suplantación: %
Auditing sesión: Id. de seguridad: S-1-5-96-0-0 Nombre de cuenta: UMFD-0 Dominio de cuenta: Font Driver Ho
0xce0c Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID d
{00000000-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x3f4 Nombre d
C:\Windows\System32\wininit.exe Información de red: Nombre de estación de trabajo: - Dirección de r
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 303 of 466
origen: - Información de autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autent
Navegación
transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se
genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema local que
Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe
sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (
de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se i
red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no
puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un pro
sesión puede suplantar. Los campos de información de autenticación proporcionan información detallad
de sesión específica. - GUID de inicio de sesión es un identificador único que se puede usar para correla
evento KDC. - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de
paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longi
generada. Será 0 si no se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2a0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:22:21
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-20 Nombre de cuenta: Servicio de red Dominio de cuenta: NT AUTHOR
0x3e4 Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de
-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2a0 Nombre de proceso:
\services.exe Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto
autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servic
Microsoft- paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio.
2023-08-
Audit Windows- tuvo acceso. Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión.
Seguridad 12544 10
Success Security- servicio de servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de se
17:22:21
Auditing de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio
para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos
originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponi
blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesió
suplantar. Los campos de información de autenticación proporcionan información detallada sobre esta s
específica. - GUID de inicio de sesión es un identificador único que se puede usar para correlacionar est
- Servicios transitados indica los servicios intermedios que participaron en esta solicitud de inicio de ses
indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la
Será 0 si no se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2a0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:22:21
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4648: Se intentó iniciar sesión con credenciales explícitas. Sujeto: Id. de seguridad: S-1-5-18 Nombre d
$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 GUID de inicio de sesión: {00000000
Microsoft- 000000000000} Cuenta cuyas credenciales se usaron: Nombre de cuenta: UMFD-1 Dominio de cuenta:
2023-08-
Audit Windows- inicio de sesión: {00000000-0000-0000-0000-000000000000} Servidor de destino: Nombre de servido
Seguridad 12544 10
Success Security- Información adicional: localhost Información de proceso: Id. de proceso: 0x364 Nombre de proceso: C:
17:22:21
Auditing \winlogon.exe Información de red: Dirección de red: - Puerto: - Este evento se genera cuando un proce
una cuenta especificando explícitamente las credenciales de la cuenta. Suele producirse en configuracio
tareas programadas, o cuando se usa el comando RUNAS.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1842 Token elevado: %%1843 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-96-0-1 Nombre de cuenta: UMFD-1 Dominio de cuenta: Font Driver Ho
0x127d2 Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID
{00000000-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x364 Nombre
C:\Windows\System32\winlogon.exe Información de red: Nombre de estación de trabajo: - Dirección d
origen: - Información de autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autent
Microsoft- transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se
2023-08-
Audit Windows- genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema local que
Seguridad 12544 10
Success Security- Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe
17:22:21
Auditing sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (
de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se i
red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no
puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un pro
sesión puede suplantar. Los campos de información de autenticación proporcionan información detallad
de sesión específica. - GUID de inicio de sesión es un identificador único que se puede usar para correla
evento KDC. - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de
paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longi
generada. Será 0 si no se solicitó una clave de sesión.
Seguridad Audit 12544 Microsoft- 4648: Se intentó iniciar sesión con credenciales explícitas. Sujeto: Id. de seguridad: S-1-5-18 Nombre d
Success Windows- $ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 GUID de inicio de sesión: {00000000
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 304 of 466
2023-08- Security- 000000000000} Cuenta cuyas credenciales se usaron: Nombre de cuenta: DWM-1 Dominio de cuenta:
10 Auditing Navegación
inicio de sesión: {00000000-0000-0000-0000-000000000000} Servidor de destino: Nombre de servido
17:22:21 Información adicional: localhost Información de proceso: Id. de proceso: 0x364 Nombre de proceso: C:
\winlogon.exe Información de red: Dirección de red: - Puerto: - Este evento se genera cuando un proce
una cuenta especificando explícitamente las credenciales de la cuenta. Suele producirse en configuracio
tareas programadas, o cuando se usa el comando RUNAS.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1842 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-90-0-1 Nombre de cuenta: DWM-1 Dominio de cuenta: Window Manage
0x133a2 Inicio de sesión vinculado: 0x133d2 Nombre de cuenta de red: - Dominio de cuenta de red: -
{00000000-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x364 Nombre
C:\Windows\System32\winlogon.exe Información de red: Nombre de estación de trabajo: - Dirección d
origen: - Información de autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autent
Microsoft- transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se
2023-08-
Audit Windows- genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema local que
Seguridad 12544 10
Success Security- Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe
17:22:21
Auditing sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (
de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se i
red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no
puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un pro
sesión puede suplantar. Los campos de información de autenticación proporcionan información detallad
de sesión específica. - GUID de inicio de sesión es un identificador único que se puede usar para correla
evento KDC. - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de
paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longi
generada. Será 0 si no se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1842 Token elevado: %%1843 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-90-0-1 Nombre de cuenta: DWM-1 Dominio de cuenta: Window Manage
0x133d2 Inicio de sesión vinculado: 0x133a2 Nombre de cuenta de red: - Dominio de cuenta de red: -
{00000000-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x364 Nombre
C:\Windows\System32\winlogon.exe Información de red: Nombre de estación de trabajo: - Dirección d
origen: - Información de autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autent
Microsoft- transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se
2023-08-
Audit Windows- genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema local que
Seguridad 12544 10
Success Security- Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe
17:22:21
Auditing sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (
de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se i
red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no
puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un pro
sesión puede suplantar. Los campos de información de autenticación proporcionan información detallad
de sesión específica. - GUID de inicio de sesión es un identificador único que se puede usar para correla
evento KDC. - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de
paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longi
generada. Será 0 si no se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2a0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:22:21
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2a0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:22:21
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Seguridad Audit 12544 2023-08- Microsoft- 4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Success 10 Windows- Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
17:22:21 Security- administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
Auditing sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2a0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 305 of 466
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre Navegación
los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2a0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:22:21
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-19 Nombre de cuenta: SERVICIO LOCAL Dominio de cuenta: NT AUTHO
0x3e5 Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de
-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2a0 Nombre de proceso:
\services.exe Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto
autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servic
Microsoft- paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio.
2023-08-
Audit Windows- tuvo acceso. Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión.
Seguridad 12544 10
Success Security- servicio de servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de se
17:22:21
Auditing de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio
para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos
originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponi
blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesió
suplantar. Los campos de información de autenticación proporcionan información detallada sobre esta s
específica. - GUID de inicio de sesión es un identificador único que se puede usar para correlacionar est
- Servicios transitados indica los servicios intermedios que participaron en esta solicitud de inicio de ses
indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la
Será 0 si no se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2a0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:22:21
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2a0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:22:21
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2a0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:22:21
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 306 of 466
Seguridad Audit 12544 2023-08- Microsoft- 4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Success 10 Windows- Dominio de cuenta: WORKGROUP Navegación
Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
17:22:21 Security- administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
Auditing sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2a0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2a0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:22:21
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2a0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:22:21
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2a0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:22:21
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:22:21
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft-
2023-08- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-2
Audit Windows-
Seguridad 12548 10 Servicio de red Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e4 Privilegios: SeAssignP
Success Security-
17:22:21 SeAuditPrivilege SeImpersonatePrivilege
Auditing
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:22:21
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft-
2023-08- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-9
Audit Windows-
Seguridad 12548 10 DWM-1 Dominio de cuenta: Window Manager Id. de inicio de sesión: 0x133a2 Privilegios: SeAssignPrim
Success Security-
17:22:21 SeAuditPrivilege SeImpersonatePrivilege
Auditing
Microsoft-
2023-08- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-9
Audit Windows-
Seguridad 12548 10 DWM-1 Dominio de cuenta: Window Manager Id. de inicio de sesión: 0x133d2 Privilegios: SeAssignPrim
Success Security-
17:22:21 SeAuditPrivilege
Auditing
Seguridad Audit 12548 Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
Success Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 307 of 466
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 308 of 466
C:\ProgramData\Microsoft\Crypto\SystemKeys\292e7a32958c490ada9966f6ee075f9a_b4d35e75-786c-
Operación: %%2458 CódigoNavegación
de retorno: 0x0
5059: Operación de migración de claves. Tema: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTO
Microsoft-
2023-08- cuentas: WORKGROUP Id. de inicio de sesión: 0x3e7 Información del proceso: Id. de proceso: 1168 Tie
Audit Windows-
Seguridad 12292 10 2023-08-10T22:22:21.7715370Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software
Success Security-
17:22:22 Nombre del algoritmo: RSA Nombre de la clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo de clav
Auditing
adicional: Operación: %%2464 Código de retorno: 0x0
Microsoft-
2023-08-
Audit Windows-
Seguridad 12292 10 5033: El controlador de Firewall de Windows se inició correctamente.
Success Security-
17:22:22
Auditing
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2a0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:22:22
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2a0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:22:22
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2a0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:22:22
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2a0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:22:22
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Seguridad Audit 12544 2023-08- Microsoft- 4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Success 10 Windows- Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
17:22:22 Security- administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
Auditing sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2a0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 309 of 466
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
Navegación
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2a0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:22:22
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2a0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:22:22
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2a0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:22:22
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2a0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:22:22
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Seguridad Audit 12544 2023-08- Microsoft- 4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Success 10 Windows- Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
17:22:22 Security- administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
Auditing sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2a0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 310 of 466
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
Navegación
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2a0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:22:22
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2a0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:22:22
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2a0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:22:22
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2a0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:22:22
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Seguridad Audit 12544 2023-08- Microsoft- 4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Success 10 Windows- Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
17:22:22 Security- administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
Auditing sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2a0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 311 of 466
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
Navegación
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:22:22
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:22:22
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:22:22
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:22:22
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:22:22
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:22:22
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:22:22
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:22:22
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:22:22
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:22:22
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:22:22
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:22:22
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:22:22
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:22:22
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:22:22
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:22:22
Auditing C:\Windows\System32\svchost.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e4 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:22:22
Auditing C:\Windows\System32\svchost.exe
Microsoft- 5061: Operación criptográfica. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K618J
2023-08-
Audit Windows- WORKGROUP Id. de inicio de sesión: 0x3e7 Parámetros criptográficos: Nombre de proveedor: Microsoft
Seguridad 12290 10
Success Security- Provider Nombre de algoritmo: RSA Nombre de clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
17:22:23
Auditing criptográfica: Operación: %%2480 Código de retorno: 0x0
Microsoft- 5061: Operación criptográfica. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K618J
2023-08-
Audit Windows- WORKGROUP Id. de inicio de sesión: 0x3e7 Parámetros criptográficos: Nombre de proveedor: Microsoft
Seguridad 12290 10
Success Security- Provider Nombre de algoritmo: RSA Nombre de clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
17:22:23
Auditing criptográfica: Operación: %%2480 Código de retorno: 0x0
Microsoft-
2023-08-
Audit Windows-
Seguridad 12292 10 5024: El servicio Firewall de Windows se inició correctamente.
Success Security-
17:22:23
Auditing
5058: Operación de archivo de clave. Tema: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K
cuentas: WORKGROUP Id. de inicio de sesión: 0x3e7 Información del proceso: Id. de proceso: 1168 Ho
Microsoft-
2023-08- 2023-08-10T22:22:21.7715370Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software
Audit Windows-
Seguridad 12292 10 Nombre del algoritmo: UNKNOWN Nombre de la clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
Success Security-
17:22:23 Información de la operación de archivo de clave: Ruta del archivo:
Auditing
C:\ProgramData\Microsoft\Crypto\SystemKeys\292e7a32958c490ada9966f6ee075f9a_b4d35e75-786c-
Operación: %%2458 Código de retorno: 0x0
5058: Operación de archivo de clave. Tema: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K
cuentas: WORKGROUP Id. de inicio de sesión: 0x3e7 Información del proceso: Id. de proceso: 1168 Ho
Microsoft-
2023-08- 2023-08-10T22:22:21.7715370Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software
Audit Windows-
Seguridad 12292 10 Nombre del algoritmo: UNKNOWN Nombre de la clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
Success Security-
17:22:23 Información de la operación de archivo de clave: Ruta del archivo:
Auditing
C:\ProgramData\Microsoft\Crypto\SystemKeys\292e7a32958c490ada9966f6ee075f9a_b4d35e75-786c-
Operación: %%2458 Código de retorno: 0x0
Seguridad Audit 12292 Microsoft- 5059: Operación de migración de claves. Tema: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTO
Success Windows- cuentas: WORKGROUP Id. de inicio de sesión: 0x3e7 Información del proceso: Id. de proceso: 1168 Tie
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 312 of 466
2023-08- Security- 2023-08-10T22:22:21.7715370Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software
10 Auditing Nombre del algoritmo: RSA Navegación
Nombre de la clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo de clav
17:22:23 adicional: Operación: %%2464 Código de retorno: 0x0
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2a0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:22:23
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2a0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:22:23
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4648: Se intentó iniciar sesión con credenciales explícitas. Sujeto: Id. de seguridad: S-1-5-18 Nombre d
$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 GUID de inicio de sesión: {00000000
Microsoft- 000000000000} Cuenta cuyas credenciales se usaron: Nombre de cuenta: USUARIO Dominio de cuenta
2023-08-
Audit Windows- de inicio de sesión: {00000000-0000-0000-0000-000000000000} Servidor de destino: Nombre de serv
Seguridad 12544 10
Success Security- Información adicional: localhost Información de proceso: Id. de proceso: 0x7f0 Nombre de proceso: C:\
17:22:23
Auditing \svchost.exe Información de red: Dirección de red: 127.0.0.1 Puerto: 0 Este evento se genera cuando u
sesión en una cuenta especificando explícitamente las credenciales de la cuenta. Suele producirse en co
como tareas programadas, o cuando se usa el comando RUNAS.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-21-1163546357-429208663-839679816-1001 Nombre de cuenta: USU
DESKTOP-K618JK0 Id. de inicio de sesión: 0x46dba Inicio de sesión vinculado: 0x46df5 Nombre de cue
cuenta de red: - GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000} Información d
0x7f0 Nombre de proceso: C:\Windows\System32\svchost.exe Información de red: Nombre de estación
K618JK0 Dirección de red de origen: 127.0.0.1 Puerto de origen: 0 Información de autenticación detalla
Microsoft- sesión: User32 Paquete de autenticación: Negotiate Servicios transitados: - Nombre de paquete (solo N
2023-08-
Audit Windows- Este evento se genera cuando se crea una sesión de inicio. Lo genera el equipo al que se tuvo acceso. L
Seguridad 12544 10
Success Security- indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un servicio como el servicio
17:22:23
Auditing como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica la clase de inicio de sesión
comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión indican la cuenta para la que
sesión, es decir, aquella en la que se inició la sesión. Los campos de red indican dónde se originó una so
remota. Nombre de estación de trabajo no está siempre disponible y se puede dejar en blanco en algun
de suplantación indica en qué medida un proceso en la sesión de inicio de sesión puede suplantar. Los c
autenticación proporcionan información detallada sobre esta solicitud de inicio de sesión específica. - GU
identificador único que se puede usar para correlacionar este evento con un evento KDC. - Servicios tra
intermedios que participaron en esta solicitud de inicio de sesión. - Nombre de paquete indica el subpro
protocolos NTLM. - Longitud de clave indica la longitud de la clave de sesión generada. Será 0 si no se s
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1843 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-21-1163546357-429208663-839679816-1001 Nombre de cuenta: USU
DESKTOP-K618JK0 Id. de inicio de sesión: 0x46df5 Inicio de sesión vinculado: 0x46dba Nombre de cue
cuenta de red: - GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000} Información d
0x7f0 Nombre de proceso: C:\Windows\System32\svchost.exe Información de red: Nombre de estación
K618JK0 Dirección de red de origen: 127.0.0.1 Puerto de origen: 0 Información de autenticación detalla
Microsoft- sesión: User32 Paquete de autenticación: Negotiate Servicios transitados: - Nombre de paquete (solo N
2023-08-
Audit Windows- Este evento se genera cuando se crea una sesión de inicio. Lo genera el equipo al que se tuvo acceso. L
Seguridad 12544 10
Success Security- indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un servicio como el servicio
17:22:23
Auditing como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica la clase de inicio de sesión
comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión indican la cuenta para la que
sesión, es decir, aquella en la que se inició la sesión. Los campos de red indican dónde se originó una so
remota. Nombre de estación de trabajo no está siempre disponible y se puede dejar en blanco en algun
de suplantación indica en qué medida un proceso en la sesión de inicio de sesión puede suplantar. Los c
autenticación proporcionan información detallada sobre esta solicitud de inicio de sesión específica. - GU
identificador único que se puede usar para correlacionar este evento con un evento KDC. - Servicios tra
intermedios que participaron en esta solicitud de inicio de sesión. - Nombre de paquete indica el subpro
protocolos NTLM. - Longitud de clave indica la longitud de la clave de sesión generada. Será 0 si no se s
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:22:23
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:22:23
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Seguridad Audit 12548 2023-08- Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-2
Success 10 Windows- 839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id. de inicio de
17:22:23
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 313 of 466
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 314 of 466
Seguridad Audit 12292 2023-08- Microsoft- 5058: Operación de archivo de clave. Tema: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K
Success 10 Windows- cuentas: WORKGROUP Id. de Navegación
inicio de sesión: 0x3e7 Información del proceso: Id. de proceso: 1168 Ho
17:22:24 Security- 2023-08-10T22:22:21.7715370Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software
Auditing Nombre del algoritmo: UNKNOWN Nombre de la clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
Información de la operación de archivo de clave: Ruta del archivo:
C:\ProgramData\Microsoft\Crypto\SystemKeys\292e7a32958c490ada9966f6ee075f9a_b4d35e75-786c-
Operación: %%2458 Código de retorno: 0x0
5058: Operación de archivo de clave. Tema: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K
cuentas: WORKGROUP Id. de inicio de sesión: 0x3e7 Información del proceso: Id. de proceso: 1168 Ho
Microsoft-
2023-08- 2023-08-10T22:22:21.7715370Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software
Audit Windows-
Seguridad 12292 10 Nombre del algoritmo: UNKNOWN Nombre de la clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
Success Security-
17:22:24 Información de la operación de archivo de clave: Ruta del archivo:
Auditing
C:\ProgramData\Microsoft\Crypto\SystemKeys\292e7a32958c490ada9966f6ee075f9a_b4d35e75-786c-
Operación: %%2458 Código de retorno: 0x0
5059: Operación de migración de claves. Tema: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTO
Microsoft-
2023-08- cuentas: WORKGROUP Id. de inicio de sesión: 0x3e7 Información del proceso: Id. de proceso: 1168 Tie
Audit Windows-
Seguridad 12292 10 2023-08-10T22:22:21.7715370Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software
Success Security-
17:22:24 Nombre del algoritmo: RSA Nombre de la clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo de clav
Auditing
adicional: Operación: %%2464 Código de retorno: 0x0
5058: Operación de archivo de clave. Tema: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K
cuentas: WORKGROUP Id. de inicio de sesión: 0x3e7 Información del proceso: Id. de proceso: 1168 Ho
Microsoft-
2023-08- 2023-08-10T22:22:21.7715370Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software
Audit Windows-
Seguridad 12292 10 Nombre del algoritmo: UNKNOWN Nombre de la clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
Success Security-
17:22:24 Información de la operación de archivo de clave: Ruta del archivo:
Auditing
C:\ProgramData\Microsoft\Crypto\SystemKeys\292e7a32958c490ada9966f6ee075f9a_b4d35e75-786c-
Operación: %%2458 Código de retorno: 0x0
5058: Operación de archivo de clave. Tema: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K
cuentas: WORKGROUP Id. de inicio de sesión: 0x3e7 Información del proceso: Id. de proceso: 1168 Ho
Microsoft-
2023-08- 2023-08-10T22:22:21.7715370Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software
Audit Windows-
Seguridad 12292 10 Nombre del algoritmo: UNKNOWN Nombre de la clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
Success Security-
17:22:24 Información de la operación de archivo de clave: Ruta del archivo:
Auditing
C:\ProgramData\Microsoft\Crypto\SystemKeys\292e7a32958c490ada9966f6ee075f9a_b4d35e75-786c-
Operación: %%2458 Código de retorno: 0x0
5059: Operación de migración de claves. Tema: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTO
Microsoft-
2023-08- cuentas: WORKGROUP Id. de inicio de sesión: 0x3e7 Información del proceso: Id. de proceso: 1168 Tie
Audit Windows-
Seguridad 12292 10 2023-08-10T22:22:21.7715370Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software
Success Security-
17:22:24 Nombre del algoritmo: RSA Nombre de la clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo de clav
Auditing
adicional: Operación: %%2464 Código de retorno: 0x0
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2a0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:22:24
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:22:24
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
17:22:24 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
17:22:24 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
17:22:24 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
17:22:24 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
17:22:24 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
17:22:24 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Seguridad Audit 12544 2023-08- Microsoft- 4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Success 10 Windows- Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
17:22:25 Security- administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
Auditing sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2a0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 315 of 466
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
Navegación
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:22:25
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4798: Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-21
2023-08-
Audit Windows- 839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id. de inicio de
Seguridad 13824 10
Success Security- de seguridad: S-1-5-21-1163546357-429208663-839679816-1001 Nombre de cuenta: USUARIO Domi
17:22:25
Auditing K618JK0 Información de proceso: Id. de proceso: 0x15e0 Nombre de proceso: C:\Windows\explorer.ex
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2a0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:22:26
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:22:26
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 SERVICIO LOCAL Dominio de la cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e5 Operación de lect
Success Security-
17:22:26 produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el Adm
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 SERVICIO LOCAL Dominio de la cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e5 Operación de lect
Success Security-
17:22:26 produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el Adm
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 SERVICIO LOCAL Dominio de la cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e5 Operación de lect
Success Security-
17:22:26 produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el Adm
Auditing
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:22:26
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:22:26
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:22:26
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:22:26
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:22:26
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:22:26
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:22:26
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:22:26
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:22:26
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:22:26
Auditing C:\Windows\System32\SearchIndexer.exe
Microsoft- 5061: Operación criptográfica. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K618J
2023-08-
Audit Windows- WORKGROUP Id. de inicio de sesión: 0x3e7 Parámetros criptográficos: Nombre de proveedor: Microsoft
Seguridad 12290 10
Success Security- Provider Nombre de algoritmo: RSA Nombre de clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
17:22:27
Auditing criptográfica: Operación: %%2480 Código de retorno: 0x0
Microsoft- 5061: Operación criptográfica. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K618J
2023-08-
Audit Windows- WORKGROUP Id. de inicio de sesión: 0x3e7 Parámetros criptográficos: Nombre de proveedor: Microsoft
Seguridad 12290 10
Success Security- Provider Nombre de algoritmo: RSA Nombre de clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
17:22:27
Auditing criptográfica: Operación: %%2480 Código de retorno: 0x0
Seguridad Audit 12292 Microsoft- 5058: Operación de archivo de clave. Tema: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K
Success Windows- cuentas: WORKGROUP Id. de inicio de sesión: 0x3e7 Información del proceso: Id. de proceso: 1168 Ho
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 316 of 466
2023-08- Security- 2023-08-10T22:22:21.7715370Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software
10 Auditing Navegación
Nombre del algoritmo: UNKNOWN Nombre de la clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
17:22:27 Información de la operación de archivo de clave: Ruta del archivo:
C:\ProgramData\Microsoft\Crypto\SystemKeys\292e7a32958c490ada9966f6ee075f9a_b4d35e75-786c-
Operación: %%2458 Código de retorno: 0x0
5058: Operación de archivo de clave. Tema: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K
cuentas: WORKGROUP Id. de inicio de sesión: 0x3e7 Información del proceso: Id. de proceso: 1168 Ho
Microsoft-
2023-08- 2023-08-10T22:22:21.7715370Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software
Audit Windows-
Seguridad 12292 10 Nombre del algoritmo: UNKNOWN Nombre de la clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
Success Security-
17:22:27 Información de la operación de archivo de clave: Ruta del archivo:
Auditing
C:\ProgramData\Microsoft\Crypto\SystemKeys\292e7a32958c490ada9966f6ee075f9a_b4d35e75-786c-
Operación: %%2458 Código de retorno: 0x0
5059: Operación de migración de claves. Tema: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTO
Microsoft-
2023-08- cuentas: WORKGROUP Id. de inicio de sesión: 0x3e7 Información del proceso: Id. de proceso: 1168 Tie
Audit Windows-
Seguridad 12292 10 2023-08-10T22:22:21.7715370Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software
Success Security-
17:22:27 Nombre del algoritmo: RSA Nombre de la clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo de clav
Auditing
adicional: Operación: %%2464 Código de retorno: 0x0
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2a0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:22:27
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:22:27
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
17:22:27 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
17:22:27 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
17:22:27 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft- 5061: Operación criptográfica. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K618J
2023-08-
Audit Windows- WORKGROUP Id. de inicio de sesión: 0x3e7 Parámetros criptográficos: Nombre de proveedor: Microsoft
Seguridad 12290 10
Success Security- Provider Nombre de algoritmo: RSA Nombre de clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
17:22:28
Auditing criptográfica: Operación: %%2480 Código de retorno: 0x0
Microsoft- 5061: Operación criptográfica. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K618J
2023-08-
Audit Windows- WORKGROUP Id. de inicio de sesión: 0x3e7 Parámetros criptográficos: Nombre de proveedor: Microsoft
Seguridad 12290 10
Success Security- Provider Nombre de algoritmo: RSA Nombre de clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
17:22:28
Auditing criptográfica: Operación: %%2480 Código de retorno: 0x0
5058: Operación de archivo de clave. Tema: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K
cuentas: WORKGROUP Id. de inicio de sesión: 0x3e7 Información del proceso: Id. de proceso: 1168 Ho
Microsoft-
2023-08- 2023-08-10T22:22:21.7715370Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software
Audit Windows-
Seguridad 12292 10 Nombre del algoritmo: UNKNOWN Nombre de la clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
Success Security-
17:22:28 Información de la operación de archivo de clave: Ruta del archivo:
Auditing
C:\ProgramData\Microsoft\Crypto\SystemKeys\292e7a32958c490ada9966f6ee075f9a_b4d35e75-786c-
Operación: %%2458 Código de retorno: 0x0
5058: Operación de archivo de clave. Tema: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K
cuentas: WORKGROUP Id. de inicio de sesión: 0x3e7 Información del proceso: Id. de proceso: 1168 Ho
Microsoft-
2023-08- 2023-08-10T22:22:21.7715370Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software
Audit Windows-
Seguridad 12292 10 Nombre del algoritmo: UNKNOWN Nombre de la clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
Success Security-
17:22:28 Información de la operación de archivo de clave: Ruta del archivo:
Auditing
C:\ProgramData\Microsoft\Crypto\SystemKeys\292e7a32958c490ada9966f6ee075f9a_b4d35e75-786c-
Operación: %%2458 Código de retorno: 0x0
5059: Operación de migración de claves. Tema: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTO
Microsoft-
2023-08- cuentas: WORKGROUP Id. de inicio de sesión: 0x3e7 Información del proceso: Id. de proceso: 1168 Tie
Audit Windows-
Seguridad 12292 10 2023-08-10T22:22:21.7715370Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software
Success Security-
17:22:28 Nombre del algoritmo: RSA Nombre de la clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo de clav
Auditing
adicional: Operación: %%2464 Código de retorno: 0x0
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
17:22:28 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
17:22:28 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
17:22:28 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:22:29
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:22:29
Auditing almacenadas en el Administrador de credenciales.
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 317 of 466
Seguridad Audit 13824 2023-08- Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
Success 10 Windows- 839679816-1001 Nombre deNavegación
la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
17:22:29 Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5061: Operación criptográfica. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K618J
2023-08-
Audit Windows- WORKGROUP Id. de inicio de sesión: 0x3e7 Parámetros criptográficos: Nombre de proveedor: Microsoft
Seguridad 12290 10
Success Security- Provider Nombre de algoritmo: RSA Nombre de clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
17:22:34
Auditing criptográfica: Operación: %%2480 Código de retorno: 0x0
Microsoft- 5061: Operación criptográfica. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K618J
2023-08-
Audit Windows- WORKGROUP Id. de inicio de sesión: 0x3e7 Parámetros criptográficos: Nombre de proveedor: Microsoft
Seguridad 12290 10
Success Security- Provider Nombre de algoritmo: RSA Nombre de clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
17:22:34
Auditing criptográfica: Operación: %%2480 Código de retorno: 0x0
5058: Operación de archivo de clave. Tema: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K
cuentas: WORKGROUP Id. de inicio de sesión: 0x3e7 Información del proceso: Id. de proceso: 1168 Ho
Microsoft-
2023-08- 2023-08-10T22:22:21.7715370Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software
Audit Windows-
Seguridad 12292 10 Nombre del algoritmo: UNKNOWN Nombre de la clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
Success Security-
17:22:34 Información de la operación de archivo de clave: Ruta del archivo:
Auditing
C:\ProgramData\Microsoft\Crypto\SystemKeys\292e7a32958c490ada9966f6ee075f9a_b4d35e75-786c-
Operación: %%2458 Código de retorno: 0x0
5058: Operación de archivo de clave. Tema: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K
cuentas: WORKGROUP Id. de inicio de sesión: 0x3e7 Información del proceso: Id. de proceso: 1168 Ho
Microsoft-
2023-08- 2023-08-10T22:22:21.7715370Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software
Audit Windows-
Seguridad 12292 10 Nombre del algoritmo: UNKNOWN Nombre de la clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
Success Security-
17:22:34 Información de la operación de archivo de clave: Ruta del archivo:
Auditing
C:\ProgramData\Microsoft\Crypto\SystemKeys\292e7a32958c490ada9966f6ee075f9a_b4d35e75-786c-
Operación: %%2458 Código de retorno: 0x0
5059: Operación de migración de claves. Tema: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTO
Microsoft-
2023-08- cuentas: WORKGROUP Id. de inicio de sesión: 0x3e7 Información del proceso: Id. de proceso: 1168 Tie
Audit Windows-
Seguridad 12292 10 2023-08-10T22:22:21.7715370Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software
Success Security-
17:22:34 Nombre del algoritmo: RSA Nombre de la clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo de clav
Auditing
adicional: Operación: %%2464 Código de retorno: 0x0
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
17:22:34 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
17:22:34 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
17:22:34 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:22:36
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:22:36
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:22:36
Auditing almacenadas en el Administrador de credenciales.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2a0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:22:37
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:22:37
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft-
2023-08- 5382: Se leyeron las credenciales de bóveda. Asunto: Id. de seguridad: S-1-5-18 Nombre de la cuenta:
Audit Windows-
Seguridad 13824 10 de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Este evento se produce cuando un usuario lee
Success Security-
17:22:37 en el almacén.
Auditing
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:22:38
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:22:38
Auditing almacenadas en el Administrador de credenciales.
Seguridad Audit 12544 2023-08- Microsoft- 4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Success 10 Windows- Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
17:22:55 Security- administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
Auditing sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2a0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 318 of 466
Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Navegación
servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2a0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:22:55
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:22:55
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:22:55
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 5061: Operación criptográfica. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K618J
2023-08-
Audit Windows- WORKGROUP Id. de inicio de sesión: 0x3e7 Parámetros criptográficos: Nombre de proveedor: Microsoft
Seguridad 12290 10
Success Security- Provider Nombre de algoritmo: RSA Nombre de clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
17:23:05
Auditing criptográfica: Operación: %%2480 Código de retorno: 0x0
Microsoft- 5061: Operación criptográfica. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K618J
2023-08-
Audit Windows- WORKGROUP Id. de inicio de sesión: 0x3e7 Parámetros criptográficos: Nombre de proveedor: Microsoft
Seguridad 12290 10
Success Security- Provider Nombre de algoritmo: RSA Nombre de clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
17:23:05
Auditing criptográfica: Operación: %%2480 Código de retorno: 0x0
5058: Operación de archivo de clave. Tema: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K
cuentas: WORKGROUP Id. de inicio de sesión: 0x3e7 Información del proceso: Id. de proceso: 1168 Ho
Microsoft-
2023-08- 2023-08-10T22:22:21.7715370Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software
Audit Windows-
Seguridad 12292 10 Nombre del algoritmo: UNKNOWN Nombre de la clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
Success Security-
17:23:05 Información de la operación de archivo de clave: Ruta del archivo:
Auditing
C:\ProgramData\Microsoft\Crypto\SystemKeys\292e7a32958c490ada9966f6ee075f9a_b4d35e75-786c-
Operación: %%2458 Código de retorno: 0x0
5058: Operación de archivo de clave. Tema: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K
cuentas: WORKGROUP Id. de inicio de sesión: 0x3e7 Información del proceso: Id. de proceso: 1168 Ho
Microsoft-
2023-08- 2023-08-10T22:22:21.7715370Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software
Audit Windows-
Seguridad 12292 10 Nombre del algoritmo: UNKNOWN Nombre de la clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
Success Security-
17:23:05 Información de la operación de archivo de clave: Ruta del archivo:
Auditing
C:\ProgramData\Microsoft\Crypto\SystemKeys\292e7a32958c490ada9966f6ee075f9a_b4d35e75-786c-
Operación: %%2458 Código de retorno: 0x0
5059: Operación de migración de claves. Tema: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTO
Microsoft-
2023-08- cuentas: WORKGROUP Id. de inicio de sesión: 0x3e7 Información del proceso: Id. de proceso: 1168 Tie
Audit Windows-
Seguridad 12292 10 2023-08-10T22:22:21.7715370Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software
Success Security-
17:23:05 Nombre del algoritmo: RSA Nombre de la clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo de clav
Auditing
adicional: Operación: %%2464 Código de retorno: 0x0
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
17:23:05 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
17:23:05 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
17:23:05 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2a0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:23:07
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Seguridad Audit 12548 2023-08- Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
Success 10 Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
17:23:07
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 319 of 466
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 320 of 466
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 321 of 466
2023-08- Security- Provider Nombre de algoritmo: RSA Nombre de clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
10 Auditing Navegación
criptográfica: Operación: %%2480 Código de retorno: 0x0
17:23:16
5058: Operación de archivo de clave. Tema: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K
cuentas: WORKGROUP Id. de inicio de sesión: 0x3e7 Información del proceso: Id. de proceso: 1168 Ho
Microsoft-
2023-08- 2023-08-10T22:22:21.7715370Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software
Audit Windows-
Seguridad 12292 10 Nombre del algoritmo: UNKNOWN Nombre de la clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
Success Security-
17:23:16 Información de la operación de archivo de clave: Ruta del archivo:
Auditing
C:\ProgramData\Microsoft\Crypto\SystemKeys\292e7a32958c490ada9966f6ee075f9a_b4d35e75-786c-
Operación: %%2458 Código de retorno: 0x0
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
17:23:16 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
17:23:16 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
17:23:16 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 SERVICIO LOCAL Dominio de la cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e5 Operación de lect
Success Security-
17:23:16 produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el Adm
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 SERVICIO LOCAL Dominio de la cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e5 Operación de lect
Success Security-
17:23:16 produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el Adm
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
17:23:16 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 SERVICIO LOCAL Dominio de la cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e5 Operación de lect
Success Security-
17:23:16 produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el Adm
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 SERVICIO LOCAL Dominio de la cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e5 Operación de lect
Success Security-
17:23:16 produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el Adm
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 SERVICIO LOCAL Dominio de la cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e5 Operación de lect
Success Security-
17:23:16 produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el Adm
Auditing
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:23:16
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:23:16
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:23:16
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5061: Operación criptográfica. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K618J
2023-08-
Audit Windows- WORKGROUP Id. de inicio de sesión: 0x3e7 Parámetros criptográficos: Nombre de proveedor: Microsoft
Seguridad 12290 10
Success Security- Provider Nombre de algoritmo: RSA Nombre de clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
17:23:17
Auditing criptográfica: Operación: %%2480 Código de retorno: 0x0
Microsoft- 5061: Operación criptográfica. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K618J
2023-08-
Audit Windows- WORKGROUP Id. de inicio de sesión: 0x3e7 Parámetros criptográficos: Nombre de proveedor: Microsoft
Seguridad 12290 10
Success Security- Provider Nombre de algoritmo: RSA Nombre de clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
17:23:17
Auditing criptográfica: Operación: %%2480 Código de retorno: 0x0
Microsoft- 5061: Operación criptográfica. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K618J
2023-08-
Audit Windows- WORKGROUP Id. de inicio de sesión: 0x3e7 Parámetros criptográficos: Nombre de proveedor: Microsoft
Seguridad 12290 10
Success Security- Provider Nombre de algoritmo: RSA Nombre de clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
17:23:17
Auditing criptográfica: Operación: %%2480 Código de retorno: 0x0
5058: Operación de archivo de clave. Tema: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K
cuentas: WORKGROUP Id. de inicio de sesión: 0x3e7 Información del proceso: Id. de proceso: 1168 Ho
Microsoft-
2023-08- 2023-08-10T22:22:21.7715370Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software
Audit Windows-
Seguridad 12292 10 Nombre del algoritmo: UNKNOWN Nombre de la clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
Success Security-
17:23:17 Información de la operación de archivo de clave: Ruta del archivo:
Auditing
C:\ProgramData\Microsoft\Crypto\SystemKeys\292e7a32958c490ada9966f6ee075f9a_b4d35e75-786c-
Operación: %%2458 Código de retorno: 0x0
5058: Operación de archivo de clave. Tema: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K
cuentas: WORKGROUP Id. de inicio de sesión: 0x3e7 Información del proceso: Id. de proceso: 1168 Ho
Microsoft-
2023-08- 2023-08-10T22:22:21.7715370Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software
Audit Windows-
Seguridad 12292 10 Nombre del algoritmo: UNKNOWN Nombre de la clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
Success Security-
17:23:17 Información de la operación de archivo de clave: Ruta del archivo:
Auditing
C:\ProgramData\Microsoft\Crypto\SystemKeys\292e7a32958c490ada9966f6ee075f9a_b4d35e75-786c-
Operación: %%2458 Código de retorno: 0x0
5058: Operación de archivo de clave. Tema: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K
cuentas: WORKGROUP Id. de inicio de sesión: 0x3e7 Información del proceso: Id. de proceso: 1168 Ho
Microsoft-
2023-08- 2023-08-10T22:22:21.7715370Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software
Audit Windows-
Seguridad 12292 10 Nombre del algoritmo: UNKNOWN Nombre de la clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
Success Security-
17:23:17 Información de la operación de archivo de clave: Ruta del archivo:
Auditing
C:\ProgramData\Microsoft\Crypto\SystemKeys\292e7a32958c490ada9966f6ee075f9a_b4d35e75-786c-
Operación: %%2458 Código de retorno: 0x0
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
17:23:17 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
17:23:17 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 322 of 466
Seguridad Audit 13824 2023-08- Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Success 10 Windows- DESKTOP-K618JK0$ Dominio Navegación
de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
17:23:17 Security- se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
17:23:17 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:23:17
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8099 Este evento se produce cuando un usuario realiza una operación de lect
17:23:17
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:23:17
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:23:17
Auditing almacenadas en el Administrador de credenciales.
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
17:23:17 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
17:23:17 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
17:23:17 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
17:23:17 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft- 5061: Operación criptográfica. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K618J
2023-08-
Audit Windows- WORKGROUP Id. de inicio de sesión: 0x3e7 Parámetros criptográficos: Nombre de proveedor: Microsoft
Seguridad 12290 10
Success Security- Provider Nombre de algoritmo: RSA Nombre de clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
17:23:18
Auditing criptográfica: Operación: %%2480 Código de retorno: 0x0
5058: Operación de archivo de clave. Tema: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K
cuentas: WORKGROUP Id. de inicio de sesión: 0x3e7 Información del proceso: Id. de proceso: 1168 Ho
Microsoft-
2023-08- 2023-08-10T22:22:21.7715370Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software
Audit Windows-
Seguridad 12292 10 Nombre del algoritmo: UNKNOWN Nombre de la clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
Success Security-
17:23:18 Información de la operación de archivo de clave: Ruta del archivo:
Auditing
C:\ProgramData\Microsoft\Crypto\SystemKeys\292e7a32958c490ada9966f6ee075f9a_b4d35e75-786c-
Operación: %%2458 Código de retorno: 0x0
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2a0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:23:18
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:23:18
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 SERVICIO LOCAL Dominio de la cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e5 Operación de lect
Success Security-
17:23:18 produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el Adm
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 SERVICIO LOCAL Dominio de la cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e5 Operación de lect
Success Security-
17:23:18 produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el Adm
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 SERVICIO LOCAL Dominio de la cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e5 Operación de lect
Success Security-
17:23:18 produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el Adm
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 SERVICIO LOCAL Dominio de la cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e5 Operación de lect
Success Security-
17:23:18 produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el Adm
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 SERVICIO LOCAL Dominio de la cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e5 Operación de lect
Success Security-
17:23:19 produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el Adm
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 SERVICIO LOCAL Dominio de la cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e5 Operación de lect
Success Security-
17:23:19 produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el Adm
Auditing
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 323 of 466
Seguridad Audit 13824 2023-08- Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Success 10 Windows- SERVICIO LOCAL Dominio de Navegación
la cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e5 Operación de lect
17:23:19 Security- produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el Adm
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 SERVICIO LOCAL Dominio de la cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e5 Operación de lect
Success Security-
17:23:19 produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el Adm
Auditing
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:23:28
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:23:28
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:23:28
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:23:29
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:23:29
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:23:29
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:23:29
Auditing almacenadas en el Administrador de credenciales.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2a0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:23:39
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:23:39
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:23:42
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:23:42
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:23:42
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:23:42
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:23:42
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:23:42
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:23:43
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:23:43
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:23:43
Auditing almacenadas en el Administrador de credenciales.
Seguridad Audit 13824 2023-08- Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
Success 10 Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
17:23:43
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 324 of 466
Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
Auditing Navegación
almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:23:43
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:23:43
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:23:43
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:23:43
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:23:44
Auditing C:\Windows\System32\svchost.exe
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:23:48
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:23:48
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:23:48
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:23:49
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:23:49
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:23:49
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:23:49
Auditing almacenadas en el Administrador de credenciales.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2a0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:24:07
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:24:07
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2a0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:24:15
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:24:15
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Seguridad Audit 13824 Microsoft-
Success Windows-
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 325 of 466
2023-08- Security- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
10 Auditing DESKTOP-K618JK0$ Dominio Navegación
de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
17:24:15 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
17:24:15 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
17:24:15 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
17:24:16 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
17:24:16 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
17:24:16 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
17:24:16 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2a0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:24:23
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:24:23
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2a0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:24:36
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:24:36
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e4 Operación de le
Success Security-
17:24:51 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e4 Operación de le
Success Security-
17:24:51 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e4 Operación de le
Success Security-
17:24:51 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft- 5061: Operación criptográfica. Sujeto: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K618J
2023-08-
Audit Windows- WORKGROUP Id. de inicio de sesión: 0x3e7 Parámetros criptográficos: Nombre de proveedor: Microsoft
Seguridad 12290 10
Success Security- Provider Nombre de algoritmo: RSA Nombre de clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
17:24:52
Auditing criptográfica: Operación: %%2480 Código de retorno: 0x0
5058: Operación de archivo de clave. Tema: Id. de seguridad: S-1-5-18 Nombre de cuenta: DESKTOP-K
cuentas: WORKGROUP Id. de inicio de sesión: 0x3e7 Información del proceso: Id. de proceso: 1168 Ho
Microsoft-
2023-08- 2023-08-10T22:22:21.7715370Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software
Audit Windows-
Seguridad 12292 10 Nombre del algoritmo: UNKNOWN Nombre de la clave: e4142931-ec10-336f-7a20-38aa594ef0d1 Tipo d
Success Security-
17:24:52 Información de la operación de archivo de clave: Ruta del archivo:
Auditing
C:\ProgramData\Microsoft\Crypto\SystemKeys\292e7a32958c490ada9966f6ee075f9a_b4d35e75-786c-
Operación: %%2458 Código de retorno: 0x0
Seguridad Audit 13824 Microsoft-
Success Windows-
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 326 of 466
2023-08- Security- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
10 Auditing DESKTOP-K618JK0$ Dominio Navegación
de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e4 Operación de le
17:24:52 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e4 Operación de le
Success Security-
17:24:52 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e4 Operación de le
Success Security-
17:24:52 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e4 Operación de le
Success Security-
17:24:52 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e4 Operación de le
Success Security-
17:24:52 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e4 Operación de le
Success Security-
17:24:52 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e4 Operación de le
Success Security-
17:24:52 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e4 Operación de le
Success Security-
17:24:52 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e4 Operación de le
Success Security-
17:24:52 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e4 Operación de le
Success Security-
17:24:52 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e4 Operación de le
Success Security-
17:24:52 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
17:26:58 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
17:26:58 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
17:26:58 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
17:26:59 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
17:26:59 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
17:26:59 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
17:26:59 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2a0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:28:38
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:28:38
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:28:42
Auditing C:\Windows\System32\svchost.exe
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 327 of 466
Seguridad Audit 12544 2023-08- Microsoft- 4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Success 10 Windows- Dominio de cuenta: WORKGROUP Navegación
Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
17:29:20 Security- administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
Auditing sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2a0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:29:20
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2a0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:29:33
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:29:33
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:29:33
Auditing C:\Windows\System32\SearchIndexer.exe
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2a0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:29:42
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:29:42
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2a0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:29:57
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:29:57
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Seguridad Audit 12544 Microsoft- 4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Success Windows- Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 328 of 466
2023-08- Security- administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
10 Auditing Navegación
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
17:30:03 Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2a0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:30:03
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:30:03
Auditing C:\Windows\System32\SearchIndexer.exe
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:30:38
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:30:38
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:30:38
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:30:38
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:30:38
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:30:38
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:30:38
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:30:45
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:30:46
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:30:46
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:31:33
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:31:33
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:31:33
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 4647: Cierre de sesión iniciado por el usuario: Sujeto: Id. de seguridad: S-1-5-21-1163546357-429208
2023-08-
Audit Windows- Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id. de inicio de sesión: 0x46df5 E
Seguridad 12545 10
Success Security- se inicia un cierre de sesión. No se puede producir ninguna actividad adicional iniciada por el usuario. E
17:31:44
Auditing interpretar como un evento de cierre de sesión.
Microsoft- 4798: Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18
2023-08-
Audit Windows- -K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Usuario: Id. de seguridad: S
Seguridad 13824 10
Success Security- 429208663-839679816-500 Nombre de cuenta: Administrador Dominio de cuenta: DESKTOP-K618JK0
17:31:44
Auditing de proceso: 0x7f0 Nombre de proceso: C:\Windows\System32\svchost.exe
Microsoft- 4798: Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18
2023-08-
Audit Windows- -K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Usuario: Id. de seguridad: S
Seguridad 13824 10
Success Security- 429208663-839679816-503 Nombre de cuenta: DefaultAccount Dominio de cuenta: DESKTOP-K618JK0
17:31:44
Auditing de proceso: 0x7f0 Nombre de proceso: C:\Windows\System32\svchost.exe
Microsoft- 4798: Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18
2023-08-
Audit Windows- -K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Usuario: Id. de seguridad: S
Seguridad 13824 10
Success Security- 429208663-839679816-501 Nombre de cuenta: Invitado Dominio de cuenta: DESKTOP-K618JK0 Inform
17:31:44
Auditing proceso: 0x7f0 Nombre de proceso: C:\Windows\System32\svchost.exe
Microsoft- 4798: Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18
2023-08-
Audit Windows- -K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Usuario: Id. de seguridad: S
Seguridad 13824 10
Success Security- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Info
17:31:44
Auditing proceso: 0x7f0 Nombre de proceso: C:\Windows\System32\svchost.exe
Seguridad 13824
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 329 of 466
Audit 2023-08- Microsoft- 4798: Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18
Success 10 Windows- Navegación
-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Usuario: Id. de seguridad: S
17:31:44 Security- 429208663-839679816-504 Nombre de cuenta: WDAGUtilityAccount Dominio de cuenta: DESKTOP-K61
Auditing proceso: Id. de proceso: 0x7f0 Nombre de proceso: C:\Windows\System32\svchost.exe
2023-08- Microsoft-
Audit
Seguridad 103 10 Windows- 1100: Se cerró el servicio de registro de eventos.
Success
17:31:45 Eventlog
4688: Se creó un nuevo proceso. Firmante creador: Identificador de seguridad: S-1-5-18 Nombre de cu
Identificador de inicio de sesión: 0x3e7 Firmante de destino: Identificador de seguridad: S-1-0-0 Nomb
cuenta: - Identificador de inicio de sesión: 0x0 Información de proceso: Identificador del nuevo proceso
proceso: ????-??6?4????0--?0??????? Tipo de elevación de token: %%1936 Etiqueta obligatoria: S-1-16
proceso creador: 0x4 Nombre del proceso creador: ??????? Línea de comandos de proceso: ????0--?0??
Microsoft- token indica el tipo de token que se asignó al nuevo proceso de acuerdo con la directiva Control de cuen
2023-08-
Audit Windows- un token completo sin privilegios quitados ni grupos deshabilitados. Solo se usa un token completo si C
Seguridad 13312 10
Success Security- está deshabilitado o si el usuario es la cuenta predefinida Administrador o una cuenta de servicio. El tip
17:59:00
Auditing privilegios quitados ni grupos deshabilitados. Se usa un token elevado cuando Control de cuentas de us
usuario elige iniciar el programa mediante Ejecutar como administrador. También se usa un token eleva
aplicación para que siempre requiera un privilegio administrativo o para que siempre requiera el máxim
pertenece al grupo Administradores. El tipo 3 es un token limitado con los privilegios administrativos qu
administrativos deshabilitados. El token limitado se usa cuando Control de cuentas de usuario está habi
requiere un privilegio administrativo y el usuario no elige iniciar el programa mediante Ejecutar como ad
Microsoft- 4696: Se asignó un símbolo (token) primario al proceso. Sujeto: Id. de seguridad: S-1-5-18 Nombre de
2023-08-
Audit Windows- cuenta: - Id. de inicio de sesión: 0x3e7 Información de proceso: Id. de proceso: 0x4 Nombre de proces
Seguridad 13312 10
Success Security- de proceso de destino: 0x7c Nombre de proceso de destino: Registry Información de nuevo símbolo: Id
17:59:00
Auditing Nombre de cuenta: - Dominio de cuenta: - Id. de inicio de sesión: 0x3e7
4688: Se creó un nuevo proceso. Firmante creador: Identificador de seguridad: S-1-5-18 Nombre de cu
Identificador de inicio de sesión: 0x3e7 Firmante de destino: Identificador de seguridad: S-1-0-0 Nomb
cuenta: - Identificador de inicio de sesión: 0x0 Información de proceso: Identificador del nuevo proceso
proceso: ??????????????-??6?4????0--?0??????? Tipo de elevación de token: %%1936 Etiqueta obligato
Identificador del proceso creador: 0x4 Nombre del proceso creador: ??????? Línea de comandos de proc
Microsoft- de elevación de token indica el tipo de token que se asignó al nuevo proceso de acuerdo con la directiva
2023-08-
Audit Windows- usuario. El tipo 1 es un token completo sin privilegios quitados ni grupos deshabilitados. Solo se usa un
Seguridad 13312 10
Success Security- cuentas de usuario está deshabilitado o si el usuario es la cuenta predefinida Administrador o una cuent
17:59:00
Auditing token elevado sin privilegios quitados ni grupos deshabilitados. Se usa un token elevado cuando Contro
habilitado y el usuario elige iniciar el programa mediante Ejecutar como administrador. También se usa
configura una aplicación para que siempre requiera un privilegio administrativo o para que siempre requ
usuario pertenece al grupo Administradores. El tipo 3 es un token limitado con los privilegios administra
administrativos deshabilitados. El token limitado se usa cuando Control de cuentas de usuario está habi
requiere un privilegio administrativo y el usuario no elige iniciar el programa mediante Ejecutar como ad
4826: Se cargaron los datos de configuración de arranque. Asunto: Id. de seguridad: S-1-5-18 Nombre
Microsoft- cuenta: - Id. de inicio de sesión: 0x3e7 Configuración general: Opciones de carga: - Opciones avanzada
2023-08-
Audit Windows- acceso a la configuración: %%1846 Registro de eventos del sistema: %%1843 Depuración del kernel:
Seguridad 13573 10
Success Security- VSM: %%1848 Configuración de la firma: Firma de prueba: %%1843 Firma de desarrollo: %%1843 De
17:59:00
Auditing integridad: %%1843 Configuración del hipervisor: Opciones de carga del hipervisor: - Tipo de inicio del
Depuración del hipervisor: %%1843
4688: Se creó un nuevo proceso. Firmante creador: Identificador de seguridad: S-1-5-18 Nombre de cu
Identificador de inicio de sesión: 0x3e7 Firmante de destino: Identificador de seguridad: S-1-0-0 Nomb
cuenta: - Identificador de inicio de sesión: 0x0 Información de proceso: Identificador del nuevo proceso
proceso: ???????????????e??? ????????? ???????????????e?????? Tipo de elevación de token: %%1936
16384 Identificador del proceso creador: 0x1a0 Nombre del proceso creador: ????????????????????4 Lín
proceso: ????0--?0????????????????????4 El tipo de elevación de token indica el tipo de token que se as
Microsoft-
2023-08- acuerdo con la directiva Control de cuentas de usuario. El tipo 1 es un token completo sin privilegios qu
Audit Windows-
Seguridad 13312 10 deshabilitados. Solo se usa un token completo si Control de cuentas de usuario está deshabilitado o si e
Success Security-
17:59:01 predefinida Administrador o una cuenta de servicio. El tipo 2 es un token elevado sin privilegios quitado
Auditing
usa un token elevado cuando Control de cuentas de usuario está habilitado y el usuario elige iniciar el p
como administrador. También se usa un token elevado cuando se configura una aplicación para que sie
administrativo o para que siempre requiera el máximo privilegio y el usuario pertenece al grupo Admini
token limitado con los privilegios administrativos quitados y los grupos administrativos deshabilitados. E
cuando Control de cuentas de usuario está habilitado, la aplicación no requiere un privilegio administrat
iniciar el programa mediante Ejecutar como administrador.
4688: Se creó un nuevo proceso. Firmante creador: Identificador de seguridad: S-1-5-18 Nombre de cu
Identificador de inicio de sesión: 0x3e7 Firmante de destino: Identificador de seguridad: S-1-0-0 Nomb
cuenta: - Identificador de inicio de sesión: 0x0 Información de proceso: Identificador del nuevo proceso
proceso: ??????????????-??6??0????0--?0????????????????????4? Tipo de elevación de token: %%1936
16384 Identificador del proceso creador: 0x1a0 Nombre del proceso creador: ????????????????????4? L
proceso: ????0--?0????????????????????4? El tipo de elevación de token indica el tipo de token que se a
Microsoft-
2023-08- acuerdo con la directiva Control de cuentas de usuario. El tipo 1 es un token completo sin privilegios qu
Audit Windows-
Seguridad 13312 10 deshabilitados. Solo se usa un token completo si Control de cuentas de usuario está deshabilitado o si e
Success Security-
17:59:01 predefinida Administrador o una cuenta de servicio. El tipo 2 es un token elevado sin privilegios quitado
Auditing
usa un token elevado cuando Control de cuentas de usuario está habilitado y el usuario elige iniciar el p
como administrador. También se usa un token elevado cuando se configura una aplicación para que sie
administrativo o para que siempre requiera el máximo privilegio y el usuario pertenece al grupo Admini
token limitado con los privilegios administrativos quitados y los grupos administrativos deshabilitados. E
cuando Control de cuentas de usuario está habilitado, la aplicación no requiere un privilegio administrat
iniciar el programa mediante Ejecutar como administrador.
4688: Se creó un nuevo proceso. Firmante creador: Identificador de seguridad: S-1-5-18 Nombre de cu
Identificador de inicio de sesión: 0x3e7 Firmante de destino: Identificador de seguridad: S-1-0-0 Nomb
cuenta: - Identificador de inicio de sesión: 0x0 Información de proceso: Identificador del nuevo proceso
proceso: ??????????????e??? ????????? ???????????????e?????? Tipo de elevación de token: %%1936 E
16384 Identificador del proceso creador: 0x1f8 Nombre del proceso creador: ????????????????????4 Lín
proceso: ????0--?0????????????????????4 El tipo de elevación de token indica el tipo de token que se as
Microsoft-
2023-08- acuerdo con la directiva Control de cuentas de usuario. El tipo 1 es un token completo sin privilegios qu
Audit Windows-
Seguridad 13312 10 deshabilitados. Solo se usa un token completo si Control de cuentas de usuario está deshabilitado o si e
Success Security-
17:59:03 predefinida Administrador o una cuenta de servicio. El tipo 2 es un token elevado sin privilegios quitado
Auditing
usa un token elevado cuando Control de cuentas de usuario está habilitado y el usuario elige iniciar el p
como administrador. También se usa un token elevado cuando se configura una aplicación para que sie
administrativo o para que siempre requiera el máximo privilegio y el usuario pertenece al grupo Admini
token limitado con los privilegios administrativos quitados y los grupos administrativos deshabilitados. E
cuando Control de cuentas de usuario está habilitado, la aplicación no requiere un privilegio administrat
iniciar el programa mediante Ejecutar como administrador.
Microsoft-
2023-08-
Audit Windows-
Seguridad 12288 10 4608: Se está iniciando Windows. Este evento se registra cuando se inicia LSASS.EXE y se inicializa el s
Success Security-
17:59:04
Auditing
Seguridad Audit 12544 2023-08- Microsoft- 4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-0-0 Nombre de cu
Success 10 Windows- Id. de inicio de sesión: 0x0 Información de inicio de sesión: Tipo de inicio de sesión: 0 Modo de adminis
17:59:04 Security- virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: - Nuevo inicio de sesión: Id. de segu
Auditing cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Inicio de sesión vinc
de red: - Dominio de cuenta de red: - GUID de inicio de sesión: {00000000-0000-0000-0000-00000000
proceso: Id. de proceso: 0x4 Nombre de proceso: ? Información de red: Nombre de estación de trabajo
origen: - Puerto de origen: - Información de autenticación detallada: Proceso de inicio de sesión: - Paqu
Servicios transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 330 of 466
inicio. Lo genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema
sesión. Suele ser un servicioNavegación
como el servicio de servidor o un proceso local como Winlogon.exe o Servi
inicio de sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interacti
Nuevo inicio de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella e
Los campos de red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estació
disponible y se puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qu
sesión de inicio de sesión puede suplantar. Los campos de información de autenticación proporcionan in
esta solicitud de inicio de sesión específica. - GUID de inicio de sesión es un identificador único que se p
este evento con un evento KDC. - Servicios transitados indica los servicios intermedios que participaron
sesión. - Nombre de paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de
clave de sesión generada. Será 0 si no se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x1e0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:59:04
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4648: Se intentó iniciar sesión con credenciales explícitas. Sujeto: Id. de seguridad: S-1-5-18 Nombre d
$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 GUID de inicio de sesión: {00000000
Microsoft- 000000000000} Cuenta cuyas credenciales se usaron: Nombre de cuenta: UMFD-0 Dominio de cuenta:
2023-08-
Audit Windows- inicio de sesión: {00000000-0000-0000-0000-000000000000} Servidor de destino: Nombre de servido
Seguridad 12544 10
Success Security- Información adicional: localhost Información de proceso: Id. de proceso: 0x3d0 Nombre de proceso: C:
17:59:04
Auditing \wininit.exe Información de red: Dirección de red: - Puerto: - Este evento se genera cuando un proceso
cuenta especificando explícitamente las credenciales de la cuenta. Suele producirse en configuraciones
programadas, o cuando se usa el comando RUNAS.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1842 Token elevado: %%1843 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-96-0-0 Nombre de cuenta: UMFD-0 Dominio de cuenta: Font Driver Ho
0xbf67 Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID d
{00000000-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x3d0 Nombre
C:\Windows\System32\wininit.exe Información de red: Nombre de estación de trabajo: - Dirección de r
origen: - Información de autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autent
Microsoft- transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se
2023-08-
Audit Windows- genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema local que
Seguridad 12544 10
Success Security- Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe
17:59:04
Auditing sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (
de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se i
red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no
puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un pro
sesión puede suplantar. Los campos de información de autenticación proporcionan información detallad
de sesión específica. - GUID de inicio de sesión es un identificador único que se puede usar para correla
evento KDC. - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de
paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longi
generada. Será 0 si no se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-20 Nombre de cuenta: Servicio de red Dominio de cuenta: NT AUTHOR
0x3e4 Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de
-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x1e0 Nombre de proceso:
\services.exe Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto
autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servic
Microsoft- paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio.
2023-08-
Audit Windows- tuvo acceso. Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión.
Seguridad 12544 10
Success Security- servicio de servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de se
17:59:04
Auditing de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio
para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos
originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponi
blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesió
suplantar. Los campos de información de autenticación proporcionan información detallada sobre esta s
específica. - GUID de inicio de sesión es un identificador único que se puede usar para correlacionar est
- Servicios transitados indica los servicios intermedios que participaron en esta solicitud de inicio de ses
indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la
Será 0 si no se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x1e0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:59:04
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:59:04
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 331 of 466
Seguridad Audit 12548 2023-08- Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-2
Success 10 Windows- Navegación
Servicio de red Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e4 Privilegios: SeAssignP
17:59:04 Security- SeAuditPrivilege SeImpersonatePrivilege
Auditing
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:59:04
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
4688: Se creó un nuevo proceso. Firmante creador: Identificador de seguridad: S-1-5-18 Nombre de cu
Identificador de inicio de sesión: 0x3e7 Firmante de destino: Identificador de seguridad: S-1-0-0 Nomb
cuenta: - Identificador de inicio de sesión: 0x0 Información de proceso: Identificador del nuevo proceso
proceso: ??????????????-??6??0????0--?0????????????????????4? Tipo de elevación de token: %%1936
16384 Identificador del proceso creador: 0x1a0 Nombre del proceso creador: ????????????????????4? L
proceso: ????0--?0????????????????????4? El tipo de elevación de token indica el tipo de token que se a
Microsoft-
2023-08- acuerdo con la directiva Control de cuentas de usuario. El tipo 1 es un token completo sin privilegios qu
Audit Windows-
Seguridad 13312 10 deshabilitados. Solo se usa un token completo si Control de cuentas de usuario está deshabilitado o si e
Success Security-
17:59:04 predefinida Administrador o una cuenta de servicio. El tipo 2 es un token elevado sin privilegios quitado
Auditing
usa un token elevado cuando Control de cuentas de usuario está habilitado y el usuario elige iniciar el p
como administrador. También se usa un token elevado cuando se configura una aplicación para que sie
administrativo o para que siempre requiera el máximo privilegio y el usuario pertenece al grupo Admini
token limitado con los privilegios administrativos quitados y los grupos administrativos deshabilitados. E
cuando Control de cuentas de usuario está habilitado, la aplicación no requiere un privilegio administrat
iniciar el programa mediante Ejecutar como administrador.
4688: Se creó un nuevo proceso. Firmante creador: Identificador de seguridad: S-1-5-18 Nombre de cu
Identificador de inicio de sesión: 0x3e7 Firmante de destino: Identificador de seguridad: S-1-0-0 Nomb
cuenta: - Identificador de inicio de sesión: 0x0 Información de proceso: Identificador del nuevo proceso
proceso: ???????????????e??? ????????? ???????????????e?????? Tipo de elevación de token: %%1936
16384 Identificador del proceso creador: 0x1f8 Nombre del proceso creador: ????????????????????4 Lín
proceso: ????0--?0????????????????????4 El tipo de elevación de token indica el tipo de token que se as
Microsoft-
2023-08- acuerdo con la directiva Control de cuentas de usuario. El tipo 1 es un token completo sin privilegios qu
Audit Windows-
Seguridad 13312 10 deshabilitados. Solo se usa un token completo si Control de cuentas de usuario está deshabilitado o si e
Success Security-
17:59:04 predefinida Administrador o una cuenta de servicio. El tipo 2 es un token elevado sin privilegios quitado
Auditing
usa un token elevado cuando Control de cuentas de usuario está habilitado y el usuario elige iniciar el p
como administrador. También se usa un token elevado cuando se configura una aplicación para que sie
administrativo o para que siempre requiera el máximo privilegio y el usuario pertenece al grupo Admini
token limitado con los privilegios administrativos quitados y los grupos administrativos deshabilitados. E
cuando Control de cuentas de usuario está habilitado, la aplicación no requiere un privilegio administrat
iniciar el programa mediante Ejecutar como administrador.
4688: Se creó un nuevo proceso. Firmante creador: Identificador de seguridad: S-1-5-18 Nombre de cu
Identificador de inicio de sesión: 0x3e7 Firmante de destino: Identificador de seguridad: S-1-0-0 Nomb
cuenta: - Identificador de inicio de sesión: 0x0 Información de proceso: Identificador del nuevo proceso
proceso: ??????????????e??? ????????? ???????????????e?????? Tipo de elevación de token: %%1936 E
16384 Identificador del proceso creador: 0x3c4 Nombre del proceso creador: ????????????????????4 Lín
proceso: ????0--?0????????????????????4 El tipo de elevación de token indica el tipo de token que se as
Microsoft-
2023-08- acuerdo con la directiva Control de cuentas de usuario. El tipo 1 es un token completo sin privilegios qu
Audit Windows-
Seguridad 13312 10 deshabilitados. Solo se usa un token completo si Control de cuentas de usuario está deshabilitado o si e
Success Security-
17:59:04 predefinida Administrador o una cuenta de servicio. El tipo 2 es un token elevado sin privilegios quitado
Auditing
usa un token elevado cuando Control de cuentas de usuario está habilitado y el usuario elige iniciar el p
como administrador. También se usa un token elevado cuando se configura una aplicación para que sie
administrativo o para que siempre requiera el máximo privilegio y el usuario pertenece al grupo Admini
token limitado con los privilegios administrativos quitados y los grupos administrativos deshabilitados. E
cuando Control de cuentas de usuario está habilitado, la aplicación no requiere un privilegio administrat
iniciar el programa mediante Ejecutar como administrador.
4688: Se creó un nuevo proceso. Firmante creador: Identificador de seguridad: S-1-5-18 Nombre de cu
Identificador de inicio de sesión: 0x3e7 Firmante de destino: Identificador de seguridad: S-1-0-0 Nomb
cuenta: - Identificador de inicio de sesión: 0x0 Información de proceso: Identificador del nuevo proceso
proceso: ????????????????-??6??0????0--?0???????????????e?????? Tipo de elevación de token: %%19
16-16384 Identificador del proceso creador: 0x3d0 Nombre del proceso creador: ???????????????e?????
proceso: ????0--?0???????????????e?????? El tipo de elevación de token indica el tipo de token que se a
Microsoft-
2023-08- acuerdo con la directiva Control de cuentas de usuario. El tipo 1 es un token completo sin privilegios qu
Audit Windows-
Seguridad 13312 10 deshabilitados. Solo se usa un token completo si Control de cuentas de usuario está deshabilitado o si e
Success Security-
17:59:04 predefinida Administrador o una cuenta de servicio. El tipo 2 es un token elevado sin privilegios quitado
Auditing
usa un token elevado cuando Control de cuentas de usuario está habilitado y el usuario elige iniciar el p
como administrador. También se usa un token elevado cuando se configura una aplicación para que sie
administrativo o para que siempre requiera el máximo privilegio y el usuario pertenece al grupo Admini
token limitado con los privilegios administrativos quitados y los grupos administrativos deshabilitados. E
cuando Control de cuentas de usuario está habilitado, la aplicación no requiere un privilegio administrat
iniciar el programa mediante Ejecutar como administrador.
4688: Se creó un nuevo proceso. Firmante creador: Identificador de seguridad: S-1-5-18 Nombre de cu
Identificador de inicio de sesión: 0x3e7 Firmante de destino: Identificador de seguridad: S-1-0-0 Nomb
cuenta: - Identificador de inicio de sesión: 0x0 Información de proceso: Identificador del nuevo proceso
proceso: ??????????????e??? ????????? ???????????????????????4? Tipo de elevación de token: %%193
16-16384 Identificador del proceso creador: 0x3d0 Nombre del proceso creador: ???????????????e?????
proceso: ????0--?0???????????????e?????? El tipo de elevación de token indica el tipo de token que se a
Microsoft-
2023-08- acuerdo con la directiva Control de cuentas de usuario. El tipo 1 es un token completo sin privilegios qu
Audit Windows-
Seguridad 13312 10 deshabilitados. Solo se usa un token completo si Control de cuentas de usuario está deshabilitado o si e
Success Security-
17:59:04 predefinida Administrador o una cuenta de servicio. El tipo 2 es un token elevado sin privilegios quitado
Auditing
usa un token elevado cuando Control de cuentas de usuario está habilitado y el usuario elige iniciar el p
como administrador. También se usa un token elevado cuando se configura una aplicación para que sie
administrativo o para que siempre requiera el máximo privilegio y el usuario pertenece al grupo Admini
token limitado con los privilegios administrativos quitados y los grupos administrativos deshabilitados. E
cuando Control de cuentas de usuario está habilitado, la aplicación no requiere un privilegio administrat
iniciar el programa mediante Ejecutar como administrador.
Microsoft-
2023-08-
Audit Windows-
Seguridad 13568 10 4902: Se creó la tabla de directiva de auditoría por usuario. Número de elementos: 0 Id. de directiva: 0
Success Security-
17:59:04
Auditing
4648: Se intentó iniciar sesión con credenciales explícitas. Sujeto: Id. de seguridad: S-1-5-18 Nombre d
$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 GUID de inicio de sesión: {00000000
Microsoft- 000000000000} Cuenta cuyas credenciales se usaron: Nombre de cuenta: UMFD-1 Dominio de cuenta:
2023-08-
Audit Windows- inicio de sesión: {00000000-0000-0000-0000-000000000000} Servidor de destino: Nombre de servido
Seguridad 12544 10
Success Security- Información adicional: localhost Información de proceso: Id. de proceso: 0x1f8 Nombre de proceso: C:\
17:59:05
Auditing \winlogon.exe Información de red: Dirección de red: - Puerto: - Este evento se genera cuando un proce
una cuenta especificando explícitamente las credenciales de la cuenta. Suele producirse en configuracio
tareas programadas, o cuando se usa el comando RUNAS.
Seguridad Audit 12544 2023-08- Microsoft- 4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Success 10 Windows- Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
17:59:05 Security- administrador restringido: - Cuenta virtual: %%1842 Token elevado: %%1843 Nivel de suplantación: %
Auditing sesión: Id. de seguridad: S-1-5-96-0-1 Nombre de cuenta: UMFD-1 Dominio de cuenta: Font Driver Ho
0x11ae6 Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID
{00000000-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x1f8 Nombre d
C:\Windows\System32\winlogon.exe Información de red: Nombre de estación de trabajo: - Dirección d
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 332 of 466
origen: - Información de autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autent
Navegación
transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se
genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema local que
Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe
sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (
de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se i
red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no
puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un pro
sesión puede suplantar. Los campos de información de autenticación proporcionan información detallad
de sesión específica. - GUID de inicio de sesión es un identificador único que se puede usar para correla
evento KDC. - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de
paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longi
generada. Será 0 si no se solicitó una clave de sesión.
4648: Se intentó iniciar sesión con credenciales explícitas. Sujeto: Id. de seguridad: S-1-5-18 Nombre d
$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 GUID de inicio de sesión: {00000000
Microsoft- 000000000000} Cuenta cuyas credenciales se usaron: Nombre de cuenta: DWM-1 Dominio de cuenta:
2023-08-
Audit Windows- inicio de sesión: {00000000-0000-0000-0000-000000000000} Servidor de destino: Nombre de servido
Seguridad 12544 10
Success Security- Información adicional: localhost Información de proceso: Id. de proceso: 0x1f8 Nombre de proceso: C:\
17:59:05
Auditing \winlogon.exe Información de red: Dirección de red: - Puerto: - Este evento se genera cuando un proce
una cuenta especificando explícitamente las credenciales de la cuenta. Suele producirse en configuracio
tareas programadas, o cuando se usa el comando RUNAS.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1842 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-90-0-1 Nombre de cuenta: DWM-1 Dominio de cuenta: Window Manage
0x124ff Inicio de sesión vinculado: 0x12532 Nombre de cuenta de red: - Dominio de cuenta de red: - G
{00000000-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x1f8 Nombre d
C:\Windows\System32\winlogon.exe Información de red: Nombre de estación de trabajo: - Dirección d
origen: - Información de autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autent
Microsoft- transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se
2023-08-
Audit Windows- genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema local que
Seguridad 12544 10
Success Security- Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe
17:59:05
Auditing sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (
de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se i
red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no
puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un pro
sesión puede suplantar. Los campos de información de autenticación proporcionan información detallad
de sesión específica. - GUID de inicio de sesión es un identificador único que se puede usar para correla
evento KDC. - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de
paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longi
generada. Será 0 si no se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1842 Token elevado: %%1843 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-90-0-1 Nombre de cuenta: DWM-1 Dominio de cuenta: Window Manage
0x12532 Inicio de sesión vinculado: 0x124ff Nombre de cuenta de red: - Dominio de cuenta de red: - G
{00000000-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x1f8 Nombre d
C:\Windows\System32\winlogon.exe Información de red: Nombre de estación de trabajo: - Dirección d
origen: - Información de autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autent
Microsoft- transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se
2023-08-
Audit Windows- genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema local que
Seguridad 12544 10
Success Security- Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe
17:59:05
Auditing sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (
de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se i
red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no
puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un pro
sesión puede suplantar. Los campos de información de autenticación proporcionan información detallad
de sesión específica. - GUID de inicio de sesión es un identificador único que se puede usar para correla
evento KDC. - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de
paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longi
generada. Será 0 si no se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-19 Nombre de cuenta: SERVICIO LOCAL Dominio de cuenta: NT AUTHO
0x3e5 Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de
-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x1e0 Nombre de proceso:
\services.exe Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto
autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servic
Microsoft- paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio.
2023-08-
Audit Windows- tuvo acceso. Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión.
Seguridad 12544 10
Success Security- servicio de servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de se
17:59:05
Auditing de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio
para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos
originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponi
blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesió
suplantar. Los campos de información de autenticación proporcionan información detallada sobre esta s
específica. - GUID de inicio de sesión es un identificador único que se puede usar para correlacionar est
- Servicios transitados indica los servicios intermedios que participaron en esta solicitud de inicio de ses
indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la
Será 0 si no se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x1e0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:59:05
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Seguridad Audit 12544 Microsoft- 4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Success Windows- Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 333 of 466
2023-08- Security- administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
10 Auditing Navegación
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
17:59:05 Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x1e0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x1e0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:59:05
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x1e0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:59:05
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x1e0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:59:05
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x1e0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:59:05
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Seguridad Audit 12544 2023-08- Microsoft- 4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Success 10 Windows- Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
17:59:05 Security- administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
Auditing sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 334 of 466
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 335 of 466
Seguridad Audit 12548 2023-08- Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
Success 10 Windows- SERVICIO LOCAL Dominio de Navegación
cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e5 Privilegios: SeAssig
17:59:05 Security- SeAuditPrivilege SeImpersonatePrivilege
Auditing
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:59:05
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:59:05
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:59:05
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:59:05
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:59:05
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:59:05
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:59:05
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:59:05
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:59:05
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:59:05
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:59:05
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:59:05
Auditing C:\Windows\System32\svchost.exe
Microsoft-
2023-08-
Audit Windows-
Seguridad 12292 10 5033: El controlador de Firewall de Windows se inició correctamente.
Success Security-
17:59:06
Auditing
Microsoft-
2023-08-
Audit Windows-
Seguridad 12292 10 5024: El servicio Firewall de Windows se inició correctamente.
Success Security-
17:59:06
Auditing
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x1e0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:59:06
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x1e0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:59:06
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 336 of 466
Seguridad Audit 12544 2023-08- Microsoft- 4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Success 10 Windows- Dominio de cuenta: WORKGROUP Navegación
Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
17:59:06 Security- administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
Auditing sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x1e0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x1e0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:59:06
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x1e0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:59:06
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x1e0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:59:06
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x1e0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:59:06
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Seguridad Audit 12544 2023-08- Microsoft- 4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Success 10 Windows- Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
17:59:06 administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 337 of 466
Security- sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Auditing Navegación
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x1e0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x1e0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:59:06
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x1e0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:59:06
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x1e0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:59:06
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x1e0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:59:06
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Seguridad Audit 12544 2023-08- Microsoft- 4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Success 10 Windows- Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
17:59:06 Security- administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
Auditing sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x1e0 Nombre de proceso: C:\Wi
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 338 of 466
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
Navegación
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:59:06
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:59:06
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:59:06
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:59:06
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:59:06
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:59:06
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:59:06
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:59:06
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:59:06
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:59:06
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:59:06
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:59:06
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:59:06
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e4 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:59:06
Auditing C:\Windows\System32\svchost.exe
Microsoft- 5061: Operación criptográfica. Sujeto: Id. de seguridad: S-1-5-21-1163546357-429208663-839679816
2023-08-
Audit Windows- USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id. de inicio de sesión: 0x3f80f Parámetros criptográf
Seguridad 12290 10
Success Security- Microsoft Software Key Storage Provider Nombre de algoritmo: ECDSA_P256 Nombre de clave: Microso
17:59:08
Auditing device certificate Tipo de clave: %%2500 Operación criptográfica: Operación: %%2480 Código de retor
Microsoft- 5061: Operación criptográfica. Sujeto: Id. de seguridad: S-1-5-19 Nombre de cuenta: SERVICIO LOCAL
2023-08-
Audit Windows- AUTHORITY Id. de inicio de sesión: 0x3e5 Parámetros criptográficos: Nombre de proveedor: Microsoft S
Seguridad 12290 10
Success Security- Nombre de algoritmo: ECDSA_P256 Nombre de clave: Microsoft Connected Devices Platform device cer
17:59:08
Auditing 2500 Operación criptográfica: Operación: %%2480 Código de retorno: 0x0
5058: Operación de archivo de clave. Tema: Id. de seguridad: S-1-5-21-1163546357-429208663-8396
cuenta: USUARIO Dominio de cuentas: DESKTOP-K618JK0 Id. de inicio de sesión: 0x3f80f Información
Microsoft-
2023-08- 4960 Hora de creación del proceso: 2023-08-10T22:59:08.4118622Z Parámetros criptográficos: Nombr
Audit Windows-
Seguridad 12292 10 Software Key Storage Provider Nombre del algoritmo: UNKNOWN Nombre de la clave: Microsoft Connec
Success Security-
17:59:08 certificate Tipo de clave: %%2500 Información de la operación de archivo de clave: Ruta del archivo:
Auditing
C:\Users\USUARIO\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_b4
d2fc0c5f591f Operación: %%2458 Código de retorno: 0x0
5059: Operación de migración de claves. Tema: Id. de seguridad: S-1-5-21-1163546357-429208663-8
Microsoft-
2023-08- cuenta: USUARIO Dominio de cuentas: DESKTOP-K618JK0 Id. de inicio de sesión: 0x3f80f Información
Audit Windows-
Seguridad 12292 10 4960 Tiempo de creación del proceso: 2023-08-10T22:59:08.4118622Z Parámetros criptográficos: Nom
Success Security-
17:59:08 Software Key Storage Provider Nombre del algoritmo: ECDSA_P256 Nombre de la clave: Microsoft Conn
Auditing
device certificate Tipo de clave: %%2500 Información adicional: Operación: %%2464 Código de retorn
5058: Operación de archivo de clave. Tema: Id. de seguridad: S-1-5-19 Nombre de cuenta: SERVICIO
NT AUTHORITY Id. de inicio de sesión: 0x3e5 Información del proceso: Id. de proceso: 5296 Hora de cr
Microsoft-
2023-08- 10T22:59:08.6472808Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software Key Stor
Audit Windows-
Seguridad 12292 10 algoritmo: UNKNOWN Nombre de la clave: Microsoft Connected Devices Platform device certificate Tipo
Success Security-
17:59:08 Información de la operación de archivo de clave: Ruta del archivo:
Auditing
C:\Windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13
-786c-44e4-b23c-d2fc0c5f591f Operación: %%2458 Código de retorno: 0x0
Seguridad Audit 12292 Microsoft- 5059: Operación de migración de claves. Tema: Id. de seguridad: S-1-5-19 Nombre de cuenta: SERVIC
Success Windows- cuentas: NT AUTHORITY Id. de inicio de sesión: 0x3e5 Información del proceso: Id. de proceso: 5296 T
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 339 of 466
2023-08- Security- proceso: 2023-08-10T22:59:08.6472808Z Parámetros criptográficos: Nombre del proveedor: Microsoft
10 Auditing Navegación
Provider Nombre del algoritmo: ECDSA_P256 Nombre de la clave: Microsoft Connected Devices Platform
17:59:08 clave: %%2500 Información adicional: Operación: %%2464 Código de retorno: 0x0
4648: Se intentó iniciar sesión con credenciales explícitas. Sujeto: Id. de seguridad: S-1-5-18 Nombre d
$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 GUID de inicio de sesión: {00000000
Microsoft- 000000000000} Cuenta cuyas credenciales se usaron: Nombre de cuenta: USUARIO Dominio de cuenta
2023-08-
Audit Windows- de inicio de sesión: {00000000-0000-0000-0000-000000000000} Servidor de destino: Nombre de serv
Seguridad 12544 10
Success Security- Información adicional: localhost Información de proceso: Id. de proceso: 0x740 Nombre de proceso: C:
17:59:08
Auditing \svchost.exe Información de red: Dirección de red: 127.0.0.1 Puerto: 0 Este evento se genera cuando u
sesión en una cuenta especificando explícitamente las credenciales de la cuenta. Suele producirse en co
como tareas programadas, o cuando se usa el comando RUNAS.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-21-1163546357-429208663-839679816-1001 Nombre de cuenta: USU
DESKTOP-K618JK0 Id. de inicio de sesión: 0x3f770 Inicio de sesión vinculado: 0x3f80f Nombre de cuen
cuenta de red: - GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000} Información d
0x740 Nombre de proceso: C:\Windows\System32\svchost.exe Información de red: Nombre de estació
K618JK0 Dirección de red de origen: 127.0.0.1 Puerto de origen: 0 Información de autenticación detalla
Microsoft- sesión: User32 Paquete de autenticación: Negotiate Servicios transitados: - Nombre de paquete (solo N
2023-08-
Audit Windows- Este evento se genera cuando se crea una sesión de inicio. Lo genera el equipo al que se tuvo acceso. L
Seguridad 12544 10
Success Security- indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un servicio como el servicio
17:59:08
Auditing como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica la clase de inicio de sesión
comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión indican la cuenta para la que
sesión, es decir, aquella en la que se inició la sesión. Los campos de red indican dónde se originó una so
remota. Nombre de estación de trabajo no está siempre disponible y se puede dejar en blanco en algun
de suplantación indica en qué medida un proceso en la sesión de inicio de sesión puede suplantar. Los c
autenticación proporcionan información detallada sobre esta solicitud de inicio de sesión específica. - GU
identificador único que se puede usar para correlacionar este evento con un evento KDC. - Servicios tra
intermedios que participaron en esta solicitud de inicio de sesión. - Nombre de paquete indica el subpro
protocolos NTLM. - Longitud de clave indica la longitud de la clave de sesión generada. Será 0 si no se s
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1843 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-21-1163546357-429208663-839679816-1001 Nombre de cuenta: USU
DESKTOP-K618JK0 Id. de inicio de sesión: 0x3f80f Inicio de sesión vinculado: 0x3f770 Nombre de cuen
cuenta de red: - GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000} Información d
0x740 Nombre de proceso: C:\Windows\System32\svchost.exe Información de red: Nombre de estació
K618JK0 Dirección de red de origen: 127.0.0.1 Puerto de origen: 0 Información de autenticación detalla
Microsoft- sesión: User32 Paquete de autenticación: Negotiate Servicios transitados: - Nombre de paquete (solo N
2023-08-
Audit Windows- Este evento se genera cuando se crea una sesión de inicio. Lo genera el equipo al que se tuvo acceso. L
Seguridad 12544 10
Success Security- indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un servicio como el servicio
17:59:08
Auditing como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica la clase de inicio de sesión
comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión indican la cuenta para la que
sesión, es decir, aquella en la que se inició la sesión. Los campos de red indican dónde se originó una so
remota. Nombre de estación de trabajo no está siempre disponible y se puede dejar en blanco en algun
de suplantación indica en qué medida un proceso en la sesión de inicio de sesión puede suplantar. Los c
autenticación proporcionan información detallada sobre esta solicitud de inicio de sesión específica. - GU
identificador único que se puede usar para correlacionar este evento con un evento KDC. - Servicios tra
intermedios que participaron en esta solicitud de inicio de sesión. - Nombre de paquete indica el subpro
protocolos NTLM. - Longitud de clave indica la longitud de la clave de sesión generada. Será 0 si no se s
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x1e0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:59:08
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id. de inicio de
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:59:08
Auditing SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:59:08
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4798: Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18
2023-08-
Audit Windows- -K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Usuario: Id. de seguridad: S
Seguridad 13824 10
Success Security- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Info
17:59:08
Auditing proceso: 0x470 Nombre de proceso: C:\Windows\System32\LogonUI.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:59:08
Auditing C:\Windows\System32\svchost.exe
Microsoft- 4798: Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-21
2023-08-
Audit Windows- 839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id. de inicio de
Seguridad 13824 10
Success Security- de seguridad: S-1-5-21-1163546357-429208663-839679816-1001 Nombre de cuenta: USUARIO Domi
17:59:09
Auditing K618JK0 Información de proceso: Id. de proceso: 0x14bc Nombre de proceso: C:\Windows\explorer.ex
Seguridad Audit 12544 2023-08- Microsoft- 4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Success 10 Windows- Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
17:59:10 Security- administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
Auditing sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x1e0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 340 of 466
que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
Navegación
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x1e0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:59:10
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:59:10
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:59:10
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 10
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
17:59:10
Auditing C:\Windows\System32\SearchIndexer.exe
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x1e0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:59:12
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x1e0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:59:12
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:59:12
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:59:12
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
17:59:12 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
17:59:12 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
17:59:12 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 341 of 466
Seguridad Audit 13824 2023-08- Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Success 10 Windows- DESKTOP-K618JK0$ Dominio Navegación
de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
17:59:12 Security- se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
17:59:12 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
17:59:12 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 10 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
17:59:12 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:59:12
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:59:12
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:59:12
Auditing almacenadas en el Administrador de credenciales.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x1e0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:59:15
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:59:15
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x1e0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:59:17
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x1e0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:59:17
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Seguridad Audit 12544 2023-08- Microsoft- 4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Success 10 Windows- Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
17:59:17 Security- administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
Auditing sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x1e0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 342 of 466
servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
que se realizó. Los tipos másNavegación
comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x1e0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:59:17
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x1e0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:59:17
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x1e0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:59:17
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x1e0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:59:17
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Seguridad Audit 12544 2023-08- Microsoft- 4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Success 10 Windows- Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
17:59:17 Security- administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
Auditing sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x1e0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 343 of 466
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de Navegación
suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x1e0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:59:17
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x1e0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:59:17
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x1e0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:59:17
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x1e0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:59:17
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Seguridad Audit 12544 2023-08- Microsoft- 4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Success 10 Windows- Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
17:59:17 Security- administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
Auditing sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x1e0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 344 of 466
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
Navegación
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x1e0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:59:17
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x1e0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:59:17
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x1e0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:59:17
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x1e0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:59:17
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Seguridad Audit 12544 2023-08- Microsoft- 4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Success 10 Windows- Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
17:59:17 Security- administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
Auditing sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x1e0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 345 of 466
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
Navegación
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x1e0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:59:17
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x1e0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:59:17
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x1e0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:59:17
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x1e0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:59:17
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x1e0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:59:17
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Seguridad 12544
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 346 of 466
Audit 2023-08- Microsoft- 4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Success 10 Windows- Dominio de cuenta: WORKGROUP Navegación
Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
17:59:17 Security- administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
Auditing sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x1e0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x1e0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:59:17
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x1e0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:59:17
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x1e0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:59:17
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x1e0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:59:17
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Seguridad Audit 12544 2023-08- Microsoft- 4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Success 10 Windows- Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
17:59:17 administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 347 of 466
Security- sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Auditing Navegación
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x1e0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x1e0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:59:17
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x1e0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:59:17
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x1e0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:59:17
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x1e0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:59:17
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Seguridad Audit 12544 2023-08- Microsoft- 4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Success 10 Windows- Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
17:59:17 Security- administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
Auditing sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x1e0 Nombre de proceso: C:\Wi
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 348 of 466
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
Navegación
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x1e0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:59:17
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x1e0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:59:17
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:59:17
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:59:17
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:59:17
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:59:17
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:59:17
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:59:17
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:59:17
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:59:17
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:59:17
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:59:17
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:59:17
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Seguridad Audit 12548 2023-08- Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
Success 10 Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
17:59:17
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 349 of 466
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 350 of 466
Seguridad Audit 13826 2023-08- Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
Success 10 Windows- cuenta: DESKTOP-K618JK0$Navegación
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
17:59:17 Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
Auditing C:\Windows\System32\svchost.exe
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x1e0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:59:21
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:59:21
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:59:22
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 10
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
17:59:22
Auditing almacenadas en el Administrador de credenciales.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x1e0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:59:27
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:59:27
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x1e0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
17:59:56
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:59:56
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Seguridad Audit 12544 2023-08- Microsoft- 4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Success 10 Windows- Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
17:59:57 Security- administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
Auditing sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x1e0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 351 of 466
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
Navegación
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
17:59:57
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x1e0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
18:00:15
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x1e0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 10
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
18:00:15
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
18:00:15
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 10
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
18:00:15
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
4648: Se intentó iniciar sesión con credenciales explícitas. Sujeto: Id. de seguridad: S-1-5-18 Nombre d
$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 GUID de inicio de sesión: {00000000
Microsoft- 000000000000} Cuenta cuyas credenciales se usaron: Nombre de cuenta: UMFD-2 Dominio de cuenta:
2023-08-
Audit Windows- inicio de sesión: {00000000-0000-0000-0000-000000000000} Servidor de destino: Nombre de servido
Seguridad 12544 10
Success Security- Información adicional: localhost Información de proceso: Id. de proceso: 0x1c8c Nombre de proceso: C
18:00:42
Auditing \winlogon.exe Información de red: Dirección de red: - Puerto: - Este evento se genera cuando un proce
una cuenta especificando explícitamente las credenciales de la cuenta. Suele producirse en configuracio
tareas programadas, o cuando se usa el comando RUNAS.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1842 Token elevado: %%1843 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-96-0-2 Nombre de cuenta: UMFD-2 Dominio de cuenta: Font Driver Ho
0xcdd4a Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID
{00000000-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x1c8c Nombre
C:\Windows\System32\winlogon.exe Información de red: Nombre de estación de trabajo: - Dirección d
origen: - Información de autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autent
Microsoft- transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se
2023-08-
Audit Windows- genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema local que
Seguridad 12544 10
Success Security- Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe
18:00:42
Auditing sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (
de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se i
red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no
puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un pro
sesión puede suplantar. Los campos de información de autenticación proporcionan información detallad
de sesión específica. - GUID de inicio de sesión es un identificador único que se puede usar para correla
evento KDC. - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de
paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longi
generada. Será 0 si no se solicitó una clave de sesión.
4648: Se intentó iniciar sesión con credenciales explícitas. Sujeto: Id. de seguridad: S-1-5-18 Nombre d
$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 GUID de inicio de sesión: {00000000
Microsoft- 000000000000} Cuenta cuyas credenciales se usaron: Nombre de cuenta: DWM-2 Dominio de cuenta:
2023-08-
Audit Windows- inicio de sesión: {00000000-0000-0000-0000-000000000000} Servidor de destino: Nombre de servido
Seguridad 12544 10
Success Security- Información adicional: localhost Información de proceso: Id. de proceso: 0x1c8c Nombre de proceso: C
18:00:42
Auditing \winlogon.exe Información de red: Dirección de red: - Puerto: - Este evento se genera cuando un proce
una cuenta especificando explícitamente las credenciales de la cuenta. Suele producirse en configuracio
tareas programadas, o cuando se usa el comando RUNAS.
Seguridad Audit 12544 2023-08- Microsoft- 4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Success 10 Windows- Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
18:00:42 Security- administrador restringido: - Cuenta virtual: %%1842 Token elevado: %%1842 Nivel de suplantación: %
Auditing sesión: Id. de seguridad: S-1-5-90-0-2 Nombre de cuenta: DWM-2 Dominio de cuenta: Window Manage
0xce802 Inicio de sesión vinculado: 0xce822 Nombre de cuenta de red: - Dominio de cuenta de red: - G
{00000000-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x1c8c Nombre
C:\Windows\System32\winlogon.exe Información de red: Nombre de estación de trabajo: - Dirección d
origen: - Información de autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autent
transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se
genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema local que
Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe
sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 352 of 466
de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se i
red indican dónde se originóNavegación
una solicitud de inicio de sesión remota. Nombre de estación de trabajo no
puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un pro
sesión puede suplantar. Los campos de información de autenticación proporcionan información detallad
de sesión específica. - GUID de inicio de sesión es un identificador único que se puede usar para correla
evento KDC. - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de
paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longi
generada. Será 0 si no se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1842 Token elevado: %%1843 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-90-0-2 Nombre de cuenta: DWM-2 Dominio de cuenta: Window Manage
0xce822 Inicio de sesión vinculado: 0xce802 Nombre de cuenta de red: - Dominio de cuenta de red: - G
{00000000-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x1c8c Nombre
C:\Windows\System32\winlogon.exe Información de red: Nombre de estación de trabajo: - Dirección d
origen: - Información de autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autent
Microsoft- transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se
2023-08-
Audit Windows- genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema local que
Seguridad 12544 10
Success Security- Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe
18:00:42
Auditing sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (
de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se i
red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no
puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un pro
sesión puede suplantar. Los campos de información de autenticación proporcionan información detallad
de sesión específica. - GUID de inicio de sesión es un identificador único que se puede usar para correla
evento KDC. - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de
paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longi
generada. Será 0 si no se solicitó una clave de sesión.
Microsoft-
2023-08- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-9
Audit Windows-
Seguridad 12548 10 DWM-2 Dominio de cuenta: Window Manager Id. de inicio de sesión: 0xce802 Privilegios: SeAssignPrim
Success Security-
18:00:42 SeAuditPrivilege SeImpersonatePrivilege
Auditing
Microsoft-
2023-08- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-9
Audit Windows-
Seguridad 12548 10 DWM-2 Dominio de cuenta: Window Manager Id. de inicio de sesión: 0xce822 Privilegios: SeAssignPrim
Success Security-
18:00:42 SeAuditPrivilege
Auditing
Microsoft- 4647: Cierre de sesión iniciado por el usuario: Sujeto: Id. de seguridad: S-1-5-21-1163546357-429208
2023-08-
Audit Windows- Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id. de inicio de sesión: 0x3f80f Es
Seguridad 12545 10
Success Security- se inicia un cierre de sesión. No se puede producir ninguna actividad adicional iniciada por el usuario. E
18:00:43
Auditing interpretar como un evento de cierre de sesión.
Microsoft- 4634: Se cerró sesión en una cuenta. Sujeto: Id. de seguridad: S-1-5-96-0-1 Nombre de cuenta: UMFD
2023-08-
Audit Windows- Driver Host Id. de inicio de sesión: 0x11ae6 Tipo de inicio de sesión: 2 Este evento se genera cuando se
Seguridad 12545 10
Success Security- inicio. Puede estar correlacionado de manera positiva con un evento de inicio de sesión mediante el valo
18:00:43
Auditing id. de inicio de sesión solo son únicos entre reinicios en el mismo equipo.
Microsoft- 4798: Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18
2023-08-
Audit Windows- -K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Usuario: Id. de seguridad: S
Seguridad 13824 10
Success Security- 429208663-839679816-500 Nombre de cuenta: Administrador Dominio de cuenta: DESKTOP-K618JK0
18:00:43
Auditing de proceso: 0x740 Nombre de proceso: C:\Windows\System32\svchost.exe
Microsoft- 4798: Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18
2023-08-
Audit Windows- -K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Usuario: Id. de seguridad: S
Seguridad 13824 10
Success Security- 429208663-839679816-503 Nombre de cuenta: DefaultAccount Dominio de cuenta: DESKTOP-K618JK0
18:00:43
Auditing de proceso: 0x740 Nombre de proceso: C:\Windows\System32\svchost.exe
Microsoft- 4798: Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18
2023-08-
Audit Windows- -K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Usuario: Id. de seguridad: S
Seguridad 13824 10
Success Security- 429208663-839679816-501 Nombre de cuenta: Invitado Dominio de cuenta: DESKTOP-K618JK0 Inform
18:00:43
Auditing proceso: 0x740 Nombre de proceso: C:\Windows\System32\svchost.exe
Microsoft- 4798: Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18
2023-08-
Audit Windows- -K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Usuario: Id. de seguridad: S
Seguridad 13824 10
Success Security- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Info
18:00:43
Auditing proceso: 0x740 Nombre de proceso: C:\Windows\System32\svchost.exe
Microsoft- 4798: Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18
2023-08-
Audit Windows- -K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Usuario: Id. de seguridad: S
Seguridad 13824 10
Success Security- 429208663-839679816-504 Nombre de cuenta: WDAGUtilityAccount Dominio de cuenta: DESKTOP-K61
18:00:43
Auditing proceso: Id. de proceso: 0x740 Nombre de proceso: C:\Windows\System32\svchost.exe
Microsoft- 4634: Se cerró sesión en una cuenta. Sujeto: Id. de seguridad: S-1-5-90-0-1 Nombre de cuenta: DWM
2023-08-
Audit Windows- Window Manager Id. de inicio de sesión: 0x12532 Tipo de inicio de sesión: 2 Este evento se genera cua
Seguridad 12545 10
Success Security- de inicio. Puede estar correlacionado de manera positiva con un evento de inicio de sesión mediante el
18:00:45
Auditing Los id. de inicio de sesión solo son únicos entre reinicios en el mismo equipo.
Microsoft- 4634: Se cerró sesión en una cuenta. Sujeto: Id. de seguridad: S-1-5-90-0-1 Nombre de cuenta: DWM
2023-08-
Audit Windows- Window Manager Id. de inicio de sesión: 0x124ff Tipo de inicio de sesión: 2 Este evento se genera cuan
Seguridad 12545 10
Success Security- inicio. Puede estar correlacionado de manera positiva con un evento de inicio de sesión mediante el valo
18:00:45
Auditing id. de inicio de sesión solo son únicos entre reinicios en el mismo equipo.
Microsoft- 5061: Operación criptográfica. Sujeto: Id. de seguridad: S-1-5-21-1163546357-429208663-839679816
2023-08-
Audit Windows- USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id. de inicio de sesión: 0xde989 Parámetros criptográ
Seguridad 12290 11
Success Security- Microsoft Software Key Storage Provider Nombre de algoritmo: ECDSA_P256 Nombre de clave: Microso
09:03:50
Auditing device certificate Tipo de clave: %%2500 Operación criptográfica: Operación: %%2480 Código de retor
5058: Operación de archivo de clave. Tema: Id. de seguridad: S-1-5-21-1163546357-429208663-8396
cuenta: USUARIO Dominio de cuentas: DESKTOP-K618JK0 Id. de inicio de sesión: 0xde989 Información
Microsoft-
2023-08- 3292 Hora de creación del proceso: 2023-08-11T14:03:50.6608598Z Parámetros criptográficos: Nombr
Audit Windows-
Seguridad 12292 11 Software Key Storage Provider Nombre del algoritmo: UNKNOWN Nombre de la clave: Microsoft Connec
Success Security-
09:03:50 certificate Tipo de clave: %%2500 Información de la operación de archivo de clave: Ruta del archivo:
Auditing
C:\Users\USUARIO\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_b4
d2fc0c5f591f Operación: %%2458 Código de retorno: 0x0
5059: Operación de migración de claves. Tema: Id. de seguridad: S-1-5-21-1163546357-429208663-8
Microsoft-
2023-08- cuenta: USUARIO Dominio de cuentas: DESKTOP-K618JK0 Id. de inicio de sesión: 0xde989 Información
Audit Windows-
Seguridad 12292 11 3292 Tiempo de creación del proceso: 2023-08-11T14:03:50.6608598Z Parámetros criptográficos: Nom
Success Security-
09:03:50 Software Key Storage Provider Nombre del algoritmo: ECDSA_P256 Nombre de la clave: Microsoft Conn
Auditing
device certificate Tipo de clave: %%2500 Información adicional: Operación: %%2464 Código de retorn
4648: Se intentó iniciar sesión con credenciales explícitas. Sujeto: Id. de seguridad: S-1-5-18 Nombre d
$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 GUID de inicio de sesión: {00000000
Microsoft- 000000000000} Cuenta cuyas credenciales se usaron: Nombre de cuenta: USUARIO Dominio de cuenta
2023-08-
Audit Windows- de inicio de sesión: {00000000-0000-0000-0000-000000000000} Servidor de destino: Nombre de serv
Seguridad 12544 11
Success Security- Información adicional: localhost Información de proceso: Id. de proceso: 0x740 Nombre de proceso: C:
09:03:50
Auditing \svchost.exe Información de red: Dirección de red: 127.0.0.1 Puerto: 0 Este evento se genera cuando u
sesión en una cuenta especificando explícitamente las credenciales de la cuenta. Suele producirse en co
como tareas programadas, o cuando se usa el comando RUNAS.
Seguridad Audit 12544 2023-08- Microsoft- 4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Success 11 Windows- Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
09:03:50 Security- administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
Auditing sesión: Id. de seguridad: S-1-5-21-1163546357-429208663-839679816-1001 Nombre de cuenta: USU
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 353 of 466
DESKTOP-K618JK0 Id. de inicio de sesión: 0xde969 Inicio de sesión vinculado: 0xde989 Nombre de cue
Navegación
cuenta de red: - GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000} Información d
0x740 Nombre de proceso: C:\Windows\System32\svchost.exe Información de red: Nombre de estació
K618JK0 Dirección de red de origen: 127.0.0.1 Puerto de origen: 0 Información de autenticación detalla
sesión: User32 Paquete de autenticación: Negotiate Servicios transitados: - Nombre de paquete (solo N
Este evento se genera cuando se crea una sesión de inicio. Lo genera el equipo al que se tuvo acceso. L
indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un servicio como el servicio
como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica la clase de inicio de sesión
comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión indican la cuenta para la que
sesión, es decir, aquella en la que se inició la sesión. Los campos de red indican dónde se originó una so
remota. Nombre de estación de trabajo no está siempre disponible y se puede dejar en blanco en algun
de suplantación indica en qué medida un proceso en la sesión de inicio de sesión puede suplantar. Los c
autenticación proporcionan información detallada sobre esta solicitud de inicio de sesión específica. - GU
identificador único que se puede usar para correlacionar este evento con un evento KDC. - Servicios tra
intermedios que participaron en esta solicitud de inicio de sesión. - Nombre de paquete indica el subpro
protocolos NTLM. - Longitud de clave indica la longitud de la clave de sesión generada. Será 0 si no se s
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1843 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-21-1163546357-429208663-839679816-1001 Nombre de cuenta: USU
DESKTOP-K618JK0 Id. de inicio de sesión: 0xde989 Inicio de sesión vinculado: 0xde969 Nombre de cue
cuenta de red: - GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000} Información d
0x740 Nombre de proceso: C:\Windows\System32\svchost.exe Información de red: Nombre de estació
K618JK0 Dirección de red de origen: 127.0.0.1 Puerto de origen: 0 Información de autenticación detalla
Microsoft- sesión: User32 Paquete de autenticación: Negotiate Servicios transitados: - Nombre de paquete (solo N
2023-08-
Audit Windows- Este evento se genera cuando se crea una sesión de inicio. Lo genera el equipo al que se tuvo acceso. L
Seguridad 12544 11
Success Security- indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un servicio como el servicio
09:03:50
Auditing como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica la clase de inicio de sesión
comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión indican la cuenta para la que
sesión, es decir, aquella en la que se inició la sesión. Los campos de red indican dónde se originó una so
remota. Nombre de estación de trabajo no está siempre disponible y se puede dejar en blanco en algun
de suplantación indica en qué medida un proceso en la sesión de inicio de sesión puede suplantar. Los c
autenticación proporcionan información detallada sobre esta solicitud de inicio de sesión específica. - GU
identificador único que se puede usar para correlacionar este evento con un evento KDC. - Servicios tra
intermedios que participaron en esta solicitud de inicio de sesión. - Nombre de paquete indica el subpro
protocolos NTLM. - Longitud de clave indica la longitud de la clave de sesión generada. Será 0 si no se s
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x1e0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
09:03:50
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id. de inicio de
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
09:03:50
Auditing SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
09:03:50
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4798: Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18
2023-08-
Audit Windows- -K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Usuario: Id. de seguridad: S
Seguridad 13824 11
Success Security- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Info
09:03:50
Auditing proceso: 0x564 Nombre de proceso: C:\Windows\System32\LogonUI.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 11
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
09:03:50
Auditing C:\Windows\System32\svchost.exe
Microsoft- 4798: Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-21
2023-08-
Audit Windows- 839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id. de inicio de
Seguridad 13824 11
Success Security- de seguridad: S-1-5-21-1163546357-429208663-839679816-1001 Nombre de cuenta: USUARIO Domi
09:03:51
Auditing K618JK0 Información de proceso: Id. de proceso: 0x1b10 Nombre de proceso: C:\Windows\explorer.ex
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x1e0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
09:03:54
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
09:03:54
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Seguridad Audit 12544 Microsoft- 4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Success Windows- Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 354 of 466
2023-08- Security- administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
11 Auditing Navegación
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
09:04:03 Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x1e0 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
09:04:03
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft-
2023-08- 5382: Se leyeron las credenciales de bóveda. Asunto: Id. de seguridad: S-1-5-18 Nombre de la cuenta:
Audit Windows-
Seguridad 13824 11 de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Este evento se produce cuando un usuario lee
Success Security-
09:04:03 en el almacén.
Auditing
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
09:04:04
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
09:04:04
Auditing almacenadas en el Administrador de credenciales.
2023-08- Microsoft-
Audit
Seguridad 103 11 Windows- 1100: Se cerró el servicio de registro de eventos.
Success
09:04:06 Eventlog
Microsoft- 4647: Cierre de sesión iniciado por el usuario: Sujeto: Id. de seguridad: S-1-5-21-1163546357-429208
2023-08-
Audit Windows- Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id. de inicio de sesión: 0xde989 E
Seguridad 12545 11
Success Security- se inicia un cierre de sesión. No se puede producir ninguna actividad adicional iniciada por el usuario. E
09:04:06
Auditing interpretar como un evento de cierre de sesión.
Microsoft- 4798: Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18
2023-08-
Audit Windows- -K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Usuario: Id. de seguridad: S
Seguridad 13824 11
Success Security- 429208663-839679816-500 Nombre de cuenta: Administrador Dominio de cuenta: DESKTOP-K618JK0
09:04:06
Auditing de proceso: 0x740 Nombre de proceso: C:\Windows\System32\svchost.exe
Microsoft- 4798: Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18
2023-08-
Audit Windows- -K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Usuario: Id. de seguridad: S
Seguridad 13824 11
Success Security- 429208663-839679816-503 Nombre de cuenta: DefaultAccount Dominio de cuenta: DESKTOP-K618JK0
09:04:06
Auditing de proceso: 0x740 Nombre de proceso: C:\Windows\System32\svchost.exe
Microsoft- 4798: Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18
2023-08-
Audit Windows- -K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Usuario: Id. de seguridad: S
Seguridad 13824 11
Success Security- 429208663-839679816-501 Nombre de cuenta: Invitado Dominio de cuenta: DESKTOP-K618JK0 Inform
09:04:06
Auditing proceso: 0x740 Nombre de proceso: C:\Windows\System32\svchost.exe
Microsoft- 4798: Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18
2023-08-
Audit Windows- -K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Usuario: Id. de seguridad: S
Seguridad 13824 11
Success Security- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Info
09:04:06
Auditing proceso: 0x740 Nombre de proceso: C:\Windows\System32\svchost.exe
Microsoft- 4798: Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18
2023-08-
Audit Windows- -K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Usuario: Id. de seguridad: S
Seguridad 13824 11
Success Security- 429208663-839679816-504 Nombre de cuenta: WDAGUtilityAccount Dominio de cuenta: DESKTOP-K61
09:04:06
Auditing proceso: Id. de proceso: 0x740 Nombre de proceso: C:\Windows\System32\svchost.exe
4688: Se creó un nuevo proceso. Firmante creador: Identificador de seguridad: S-1-5-18 Nombre de cu
Identificador de inicio de sesión: 0x3e7 Firmante de destino: Identificador de seguridad: S-1-0-0 Nomb
cuenta: - Identificador de inicio de sesión: 0x0 Información de proceso: Identificador del nuevo proceso
proceso: ????-??6?4????0--?0??????? Tipo de elevación de token: %%1936 Etiqueta obligatoria: S-1-16
proceso creador: 0x4 Nombre del proceso creador: ??????? Línea de comandos de proceso: ????0--?0??
Microsoft- token indica el tipo de token que se asignó al nuevo proceso de acuerdo con la directiva Control de cuen
2023-08-
Audit Windows- un token completo sin privilegios quitados ni grupos deshabilitados. Solo se usa un token completo si C
Seguridad 13312 11
Success Security- está deshabilitado o si el usuario es la cuenta predefinida Administrador o una cuenta de servicio. El tip
09:07:27
Auditing privilegios quitados ni grupos deshabilitados. Se usa un token elevado cuando Control de cuentas de us
usuario elige iniciar el programa mediante Ejecutar como administrador. También se usa un token eleva
aplicación para que siempre requiera un privilegio administrativo o para que siempre requiera el máxim
pertenece al grupo Administradores. El tipo 3 es un token limitado con los privilegios administrativos qu
administrativos deshabilitados. El token limitado se usa cuando Control de cuentas de usuario está habi
requiere un privilegio administrativo y el usuario no elige iniciar el programa mediante Ejecutar como ad
Microsoft- 4696: Se asignó un símbolo (token) primario al proceso. Sujeto: Id. de seguridad: S-1-5-18 Nombre de
2023-08-
Audit Windows- cuenta: - Id. de inicio de sesión: 0x3e7 Información de proceso: Id. de proceso: 0x4 Nombre de proces
Seguridad 13312 11
Success Security- de proceso de destino: 0x7c Nombre de proceso de destino: Registry Información de nuevo símbolo: Id
09:07:27
Auditing Nombre de cuenta: - Dominio de cuenta: - Id. de inicio de sesión: 0x3e7
4688: Se creó un nuevo proceso. Firmante creador: Identificador de seguridad: S-1-5-18 Nombre de cu
Identificador de inicio de sesión: 0x3e7 Firmante de destino: Identificador de seguridad: S-1-0-0 Nomb
cuenta: - Identificador de inicio de sesión: 0x0 Información de proceso: Identificador del nuevo proceso
proceso: ??????????????-??6?4????0--?0??????? Tipo de elevación de token: %%1936 Etiqueta obligato
Identificador del proceso creador: 0x4 Nombre del proceso creador: ??????? Línea de comandos de proc
Microsoft- de elevación de token indica el tipo de token que se asignó al nuevo proceso de acuerdo con la directiva
2023-08-
Audit Windows- usuario. El tipo 1 es un token completo sin privilegios quitados ni grupos deshabilitados. Solo se usa un
Seguridad 13312 11
Success Security- cuentas de usuario está deshabilitado o si el usuario es la cuenta predefinida Administrador o una cuent
09:07:27
Auditing token elevado sin privilegios quitados ni grupos deshabilitados. Se usa un token elevado cuando Contro
habilitado y el usuario elige iniciar el programa mediante Ejecutar como administrador. También se usa
configura una aplicación para que siempre requiera un privilegio administrativo o para que siempre requ
usuario pertenece al grupo Administradores. El tipo 3 es un token limitado con los privilegios administra
administrativos deshabilitados. El token limitado se usa cuando Control de cuentas de usuario está habi
requiere un privilegio administrativo y el usuario no elige iniciar el programa mediante Ejecutar como ad
Seguridad Audit 13312 2023-08- Microsoft- 4688: Se creó un nuevo proceso. Firmante creador: Identificador de seguridad: S-1-5-18 Nombre de cu
Success 11 Windows- Identificador de inicio de sesión: 0x3e7 Firmante de destino: Identificador de seguridad: S-1-0-0 Nomb
09:07:27 Security- cuenta: - Identificador de inicio de sesión: 0x0 Información de proceso: Identificador del nuevo proceso
Auditing proceso: ???????????????e??? ????????? ???????????????e?????? Tipo de elevación de token: %%1936
16384 Identificador del proceso creador: 0x1a4 Nombre del proceso creador: ????????????????????4 Lín
proceso: ????0--?0????????????????????4 El tipo de elevación de token indica el tipo de token que se as
acuerdo con la directiva Control de cuentas de usuario. El tipo 1 es un token completo sin privilegios qu
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 355 of 466
deshabilitados. Solo se usa un token completo si Control de cuentas de usuario está deshabilitado o si e
predefinida Administrador o Navegación
una cuenta de servicio. El tipo 2 es un token elevado sin privilegios quitado
usa un token elevado cuando Control de cuentas de usuario está habilitado y el usuario elige iniciar el p
como administrador. También se usa un token elevado cuando se configura una aplicación para que sie
administrativo o para que siempre requiera el máximo privilegio y el usuario pertenece al grupo Admini
token limitado con los privilegios administrativos quitados y los grupos administrativos deshabilitados. E
cuando Control de cuentas de usuario está habilitado, la aplicación no requiere un privilegio administrat
iniciar el programa mediante Ejecutar como administrador.
4826: Se cargaron los datos de configuración de arranque. Asunto: Id. de seguridad: S-1-5-18 Nombre
Microsoft- cuenta: - Id. de inicio de sesión: 0x3e7 Configuración general: Opciones de carga: - Opciones avanzada
2023-08-
Audit Windows- acceso a la configuración: %%1846 Registro de eventos del sistema: %%1843 Depuración del kernel:
Seguridad 13573 11
Success Security- VSM: %%1848 Configuración de la firma: Firma de prueba: %%1843 Firma de desarrollo: %%1843 De
09:07:27
Auditing integridad: %%1843 Configuración del hipervisor: Opciones de carga del hipervisor: - Tipo de inicio del
Depuración del hipervisor: %%1843
4688: Se creó un nuevo proceso. Firmante creador: Identificador de seguridad: S-1-5-18 Nombre de cu
Identificador de inicio de sesión: 0x3e7 Firmante de destino: Identificador de seguridad: S-1-0-0 Nomb
cuenta: - Identificador de inicio de sesión: 0x0 Información de proceso: Identificador del nuevo proceso
proceso: ??????????????-??6??4????0--?0????????????????????4? Tipo de elevación de token: %%1936
16384 Identificador del proceso creador: 0x1a4 Nombre del proceso creador: ????????????????????4? L
proceso: ????0--?0????????????????????4? El tipo de elevación de token indica el tipo de token que se a
Microsoft-
2023-08- acuerdo con la directiva Control de cuentas de usuario. El tipo 1 es un token completo sin privilegios qu
Audit Windows-
Seguridad 13312 11 deshabilitados. Solo se usa un token completo si Control de cuentas de usuario está deshabilitado o si e
Success Security-
09:07:28 predefinida Administrador o una cuenta de servicio. El tipo 2 es un token elevado sin privilegios quitado
Auditing
usa un token elevado cuando Control de cuentas de usuario está habilitado y el usuario elige iniciar el p
como administrador. También se usa un token elevado cuando se configura una aplicación para que sie
administrativo o para que siempre requiera el máximo privilegio y el usuario pertenece al grupo Admini
token limitado con los privilegios administrativos quitados y los grupos administrativos deshabilitados. E
cuando Control de cuentas de usuario está habilitado, la aplicación no requiere un privilegio administrat
iniciar el programa mediante Ejecutar como administrador.
4688: Se creó un nuevo proceso. Firmante creador: Identificador de seguridad: S-1-5-18 Nombre de cu
Identificador de inicio de sesión: 0x3e7 Firmante de destino: Identificador de seguridad: S-1-0-0 Nomb
cuenta: - Identificador de inicio de sesión: 0x0 Información de proceso: Identificador del nuevo proceso
proceso: ??????????????e??? ????????? ???????????????e?????? Tipo de elevación de token: %%1936 E
16384 Identificador del proceso creador: 0x1f8 Nombre del proceso creador: ????????????????????4 Lín
proceso: ????0--?0????????????????????4 El tipo de elevación de token indica el tipo de token que se as
Microsoft-
2023-08- acuerdo con la directiva Control de cuentas de usuario. El tipo 1 es un token completo sin privilegios qu
Audit Windows-
Seguridad 13312 11 deshabilitados. Solo se usa un token completo si Control de cuentas de usuario está deshabilitado o si e
Success Security-
09:07:31 predefinida Administrador o una cuenta de servicio. El tipo 2 es un token elevado sin privilegios quitado
Auditing
usa un token elevado cuando Control de cuentas de usuario está habilitado y el usuario elige iniciar el p
como administrador. También se usa un token elevado cuando se configura una aplicación para que sie
administrativo o para que siempre requiera el máximo privilegio y el usuario pertenece al grupo Admini
token limitado con los privilegios administrativos quitados y los grupos administrativos deshabilitados. E
cuando Control de cuentas de usuario está habilitado, la aplicación no requiere un privilegio administrat
iniciar el programa mediante Ejecutar como administrador.
Microsoft-
2023-08-
Audit Windows-
Seguridad 12288 11 4608: Se está iniciando Windows. Este evento se registra cuando se inicia LSASS.EXE y se inicializa el s
Success Security-
09:07:32
Auditing
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-0-0 Nombre de cu
Id. de inicio de sesión: 0x0 Información de inicio de sesión: Tipo de inicio de sesión: 0 Modo de adminis
virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: - Nuevo inicio de sesión: Id. de segu
cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Inicio de sesión vinc
de red: - Dominio de cuenta de red: - GUID de inicio de sesión: {00000000-0000-0000-0000-00000000
proceso: Id. de proceso: 0x4 Nombre de proceso: ? Información de red: Nombre de estación de trabajo
origen: - Puerto de origen: - Información de autenticación detallada: Proceso de inicio de sesión: - Paqu
Servicios transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera
Microsoft-
2023-08- inicio. Lo genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema
Audit Windows-
Seguridad 12544 11 sesión. Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Servi
Success Security-
09:07:32 inicio de sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interacti
Auditing
Nuevo inicio de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella e
Los campos de red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estació
disponible y se puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qu
sesión de inicio de sesión puede suplantar. Los campos de información de autenticación proporcionan in
esta solicitud de inicio de sesión específica. - GUID de inicio de sesión es un identificador único que se p
este evento con un evento KDC. - Servicios transitados indica los servicios intermedios que participaron
sesión. - Nombre de paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de
clave de sesión generada. Será 0 si no se solicitó una clave de sesión.
4688: Se creó un nuevo proceso. Firmante creador: Identificador de seguridad: S-1-5-18 Nombre de cu
Identificador de inicio de sesión: 0x3e7 Firmante de destino: Identificador de seguridad: S-1-0-0 Nomb
cuenta: - Identificador de inicio de sesión: 0x0 Información de proceso: Identificador del nuevo proceso
proceso: ??????????????-??6??4????0--?0????????????????????4? Tipo de elevación de token: %%1936
16384 Identificador del proceso creador: 0x1a4 Nombre del proceso creador: ????????????????????4? L
proceso: ????0--?0????????????????????4? El tipo de elevación de token indica el tipo de token que se a
Microsoft-
2023-08- acuerdo con la directiva Control de cuentas de usuario. El tipo 1 es un token completo sin privilegios qu
Audit Windows-
Seguridad 13312 11 deshabilitados. Solo se usa un token completo si Control de cuentas de usuario está deshabilitado o si e
Success Security-
09:07:32 predefinida Administrador o una cuenta de servicio. El tipo 2 es un token elevado sin privilegios quitado
Auditing
usa un token elevado cuando Control de cuentas de usuario está habilitado y el usuario elige iniciar el p
como administrador. También se usa un token elevado cuando se configura una aplicación para que sie
administrativo o para que siempre requiera el máximo privilegio y el usuario pertenece al grupo Admini
token limitado con los privilegios administrativos quitados y los grupos administrativos deshabilitados. E
cuando Control de cuentas de usuario está habilitado, la aplicación no requiere un privilegio administrat
iniciar el programa mediante Ejecutar como administrador.
4688: Se creó un nuevo proceso. Firmante creador: Identificador de seguridad: S-1-5-18 Nombre de cu
Identificador de inicio de sesión: 0x3e7 Firmante de destino: Identificador de seguridad: S-1-0-0 Nomb
cuenta: - Identificador de inicio de sesión: 0x0 Información de proceso: Identificador del nuevo proceso
proceso: ???????????????e??? ????????? ???????????????e?????? Tipo de elevación de token: %%1936
16384 Identificador del proceso creador: 0x1f8 Nombre del proceso creador: ????????????????????4 Lín
proceso: ????0--?0????????????????????4 El tipo de elevación de token indica el tipo de token que se as
Microsoft-
2023-08- acuerdo con la directiva Control de cuentas de usuario. El tipo 1 es un token completo sin privilegios qu
Audit Windows-
Seguridad 13312 11 deshabilitados. Solo se usa un token completo si Control de cuentas de usuario está deshabilitado o si e
Success Security-
09:07:32 predefinida Administrador o una cuenta de servicio. El tipo 2 es un token elevado sin privilegios quitado
Auditing
usa un token elevado cuando Control de cuentas de usuario está habilitado y el usuario elige iniciar el p
como administrador. También se usa un token elevado cuando se configura una aplicación para que sie
administrativo o para que siempre requiera el máximo privilegio y el usuario pertenece al grupo Admini
token limitado con los privilegios administrativos quitados y los grupos administrativos deshabilitados. E
cuando Control de cuentas de usuario está habilitado, la aplicación no requiere un privilegio administrat
iniciar el programa mediante Ejecutar como administrador.
Seguridad Audit 13312 2023-08- Microsoft- 4688: Se creó un nuevo proceso. Firmante creador: Identificador de seguridad: S-1-5-18 Nombre de cu
Success 11 Windows- Identificador de inicio de sesión: 0x3e7 Firmante de destino: Identificador de seguridad: S-1-0-0 Nomb
09:07:32 Security- cuenta: - Identificador de inicio de sesión: 0x0 Información de proceso: Identificador del nuevo proceso
Auditing proceso: ??????????????e??? ????????? ???????????????e?????? Tipo de elevación de token: %%1936 E
16384 Identificador del proceso creador: 0x3ec Nombre del proceso creador: ????????????????????4 Lín
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 356 of 466
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 357 of 466
suplantar. Los campos de información de autenticación proporcionan información detallada sobre esta s
Navegación
específica. - GUID de inicio de sesión es un identificador único que se puede usar para correlacionar est
- Servicios transitados indica los servicios intermedios que participaron en esta solicitud de inicio de ses
indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la
Será 0 si no se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x29c Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
09:07:33
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4648: Se intentó iniciar sesión con credenciales explícitas. Sujeto: Id. de seguridad: S-1-5-18 Nombre d
$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 GUID de inicio de sesión: {00000000
Microsoft- 000000000000} Cuenta cuyas credenciales se usaron: Nombre de cuenta: UMFD-1 Dominio de cuenta:
2023-08-
Audit Windows- inicio de sesión: {00000000-0000-0000-0000-000000000000} Servidor de destino: Nombre de servido
Seguridad 12544 11
Success Security- Información adicional: localhost Información de proceso: Id. de proceso: 0x364 Nombre de proceso: C:
09:07:33
Auditing \winlogon.exe Información de red: Dirección de red: - Puerto: - Este evento se genera cuando un proce
una cuenta especificando explícitamente las credenciales de la cuenta. Suele producirse en configuracio
tareas programadas, o cuando se usa el comando RUNAS.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1842 Token elevado: %%1843 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-96-0-1 Nombre de cuenta: UMFD-1 Dominio de cuenta: Font Driver Ho
0x11e8b Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID
{00000000-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x364 Nombre
C:\Windows\System32\winlogon.exe Información de red: Nombre de estación de trabajo: - Dirección d
origen: - Información de autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autent
Microsoft- transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se
2023-08-
Audit Windows- genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema local que
Seguridad 12544 11
Success Security- Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe
09:07:33
Auditing sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (
de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se i
red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no
puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un pro
sesión puede suplantar. Los campos de información de autenticación proporcionan información detallad
de sesión específica. - GUID de inicio de sesión es un identificador único que se puede usar para correla
evento KDC. - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de
paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longi
generada. Será 0 si no se solicitó una clave de sesión.
4648: Se intentó iniciar sesión con credenciales explícitas. Sujeto: Id. de seguridad: S-1-5-18 Nombre d
$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 GUID de inicio de sesión: {00000000
Microsoft- 000000000000} Cuenta cuyas credenciales se usaron: Nombre de cuenta: DWM-1 Dominio de cuenta:
2023-08-
Audit Windows- inicio de sesión: {00000000-0000-0000-0000-000000000000} Servidor de destino: Nombre de servido
Seguridad 12544 11
Success Security- Información adicional: localhost Información de proceso: Id. de proceso: 0x364 Nombre de proceso: C:
09:07:33
Auditing \winlogon.exe Información de red: Dirección de red: - Puerto: - Este evento se genera cuando un proce
una cuenta especificando explícitamente las credenciales de la cuenta. Suele producirse en configuracio
tareas programadas, o cuando se usa el comando RUNAS.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1842 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-90-0-1 Nombre de cuenta: DWM-1 Dominio de cuenta: Window Manage
0x12a52 Inicio de sesión vinculado: 0x12a7a Nombre de cuenta de red: - Dominio de cuenta de red: -
{00000000-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x364 Nombre
C:\Windows\System32\winlogon.exe Información de red: Nombre de estación de trabajo: - Dirección d
origen: - Información de autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autent
Microsoft- transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se
2023-08-
Audit Windows- genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema local que
Seguridad 12544 11
Success Security- Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe
09:07:33
Auditing sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (
de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se i
red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no
puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un pro
sesión puede suplantar. Los campos de información de autenticación proporcionan información detallad
de sesión específica. - GUID de inicio de sesión es un identificador único que se puede usar para correla
evento KDC. - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de
paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longi
generada. Será 0 si no se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1842 Token elevado: %%1843 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-90-0-1 Nombre de cuenta: DWM-1 Dominio de cuenta: Window Manage
0x12a7a Inicio de sesión vinculado: 0x12a52 Nombre de cuenta de red: - Dominio de cuenta de red: -
{00000000-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x364 Nombre
C:\Windows\System32\winlogon.exe Información de red: Nombre de estación de trabajo: - Dirección d
origen: - Información de autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autent
Microsoft- transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se
2023-08-
Audit Windows- genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema local que
Seguridad 12544 11
Success Security- Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe
09:07:33
Auditing sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (
de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se i
red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no
puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un pro
sesión puede suplantar. Los campos de información de autenticación proporcionan información detallad
de sesión específica. - GUID de inicio de sesión es un identificador único que se puede usar para correla
evento KDC. - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de
paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longi
generada. Será 0 si no se solicitó una clave de sesión.
Seguridad Audit 12544 Microsoft- 4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Success Windows- Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 358 of 466
2023-08- Security- administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
11 Auditing Navegación
sesión: Id. de seguridad: S-1-5-19 Nombre de cuenta: SERVICIO LOCAL Dominio de cuenta: NT AUTHO
09:07:33 0x3e5 Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de
-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x29c Nombre de proceso:
\services.exe Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto
autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servic
paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio.
tuvo acceso. Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión.
servicio de servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de se
de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio
para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos
originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponi
blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesió
suplantar. Los campos de información de autenticación proporcionan información detallada sobre esta s
específica. - GUID de inicio de sesión es un identificador único que se puede usar para correlacionar est
- Servicios transitados indica los servicios intermedios que participaron en esta solicitud de inicio de ses
indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la
Será 0 si no se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x29c Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
09:07:33
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x29c Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
09:07:33
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x29c Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
09:07:33
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x29c Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
09:07:33
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Seguridad Audit 12544 2023-08- Microsoft- 4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Success 11 Windows- Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
09:07:33 Security- administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
Auditing sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 359 of 466
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 360 of 466
NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
Los campos de firmante indicanNavegación
la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
09:07:33
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft-
2023-08- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-2
Audit Windows-
Seguridad 12548 11 Servicio de red Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e4 Privilegios: SeAssignP
Success Security-
09:07:33 SeAuditPrivilege SeImpersonatePrivilege
Auditing
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
09:07:33
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft-
2023-08- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-9
Audit Windows-
Seguridad 12548 11 DWM-1 Dominio de cuenta: Window Manager Id. de inicio de sesión: 0x12a52 Privilegios: SeAssignPrim
Success Security-
09:07:33 SeAuditPrivilege SeImpersonatePrivilege
Auditing
Microsoft-
2023-08- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-9
Audit Windows-
Seguridad 12548 11 DWM-1 Dominio de cuenta: Window Manager Id. de inicio de sesión: 0x12a7a Privilegios: SeAssignPrim
Success Security-
09:07:33 SeAuditPrivilege
Auditing
Microsoft-
2023-08- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 12548 11 SERVICIO LOCAL Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e5 Privilegios: SeAssig
Success Security-
09:07:33 SeAuditPrivilege SeImpersonatePrivilege
Auditing
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
09:07:33
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
09:07:33
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
09:07:33
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
09:07:33
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
09:07:33
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
09:07:33
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
09:07:33
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
09:07:33
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
09:07:33
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
09:07:33
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft-
2023-08-
Audit Windows-
Seguridad 13568 11 4902: Se creó la tabla de directiva de auditoría por usuario. Número de elementos: 0 Id. de directiva: 0
Success Security-
09:07:33
Auditing
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 11
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
09:07:33
Auditing C:\Windows\System32\svchost.exe
Microsoft-
2023-08-
Audit Windows-
Seguridad 12292 11 5033: El controlador de Firewall de Windows se inició correctamente.
Success Security-
09:07:34
Auditing
Seguridad Audit 12544 2023-08- Microsoft- 4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Success 11 Windows- Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
09:07:34 Security- administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
Auditing sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x29c Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 361 of 466
que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
Navegación
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x29c Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
09:07:34
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x29c Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
09:07:34
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x29c Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
09:07:34
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x29c Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
09:07:34
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Seguridad Audit 12544 2023-08- Microsoft- 4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Success 11 Windows- Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
09:07:34 Security- administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
Auditing sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x29c Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 362 of 466
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
Navegación proporcionan información detallada sobre esta solicitud de inici
campos de información de autenticación
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x29c Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
09:07:34
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x29c Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
09:07:34
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x29c Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
09:07:34
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x29c Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
09:07:34
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Seguridad Audit 12544 2023-08- Microsoft- 4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Success 11 Windows- Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
09:07:34 Security- administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
Auditing sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x29c Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 363 of 466
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre Navegación
los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x29c Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
09:07:34
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
09:07:34
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
09:07:34
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
09:07:34
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
09:07:34
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
09:07:34
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
09:07:34
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
09:07:34
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
09:07:34
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
09:07:34
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
09:07:34
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
09:07:34
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
09:07:34
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e4 Grupo: Id
Seguridad 13826 11
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
09:07:34
Auditing C:\Windows\System32\svchost.exe
Microsoft- 5061: Operación criptográfica. Sujeto: Id. de seguridad: S-1-5-21-1163546357-429208663-839679816
2023-08-
Audit Windows- USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id. de inicio de sesión: 0x3c2e0 Parámetros criptográ
Seguridad 12290 11
Success Security- Microsoft Software Key Storage Provider Nombre de algoritmo: ECDSA_P256 Nombre de clave: Microso
09:07:35
Auditing device certificate Tipo de clave: %%2500 Operación criptográfica: Operación: %%2480 Código de retor
Microsoft- 5061: Operación criptográfica. Sujeto: Id. de seguridad: S-1-5-19 Nombre de cuenta: SERVICIO LOCAL
2023-08-
Audit Windows- AUTHORITY Id. de inicio de sesión: 0x3e5 Parámetros criptográficos: Nombre de proveedor: Microsoft S
Seguridad 12290 11
Success Security- Nombre de algoritmo: ECDSA_P256 Nombre de clave: Microsoft Connected Devices Platform device cer
09:07:35
Auditing 2500 Operación criptográfica: Operación: %%2480 Código de retorno: 0x0
Microsoft-
2023-08-
Audit Windows-
Seguridad 12292 11 5024: El servicio Firewall de Windows se inició correctamente.
Success Security-
09:07:35
Auditing
5058: Operación de archivo de clave. Tema: Id. de seguridad: S-1-5-21-1163546357-429208663-8396
cuenta: USUARIO Dominio de cuentas: DESKTOP-K618JK0 Id. de inicio de sesión: 0x3c2e0 Información
Microsoft-
2023-08- 4708 Hora de creación del proceso: 2023-08-11T14:07:35.4521621Z Parámetros criptográficos: Nombr
Audit Windows-
Seguridad 12292 11 Software Key Storage Provider Nombre del algoritmo: UNKNOWN Nombre de la clave: Microsoft Connec
Success Security-
09:07:35 certificate Tipo de clave: %%2500 Información de la operación de archivo de clave: Ruta del archivo:
Auditing
C:\Users\USUARIO\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_b4
d2fc0c5f591f Operación: %%2458 Código de retorno: 0x0
5059: Operación de migración de claves. Tema: Id. de seguridad: S-1-5-21-1163546357-429208663-8
Microsoft-
2023-08- cuenta: USUARIO Dominio de cuentas: DESKTOP-K618JK0 Id. de inicio de sesión: 0x3c2e0 Información
Audit Windows-
Seguridad 12292 11 4708 Tiempo de creación del proceso: 2023-08-11T14:07:35.4521621Z Parámetros criptográficos: Nom
Success Security-
09:07:35 Software Key Storage Provider Nombre del algoritmo: ECDSA_P256 Nombre de la clave: Microsoft Conn
Auditing
device certificate Tipo de clave: %%2500 Información adicional: Operación: %%2464 Código de retorn
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 364 of 466
Seguridad Audit 12292 2023-08- Microsoft- 5058: Operación de archivo de clave. Tema: Id. de seguridad: S-1-5-19 Nombre de cuenta: SERVICIO
Success 11 Windows- NT AUTHORITY Id. de inicio Navegación
de sesión: 0x3e5 Información del proceso: Id. de proceso: 5088 Hora de cr
09:07:35 Security- 11T14:07:35.7046931Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software Key Stor
Auditing algoritmo: UNKNOWN Nombre de la clave: Microsoft Connected Devices Platform device certificate Tipo
Información de la operación de archivo de clave: Ruta del archivo:
C:\Windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13
-786c-44e4-b23c-d2fc0c5f591f Operación: %%2458 Código de retorno: 0x0
5059: Operación de migración de claves. Tema: Id. de seguridad: S-1-5-19 Nombre de cuenta: SERVIC
Microsoft-
2023-08- cuentas: NT AUTHORITY Id. de inicio de sesión: 0x3e5 Información del proceso: Id. de proceso: 5088 T
Audit Windows-
Seguridad 12292 11 proceso: 2023-08-11T14:07:35.7046931Z Parámetros criptográficos: Nombre del proveedor: Microsoft
Success Security-
09:07:35 Provider Nombre del algoritmo: ECDSA_P256 Nombre de la clave: Microsoft Connected Devices Platform
Auditing
clave: %%2500 Información adicional: Operación: %%2464 Código de retorno: 0x0
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x29c Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
09:07:35
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4648: Se intentó iniciar sesión con credenciales explícitas. Sujeto: Id. de seguridad: S-1-5-18 Nombre d
$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 GUID de inicio de sesión: {00000000
Microsoft- 000000000000} Cuenta cuyas credenciales se usaron: Nombre de cuenta: USUARIO Dominio de cuenta
2023-08-
Audit Windows- de inicio de sesión: {00000000-0000-0000-0000-000000000000} Servidor de destino: Nombre de serv
Seguridad 12544 11
Success Security- Información adicional: localhost Información de proceso: Id. de proceso: 0x714 Nombre de proceso: C:
09:07:35
Auditing \svchost.exe Información de red: Dirección de red: 127.0.0.1 Puerto: 0 Este evento se genera cuando u
sesión en una cuenta especificando explícitamente las credenciales de la cuenta. Suele producirse en co
como tareas programadas, o cuando se usa el comando RUNAS.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-21-1163546357-429208663-839679816-1001 Nombre de cuenta: USU
DESKTOP-K618JK0 Id. de inicio de sesión: 0x3c20a Inicio de sesión vinculado: 0x3c2e0 Nombre de cue
cuenta de red: - GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000} Información d
0x714 Nombre de proceso: C:\Windows\System32\svchost.exe Información de red: Nombre de estació
K618JK0 Dirección de red de origen: 127.0.0.1 Puerto de origen: 0 Información de autenticación detalla
Microsoft- sesión: User32 Paquete de autenticación: Negotiate Servicios transitados: - Nombre de paquete (solo N
2023-08-
Audit Windows- Este evento se genera cuando se crea una sesión de inicio. Lo genera el equipo al que se tuvo acceso. L
Seguridad 12544 11
Success Security- indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un servicio como el servicio
09:07:35
Auditing como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica la clase de inicio de sesión
comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión indican la cuenta para la que
sesión, es decir, aquella en la que se inició la sesión. Los campos de red indican dónde se originó una so
remota. Nombre de estación de trabajo no está siempre disponible y se puede dejar en blanco en algun
de suplantación indica en qué medida un proceso en la sesión de inicio de sesión puede suplantar. Los c
autenticación proporcionan información detallada sobre esta solicitud de inicio de sesión específica. - GU
identificador único que se puede usar para correlacionar este evento con un evento KDC. - Servicios tra
intermedios que participaron en esta solicitud de inicio de sesión. - Nombre de paquete indica el subpro
protocolos NTLM. - Longitud de clave indica la longitud de la clave de sesión generada. Será 0 si no se s
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1843 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-21-1163546357-429208663-839679816-1001 Nombre de cuenta: USU
DESKTOP-K618JK0 Id. de inicio de sesión: 0x3c2e0 Inicio de sesión vinculado: 0x3c20a Nombre de cue
cuenta de red: - GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000} Información d
0x714 Nombre de proceso: C:\Windows\System32\svchost.exe Información de red: Nombre de estació
K618JK0 Dirección de red de origen: 127.0.0.1 Puerto de origen: 0 Información de autenticación detalla
Microsoft- sesión: User32 Paquete de autenticación: Negotiate Servicios transitados: - Nombre de paquete (solo N
2023-08-
Audit Windows- Este evento se genera cuando se crea una sesión de inicio. Lo genera el equipo al que se tuvo acceso. L
Seguridad 12544 11
Success Security- indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un servicio como el servicio
09:07:35
Auditing como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica la clase de inicio de sesión
comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión indican la cuenta para la que
sesión, es decir, aquella en la que se inició la sesión. Los campos de red indican dónde se originó una so
remota. Nombre de estación de trabajo no está siempre disponible y se puede dejar en blanco en algun
de suplantación indica en qué medida un proceso en la sesión de inicio de sesión puede suplantar. Los c
autenticación proporcionan información detallada sobre esta solicitud de inicio de sesión específica. - GU
identificador único que se puede usar para correlacionar este evento con un evento KDC. - Servicios tra
intermedios que participaron en esta solicitud de inicio de sesión. - Nombre de paquete indica el subpro
protocolos NTLM. - Longitud de clave indica la longitud de la clave de sesión generada. Será 0 si no se s
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x29c Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
09:07:35
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Seguridad Audit 12548 2023-08- Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
Success 11 Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
09:07:35
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 365 of 466
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 366 of 466
Security-
Auditing Navegación
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 11 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
09:07:39 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 11 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
09:07:39 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 11 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
09:07:39 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 11 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
09:07:39 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 11 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
09:07:39 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
09:07:39
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
09:07:39
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
09:07:39
Auditing almacenadas en el Administrador de credenciales.
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 11 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
09:07:39 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x29c Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
09:07:42
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
09:07:42
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x29c Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
09:07:48
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
09:07:48
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
09:07:49
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
09:07:49
Auditing almacenadas en el Administrador de credenciales.
Seguridad Audit 12544 2023-08- Microsoft- 4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Success 11 Windows- Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
09:08:03 Security- administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
Auditing sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x29c Nombre de proceso: C:\Wi
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 367 of 466
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
Navegación
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
09:08:03
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x29c Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
09:08:07
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
09:08:07
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x29c Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
09:09:19
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
09:09:19
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x29c Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
09:09:35
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Seguridad Audit 12544 2023-08- Microsoft- 4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Success 11 Windows- Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
09:09:35 Security- administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
Auditing sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x29c Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 368 of 466
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre Navegación
los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
09:09:35
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
09:09:35
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x29c Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
09:09:36
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x29c Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
09:09:36
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x29c Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
09:09:36
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
09:09:36
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
09:09:36
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
09:09:36
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 11
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
09:09:39
Auditing C:\Windows\System32\svchost.exe
4648: Se intentó iniciar sesión con credenciales explícitas. Sujeto: Id. de seguridad: S-1-5-18 Nombre d
$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 GUID de inicio de sesión: {00000000
Microsoft- 000000000000} Cuenta cuyas credenciales se usaron: Nombre de cuenta: UMFD-2 Dominio de cuenta:
2023-08-
Audit Windows- inicio de sesión: {00000000-0000-0000-0000-000000000000} Servidor de destino: Nombre de servido
Seguridad 12544 11
Success Security- Información adicional: localhost Información de proceso: Id. de proceso: 0x620 Nombre de proceso: C:
09:09:43
Auditing \winlogon.exe Información de red: Dirección de red: - Puerto: - Este evento se genera cuando un proce
una cuenta especificando explícitamente las credenciales de la cuenta. Suele producirse en configuracio
tareas programadas, o cuando se usa el comando RUNAS.
Seguridad Audit 12544 2023-08- Microsoft- 4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Success 11 Windows- Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
09:09:43 Security- administrador restringido: - Cuenta virtual: %%1842 Token elevado: %%1843 Nivel de suplantación: %
Auditing sesión: Id. de seguridad: S-1-5-96-0-2 Nombre de cuenta: UMFD-2 Dominio de cuenta: Font Driver Ho
0xb6fbc Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID
{00000000-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x620 Nombre
C:\Windows\System32\winlogon.exe Información de red: Nombre de estación de trabajo: - Dirección d
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 369 of 466
origen: - Información de autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autent
Navegación
transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se
genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema local que
Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe
sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (
de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se i
red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no
puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un pro
sesión puede suplantar. Los campos de información de autenticación proporcionan información detallad
de sesión específica. - GUID de inicio de sesión es un identificador único que se puede usar para correla
evento KDC. - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de
paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longi
generada. Será 0 si no se solicitó una clave de sesión.
4648: Se intentó iniciar sesión con credenciales explícitas. Sujeto: Id. de seguridad: S-1-5-18 Nombre d
$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 GUID de inicio de sesión: {00000000
Microsoft- 000000000000} Cuenta cuyas credenciales se usaron: Nombre de cuenta: DWM-2 Dominio de cuenta:
2023-08-
Audit Windows- inicio de sesión: {00000000-0000-0000-0000-000000000000} Servidor de destino: Nombre de servido
Seguridad 12544 11
Success Security- Información adicional: localhost Información de proceso: Id. de proceso: 0x620 Nombre de proceso: C:
09:09:43
Auditing \winlogon.exe Información de red: Dirección de red: - Puerto: - Este evento se genera cuando un proce
una cuenta especificando explícitamente las credenciales de la cuenta. Suele producirse en configuracio
tareas programadas, o cuando se usa el comando RUNAS.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1842 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-90-0-2 Nombre de cuenta: DWM-2 Dominio de cuenta: Window Manage
0xb7c5e Inicio de sesión vinculado: 0xb7c72 Nombre de cuenta de red: - Dominio de cuenta de red: - G
{00000000-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x620 Nombre
C:\Windows\System32\winlogon.exe Información de red: Nombre de estación de trabajo: - Dirección d
origen: - Información de autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autent
Microsoft- transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se
2023-08-
Audit Windows- genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema local que
Seguridad 12544 11
Success Security- Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe
09:09:43
Auditing sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (
de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se i
red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no
puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un pro
sesión puede suplantar. Los campos de información de autenticación proporcionan información detallad
de sesión específica. - GUID de inicio de sesión es un identificador único que se puede usar para correla
evento KDC. - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de
paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longi
generada. Será 0 si no se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1842 Token elevado: %%1843 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-90-0-2 Nombre de cuenta: DWM-2 Dominio de cuenta: Window Manage
0xb7c72 Inicio de sesión vinculado: 0xb7c5e Nombre de cuenta de red: - Dominio de cuenta de red: - G
{00000000-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x620 Nombre
C:\Windows\System32\winlogon.exe Información de red: Nombre de estación de trabajo: - Dirección d
origen: - Información de autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autent
Microsoft- transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se
2023-08-
Audit Windows- genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema local que
Seguridad 12544 11
Success Security- Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe
09:09:43
Auditing sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (
de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se i
red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no
puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un pro
sesión puede suplantar. Los campos de información de autenticación proporcionan información detallad
de sesión específica. - GUID de inicio de sesión es un identificador único que se puede usar para correla
evento KDC. - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de
paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longi
generada. Será 0 si no se solicitó una clave de sesión.
Microsoft- 4647: Cierre de sesión iniciado por el usuario: Sujeto: Id. de seguridad: S-1-5-21-1163546357-429208
2023-08-
Audit Windows- Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id. de inicio de sesión: 0x3c2e0 E
Seguridad 12545 11
Success Security- se inicia un cierre de sesión. No se puede producir ninguna actividad adicional iniciada por el usuario. E
09:09:43
Auditing interpretar como un evento de cierre de sesión.
Microsoft-
2023-08- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-9
Audit Windows-
Seguridad 12548 11 DWM-2 Dominio de cuenta: Window Manager Id. de inicio de sesión: 0xb7c5e Privilegios: SeAssignPrim
Success Security-
09:09:43 SeAuditPrivilege SeImpersonatePrivilege
Auditing
Microsoft-
2023-08- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-9
Audit Windows-
Seguridad 12548 11 DWM-2 Dominio de cuenta: Window Manager Id. de inicio de sesión: 0xb7c72 Privilegios: SeAssignPrim
Success Security-
09:09:43 SeAuditPrivilege
Auditing
Microsoft- 4798: Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18
2023-08-
Audit Windows- -K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Usuario: Id. de seguridad: S
Seguridad 13824 11
Success Security- 429208663-839679816-500 Nombre de cuenta: Administrador Dominio de cuenta: DESKTOP-K618JK0
09:09:43
Auditing de proceso: 0x714 Nombre de proceso: C:\Windows\System32\svchost.exe
Microsoft- 4798: Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18
2023-08-
Audit Windows- -K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Usuario: Id. de seguridad: S
Seguridad 13824 11
Success Security- 429208663-839679816-503 Nombre de cuenta: DefaultAccount Dominio de cuenta: DESKTOP-K618JK0
09:09:43
Auditing de proceso: 0x714 Nombre de proceso: C:\Windows\System32\svchost.exe
Microsoft- 4798: Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18
2023-08-
Audit Windows- -K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Usuario: Id. de seguridad: S
Seguridad 13824 11
Success Security- 429208663-839679816-501 Nombre de cuenta: Invitado Dominio de cuenta: DESKTOP-K618JK0 Inform
09:09:43
Auditing proceso: 0x714 Nombre de proceso: C:\Windows\System32\svchost.exe
Microsoft- 4798: Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18
2023-08-
Audit Windows- -K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Usuario: Id. de seguridad: S
Seguridad 13824 11
Success Security- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Info
09:09:43
Auditing proceso: 0x714 Nombre de proceso: C:\Windows\System32\svchost.exe
Seguridad Audit 13312 2023-08- Microsoft- 4688: Se creó un nuevo proceso. Firmante creador: Identificador de seguridad: S-1-5-18 Nombre de cu
Success 11 Windows- Identificador de inicio de sesión: 0x3e7 Firmante de destino: Identificador de seguridad: S-1-0-0 Nomb
09:42:13 Security- cuenta: - Identificador de inicio de sesión: 0x0 Información de proceso: Identificador del nuevo proceso
Auditing proceso: ????-??6?4????0--?0??????? Tipo de elevación de token: %%1936 Etiqueta obligatoria: S-1-16
proceso creador: 0x4 Nombre del proceso creador: ??????? Línea de comandos de proceso: ????0--?0??
token indica el tipo de token que se asignó al nuevo proceso de acuerdo con la directiva Control de cuen
un token completo sin privilegios quitados ni grupos deshabilitados. Solo se usa un token completo si C
está deshabilitado o si el usuario es la cuenta predefinida Administrador o una cuenta de servicio. El tip
privilegios quitados ni grupos deshabilitados. Se usa un token elevado cuando Control de cuentas de us
usuario elige iniciar el programa mediante Ejecutar como administrador. También se usa un token eleva
aplicación para que siempre requiera un privilegio administrativo o para que siempre requiera el máxim
pertenece al grupo Administradores. El tipo 3 es un token limitado con los privilegios administrativos qu
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 370 of 466
administrativos deshabilitados. El token limitado se usa cuando Control de cuentas de usuario está habi
Navegación
requiere un privilegio administrativo y el usuario no elige iniciar el programa mediante Ejecutar como ad
Microsoft- 4696: Se asignó un símbolo (token) primario al proceso. Sujeto: Id. de seguridad: S-1-5-18 Nombre de
2023-08-
Audit Windows- cuenta: - Id. de inicio de sesión: 0x3e7 Información de proceso: Id. de proceso: 0x4 Nombre de proces
Seguridad 13312 11
Success Security- de proceso de destino: 0x7c Nombre de proceso de destino: Registry Información de nuevo símbolo: Id
09:42:13
Auditing Nombre de cuenta: - Dominio de cuenta: - Id. de inicio de sesión: 0x3e7
4688: Se creó un nuevo proceso. Firmante creador: Identificador de seguridad: S-1-5-18 Nombre de cu
Identificador de inicio de sesión: 0x3e7 Firmante de destino: Identificador de seguridad: S-1-0-0 Nomb
cuenta: - Identificador de inicio de sesión: 0x0 Información de proceso: Identificador del nuevo proceso
proceso: ??????????????-??6?4????0--?0??????? Tipo de elevación de token: %%1936 Etiqueta obligato
Identificador del proceso creador: 0x4 Nombre del proceso creador: ??????? Línea de comandos de proc
Microsoft- de elevación de token indica el tipo de token que se asignó al nuevo proceso de acuerdo con la directiva
2023-08-
Audit Windows- usuario. El tipo 1 es un token completo sin privilegios quitados ni grupos deshabilitados. Solo se usa un
Seguridad 13312 11
Success Security- cuentas de usuario está deshabilitado o si el usuario es la cuenta predefinida Administrador o una cuent
09:42:13
Auditing token elevado sin privilegios quitados ni grupos deshabilitados. Se usa un token elevado cuando Contro
habilitado y el usuario elige iniciar el programa mediante Ejecutar como administrador. También se usa
configura una aplicación para que siempre requiera un privilegio administrativo o para que siempre requ
usuario pertenece al grupo Administradores. El tipo 3 es un token limitado con los privilegios administra
administrativos deshabilitados. El token limitado se usa cuando Control de cuentas de usuario está habi
requiere un privilegio administrativo y el usuario no elige iniciar el programa mediante Ejecutar como ad
4688: Se creó un nuevo proceso. Firmante creador: Identificador de seguridad: S-1-5-18 Nombre de cu
Identificador de inicio de sesión: 0x3e7 Firmante de destino: Identificador de seguridad: S-1-0-0 Nomb
cuenta: - Identificador de inicio de sesión: 0x0 Información de proceso: Identificador del nuevo proceso
proceso: ???????????????e??? ????????? ???????????????e?????? Tipo de elevación de token: %%1936
16384 Identificador del proceso creador: 0x1a8 Nombre del proceso creador: ????????????????????4 Lín
proceso: ????0--?0????????????????????4 El tipo de elevación de token indica el tipo de token que se as
Microsoft-
2023-08- acuerdo con la directiva Control de cuentas de usuario. El tipo 1 es un token completo sin privilegios qu
Audit Windows-
Seguridad 13312 11 deshabilitados. Solo se usa un token completo si Control de cuentas de usuario está deshabilitado o si e
Success Security-
09:42:13 predefinida Administrador o una cuenta de servicio. El tipo 2 es un token elevado sin privilegios quitado
Auditing
usa un token elevado cuando Control de cuentas de usuario está habilitado y el usuario elige iniciar el p
como administrador. También se usa un token elevado cuando se configura una aplicación para que sie
administrativo o para que siempre requiera el máximo privilegio y el usuario pertenece al grupo Admini
token limitado con los privilegios administrativos quitados y los grupos administrativos deshabilitados. E
cuando Control de cuentas de usuario está habilitado, la aplicación no requiere un privilegio administrat
iniciar el programa mediante Ejecutar como administrador.
4826: Se cargaron los datos de configuración de arranque. Asunto: Id. de seguridad: S-1-5-18 Nombre
Microsoft- cuenta: - Id. de inicio de sesión: 0x3e7 Configuración general: Opciones de carga: - Opciones avanzada
2023-08-
Audit Windows- acceso a la configuración: %%1846 Registro de eventos del sistema: %%1843 Depuración del kernel:
Seguridad 13573 11
Success Security- VSM: %%1848 Configuración de la firma: Firma de prueba: %%1843 Firma de desarrollo: %%1843 De
09:42:13
Auditing integridad: %%1843 Configuración del hipervisor: Opciones de carga del hipervisor: - Tipo de inicio del
Depuración del hipervisor: %%1843
4688: Se creó un nuevo proceso. Firmante creador: Identificador de seguridad: S-1-5-18 Nombre de cu
Identificador de inicio de sesión: 0x3e7 Firmante de destino: Identificador de seguridad: S-1-0-0 Nomb
cuenta: - Identificador de inicio de sesión: 0x0 Información de proceso: Identificador del nuevo proceso
proceso: ??????????????-??6??8????0--?0????????????????????4? Tipo de elevación de token: %%1936
16384 Identificador del proceso creador: 0x1a8 Nombre del proceso creador: ????????????????????4? L
proceso: ????0--?0????????????????????4? El tipo de elevación de token indica el tipo de token que se a
Microsoft-
2023-08- acuerdo con la directiva Control de cuentas de usuario. El tipo 1 es un token completo sin privilegios qu
Audit Windows-
Seguridad 13312 11 deshabilitados. Solo se usa un token completo si Control de cuentas de usuario está deshabilitado o si e
Success Security-
09:42:14 predefinida Administrador o una cuenta de servicio. El tipo 2 es un token elevado sin privilegios quitado
Auditing
usa un token elevado cuando Control de cuentas de usuario está habilitado y el usuario elige iniciar el p
como administrador. También se usa un token elevado cuando se configura una aplicación para que sie
administrativo o para que siempre requiera el máximo privilegio y el usuario pertenece al grupo Admini
token limitado con los privilegios administrativos quitados y los grupos administrativos deshabilitados. E
cuando Control de cuentas de usuario está habilitado, la aplicación no requiere un privilegio administrat
iniciar el programa mediante Ejecutar como administrador.
4688: Se creó un nuevo proceso. Firmante creador: Identificador de seguridad: S-1-5-18 Nombre de cu
Identificador de inicio de sesión: 0x3e7 Firmante de destino: Identificador de seguridad: S-1-0-0 Nomb
cuenta: - Identificador de inicio de sesión: 0x0 Información de proceso: Identificador del nuevo proceso
proceso: ??????????????e??? ????????? ???????????????e?????? Tipo de elevación de token: %%1936 E
16384 Identificador del proceso creador: 0x204 Nombre del proceso creador: ????????????????????4 Lí
proceso: ????0--?0????????????????????4 El tipo de elevación de token indica el tipo de token que se as
Microsoft-
2023-08- acuerdo con la directiva Control de cuentas de usuario. El tipo 1 es un token completo sin privilegios qu
Audit Windows-
Seguridad 13312 11 deshabilitados. Solo se usa un token completo si Control de cuentas de usuario está deshabilitado o si e
Success Security-
09:42:17 predefinida Administrador o una cuenta de servicio. El tipo 2 es un token elevado sin privilegios quitado
Auditing
usa un token elevado cuando Control de cuentas de usuario está habilitado y el usuario elige iniciar el p
como administrador. También se usa un token elevado cuando se configura una aplicación para que sie
administrativo o para que siempre requiera el máximo privilegio y el usuario pertenece al grupo Admini
token limitado con los privilegios administrativos quitados y los grupos administrativos deshabilitados. E
cuando Control de cuentas de usuario está habilitado, la aplicación no requiere un privilegio administrat
iniciar el programa mediante Ejecutar como administrador.
4688: Se creó un nuevo proceso. Firmante creador: Identificador de seguridad: S-1-5-18 Nombre de cu
Identificador de inicio de sesión: 0x3e7 Firmante de destino: Identificador de seguridad: S-1-0-0 Nomb
cuenta: - Identificador de inicio de sesión: 0x0 Información de proceso: Identificador del nuevo proceso
proceso: ??????????????-??6??8????0--?0????????????????????4? Tipo de elevación de token: %%1936
16384 Identificador del proceso creador: 0x1a8 Nombre del proceso creador: ????????????????????4? L
proceso: ????0--?0????????????????????4? El tipo de elevación de token indica el tipo de token que se a
Microsoft-
2023-08- acuerdo con la directiva Control de cuentas de usuario. El tipo 1 es un token completo sin privilegios qu
Audit Windows-
Seguridad 13312 11 deshabilitados. Solo se usa un token completo si Control de cuentas de usuario está deshabilitado o si e
Success Security-
09:42:17 predefinida Administrador o una cuenta de servicio. El tipo 2 es un token elevado sin privilegios quitado
Auditing
usa un token elevado cuando Control de cuentas de usuario está habilitado y el usuario elige iniciar el p
como administrador. También se usa un token elevado cuando se configura una aplicación para que sie
administrativo o para que siempre requiera el máximo privilegio y el usuario pertenece al grupo Admini
token limitado con los privilegios administrativos quitados y los grupos administrativos deshabilitados. E
cuando Control de cuentas de usuario está habilitado, la aplicación no requiere un privilegio administrat
iniciar el programa mediante Ejecutar como administrador.
4688: Se creó un nuevo proceso. Firmante creador: Identificador de seguridad: S-1-5-18 Nombre de cu
Identificador de inicio de sesión: 0x3e7 Firmante de destino: Identificador de seguridad: S-1-0-0 Nomb
cuenta: - Identificador de inicio de sesión: 0x0 Información de proceso: Identificador del nuevo proceso
proceso: ???????????????e??? ????????? ???????????????e?????? Tipo de elevación de token: %%1936
16384 Identificador del proceso creador: 0x204 Nombre del proceso creador: ????????????????????4 Lí
proceso: ????0--?0????????????????????4 El tipo de elevación de token indica el tipo de token que se as
Microsoft-
2023-08- acuerdo con la directiva Control de cuentas de usuario. El tipo 1 es un token completo sin privilegios qu
Audit Windows-
Seguridad 13312 11 deshabilitados. Solo se usa un token completo si Control de cuentas de usuario está deshabilitado o si e
Success Security-
09:42:17 predefinida Administrador o una cuenta de servicio. El tipo 2 es un token elevado sin privilegios quitado
Auditing
usa un token elevado cuando Control de cuentas de usuario está habilitado y el usuario elige iniciar el p
como administrador. También se usa un token elevado cuando se configura una aplicación para que sie
administrativo o para que siempre requiera el máximo privilegio y el usuario pertenece al grupo Admini
token limitado con los privilegios administrativos quitados y los grupos administrativos deshabilitados. E
cuando Control de cuentas de usuario está habilitado, la aplicación no requiere un privilegio administrat
iniciar el programa mediante Ejecutar como administrador.
Seguridad 13312
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 371 of 466
Audit 2023-08- Microsoft- 4688: Se creó un nuevo proceso. Firmante creador: Identificador de seguridad: S-1-5-18 Nombre de cu
Success 11 Windows- Navegación
Identificador de inicio de sesión: 0x3e7 Firmante de destino: Identificador de seguridad: S-1-0-0 Nomb
09:42:17 Security- cuenta: - Identificador de inicio de sesión: 0x0 Información de proceso: Identificador del nuevo proceso
Auditing proceso: ??????????????e??? ????????? ???????????????e?????? Tipo de elevación de token: %%1936 E
16384 Identificador del proceso creador: 0x184 Nombre del proceso creador: ????????????????????4 Lí
proceso: ????0--?0????????????????????4 El tipo de elevación de token indica el tipo de token que se as
acuerdo con la directiva Control de cuentas de usuario. El tipo 1 es un token completo sin privilegios qu
deshabilitados. Solo se usa un token completo si Control de cuentas de usuario está deshabilitado o si e
predefinida Administrador o una cuenta de servicio. El tipo 2 es un token elevado sin privilegios quitado
usa un token elevado cuando Control de cuentas de usuario está habilitado y el usuario elige iniciar el p
como administrador. También se usa un token elevado cuando se configura una aplicación para que sie
administrativo o para que siempre requiera el máximo privilegio y el usuario pertenece al grupo Admini
token limitado con los privilegios administrativos quitados y los grupos administrativos deshabilitados. E
cuando Control de cuentas de usuario está habilitado, la aplicación no requiere un privilegio administrat
iniciar el programa mediante Ejecutar como administrador.
Microsoft-
2023-08-
Audit Windows-
Seguridad 12288 11 4608: Se está iniciando Windows. Este evento se registra cuando se inicia LSASS.EXE y se inicializa el s
Success Security-
09:42:18
Auditing
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-0-0 Nombre de cu
Id. de inicio de sesión: 0x0 Información de inicio de sesión: Tipo de inicio de sesión: 0 Modo de adminis
virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: - Nuevo inicio de sesión: Id. de segu
cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Inicio de sesión vinc
de red: - Dominio de cuenta de red: - GUID de inicio de sesión: {00000000-0000-0000-0000-00000000
proceso: Id. de proceso: 0x4 Nombre de proceso: ? Información de red: Nombre de estación de trabajo
origen: - Puerto de origen: - Información de autenticación detallada: Proceso de inicio de sesión: - Paqu
Servicios transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera
Microsoft-
2023-08- inicio. Lo genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema
Audit Windows-
Seguridad 12544 11 sesión. Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Servi
Success Security-
09:42:18 inicio de sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interacti
Auditing
Nuevo inicio de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella e
Los campos de red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estació
disponible y se puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qu
sesión de inicio de sesión puede suplantar. Los campos de información de autenticación proporcionan in
esta solicitud de inicio de sesión específica. - GUID de inicio de sesión es un identificador único que se p
este evento con un evento KDC. - Servicios transitados indica los servicios intermedios que participaron
sesión. - Nombre de paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de
clave de sesión generada. Será 0 si no se solicitó una clave de sesión.
4648: Se intentó iniciar sesión con credenciales explícitas. Sujeto: Id. de seguridad: S-1-5-18 Nombre d
$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 GUID de inicio de sesión: {00000000
Microsoft- 000000000000} Cuenta cuyas credenciales se usaron: Nombre de cuenta: UMFD-0 Dominio de cuenta:
2023-08-
Audit Windows- inicio de sesión: {00000000-0000-0000-0000-000000000000} Servidor de destino: Nombre de servido
Seguridad 12544 11
Success Security- Información adicional: localhost Información de proceso: Id. de proceso: 0x1c8 Nombre de proceso: C:
09:42:18
Auditing \wininit.exe Información de red: Dirección de red: - Puerto: - Este evento se genera cuando un proceso
cuenta especificando explícitamente las credenciales de la cuenta. Suele producirse en configuraciones
programadas, o cuando se usa el comando RUNAS.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1842 Token elevado: %%1843 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-96-0-0 Nombre de cuenta: UMFD-0 Dominio de cuenta: Font Driver Ho
0xc49a Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID d
{00000000-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x1c8 Nombre
C:\Windows\System32\wininit.exe Información de red: Nombre de estación de trabajo: - Dirección de r
origen: - Información de autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autent
Microsoft- transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se
2023-08-
Audit Windows- genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema local que
Seguridad 12544 11
Success Security- Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe
09:42:18
Auditing sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (
de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se i
red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no
puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un pro
sesión puede suplantar. Los campos de información de autenticación proporcionan información detallad
de sesión específica. - GUID de inicio de sesión es un identificador único que se puede usar para correla
evento KDC. - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de
paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longi
generada. Será 0 si no se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2b4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
09:42:18
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Seguridad Audit 12544 2023-08- Microsoft- 4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Success 11 Windows- Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
09:42:18 Security- administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
Auditing sesión: Id. de seguridad: S-1-5-20 Nombre de cuenta: Servicio de red Dominio de cuenta: NT AUTHOR
0x3e4 Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de
-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2b4 Nombre de proceso:
\services.exe Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto
autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servic
paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio.
tuvo acceso. Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión.
servicio de servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de se
de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio
para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos
originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponi
blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesió
suplantar. Los campos de información de autenticación proporcionan información detallada sobre esta s
específica. - GUID de inicio de sesión es un identificador único que se puede usar para correlacionar est
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 372 of 466
- Servicios transitados indica los servicios intermedios que participaron en esta solicitud de inicio de ses
indica el subprotocolo que seNavegación
usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la
Será 0 si no se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2b4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
09:42:18
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4648: Se intentó iniciar sesión con credenciales explícitas. Sujeto: Id. de seguridad: S-1-5-18 Nombre d
$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 GUID de inicio de sesión: {00000000
Microsoft- 000000000000} Cuenta cuyas credenciales se usaron: Nombre de cuenta: UMFD-1 Dominio de cuenta:
2023-08-
Audit Windows- inicio de sesión: {00000000-0000-0000-0000-000000000000} Servidor de destino: Nombre de servido
Seguridad 12544 11
Success Security- Información adicional: localhost Información de proceso: Id. de proceso: 0x3b4 Nombre de proceso: C:
09:42:18
Auditing \winlogon.exe Información de red: Dirección de red: - Puerto: - Este evento se genera cuando un proce
una cuenta especificando explícitamente las credenciales de la cuenta. Suele producirse en configuracio
tareas programadas, o cuando se usa el comando RUNAS.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1842 Token elevado: %%1843 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-96-0-1 Nombre de cuenta: UMFD-1 Dominio de cuenta: Font Driver Ho
0x11f26 Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID
{00000000-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x3b4 Nombre
C:\Windows\System32\winlogon.exe Información de red: Nombre de estación de trabajo: - Dirección d
origen: - Información de autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autent
Microsoft- transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se
2023-08-
Audit Windows- genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema local que
Seguridad 12544 11
Success Security- Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe
09:42:18
Auditing sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (
de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se i
red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no
puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un pro
sesión puede suplantar. Los campos de información de autenticación proporcionan información detallad
de sesión específica. - GUID de inicio de sesión es un identificador único que se puede usar para correla
evento KDC. - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de
paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longi
generada. Será 0 si no se solicitó una clave de sesión.
4648: Se intentó iniciar sesión con credenciales explícitas. Sujeto: Id. de seguridad: S-1-5-18 Nombre d
$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 GUID de inicio de sesión: {00000000
Microsoft- 000000000000} Cuenta cuyas credenciales se usaron: Nombre de cuenta: DWM-1 Dominio de cuenta:
2023-08-
Audit Windows- inicio de sesión: {00000000-0000-0000-0000-000000000000} Servidor de destino: Nombre de servido
Seguridad 12544 11
Success Security- Información adicional: localhost Información de proceso: Id. de proceso: 0x3b4 Nombre de proceso: C:
09:42:18
Auditing \winlogon.exe Información de red: Dirección de red: - Puerto: - Este evento se genera cuando un proce
una cuenta especificando explícitamente las credenciales de la cuenta. Suele producirse en configuracio
tareas programadas, o cuando se usa el comando RUNAS.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1842 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-90-0-1 Nombre de cuenta: DWM-1 Dominio de cuenta: Window Manage
0x12ba4 Inicio de sesión vinculado: 0x12bcb Nombre de cuenta de red: - Dominio de cuenta de red: - G
{00000000-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x3b4 Nombre
C:\Windows\System32\winlogon.exe Información de red: Nombre de estación de trabajo: - Dirección d
origen: - Información de autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autent
Microsoft- transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se
2023-08-
Audit Windows- genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema local que
Seguridad 12544 11
Success Security- Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe
09:42:18
Auditing sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (
de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se i
red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no
puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un pro
sesión puede suplantar. Los campos de información de autenticación proporcionan información detallad
de sesión específica. - GUID de inicio de sesión es un identificador único que se puede usar para correla
evento KDC. - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de
paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longi
generada. Será 0 si no se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1842 Token elevado: %%1843 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-90-0-1 Nombre de cuenta: DWM-1 Dominio de cuenta: Window Manage
0x12bcb Inicio de sesión vinculado: 0x12ba4 Nombre de cuenta de red: - Dominio de cuenta de red: - G
{00000000-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x3b4 Nombre
C:\Windows\System32\winlogon.exe Información de red: Nombre de estación de trabajo: - Dirección d
origen: - Información de autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autent
Microsoft- transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se
2023-08-
Audit Windows- genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema local que
Seguridad 12544 11
Success Security- Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe
09:42:18
Auditing sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (
de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se i
red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no
puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un pro
sesión puede suplantar. Los campos de información de autenticación proporcionan información detallad
de sesión específica. - GUID de inicio de sesión es un identificador único que se puede usar para correla
evento KDC. - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de
paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longi
generada. Será 0 si no se solicitó una clave de sesión.
Seguridad Audit 12544 2023-08- Microsoft- 4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Success 11 Windows- Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
09:42:18 Security- administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
Auditing sesión: Id. de seguridad: S-1-5-19 Nombre de cuenta: SERVICIO LOCAL Dominio de cuenta: NT AUTHO
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 373 of 466
0x3e5 Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de
-0000-0000-0000-000000000000} Navegación
Información de proceso: Id. de proceso: 0x2b4 Nombre de proceso:
\services.exe Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto
autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servic
paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio.
tuvo acceso. Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión.
servicio de servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de se
de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio
para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos
originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponi
blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesió
suplantar. Los campos de información de autenticación proporcionan información detallada sobre esta s
específica. - GUID de inicio de sesión es un identificador único que se puede usar para correlacionar est
- Servicios transitados indica los servicios intermedios que participaron en esta solicitud de inicio de ses
indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la
Será 0 si no se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2b4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
09:42:18
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2b4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
09:42:18
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2b4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
09:42:18
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2b4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
09:42:18
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Seguridad Audit 12544 2023-08- Microsoft- 4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Success 11 Windows- Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
09:42:18 Security- administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
Auditing sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2b4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 374 of 466
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
NTLM): - Longitud de clave:Navegación
0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2b4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
09:42:18
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
09:42:18
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft-
2023-08- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-2
Audit Windows-
Seguridad 12548 11 Servicio de red Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e4 Privilegios: SeAssignP
Success Security-
09:42:18 SeAuditPrivilege SeImpersonatePrivilege
Auditing
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
09:42:18
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft-
2023-08- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-9
Audit Windows-
Seguridad 12548 11 DWM-1 Dominio de cuenta: Window Manager Id. de inicio de sesión: 0x12ba4 Privilegios: SeAssignPrim
Success Security-
09:42:18 SeAuditPrivilege SeImpersonatePrivilege
Auditing
Microsoft-
2023-08- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-9
Audit Windows-
Seguridad 12548 11 DWM-1 Dominio de cuenta: Window Manager Id. de inicio de sesión: 0x12bcb Privilegios: SeAssignPrim
Success Security-
09:42:18 SeAuditPrivilege
Auditing
Microsoft-
2023-08- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 12548 11 SERVICIO LOCAL Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e5 Privilegios: SeAssig
Success Security-
09:42:18 SeAuditPrivilege SeImpersonatePrivilege
Auditing
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
09:42:18
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
09:42:18
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
09:42:18
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
09:42:18
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
09:42:18
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
09:42:18
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
4688: Se creó un nuevo proceso. Firmante creador: Identificador de seguridad: S-1-5-18 Nombre de cu
Identificador de inicio de sesión: 0x3e7 Firmante de destino: Identificador de seguridad: S-1-0-0 Nomb
cuenta: - Identificador de inicio de sesión: 0x0 Información de proceso: Identificador del nuevo proceso
proceso: ????????????????-??6??8????0--?0???????????????e?????? Tipo de elevación de token: %%19
16-16384 Identificador del proceso creador: 0x1c8 Nombre del proceso creador: ???????????????e?????
proceso: ????0--?0???????????????e?????? El tipo de elevación de token indica el tipo de token que se a
Microsoft-
2023-08- acuerdo con la directiva Control de cuentas de usuario. El tipo 1 es un token completo sin privilegios qu
Audit Windows-
Seguridad 13312 11 deshabilitados. Solo se usa un token completo si Control de cuentas de usuario está deshabilitado o si e
Success Security-
09:42:18 predefinida Administrador o una cuenta de servicio. El tipo 2 es un token elevado sin privilegios quitado
Auditing
usa un token elevado cuando Control de cuentas de usuario está habilitado y el usuario elige iniciar el p
como administrador. También se usa un token elevado cuando se configura una aplicación para que sie
administrativo o para que siempre requiera el máximo privilegio y el usuario pertenece al grupo Admini
token limitado con los privilegios administrativos quitados y los grupos administrativos deshabilitados. E
cuando Control de cuentas de usuario está habilitado, la aplicación no requiere un privilegio administrat
iniciar el programa mediante Ejecutar como administrador.
Seguridad Audit 13312 2023-08- Microsoft- 4688: Se creó un nuevo proceso. Firmante creador: Identificador de seguridad: S-1-5-18 Nombre de cu
Success 11 Windows- Identificador de inicio de sesión: 0x3e7 Firmante de destino: Identificador de seguridad: S-1-0-0 Nomb
09:42:18 Security- cuenta: - Identificador de inicio de sesión: 0x0 Información de proceso: Identificador del nuevo proceso
Auditing proceso: ??????????????e??? ????????? ???????????????????????4? Tipo de elevación de token: %%193
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 375 of 466
16-16384 Identificador del proceso creador: 0x1c8 Nombre del proceso creador: ???????????????e?????
Navegación
proceso: ????0--?0???????????????e?????? El tipo de elevación de token indica el tipo de token que se a
acuerdo con la directiva Control de cuentas de usuario. El tipo 1 es un token completo sin privilegios qu
deshabilitados. Solo se usa un token completo si Control de cuentas de usuario está deshabilitado o si e
predefinida Administrador o una cuenta de servicio. El tipo 2 es un token elevado sin privilegios quitado
usa un token elevado cuando Control de cuentas de usuario está habilitado y el usuario elige iniciar el p
como administrador. También se usa un token elevado cuando se configura una aplicación para que sie
administrativo o para que siempre requiera el máximo privilegio y el usuario pertenece al grupo Admini
token limitado con los privilegios administrativos quitados y los grupos administrativos deshabilitados. E
cuando Control de cuentas de usuario está habilitado, la aplicación no requiere un privilegio administrat
iniciar el programa mediante Ejecutar como administrador.
Microsoft-
2023-08-
Audit Windows-
Seguridad 13568 11 4902: Se creó la tabla de directiva de auditoría por usuario. Número de elementos: 0 Id. de directiva: 0
Success Security-
09:42:18
Auditing
2023-08- Microsoft-
Audit
Seguridad 101 11 Windows- 1101: El transporte quitó algunos eventos de auditoría. 0
Success
09:42:19 Eventlog
Microsoft-
2023-08-
Audit Windows-
Seguridad 12292 11 5033: El controlador de Firewall de Windows se inició correctamente.
Success Security-
09:42:19
Auditing
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2b4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
09:42:19
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2b4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
09:42:19
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2b4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
09:42:19
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2b4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
09:42:19
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 376 of 466
Seguridad Audit 12544 2023-08- Microsoft- 4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Success 11 Windows- Dominio de cuenta: WORKGROUP Navegación
Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
09:42:19 Security- administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
Auditing sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2b4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2b4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
09:42:19
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2b4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
09:42:19
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2b4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
09:42:19
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2b4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
09:42:19
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Seguridad Audit 12544 2023-08- Microsoft- 4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Success 11 Windows- Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
09:42:19 administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 377 of 466
Security- sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Auditing Navegación
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2b4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2b4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
09:42:19
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2b4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
09:42:19
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2b4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
09:42:19
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2b4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
09:42:19
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
09:42:19
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Seguridad Audit 12548 Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
Success Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 378 of 466
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 379 of 466
Audit 2023-08- Microsoft- 4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Success 11 Windows- Dominio de cuenta: WORKGROUP Navegación
Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
09:42:20 Security- administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
Auditing sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2b4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4648: Se intentó iniciar sesión con credenciales explícitas. Sujeto: Id. de seguridad: S-1-5-18 Nombre d
$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 GUID de inicio de sesión: {00000000
Microsoft- 000000000000} Cuenta cuyas credenciales se usaron: Nombre de cuenta: USUARIO Dominio de cuenta
2023-08-
Audit Windows- de inicio de sesión: {00000000-0000-0000-0000-000000000000} Servidor de destino: Nombre de serv
Seguridad 12544 11
Success Security- Información adicional: localhost Información de proceso: Id. de proceso: 0x724 Nombre de proceso: C:
09:42:20
Auditing \svchost.exe Información de red: Dirección de red: 127.0.0.1 Puerto: 0 Este evento se genera cuando u
sesión en una cuenta especificando explícitamente las credenciales de la cuenta. Suele producirse en co
como tareas programadas, o cuando se usa el comando RUNAS.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-21-1163546357-429208663-839679816-1001 Nombre de cuenta: USU
DESKTOP-K618JK0 Id. de inicio de sesión: 0x3d1c5 Inicio de sesión vinculado: 0x3d23f Nombre de cue
cuenta de red: - GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000} Información d
0x724 Nombre de proceso: C:\Windows\System32\svchost.exe Información de red: Nombre de estació
K618JK0 Dirección de red de origen: 127.0.0.1 Puerto de origen: 0 Información de autenticación detalla
Microsoft- sesión: User32 Paquete de autenticación: Negotiate Servicios transitados: - Nombre de paquete (solo N
2023-08-
Audit Windows- Este evento se genera cuando se crea una sesión de inicio. Lo genera el equipo al que se tuvo acceso. L
Seguridad 12544 11
Success Security- indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un servicio como el servicio
09:42:20
Auditing como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica la clase de inicio de sesión
comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión indican la cuenta para la que
sesión, es decir, aquella en la que se inició la sesión. Los campos de red indican dónde se originó una so
remota. Nombre de estación de trabajo no está siempre disponible y se puede dejar en blanco en algun
de suplantación indica en qué medida un proceso en la sesión de inicio de sesión puede suplantar. Los c
autenticación proporcionan información detallada sobre esta solicitud de inicio de sesión específica. - GU
identificador único que se puede usar para correlacionar este evento con un evento KDC. - Servicios tra
intermedios que participaron en esta solicitud de inicio de sesión. - Nombre de paquete indica el subpro
protocolos NTLM. - Longitud de clave indica la longitud de la clave de sesión generada. Será 0 si no se s
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1843 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-21-1163546357-429208663-839679816-1001 Nombre de cuenta: USU
DESKTOP-K618JK0 Id. de inicio de sesión: 0x3d23f Inicio de sesión vinculado: 0x3d1c5 Nombre de cue
cuenta de red: - GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000} Información d
0x724 Nombre de proceso: C:\Windows\System32\svchost.exe Información de red: Nombre de estació
K618JK0 Dirección de red de origen: 127.0.0.1 Puerto de origen: 0 Información de autenticación detalla
Microsoft- sesión: User32 Paquete de autenticación: Negotiate Servicios transitados: - Nombre de paquete (solo N
2023-08-
Audit Windows- Este evento se genera cuando se crea una sesión de inicio. Lo genera el equipo al que se tuvo acceso. L
Seguridad 12544 11
Success Security- indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un servicio como el servicio
09:42:20
Auditing como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica la clase de inicio de sesión
comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión indican la cuenta para la que
sesión, es decir, aquella en la que se inició la sesión. Los campos de red indican dónde se originó una so
remota. Nombre de estación de trabajo no está siempre disponible y se puede dejar en blanco en algun
de suplantación indica en qué medida un proceso en la sesión de inicio de sesión puede suplantar. Los c
autenticación proporcionan información detallada sobre esta solicitud de inicio de sesión específica. - GU
identificador único que se puede usar para correlacionar este evento con un evento KDC. - Servicios tra
intermedios que participaron en esta solicitud de inicio de sesión. - Nombre de paquete indica el subpro
protocolos NTLM. - Longitud de clave indica la longitud de la clave de sesión generada. Será 0 si no se s
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2b4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
09:42:20
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
09:42:20
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
09:42:20
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
09:42:20
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Seguridad Audit 12548 Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-2
Success Windows- 839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id. de inicio de
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 380 of 466
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 381 of 466
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre Navegación
los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
09:42:24
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2b4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
09:42:25
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
09:42:25
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 11 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
09:42:25 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 11 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
09:42:25 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 11 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
09:42:25 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 11 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
09:42:25 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 11 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
09:42:25 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 11 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
09:42:25 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
09:42:25
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
09:42:25
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
09:42:25
Auditing almacenadas en el Administrador de credenciales.
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 11 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
09:42:25 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2b4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
09:42:28
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
09:42:28
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Seguridad Audit 12544 2023-08- Microsoft- 4648: Se intentó iniciar sesión con credenciales explícitas. Sujeto: Id. de seguridad: S-1-5-18 Nombre d
Success 11 Windows- $ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 GUID de inicio de sesión: {00000000
09:42:30 Security- 000000000000} Cuenta cuyas credenciales se usaron: Nombre de cuenta: UMFD-2 Dominio de cuenta:
Auditing inicio de sesión: {00000000-0000-0000-0000-000000000000} Servidor de destino: Nombre de servido
Información adicional: localhost Información de proceso: Id. de proceso: 0x1ed0 Nombre de proceso: C
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 382 of 466
\winlogon.exe Información de red: Dirección de red: - Puerto: - Este evento se genera cuando un proce
Navegación las credenciales de la cuenta. Suele producirse en configuracio
una cuenta especificando explícitamente
tareas programadas, o cuando se usa el comando RUNAS.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1842 Token elevado: %%1843 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-96-0-2 Nombre de cuenta: UMFD-2 Dominio de cuenta: Font Driver Ho
0x84671 Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID
{00000000-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x1ed0 Nombre
C:\Windows\System32\winlogon.exe Información de red: Nombre de estación de trabajo: - Dirección d
origen: - Información de autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autent
Microsoft- transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se
2023-08-
Audit Windows- genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema local que
Seguridad 12544 11
Success Security- Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe
09:42:30
Auditing sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (
de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se i
red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no
puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un pro
sesión puede suplantar. Los campos de información de autenticación proporcionan información detallad
de sesión específica. - GUID de inicio de sesión es un identificador único que se puede usar para correla
evento KDC. - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de
paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longi
generada. Será 0 si no se solicitó una clave de sesión.
4648: Se intentó iniciar sesión con credenciales explícitas. Sujeto: Id. de seguridad: S-1-5-18 Nombre d
$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 GUID de inicio de sesión: {00000000
Microsoft- 000000000000} Cuenta cuyas credenciales se usaron: Nombre de cuenta: DWM-2 Dominio de cuenta:
2023-08-
Audit Windows- inicio de sesión: {00000000-0000-0000-0000-000000000000} Servidor de destino: Nombre de servido
Seguridad 12544 11
Success Security- Información adicional: localhost Información de proceso: Id. de proceso: 0x1ed0 Nombre de proceso: C
09:42:30
Auditing \winlogon.exe Información de red: Dirección de red: - Puerto: - Este evento se genera cuando un proce
una cuenta especificando explícitamente las credenciales de la cuenta. Suele producirse en configuracio
tareas programadas, o cuando se usa el comando RUNAS.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1842 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-90-0-2 Nombre de cuenta: DWM-2 Dominio de cuenta: Window Manage
0x84fe5 Inicio de sesión vinculado: 0x85000 Nombre de cuenta de red: - Dominio de cuenta de red: - G
{00000000-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x1ed0 Nombre
C:\Windows\System32\winlogon.exe Información de red: Nombre de estación de trabajo: - Dirección d
origen: - Información de autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autent
Microsoft- transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se
2023-08-
Audit Windows- genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema local que
Seguridad 12544 11
Success Security- Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe
09:42:30
Auditing sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (
de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se i
red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no
puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un pro
sesión puede suplantar. Los campos de información de autenticación proporcionan información detallad
de sesión específica. - GUID de inicio de sesión es un identificador único que se puede usar para correla
evento KDC. - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de
paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longi
generada. Será 0 si no se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1842 Token elevado: %%1843 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-90-0-2 Nombre de cuenta: DWM-2 Dominio de cuenta: Window Manage
0x85000 Inicio de sesión vinculado: 0x84fe5 Nombre de cuenta de red: - Dominio de cuenta de red: - G
{00000000-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x1ed0 Nombre
C:\Windows\System32\winlogon.exe Información de red: Nombre de estación de trabajo: - Dirección d
origen: - Información de autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autent
Microsoft- transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se
2023-08-
Audit Windows- genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema local que
Seguridad 12544 11
Success Security- Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe
09:42:30
Auditing sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (
de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se i
red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no
puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un pro
sesión puede suplantar. Los campos de información de autenticación proporcionan información detallad
de sesión específica. - GUID de inicio de sesión es un identificador único que se puede usar para correla
evento KDC. - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de
paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longi
generada. Será 0 si no se solicitó una clave de sesión.
Microsoft-
2023-08- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-9
Audit Windows-
Seguridad 12548 11 DWM-2 Dominio de cuenta: Window Manager Id. de inicio de sesión: 0x84fe5 Privilegios: SeAssignPrim
Success Security-
09:42:30 SeAuditPrivilege SeImpersonatePrivilege
Auditing
Microsoft-
2023-08- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-9
Audit Windows-
Seguridad 12548 11 DWM-2 Dominio de cuenta: Window Manager Id. de inicio de sesión: 0x85000 Privilegios: SeAssignPrim
Success Security-
09:42:30 SeAuditPrivilege
Auditing
Microsoft- 4647: Cierre de sesión iniciado por el usuario: Sujeto: Id. de seguridad: S-1-5-21-1163546357-429208
2023-08-
Audit Windows- Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id. de inicio de sesión: 0x3d23f E
Seguridad 12545 11
Success Security- se inicia un cierre de sesión. No se puede producir ninguna actividad adicional iniciada por el usuario. E
09:42:31
Auditing interpretar como un evento de cierre de sesión.
Microsoft- 4634: Se cerró sesión en una cuenta. Sujeto: Id. de seguridad: S-1-5-96-0-1 Nombre de cuenta: UMFD
2023-08-
Audit Windows- Driver Host Id. de inicio de sesión: 0x11f26 Tipo de inicio de sesión: 2 Este evento se genera cuando se
Seguridad 12545 11
Success Security- inicio. Puede estar correlacionado de manera positiva con un evento de inicio de sesión mediante el valo
09:42:31
Auditing id. de inicio de sesión solo son únicos entre reinicios en el mismo equipo.
Microsoft- 4798: Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18
2023-08-
Audit Windows- -K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Usuario: Id. de seguridad: S
Seguridad 13824 11
Success Security- 429208663-839679816-500 Nombre de cuenta: Administrador Dominio de cuenta: DESKTOP-K618JK0
09:42:31
Auditing de proceso: 0x724 Nombre de proceso: C:\Windows\System32\svchost.exe
Microsoft- 4798: Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18
2023-08-
Audit Windows- -K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Usuario: Id. de seguridad: S
Seguridad 13824 11
Success Security- 429208663-839679816-503 Nombre de cuenta: DefaultAccount Dominio de cuenta: DESKTOP-K618JK0
09:42:31
Auditing de proceso: 0x724 Nombre de proceso: C:\Windows\System32\svchost.exe
Microsoft- 4798: Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18
2023-08-
Audit Windows- -K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Usuario: Id. de seguridad: S
Seguridad 13824 11
Success Security- 429208663-839679816-501 Nombre de cuenta: Invitado Dominio de cuenta: DESKTOP-K618JK0 Inform
09:42:31
Auditing proceso: 0x724 Nombre de proceso: C:\Windows\System32\svchost.exe
Seguridad Audit 13824 Microsoft- 4798: Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18
Success Windows- -K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Usuario: Id. de seguridad: S
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 383 of 466
2023-08- Security- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Info
11 Auditing Navegación
proceso: 0x724 Nombre de proceso: C:\Windows\System32\svchost.exe
09:42:31
Microsoft- 4798: Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18
2023-08-
Audit Windows- -K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Usuario: Id. de seguridad: S
Seguridad 13824 11
Success Security- 429208663-839679816-504 Nombre de cuenta: WDAGUtilityAccount Dominio de cuenta: DESKTOP-K61
09:42:31
Auditing proceso: Id. de proceso: 0x724 Nombre de proceso: C:\Windows\System32\svchost.exe
Microsoft- 4634: Se cerró sesión en una cuenta. Sujeto: Id. de seguridad: S-1-5-90-0-1 Nombre de cuenta: DWM
2023-08-
Audit Windows- Window Manager Id. de inicio de sesión: 0x12bcb Tipo de inicio de sesión: 2 Este evento se genera cua
Seguridad 12545 11
Success Security- inicio. Puede estar correlacionado de manera positiva con un evento de inicio de sesión mediante el valo
09:42:33
Auditing id. de inicio de sesión solo son únicos entre reinicios en el mismo equipo.
Microsoft- 4634: Se cerró sesión en una cuenta. Sujeto: Id. de seguridad: S-1-5-90-0-1 Nombre de cuenta: DWM
2023-08-
Audit Windows- Window Manager Id. de inicio de sesión: 0x12ba4 Tipo de inicio de sesión: 2 Este evento se genera cua
Seguridad 12545 11
Success Security- de inicio. Puede estar correlacionado de manera positiva con un evento de inicio de sesión mediante el
09:42:33
Auditing Los id. de inicio de sesión solo son únicos entre reinicios en el mismo equipo.
Microsoft- 5061: Operación criptográfica. Sujeto: Id. de seguridad: S-1-5-21-1163546357-429208663-839679816
2023-08-
Audit Windows- USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id. de inicio de sesión: 0x92fbf Parámetros criptográf
Seguridad 12290 11
Success Security- Microsoft Software Key Storage Provider Nombre de algoritmo: ECDSA_P256 Nombre de clave: Microso
10:16:18
Auditing device certificate Tipo de clave: %%2500 Operación criptográfica: Operación: %%2480 Código de retor
5058: Operación de archivo de clave. Tema: Id. de seguridad: S-1-5-21-1163546357-429208663-8396
cuenta: USUARIO Dominio de cuentas: DESKTOP-K618JK0 Id. de inicio de sesión: 0x92fbf Información
Microsoft-
2023-08- 6308 Hora de creación del proceso: 2023-08-11T15:16:18.8461139Z Parámetros criptográficos: Nombr
Audit Windows-
Seguridad 12292 11 Software Key Storage Provider Nombre del algoritmo: UNKNOWN Nombre de la clave: Microsoft Connec
Success Security-
10:16:18 certificate Tipo de clave: %%2500 Información de la operación de archivo de clave: Ruta del archivo:
Auditing
C:\Users\USUARIO\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_b4
d2fc0c5f591f Operación: %%2458 Código de retorno: 0x0
5059: Operación de migración de claves. Tema: Id. de seguridad: S-1-5-21-1163546357-429208663-8
Microsoft-
2023-08- cuenta: USUARIO Dominio de cuentas: DESKTOP-K618JK0 Id. de inicio de sesión: 0x92fbf Información
Audit Windows-
Seguridad 12292 11 6308 Tiempo de creación del proceso: 2023-08-11T15:16:18.8461139Z Parámetros criptográficos: Nom
Success Security-
10:16:18 Software Key Storage Provider Nombre del algoritmo: ECDSA_P256 Nombre de la clave: Microsoft Conn
Auditing
device certificate Tipo de clave: %%2500 Información adicional: Operación: %%2464 Código de retorn
4648: Se intentó iniciar sesión con credenciales explícitas. Sujeto: Id. de seguridad: S-1-5-18 Nombre d
$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 GUID de inicio de sesión: {00000000
Microsoft- 000000000000} Cuenta cuyas credenciales se usaron: Nombre de cuenta: USUARIO Dominio de cuenta
2023-08-
Audit Windows- de inicio de sesión: {00000000-0000-0000-0000-000000000000} Servidor de destino: Nombre de serv
Seguridad 12544 11
Success Security- Información adicional: localhost Información de proceso: Id. de proceso: 0x724 Nombre de proceso: C:
10:16:18
Auditing \svchost.exe Información de red: Dirección de red: 127.0.0.1 Puerto: 0 Este evento se genera cuando u
sesión en una cuenta especificando explícitamente las credenciales de la cuenta. Suele producirse en co
como tareas programadas, o cuando se usa el comando RUNAS.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-21-1163546357-429208663-839679816-1001 Nombre de cuenta: USU
DESKTOP-K618JK0 Id. de inicio de sesión: 0x92f91 Inicio de sesión vinculado: 0x92fbf Nombre de cuen
cuenta de red: - GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000} Información d
0x724 Nombre de proceso: C:\Windows\System32\svchost.exe Información de red: Nombre de estació
K618JK0 Dirección de red de origen: 127.0.0.1 Puerto de origen: 0 Información de autenticación detalla
Microsoft- sesión: User32 Paquete de autenticación: Negotiate Servicios transitados: - Nombre de paquete (solo N
2023-08-
Audit Windows- Este evento se genera cuando se crea una sesión de inicio. Lo genera el equipo al que se tuvo acceso. L
Seguridad 12544 11
Success Security- indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un servicio como el servicio
10:16:18
Auditing como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica la clase de inicio de sesión
comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión indican la cuenta para la que
sesión, es decir, aquella en la que se inició la sesión. Los campos de red indican dónde se originó una so
remota. Nombre de estación de trabajo no está siempre disponible y se puede dejar en blanco en algun
de suplantación indica en qué medida un proceso en la sesión de inicio de sesión puede suplantar. Los c
autenticación proporcionan información detallada sobre esta solicitud de inicio de sesión específica. - GU
identificador único que se puede usar para correlacionar este evento con un evento KDC. - Servicios tra
intermedios que participaron en esta solicitud de inicio de sesión. - Nombre de paquete indica el subpro
protocolos NTLM. - Longitud de clave indica la longitud de la clave de sesión generada. Será 0 si no se s
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1843 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-21-1163546357-429208663-839679816-1001 Nombre de cuenta: USU
DESKTOP-K618JK0 Id. de inicio de sesión: 0x92fbf Inicio de sesión vinculado: 0x92f91 Nombre de cuen
cuenta de red: - GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000} Información d
0x724 Nombre de proceso: C:\Windows\System32\svchost.exe Información de red: Nombre de estació
K618JK0 Dirección de red de origen: 127.0.0.1 Puerto de origen: 0 Información de autenticación detalla
Microsoft- sesión: User32 Paquete de autenticación: Negotiate Servicios transitados: - Nombre de paquete (solo N
2023-08-
Audit Windows- Este evento se genera cuando se crea una sesión de inicio. Lo genera el equipo al que se tuvo acceso. L
Seguridad 12544 11
Success Security- indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un servicio como el servicio
10:16:18
Auditing como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica la clase de inicio de sesión
comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión indican la cuenta para la que
sesión, es decir, aquella en la que se inició la sesión. Los campos de red indican dónde se originó una so
remota. Nombre de estación de trabajo no está siempre disponible y se puede dejar en blanco en algun
de suplantación indica en qué medida un proceso en la sesión de inicio de sesión puede suplantar. Los c
autenticación proporcionan información detallada sobre esta solicitud de inicio de sesión específica. - GU
identificador único que se puede usar para correlacionar este evento con un evento KDC. - Servicios tra
intermedios que participaron en esta solicitud de inicio de sesión. - Nombre de paquete indica el subpro
protocolos NTLM. - Longitud de clave indica la longitud de la clave de sesión generada. Será 0 si no se s
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id. de inicio de
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
10:16:18
Auditing SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Microsoft- 4798: Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18
2023-08-
Audit Windows- -K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Usuario: Id. de seguridad: S
Seguridad 13824 11
Success Security- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Info
10:16:18
Auditing proceso: 0x1f88 Nombre de proceso: C:\Windows\System32\LogonUI.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 11
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
10:16:18
Auditing C:\Windows\System32\svchost.exe
Microsoft- 4798: Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-21
2023-08-
Audit Windows- 839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id. de inicio de
Seguridad 13824 11
Success Security- de seguridad: S-1-5-21-1163546357-429208663-839679816-1001 Nombre de cuenta: USUARIO Domi
10:16:19
Auditing K618JK0 Información de proceso: Id. de proceso: 0x1a9c Nombre de proceso: C:\Windows\explorer.ex
Seguridad Audit 12544 2023-08- Microsoft- 4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Success 11 Windows- Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
10:16:31 Security- administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
Auditing sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2b4 Nombre de proceso: C:\Wi
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 384 of 466
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
Navegación
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
10:16:31
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
10:16:32
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
10:16:32
Auditing almacenadas en el Administrador de credenciales.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2b4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
10:16:50
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
10:16:50
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
10:16:50
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
10:16:50
Auditing almacenadas en el Administrador de credenciales.
4648: Se intentó iniciar sesión con credenciales explícitas. Sujeto: Id. de seguridad: S-1-5-18 Nombre d
$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 GUID de inicio de sesión: {00000000
Microsoft- 000000000000} Cuenta cuyas credenciales se usaron: Nombre de cuenta: UMFD-3 Dominio de cuenta:
2023-08-
Audit Windows- inicio de sesión: {00000000-0000-0000-0000-000000000000} Servidor de destino: Nombre de servido
Seguridad 12544 11
Success Security- Información adicional: localhost Información de proceso: Id. de proceso: 0xb48 Nombre de proceso: C:
10:17:09
Auditing \winlogon.exe Información de red: Dirección de red: - Puerto: - Este evento se genera cuando un proce
una cuenta especificando explícitamente las credenciales de la cuenta. Suele producirse en configuracio
tareas programadas, o cuando se usa el comando RUNAS.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1842 Token elevado: %%1843 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-96-0-3 Nombre de cuenta: UMFD-3 Dominio de cuenta: Font Driver Ho
0xf8679 Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID
{00000000-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0xb48 Nombre
C:\Windows\System32\winlogon.exe Información de red: Nombre de estación de trabajo: - Dirección d
origen: - Información de autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autent
Microsoft- transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se
2023-08-
Audit Windows- genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema local que
Seguridad 12544 11
Success Security- Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe
10:17:09
Auditing sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (
de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se i
red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no
puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un pro
sesión puede suplantar. Los campos de información de autenticación proporcionan información detallad
de sesión específica. - GUID de inicio de sesión es un identificador único que se puede usar para correla
evento KDC. - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de
paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longi
generada. Será 0 si no se solicitó una clave de sesión.
4648: Se intentó iniciar sesión con credenciales explícitas. Sujeto: Id. de seguridad: S-1-5-18 Nombre d
$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 GUID de inicio de sesión: {00000000
Microsoft- 000000000000} Cuenta cuyas credenciales se usaron: Nombre de cuenta: DWM-3 Dominio de cuenta:
2023-08-
Audit Windows- inicio de sesión: {00000000-0000-0000-0000-000000000000} Servidor de destino: Nombre de servido
Seguridad 12544 11
Success Security- Información adicional: localhost Información de proceso: Id. de proceso: 0xb48 Nombre de proceso: C:
10:17:09
Auditing \winlogon.exe Información de red: Dirección de red: - Puerto: - Este evento se genera cuando un proce
una cuenta especificando explícitamente las credenciales de la cuenta. Suele producirse en configuracio
tareas programadas, o cuando se usa el comando RUNAS.
Seguridad Audit 12544 2023-08- Microsoft- 4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Success 11 Windows- Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
10:17:09 Security- administrador restringido: - Cuenta virtual: %%1842 Token elevado: %%1842 Nivel de suplantación: %
Auditing sesión: Id. de seguridad: S-1-5-90-0-3 Nombre de cuenta: DWM-3 Dominio de cuenta: Window Manage
0xf8fc0 Inicio de sesión vinculado: 0xf8fe0 Nombre de cuenta de red: - Dominio de cuenta de red: - GU
{00000000-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0xb48 Nombre
C:\Windows\System32\winlogon.exe Información de red: Nombre de estación de trabajo: - Dirección d
origen: - Información de autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autent
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 385 of 466
transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se
Navegación
genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema local que
Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe
sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (
de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se i
red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no
puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un pro
sesión puede suplantar. Los campos de información de autenticación proporcionan información detallad
de sesión específica. - GUID de inicio de sesión es un identificador único que se puede usar para correla
evento KDC. - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de
paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longi
generada. Será 0 si no se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1842 Token elevado: %%1843 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-90-0-3 Nombre de cuenta: DWM-3 Dominio de cuenta: Window Manage
0xf8fe0 Inicio de sesión vinculado: 0xf8fc0 Nombre de cuenta de red: - Dominio de cuenta de red: - GU
{00000000-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0xb48 Nombre
C:\Windows\System32\winlogon.exe Información de red: Nombre de estación de trabajo: - Dirección d
origen: - Información de autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autent
Microsoft- transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se
2023-08-
Audit Windows- genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema local que
Seguridad 12544 11
Success Security- Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe
10:17:09
Auditing sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (
de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se i
red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no
puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un pro
sesión puede suplantar. Los campos de información de autenticación proporcionan información detallad
de sesión específica. - GUID de inicio de sesión es un identificador único que se puede usar para correla
evento KDC. - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de
paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longi
generada. Será 0 si no se solicitó una clave de sesión.
Microsoft-
2023-08- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-9
Audit Windows-
Seguridad 12548 11 DWM-3 Dominio de cuenta: Window Manager Id. de inicio de sesión: 0xf8fc0 Privilegios: SeAssignPrima
Success Security-
10:17:09 SeAuditPrivilege SeImpersonatePrivilege
Auditing
Microsoft-
2023-08- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-9
Audit Windows-
Seguridad 12548 11 DWM-3 Dominio de cuenta: Window Manager Id. de inicio de sesión: 0xf8fe0 Privilegios: SeAssignPrima
Success Security-
10:17:09 SeAuditPrivilege
Auditing
Microsoft- 4647: Cierre de sesión iniciado por el usuario: Sujeto: Id. de seguridad: S-1-5-21-1163546357-429208
2023-08-
Audit Windows- Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id. de inicio de sesión: 0x92fbf Es
Seguridad 12545 11
Success Security- se inicia un cierre de sesión. No se puede producir ninguna actividad adicional iniciada por el usuario. E
10:17:10
Auditing interpretar como un evento de cierre de sesión.
Microsoft- 4798: Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18
2023-08-
Audit Windows- -K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Usuario: Id. de seguridad: S
Seguridad 13824 11
Success Security- 429208663-839679816-500 Nombre de cuenta: Administrador Dominio de cuenta: DESKTOP-K618JK0
10:17:10
Auditing de proceso: 0x724 Nombre de proceso: C:\Windows\System32\svchost.exe
Microsoft- 4798: Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18
2023-08-
Audit Windows- -K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Usuario: Id. de seguridad: S
Seguridad 13824 11
Success Security- 429208663-839679816-503 Nombre de cuenta: DefaultAccount Dominio de cuenta: DESKTOP-K618JK0
10:17:10
Auditing de proceso: 0x724 Nombre de proceso: C:\Windows\System32\svchost.exe
Microsoft- 4798: Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18
2023-08-
Audit Windows- -K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Usuario: Id. de seguridad: S
Seguridad 13824 11
Success Security- 429208663-839679816-501 Nombre de cuenta: Invitado Dominio de cuenta: DESKTOP-K618JK0 Inform
10:17:10
Auditing proceso: 0x724 Nombre de proceso: C:\Windows\System32\svchost.exe
Microsoft- 4798: Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18
2023-08-
Audit Windows- -K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Usuario: Id. de seguridad: S
Seguridad 13824 11
Success Security- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Info
10:17:10
Auditing proceso: 0x724 Nombre de proceso: C:\Windows\System32\svchost.exe
Microsoft- 4798: Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18
2023-08-
Audit Windows- -K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Usuario: Id. de seguridad: S
Seguridad 13824 11
Success Security- 429208663-839679816-504 Nombre de cuenta: WDAGUtilityAccount Dominio de cuenta: DESKTOP-K61
10:17:10
Auditing proceso: Id. de proceso: 0x724 Nombre de proceso: C:\Windows\System32\svchost.exe
Microsoft- 4634: Se cerró sesión en una cuenta. Sujeto: Id. de seguridad: S-1-5-96-0-2 Nombre de cuenta: UMFD
2023-08-
Audit Windows- Driver Host Id. de inicio de sesión: 0x84671 Tipo de inicio de sesión: 2 Este evento se genera cuando s
Seguridad 12545 11
Success Security- inicio. Puede estar correlacionado de manera positiva con un evento de inicio de sesión mediante el valo
10:17:11
Auditing id. de inicio de sesión solo son únicos entre reinicios en el mismo equipo.
Microsoft- 4634: Se cerró sesión en una cuenta. Sujeto: Id. de seguridad: S-1-5-90-0-2 Nombre de cuenta: DWM
2023-08-
Audit Windows- Window Manager Id. de inicio de sesión: 0x85000 Tipo de inicio de sesión: 2 Este evento se genera cua
Seguridad 12545 11
Success Security- de inicio. Puede estar correlacionado de manera positiva con un evento de inicio de sesión mediante el
10:17:12
Auditing Los id. de inicio de sesión solo son únicos entre reinicios en el mismo equipo.
Microsoft- 4634: Se cerró sesión en una cuenta. Sujeto: Id. de seguridad: S-1-5-90-0-2 Nombre de cuenta: DWM
2023-08-
Audit Windows- Window Manager Id. de inicio de sesión: 0x84fe5 Tipo de inicio de sesión: 2 Este evento se genera cuan
Seguridad 12545 11
Success Security- inicio. Puede estar correlacionado de manera positiva con un evento de inicio de sesión mediante el valo
10:17:12
Auditing id. de inicio de sesión solo son únicos entre reinicios en el mismo equipo.
Microsoft- 5061: Operación criptográfica. Sujeto: Id. de seguridad: S-1-5-21-1163546357-429208663-839679816
2023-08-
Audit Windows- USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id. de inicio de sesión: 0x10741a Parámetros criptogr
Seguridad 12290 11
Success Security- Microsoft Software Key Storage Provider Nombre de algoritmo: ECDSA_P256 Nombre de clave: Microso
11:26:34
Auditing device certificate Tipo de clave: %%2500 Operación criptográfica: Operación: %%2480 Código de retor
5058: Operación de archivo de clave. Tema: Id. de seguridad: S-1-5-21-1163546357-429208663-8396
cuenta: USUARIO Dominio de cuentas: DESKTOP-K618JK0 Id. de inicio de sesión: 0x10741a Informació
Microsoft-
2023-08- proceso: 5216 Hora de creación del proceso: 2023-08-11T16:26:34.7441380Z Parámetros criptográfico
Audit Windows-
Seguridad 12292 11 Microsoft Software Key Storage Provider Nombre del algoritmo: UNKNOWN Nombre de la clave: Microso
Success Security-
11:26:34 Platform device certificate Tipo de clave: %%2500 Información de la operación de archivo de clave: Ru
Auditing
C:\Users\USUARIO\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_b4
d2fc0c5f591f Operación: %%2458 Código de retorno: 0x0
5059: Operación de migración de claves. Tema: Id. de seguridad: S-1-5-21-1163546357-429208663-8
Microsoft-
2023-08- cuenta: USUARIO Dominio de cuentas: DESKTOP-K618JK0 Id. de inicio de sesión: 0x10741a Informació
Audit Windows-
Seguridad 12292 11 proceso: 5216 Tiempo de creación del proceso: 2023-08-11T16:26:34.7441380Z Parámetros criptográf
Success Security-
11:26:34 Microsoft Software Key Storage Provider Nombre del algoritmo: ECDSA_P256 Nombre de la clave: Micro
Auditing
Platform device certificate Tipo de clave: %%2500 Información adicional: Operación: %%2464 Código
4648: Se intentó iniciar sesión con credenciales explícitas. Sujeto: Id. de seguridad: S-1-5-18 Nombre d
$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 GUID de inicio de sesión: {00000000
Microsoft- 000000000000} Cuenta cuyas credenciales se usaron: Nombre de cuenta: USUARIO Dominio de cuenta
2023-08-
Audit Windows- de inicio de sesión: {00000000-0000-0000-0000-000000000000} Servidor de destino: Nombre de serv
Seguridad 12544 11
Success Security- Información adicional: localhost Información de proceso: Id. de proceso: 0x724 Nombre de proceso: C:
11:26:34
Auditing \svchost.exe Información de red: Dirección de red: 127.0.0.1 Puerto: 0 Este evento se genera cuando u
sesión en una cuenta especificando explícitamente las credenciales de la cuenta. Suele producirse en co
como tareas programadas, o cuando se usa el comando RUNAS.
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 386 of 466
Seguridad Audit 12544 2023-08- Microsoft- 4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Success 11 Windows- Dominio de cuenta: WORKGROUP Navegación
Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
11:26:34 Security- administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
Auditing sesión: Id. de seguridad: S-1-5-21-1163546357-429208663-839679816-1001 Nombre de cuenta: USU
DESKTOP-K618JK0 Id. de inicio de sesión: 0x1073fa Inicio de sesión vinculado: 0x10741a Nombre de c
cuenta de red: - GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000} Información d
0x724 Nombre de proceso: C:\Windows\System32\svchost.exe Información de red: Nombre de estació
K618JK0 Dirección de red de origen: 127.0.0.1 Puerto de origen: 0 Información de autenticación detalla
sesión: User32 Paquete de autenticación: Negotiate Servicios transitados: - Nombre de paquete (solo N
Este evento se genera cuando se crea una sesión de inicio. Lo genera el equipo al que se tuvo acceso. L
indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un servicio como el servicio
como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica la clase de inicio de sesión
comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión indican la cuenta para la que
sesión, es decir, aquella en la que se inició la sesión. Los campos de red indican dónde se originó una so
remota. Nombre de estación de trabajo no está siempre disponible y se puede dejar en blanco en algun
de suplantación indica en qué medida un proceso en la sesión de inicio de sesión puede suplantar. Los c
autenticación proporcionan información detallada sobre esta solicitud de inicio de sesión específica. - GU
identificador único que se puede usar para correlacionar este evento con un evento KDC. - Servicios tra
intermedios que participaron en esta solicitud de inicio de sesión. - Nombre de paquete indica el subpro
protocolos NTLM. - Longitud de clave indica la longitud de la clave de sesión generada. Será 0 si no se s
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1843 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-21-1163546357-429208663-839679816-1001 Nombre de cuenta: USU
DESKTOP-K618JK0 Id. de inicio de sesión: 0x10741a Inicio de sesión vinculado: 0x1073fa Nombre de c
cuenta de red: - GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000} Información d
0x724 Nombre de proceso: C:\Windows\System32\svchost.exe Información de red: Nombre de estació
K618JK0 Dirección de red de origen: 127.0.0.1 Puerto de origen: 0 Información de autenticación detalla
Microsoft- sesión: User32 Paquete de autenticación: Negotiate Servicios transitados: - Nombre de paquete (solo N
2023-08-
Audit Windows- Este evento se genera cuando se crea una sesión de inicio. Lo genera el equipo al que se tuvo acceso. L
Seguridad 12544 11
Success Security- indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un servicio como el servicio
11:26:34
Auditing como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica la clase de inicio de sesión
comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión indican la cuenta para la que
sesión, es decir, aquella en la que se inició la sesión. Los campos de red indican dónde se originó una so
remota. Nombre de estación de trabajo no está siempre disponible y se puede dejar en blanco en algun
de suplantación indica en qué medida un proceso en la sesión de inicio de sesión puede suplantar. Los c
autenticación proporcionan información detallada sobre esta solicitud de inicio de sesión específica. - GU
identificador único que se puede usar para correlacionar este evento con un evento KDC. - Servicios tra
intermedios que participaron en esta solicitud de inicio de sesión. - Nombre de paquete indica el subpro
protocolos NTLM. - Longitud de clave indica la longitud de la clave de sesión generada. Será 0 si no se s
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2b4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
11:26:34
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id. de inicio de
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
11:26:34
Auditing SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
11:26:34
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4798: Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18
2023-08-
Audit Windows- -K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Usuario: Id. de seguridad: S
Seguridad 13824 11
Success Security- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Info
11:26:34
Auditing proceso: 0x1034 Nombre de proceso: C:\Windows\System32\LogonUI.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 11
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
11:26:34
Auditing C:\Windows\System32\svchost.exe
Microsoft- 4798: Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-21
2023-08-
Audit Windows- 839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id. de inicio de
Seguridad 13824 11
Success Security- Id. de seguridad: S-1-5-21-1163546357-429208663-839679816-1001 Nombre de cuenta: USUARIO Do
11:26:35
Auditing K618JK0 Información de proceso: Id. de proceso: 0x144c Nombre de proceso: C:\Windows\explorer.ex
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2b4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
11:26:38
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Seguridad Audit 12548 Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
Success Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 387 of 466
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 388 of 466
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
Navegación
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
11:26:59
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2b4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
11:27:07
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
11:27:07
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2b4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
11:27:17
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
11:27:17
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2b4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
11:27:18
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
11:27:18
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2b4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
11:27:20
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Seguridad 12548
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 389 of 466
Audit 2023-08- Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
Success 11 Windows- SYSTEM Dominio de cuenta:Navegación
NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
11:27:20 Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2b4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
11:27:21
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
11:27:21
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2b4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
11:27:22
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2b4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
11:27:22
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
11:27:22
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
11:27:22
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
11:27:22
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
11:27:22
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
11:27:22
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
11:27:22
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
11:27:22
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
11:27:22
Auditing almacenadas en el Administrador de credenciales.
Seguridad 13824
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 390 of 466
Audit 2023-08- Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
Success 11 Windows- 839679816-1001 Nombre deNavegación
la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
11:27:22 Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
11:27:22
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
11:27:22
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
11:27:22
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
11:27:22
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
11:27:22
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
11:27:22
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
11:27:22
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
11:27:22
Auditing almacenadas en el Administrador de credenciales.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2b4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
11:27:23
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2b4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
11:27:23
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
11:27:23
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
11:27:23
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
11:27:23
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
11:27:23
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
11:27:23
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
11:27:23
Auditing almacenadas en el Administrador de credenciales.
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 391 of 466
Seguridad Audit 13824 2023-08- Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
Success 11 Windows- 839679816-1001 Nombre deNavegación
la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
11:27:23 Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
11:27:23
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
11:27:23
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
11:27:23
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
11:27:23
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
11:27:23
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
11:27:23
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
11:27:23
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
11:27:23
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
11:27:23
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
11:27:23
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
11:27:23
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
11:27:23
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
11:27:23
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
11:27:23
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
11:27:23
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 11
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
11:27:25
Auditing C:\Windows\System32\svchost.exe
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2b4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
11:27:26
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
11:27:26
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 11 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
11:27:26 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Seguridad Audit 13824 2023-08- Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Success 11 Windows- DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
11:27:26 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 392 of 466
Security-
Auditing Navegación
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 11 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
11:27:26 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 11 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
11:27:26 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 11 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
11:27:26 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 11 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
11:27:26 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 11 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
11:27:26 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 11 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
11:27:26 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 11 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
11:27:26 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 11 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
11:27:26 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 11 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
11:27:26 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 11 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
11:27:26 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 11 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
11:27:26 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 11 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
11:27:32 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 11 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
11:27:32 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 11 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
11:27:32 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 11 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
11:27:32 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 11 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
11:27:32 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 11 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
11:27:32 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 11 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
11:27:32 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 11 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
11:27:32 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2b4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
11:27:35
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Seguridad 12544
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 393 of 466
Audit 2023-08- Microsoft- 4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Success 11 Windows- Dominio de cuenta: WORKGROUP Navegación
Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
11:27:35 Security- administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
Auditing sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2b4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2b4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
11:27:35
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2b4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
11:27:35
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2b4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
11:27:35
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2b4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
11:27:35
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Seguridad Audit 12544 2023-08- Microsoft- 4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Success 11 Windows- Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
11:27:35 administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 394 of 466
Security- sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Auditing Navegación
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2b4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
11:27:35
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
11:27:35
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
11:27:35
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
11:27:35
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
11:27:35
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
11:27:35
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
11:27:35
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2b4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
11:27:40
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2b4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
11:27:40
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
11:27:40
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
11:27:40
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Seguridad Audit 12544 2023-08- Microsoft- 4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Success 11 Windows- Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
11:27:57 Security- administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
Auditing sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2b4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 395 of 466
NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
Los campos de firmante indicanNavegación
la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2b4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
11:27:57
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
11:27:57
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
11:27:57
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 11
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
11:27:57
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 11
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
11:27:57
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 11
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
11:27:57
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 11
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
11:27:57
Auditing C:\Windows\System32\VSSVC.exe
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2b4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
11:28:09
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2b4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
11:28:09
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
11:28:09
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Seguridad Audit 12548 Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
Success Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 396 of 466
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 397 of 466
Audit 2023-08- Microsoft- 4798: Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-21
Success 11 Windows- 839679816-1001 Nombre deNavegación
cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id. de inicio de
11:31:05 Security- Id. de seguridad: S-1-5-21-1163546357-429208663-839679816-1001 Nombre de cuenta: USUARIO Do
Auditing K618JK0 Información de proceso: Id. de proceso: 0x1780 Nombre de proceso: C:\Program Files (x86)
\Microsoft\Edge\Application\msedge.exe
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2b4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
11:32:22
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
11:32:22
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 11 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
11:32:22 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 11 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
11:32:22 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 11 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
11:32:22 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 11 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
11:32:22 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 11 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
11:32:22 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 11 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
11:32:22 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 11 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
11:32:22 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 11 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
11:32:22 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 11 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
11:32:22 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 11 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
11:32:22 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 11 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
11:32:22 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 11 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
11:32:22 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 11 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
11:32:22 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 11 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
11:32:22 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 11 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
11:32:23 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 11 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
11:32:23 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 11 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
11:32:23 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Seguridad Audit 13824 Microsoft-
Success Windows-
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 398 of 466
2023-08- Security- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
11 Auditing DESKTOP-K618JK0$ Dominio Navegación
de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
11:32:23 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 11 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
11:32:23 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 11 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
11:32:23 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 11 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
11:32:23 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2b4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
11:32:25
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
11:32:25
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4798: Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18
2023-08-
Audit Windows- -K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Usuario: Id. de seguridad: S
Seguridad 13824 11
Success Security- 429208663-839679816-500 Nombre de cuenta: Administrador Dominio de cuenta: DESKTOP-K618JK0
11:32:32
Auditing de proceso: 0x2894 Nombre de proceso: C:\Windows\System32\CompatTelRunner.exe
Microsoft- 4798: Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18
2023-08-
Audit Windows- -K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Usuario: Id. de seguridad: S
Seguridad 13824 11
Success Security- 429208663-839679816-503 Nombre de cuenta: DefaultAccount Dominio de cuenta: DESKTOP-K618JK0
11:32:32
Auditing de proceso: 0x2894 Nombre de proceso: C:\Windows\System32\CompatTelRunner.exe
Microsoft- 4798: Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18
2023-08-
Audit Windows- -K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Usuario: Id. de seguridad: S
Seguridad 13824 11
Success Security- 429208663-839679816-501 Nombre de cuenta: Invitado Dominio de cuenta: DESKTOP-K618JK0 Inform
11:32:32
Auditing proceso: 0x2894 Nombre de proceso: C:\Windows\System32\CompatTelRunner.exe
Microsoft- 4798: Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18
2023-08-
Audit Windows- -K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Usuario: Id. de seguridad: S
Seguridad 13824 11
Success Security- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Info
11:32:32
Auditing proceso: 0x2894 Nombre de proceso: C:\Windows\System32\CompatTelRunner.exe
Microsoft- 4798: Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18
2023-08-
Audit Windows- -K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Usuario: Id. de seguridad: S
Seguridad 13824 11
Success Security- 429208663-839679816-504 Nombre de cuenta: WDAGUtilityAccount Dominio de cuenta: DESKTOP-K61
11:32:32
Auditing proceso: Id. de proceso: 0x2894 Nombre de proceso: C:\Windows\System32\CompatTelRunner.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 11
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
11:32:32
Auditing C:\Windows\System32\CompatTelRunner.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 11
Success Security- Nombre de grupo: Usuarios Dominio de grupo: Builtin Información de proceso: Id. de proceso: 0x2894
11:32:32
Auditing C:\Windows\System32\CompatTelRunner.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 11
Success Security- Nombre de grupo: Invitados Dominio de grupo: Builtin Información de proceso: Id. de proceso: 0x2894
11:32:32
Auditing C:\Windows\System32\CompatTelRunner.exe
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x2b4 Nombre de proceso: C:\Wi
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
11:33:13
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
11:33:13
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Seguridad Audit 12544 2023-08- Microsoft- 4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Success 11 Windows- Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
11:33:36 Security- administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
Auditing sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 399 of 466
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 400 of 466
2023-08- Security- 429208663-839679816-501 Nombre de cuenta: Invitado Dominio de cuenta: DESKTOP-K618JK0 Inform
11 Auditing Navegación
proceso: 0x724 Nombre de proceso: C:\Windows\System32\svchost.exe
11:36:08
Microsoft- 4798: Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18
2023-08-
Audit Windows- -K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Usuario: Id. de seguridad: S
Seguridad 13824 11
Success Security- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Info
11:36:08
Auditing proceso: 0x724 Nombre de proceso: C:\Windows\System32\svchost.exe
Microsoft- 4798: Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18
2023-08-
Audit Windows- -K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Usuario: Id. de seguridad: S
Seguridad 13824 11
Success Security- 429208663-839679816-504 Nombre de cuenta: WDAGUtilityAccount Dominio de cuenta: DESKTOP-K61
11:36:08
Auditing proceso: Id. de proceso: 0x724 Nombre de proceso: C:\Windows\System32\svchost.exe
2023-08- Microsoft-
Audit
Seguridad 103 11 Windows- 1100: Se cerró el servicio de registro de eventos.
Success
11:36:10 Eventlog
4688: Se creó un nuevo proceso. Firmante creador: Identificador de seguridad: S-1-5-18 Nombre de cu
Identificador de inicio de sesión: 0x3e7 Firmante de destino: Identificador de seguridad: S-1-0-0 Nomb
cuenta: - Identificador de inicio de sesión: 0x0 Información de proceso: Identificador del nuevo proceso
proceso: ????-??6?4????0--?0??????? Tipo de elevación de token: %%1936 Etiqueta obligatoria: S-1-16
proceso creador: 0x4 Nombre del proceso creador: ??????? Línea de comandos de proceso: ????0--?0??
Microsoft- token indica el tipo de token que se asignó al nuevo proceso de acuerdo con la directiva Control de cuen
2023-08-
Audit Windows- un token completo sin privilegios quitados ni grupos deshabilitados. Solo se usa un token completo si C
Seguridad 13312 11
Success Security- está deshabilitado o si el usuario es la cuenta predefinida Administrador o una cuenta de servicio. El tip
11:36:21
Auditing privilegios quitados ni grupos deshabilitados. Se usa un token elevado cuando Control de cuentas de us
usuario elige iniciar el programa mediante Ejecutar como administrador. También se usa un token eleva
aplicación para que siempre requiera un privilegio administrativo o para que siempre requiera el máxim
pertenece al grupo Administradores. El tipo 3 es un token limitado con los privilegios administrativos qu
administrativos deshabilitados. El token limitado se usa cuando Control de cuentas de usuario está habi
requiere un privilegio administrativo y el usuario no elige iniciar el programa mediante Ejecutar como ad
Microsoft- 4696: Se asignó un símbolo (token) primario al proceso. Sujeto: Id. de seguridad: S-1-5-18 Nombre de
2023-08-
Audit Windows- cuenta: - Id. de inicio de sesión: 0x3e7 Información de proceso: Id. de proceso: 0x4 Nombre de proces
Seguridad 13312 11
Success Security- de proceso de destino: 0x7c Nombre de proceso de destino: Registry Información de nuevo símbolo: Id
11:36:21
Auditing Nombre de cuenta: - Dominio de cuenta: - Id. de inicio de sesión: 0x3e7
4688: Se creó un nuevo proceso. Firmante creador: Identificador de seguridad: S-1-5-18 Nombre de cu
Identificador de inicio de sesión: 0x3e7 Firmante de destino: Identificador de seguridad: S-1-0-0 Nomb
cuenta: - Identificador de inicio de sesión: 0x0 Información de proceso: Identificador del nuevo proceso
proceso: ??????????????-??6?4????0--?0??????? Tipo de elevación de token: %%1936 Etiqueta obligato
Identificador del proceso creador: 0x4 Nombre del proceso creador: ??????? Línea de comandos de proc
Microsoft- de elevación de token indica el tipo de token que se asignó al nuevo proceso de acuerdo con la directiva
2023-08-
Audit Windows- usuario. El tipo 1 es un token completo sin privilegios quitados ni grupos deshabilitados. Solo se usa un
Seguridad 13312 11
Success Security- cuentas de usuario está deshabilitado o si el usuario es la cuenta predefinida Administrador o una cuent
11:36:21
Auditing token elevado sin privilegios quitados ni grupos deshabilitados. Se usa un token elevado cuando Contro
habilitado y el usuario elige iniciar el programa mediante Ejecutar como administrador. También se usa
configura una aplicación para que siempre requiera un privilegio administrativo o para que siempre requ
usuario pertenece al grupo Administradores. El tipo 3 es un token limitado con los privilegios administra
administrativos deshabilitados. El token limitado se usa cuando Control de cuentas de usuario está habi
requiere un privilegio administrativo y el usuario no elige iniciar el programa mediante Ejecutar como ad
4826: Se cargaron los datos de configuración de arranque. Asunto: Id. de seguridad: S-1-5-18 Nombre
Microsoft- cuenta: - Id. de inicio de sesión: 0x3e7 Configuración general: Opciones de carga: - Opciones avanzada
2023-08-
Audit Windows- acceso a la configuración: %%1846 Registro de eventos del sistema: %%1843 Depuración del kernel:
Seguridad 13573 11
Success Security- VSM: %%1848 Configuración de la firma: Firma de prueba: %%1843 Firma de desarrollo: %%1843 De
11:36:21
Auditing integridad: %%1843 Configuración del hipervisor: Opciones de carga del hipervisor: - Tipo de inicio del
Depuración del hipervisor: %%1843
4688: Se creó un nuevo proceso. Firmante creador: Identificador de seguridad: S-1-5-18 Nombre de cu
Identificador de inicio de sesión: 0x3e7 Firmante de destino: Identificador de seguridad: S-1-0-0 Nomb
cuenta: - Identificador de inicio de sesión: 0x0 Información de proceso: Identificador del nuevo proceso
proceso: ???????????????e??? ????????? ???????????????e?????? Tipo de elevación de token: %%1936
16384 Identificador del proceso creador: 0x1a0 Nombre del proceso creador: ????????????????????4 Lín
proceso: ????0--?0????????????????????4 El tipo de elevación de token indica el tipo de token que se as
Microsoft-
2023-08- acuerdo con la directiva Control de cuentas de usuario. El tipo 1 es un token completo sin privilegios qu
Audit Windows-
Seguridad 13312 11 deshabilitados. Solo se usa un token completo si Control de cuentas de usuario está deshabilitado o si e
Success Security-
11:36:22 predefinida Administrador o una cuenta de servicio. El tipo 2 es un token elevado sin privilegios quitado
Auditing
usa un token elevado cuando Control de cuentas de usuario está habilitado y el usuario elige iniciar el p
como administrador. También se usa un token elevado cuando se configura una aplicación para que sie
administrativo o para que siempre requiera el máximo privilegio y el usuario pertenece al grupo Admini
token limitado con los privilegios administrativos quitados y los grupos administrativos deshabilitados. E
cuando Control de cuentas de usuario está habilitado, la aplicación no requiere un privilegio administrat
iniciar el programa mediante Ejecutar como administrador.
4688: Se creó un nuevo proceso. Firmante creador: Identificador de seguridad: S-1-5-18 Nombre de cu
Identificador de inicio de sesión: 0x3e7 Firmante de destino: Identificador de seguridad: S-1-0-0 Nomb
cuenta: - Identificador de inicio de sesión: 0x0 Información de proceso: Identificador del nuevo proceso
proceso: ??????????????-??6??0????0--?0????????????????????4? Tipo de elevación de token: %%1936
16384 Identificador del proceso creador: 0x1a0 Nombre del proceso creador: ????????????????????4? L
proceso: ????0--?0????????????????????4? El tipo de elevación de token indica el tipo de token que se a
Microsoft-
2023-08- acuerdo con la directiva Control de cuentas de usuario. El tipo 1 es un token completo sin privilegios qu
Audit Windows-
Seguridad 13312 11 deshabilitados. Solo se usa un token completo si Control de cuentas de usuario está deshabilitado o si e
Success Security-
11:36:22 predefinida Administrador o una cuenta de servicio. El tipo 2 es un token elevado sin privilegios quitado
Auditing
usa un token elevado cuando Control de cuentas de usuario está habilitado y el usuario elige iniciar el p
como administrador. También se usa un token elevado cuando se configura una aplicación para que sie
administrativo o para que siempre requiera el máximo privilegio y el usuario pertenece al grupo Admini
token limitado con los privilegios administrativos quitados y los grupos administrativos deshabilitados. E
cuando Control de cuentas de usuario está habilitado, la aplicación no requiere un privilegio administrat
iniciar el programa mediante Ejecutar como administrador.
4688: Se creó un nuevo proceso. Firmante creador: Identificador de seguridad: S-1-5-18 Nombre de cu
Identificador de inicio de sesión: 0x3e7 Firmante de destino: Identificador de seguridad: S-1-0-0 Nomb
cuenta: - Identificador de inicio de sesión: 0x0 Información de proceso: Identificador del nuevo proceso
proceso: ??????????????e??? ????????? ???????????????e?????? Tipo de elevación de token: %%1936 E
16384 Identificador del proceso creador: 0x1f4 Nombre del proceso creador: ????????????????????4 Lín
proceso: ????0--?0????????????????????4 El tipo de elevación de token indica el tipo de token que se as
Microsoft-
2023-08- acuerdo con la directiva Control de cuentas de usuario. El tipo 1 es un token completo sin privilegios qu
Audit Windows-
Seguridad 13312 11 deshabilitados. Solo se usa un token completo si Control de cuentas de usuario está deshabilitado o si e
Success Security-
11:39:54 predefinida Administrador o una cuenta de servicio. El tipo 2 es un token elevado sin privilegios quitado
Auditing
usa un token elevado cuando Control de cuentas de usuario está habilitado y el usuario elige iniciar el p
como administrador. También se usa un token elevado cuando se configura una aplicación para que sie
administrativo o para que siempre requiera el máximo privilegio y el usuario pertenece al grupo Admini
token limitado con los privilegios administrativos quitados y los grupos administrativos deshabilitados. E
cuando Control de cuentas de usuario está habilitado, la aplicación no requiere un privilegio administrat
iniciar el programa mediante Ejecutar como administrador.
Microsoft-
2023-08-
Audit Windows-
Seguridad 12288 11 4608: Se está iniciando Windows. Este evento se registra cuando se inicia LSASS.EXE y se inicializa el s
Success Security-
11:39:56
Auditing
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 401 of 466
Seguridad Audit 12544 2023-08- Microsoft- 4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-0-0 Nombre de cu
Success 11 Windows- Navegación de inicio de sesión: Tipo de inicio de sesión: 0 Modo de adminis
Id. de inicio de sesión: 0x0 Información
11:39:56 Security- virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: - Nuevo inicio de sesión: Id. de segu
Auditing cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Inicio de sesión vinc
de red: - Dominio de cuenta de red: - GUID de inicio de sesión: {00000000-0000-0000-0000-00000000
proceso: Id. de proceso: 0x4 Nombre de proceso: ? Información de red: Nombre de estación de trabajo
origen: - Puerto de origen: - Información de autenticación detallada: Proceso de inicio de sesión: - Paqu
Servicios transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera
inicio. Lo genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema
sesión. Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Servi
inicio de sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interacti
Nuevo inicio de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella e
Los campos de red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estació
disponible y se puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qu
sesión de inicio de sesión puede suplantar. Los campos de información de autenticación proporcionan in
esta solicitud de inicio de sesión específica. - GUID de inicio de sesión es un identificador único que se p
este evento con un evento KDC. - Servicios transitados indica los servicios intermedios que participaron
sesión. - Nombre de paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de
clave de sesión generada. Será 0 si no se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x58 Nombre de proceso: C:\Win
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
11:39:56
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4648: Se intentó iniciar sesión con credenciales explícitas. Sujeto: Id. de seguridad: S-1-5-18 Nombre d
$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 GUID de inicio de sesión: {00000000
Microsoft- 000000000000} Cuenta cuyas credenciales se usaron: Nombre de cuenta: UMFD-0 Dominio de cuenta:
2023-08-
Audit Windows- inicio de sesión: {00000000-0000-0000-0000-000000000000} Servidor de destino: Nombre de servido
Seguridad 12544 11
Success Security- Información adicional: localhost Información de proceso: Id. de proceso: 0x3b8 Nombre de proceso: C:
11:39:56
Auditing \wininit.exe Información de red: Dirección de red: - Puerto: - Este evento se genera cuando un proceso
cuenta especificando explícitamente las credenciales de la cuenta. Suele producirse en configuraciones
programadas, o cuando se usa el comando RUNAS.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1842 Token elevado: %%1843 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-96-0-0 Nombre de cuenta: UMFD-0 Dominio de cuenta: Font Driver Ho
0xcf07 Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID d
-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x3b8 Nombre de proceso:
\wininit.exe Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto
autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servic
Microsoft- paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio.
2023-08-
Audit Windows- tuvo acceso. Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión.
Seguridad 12544 11
Success Security- servicio de servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de se
11:39:56
Auditing de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio
para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos
originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponi
blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesió
suplantar. Los campos de información de autenticación proporcionan información detallada sobre esta s
específica. - GUID de inicio de sesión es un identificador único que se puede usar para correlacionar est
- Servicios transitados indica los servicios intermedios que participaron en esta solicitud de inicio de ses
indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la
Será 0 si no se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-20 Nombre de cuenta: Servicio de red Dominio de cuenta: NT AUTHOR
0x3e4 Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de
-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x58 Nombre de proceso:
\services.exe Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto
autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servic
Microsoft- paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio.
2023-08-
Audit Windows- tuvo acceso. Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión.
Seguridad 12544 11
Success Security- servicio de servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de se
11:39:56
Auditing de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio
para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos
originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponi
blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesió
suplantar. Los campos de información de autenticación proporcionan información detallada sobre esta s
específica. - GUID de inicio de sesión es un identificador único que se puede usar para correlacionar est
- Servicios transitados indica los servicios intermedios que participaron en esta solicitud de inicio de ses
indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la
Será 0 si no se solicitó una clave de sesión.
Seguridad Audit 12544 2023-08- Microsoft- 4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Success 11 Windows- Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
11:39:56 Security- administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
Auditing sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x58 Nombre de proceso: C:\Win
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 402 of 466
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
Navegación
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4648: Se intentó iniciar sesión con credenciales explícitas. Sujeto: Id. de seguridad: S-1-5-18 Nombre d
$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 GUID de inicio de sesión: {00000000
Microsoft- 000000000000} Cuenta cuyas credenciales se usaron: Nombre de cuenta: UMFD-1 Dominio de cuenta:
2023-08-
Audit Windows- inicio de sesión: {00000000-0000-0000-0000-000000000000} Servidor de destino: Nombre de servido
Seguridad 12544 11
Success Security- Información adicional: localhost Información de proceso: Id. de proceso: 0x294 Nombre de proceso: C:
11:39:56
Auditing \winlogon.exe Información de red: Dirección de red: - Puerto: - Este evento se genera cuando un proce
una cuenta especificando explícitamente las credenciales de la cuenta. Suele producirse en configuracio
tareas programadas, o cuando se usa el comando RUNAS.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1842 Token elevado: %%1843 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-96-0-1 Nombre de cuenta: UMFD-1 Dominio de cuenta: Font Driver Ho
0x12c1d Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID
{00000000-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x294 Nombre
C:\Windows\System32\winlogon.exe Información de red: Nombre de estación de trabajo: - Dirección d
origen: - Información de autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autent
Microsoft- transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se
2023-08-
Audit Windows- genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema local que
Seguridad 12544 11
Success Security- Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe
11:39:56
Auditing sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (
de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se i
red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no
puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un pro
sesión puede suplantar. Los campos de información de autenticación proporcionan información detallad
de sesión específica. - GUID de inicio de sesión es un identificador único que se puede usar para correla
evento KDC. - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de
paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longi
generada. Será 0 si no se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
11:39:56
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft-
2023-08- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-2
Audit Windows-
Seguridad 12548 11 Servicio de red Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e4 Privilegios: SeAssignP
Success Security-
11:39:56 SeAuditPrivilege SeImpersonatePrivilege
Auditing
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
11:39:56
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
4688: Se creó un nuevo proceso. Firmante creador: Identificador de seguridad: S-1-5-18 Nombre de cu
Identificador de inicio de sesión: 0x3e7 Firmante de destino: Identificador de seguridad: S-1-0-0 Nomb
cuenta: - Identificador de inicio de sesión: 0x0 Información de proceso: Identificador del nuevo proceso
proceso: ??????????????-??6??0????0--?0????????????????????4? Tipo de elevación de token: %%1936
16384 Identificador del proceso creador: 0x1a0 Nombre del proceso creador: ????????????????????4? L
proceso: ????0--?0????????????????????4? El tipo de elevación de token indica el tipo de token que se a
Microsoft-
2023-08- acuerdo con la directiva Control de cuentas de usuario. El tipo 1 es un token completo sin privilegios qu
Audit Windows-
Seguridad 13312 11 deshabilitados. Solo se usa un token completo si Control de cuentas de usuario está deshabilitado o si e
Success Security-
11:39:56 predefinida Administrador o una cuenta de servicio. El tipo 2 es un token elevado sin privilegios quitado
Auditing
usa un token elevado cuando Control de cuentas de usuario está habilitado y el usuario elige iniciar el p
como administrador. También se usa un token elevado cuando se configura una aplicación para que sie
administrativo o para que siempre requiera el máximo privilegio y el usuario pertenece al grupo Admini
token limitado con los privilegios administrativos quitados y los grupos administrativos deshabilitados. E
cuando Control de cuentas de usuario está habilitado, la aplicación no requiere un privilegio administrat
iniciar el programa mediante Ejecutar como administrador.
4688: Se creó un nuevo proceso. Firmante creador: Identificador de seguridad: S-1-5-18 Nombre de cu
Identificador de inicio de sesión: 0x3e7 Firmante de destino: Identificador de seguridad: S-1-0-0 Nomb
cuenta: - Identificador de inicio de sesión: 0x0 Información de proceso: Identificador del nuevo proceso
proceso: ???????????????e??? ????????? ???????????????e?????? Tipo de elevación de token: %%1936
16384 Identificador del proceso creador: 0x1f4 Nombre del proceso creador: ????????????????????4 Lín
proceso: ????0--?0????????????????????4 El tipo de elevación de token indica el tipo de token que se as
Microsoft-
2023-08- acuerdo con la directiva Control de cuentas de usuario. El tipo 1 es un token completo sin privilegios qu
Audit Windows-
Seguridad 13312 11 deshabilitados. Solo se usa un token completo si Control de cuentas de usuario está deshabilitado o si e
Success Security-
11:39:56 predefinida Administrador o una cuenta de servicio. El tipo 2 es un token elevado sin privilegios quitado
Auditing
usa un token elevado cuando Control de cuentas de usuario está habilitado y el usuario elige iniciar el p
como administrador. También se usa un token elevado cuando se configura una aplicación para que sie
administrativo o para que siempre requiera el máximo privilegio y el usuario pertenece al grupo Admini
token limitado con los privilegios administrativos quitados y los grupos administrativos deshabilitados. E
cuando Control de cuentas de usuario está habilitado, la aplicación no requiere un privilegio administrat
iniciar el programa mediante Ejecutar como administrador.
4688: Se creó un nuevo proceso. Firmante creador: Identificador de seguridad: S-1-5-18 Nombre de cu
Identificador de inicio de sesión: 0x3e7 Firmante de destino: Identificador de seguridad: S-1-0-0 Nomb
cuenta: - Identificador de inicio de sesión: 0x0 Información de proceso: Identificador del nuevo proceso
proceso: ??????????????e??? ????????? ???????????????e?????? Tipo de elevación de token: %%1936 E
16384 Identificador del proceso creador: 0x3b0 Nombre del proceso creador: ????????????????????4 Lí
proceso: ????0--?0????????????????????4 El tipo de elevación de token indica el tipo de token que se as
Microsoft-
2023-08- acuerdo con la directiva Control de cuentas de usuario. El tipo 1 es un token completo sin privilegios qu
Audit Windows-
Seguridad 13312 11 deshabilitados. Solo se usa un token completo si Control de cuentas de usuario está deshabilitado o si e
Success Security-
11:39:56 predefinida Administrador o una cuenta de servicio. El tipo 2 es un token elevado sin privilegios quitado
Auditing
usa un token elevado cuando Control de cuentas de usuario está habilitado y el usuario elige iniciar el p
como administrador. También se usa un token elevado cuando se configura una aplicación para que sie
administrativo o para que siempre requiera el máximo privilegio y el usuario pertenece al grupo Admini
token limitado con los privilegios administrativos quitados y los grupos administrativos deshabilitados. E
cuando Control de cuentas de usuario está habilitado, la aplicación no requiere un privilegio administrat
iniciar el programa mediante Ejecutar como administrador.
Seguridad Audit 13312 2023-08- Microsoft- 4688: Se creó un nuevo proceso. Firmante creador: Identificador de seguridad: S-1-5-18 Nombre de cu
Success 11 Windows- Identificador de inicio de sesión: 0x3e7 Firmante de destino: Identificador de seguridad: S-1-0-0 Nomb
11:39:56 Security- cuenta: - Identificador de inicio de sesión: 0x0 Información de proceso: Identificador del nuevo proceso
Auditing proceso: ????????????????-??6??8????0--?0???????????????e?????? Tipo de elevación de token: %%19
16-16384 Identificador del proceso creador: 0x3b8 Nombre del proceso creador: ???????????????e?????
proceso: ????0--?0???????????????e?????? El tipo de elevación de token indica el tipo de token que se a
acuerdo con la directiva Control de cuentas de usuario. El tipo 1 es un token completo sin privilegios qu
deshabilitados. Solo se usa un token completo si Control de cuentas de usuario está deshabilitado o si e
predefinida Administrador o una cuenta de servicio. El tipo 2 es un token elevado sin privilegios quitado
usa un token elevado cuando Control de cuentas de usuario está habilitado y el usuario elige iniciar el p
como administrador. También se usa un token elevado cuando se configura una aplicación para que sie
administrativo o para que siempre requiera el máximo privilegio y el usuario pertenece al grupo Admini
token limitado con los privilegios administrativos quitados y los grupos administrativos deshabilitados. E
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 403 of 466
cuando Control de cuentas de usuario está habilitado, la aplicación no requiere un privilegio administrat
iniciar el programa medianteNavegación
Ejecutar como administrador.
4688: Se creó un nuevo proceso. Firmante creador: Identificador de seguridad: S-1-5-18 Nombre de cu
Identificador de inicio de sesión: 0x3e7 Firmante de destino: Identificador de seguridad: S-1-0-0 Nomb
cuenta: - Identificador de inicio de sesión: 0x0 Información de proceso: Identificador del nuevo proceso
proceso: ??????????????e??? ????????? ???????????????????????4? Tipo de elevación de token: %%193
16-16384 Identificador del proceso creador: 0x3b8 Nombre del proceso creador: ???????????????e?????
proceso: ????0--?0???????????????e?????? El tipo de elevación de token indica el tipo de token que se a
Microsoft-
2023-08- acuerdo con la directiva Control de cuentas de usuario. El tipo 1 es un token completo sin privilegios qu
Audit Windows-
Seguridad 13312 11 deshabilitados. Solo se usa un token completo si Control de cuentas de usuario está deshabilitado o si e
Success Security-
11:39:56 predefinida Administrador o una cuenta de servicio. El tipo 2 es un token elevado sin privilegios quitado
Auditing
usa un token elevado cuando Control de cuentas de usuario está habilitado y el usuario elige iniciar el p
como administrador. También se usa un token elevado cuando se configura una aplicación para que sie
administrativo o para que siempre requiera el máximo privilegio y el usuario pertenece al grupo Admini
token limitado con los privilegios administrativos quitados y los grupos administrativos deshabilitados. E
cuando Control de cuentas de usuario está habilitado, la aplicación no requiere un privilegio administrat
iniciar el programa mediante Ejecutar como administrador.
Microsoft-
2023-08-
Audit Windows-
Seguridad 13568 11 4902: Se creó la tabla de directiva de auditoría por usuario. Número de elementos: 0 Id. de directiva: 0
Success Security-
11:39:56
Auditing
Microsoft-
2023-08-
Audit Windows-
Seguridad 12292 11 5033: El controlador de Firewall de Windows se inició correctamente.
Success Security-
11:39:57
Auditing
4648: Se intentó iniciar sesión con credenciales explícitas. Sujeto: Id. de seguridad: S-1-5-18 Nombre d
$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 GUID de inicio de sesión: {00000000
Microsoft- 000000000000} Cuenta cuyas credenciales se usaron: Nombre de cuenta: DWM-1 Dominio de cuenta:
2023-08-
Audit Windows- inicio de sesión: {00000000-0000-0000-0000-000000000000} Servidor de destino: Nombre de servido
Seguridad 12544 11
Success Security- Información adicional: localhost Información de proceso: Id. de proceso: 0x294 Nombre de proceso: C:
11:39:57
Auditing \winlogon.exe Información de red: Dirección de red: - Puerto: - Este evento se genera cuando un proce
una cuenta especificando explícitamente las credenciales de la cuenta. Suele producirse en configuracio
tareas programadas, o cuando se usa el comando RUNAS.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1842 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-90-0-1 Nombre de cuenta: DWM-1 Dominio de cuenta: Window Manage
0x13803 Inicio de sesión vinculado: 0x1383e Nombre de cuenta de red: - Dominio de cuenta de red: -
{00000000-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x294 Nombre
C:\Windows\System32\winlogon.exe Información de red: Nombre de estación de trabajo: - Dirección d
origen: - Información de autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autent
Microsoft- transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se
2023-08-
Audit Windows- genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema local que
Seguridad 12544 11
Success Security- Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe
11:39:57
Auditing sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (
de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se i
red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no
puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un pro
sesión puede suplantar. Los campos de información de autenticación proporcionan información detallad
de sesión específica. - GUID de inicio de sesión es un identificador único que se puede usar para correla
evento KDC. - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de
paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longi
generada. Será 0 si no se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1842 Token elevado: %%1843 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-90-0-1 Nombre de cuenta: DWM-1 Dominio de cuenta: Window Manage
0x1383e Inicio de sesión vinculado: 0x13803 Nombre de cuenta de red: - Dominio de cuenta de red: -
{00000000-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x294 Nombre
C:\Windows\System32\winlogon.exe Información de red: Nombre de estación de trabajo: - Dirección d
origen: - Información de autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autent
Microsoft- transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se
2023-08-
Audit Windows- genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema local que
Seguridad 12544 11
Success Security- Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe
11:39:57
Auditing sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (
de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se i
red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no
puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un pro
sesión puede suplantar. Los campos de información de autenticación proporcionan información detallad
de sesión específica. - GUID de inicio de sesión es un identificador único que se puede usar para correla
evento KDC. - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de
paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longi
generada. Será 0 si no se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-19 Nombre de cuenta: SERVICIO LOCAL Dominio de cuenta: NT AUTHO
0x3e5 Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de
-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x58 Nombre de proceso:
\services.exe Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto
autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servic
Microsoft- paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio.
2023-08-
Audit Windows- tuvo acceso. Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión.
Seguridad 12544 11
Success Security- servicio de servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de se
11:39:57
Auditing de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio
para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos
originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponi
blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesió
suplantar. Los campos de información de autenticación proporcionan información detallada sobre esta s
específica. - GUID de inicio de sesión es un identificador único que se puede usar para correlacionar est
- Servicios transitados indica los servicios intermedios que participaron en esta solicitud de inicio de ses
indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la
Será 0 si no se solicitó una clave de sesión.
Seguridad Audit 12544 2023-08- Microsoft- 4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Success 11 Windows- Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
11:39:57 Security- administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
Auditing sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x58 Nombre de proceso: C:\Win
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 404 of 466
Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Navegación
servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x58 Nombre de proceso: C:\Win
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
11:39:57
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x58 Nombre de proceso: C:\Win
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
11:39:57
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x58 Nombre de proceso: C:\Win
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
11:39:57
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x58 Nombre de proceso: C:\Win
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
11:39:57
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Seguridad Audit 12544 2023-08- Microsoft- 4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Success 11 Windows- Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
11:39:57 Security- administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
Auditing sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x58 Nombre de proceso: C:\Win
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 405 of 466
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
Navegación
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x58 Nombre de proceso: C:\Win
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
11:39:57
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x58 Nombre de proceso: C:\Win
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
11:39:57
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x58 Nombre de proceso: C:\Win
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
11:39:57
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x58 Nombre de proceso: C:\Win
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
11:39:57
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Seguridad Audit 12544 2023-08- Microsoft- 4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Success 11 Windows- Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
11:39:57 Security- administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
Auditing sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x58 Nombre de proceso: C:\Win
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 406 of 466
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
Navegación
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x58 Nombre de proceso: C:\Win
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
11:39:57
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x58 Nombre de proceso: C:\Win
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
11:39:57
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x58 Nombre de proceso: C:\Win
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
11:39:57
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x58 Nombre de proceso: C:\Win
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
11:39:57
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Seguridad Audit 12544 2023-08- Microsoft- 4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Success 11 Windows- Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
11:39:57 Security- administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
Auditing sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x58 Nombre de proceso: C:\Win
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 407 of 466
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
Navegación
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x58 Nombre de proceso: C:\Win
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
11:39:57
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft-
2023-08- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-9
Audit Windows-
Seguridad 12548 11 DWM-1 Dominio de cuenta: Window Manager Id. de inicio de sesión: 0x13803 Privilegios: SeAssignPrim
Success Security-
11:39:57 SeAuditPrivilege SeImpersonatePrivilege
Auditing
Microsoft-
2023-08- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-9
Audit Windows-
Seguridad 12548 11 DWM-1 Dominio de cuenta: Window Manager Id. de inicio de sesión: 0x1383e Privilegios: SeAssignPrim
Success Security-
11:39:57 SeAuditPrivilege
Auditing
Microsoft-
2023-08- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 12548 11 SERVICIO LOCAL Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e5 Privilegios: SeAssig
Success Security-
11:39:57 SeAuditPrivilege SeImpersonatePrivilege
Auditing
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
11:39:57
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
11:39:57
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
11:39:57
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
11:39:57
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
11:39:57
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
11:39:57
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
11:39:57
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
11:39:57
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
11:39:57
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
11:39:57
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
11:39:57
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
11:39:57
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
11:39:57
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
11:39:57
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
11:39:57
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
11:39:57
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Seguridad 12548
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 408 of 466
Audit 2023-08- Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
Success 11 Windows- SYSTEM Dominio de cuenta:Navegación
NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
11:39:57 Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 11
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
11:39:57
Auditing C:\Windows\System32\svchost.exe
Microsoft-
2023-08-
Audit Windows-
Seguridad 12292 11 5024: El servicio Firewall de Windows se inició correctamente.
Success Security-
11:39:58
Auditing
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x58 Nombre de proceso: C:\Win
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
11:39:58
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x58 Nombre de proceso: C:\Win
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
11:39:58
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x58 Nombre de proceso: C:\Win
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
11:39:58
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x58 Nombre de proceso: C:\Win
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
11:39:58
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Seguridad Audit 12544 2023-08- Microsoft- 4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Success 11 Windows- Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
11:39:58 Security- administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
Auditing sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x58 Nombre de proceso: C:\Win
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 409 of 466
que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
Navegación
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x58 Nombre de proceso: C:\Win
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
11:39:58
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x58 Nombre de proceso: C:\Win
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
11:39:58
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x58 Nombre de proceso: C:\Win
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
11:39:58
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
11:39:58
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
11:39:58
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
11:39:58
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
11:39:58
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
11:39:58
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
11:39:58
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
11:39:58
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
11:39:58
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 410 of 466
Seguridad Audit 13826 2023-08- Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
Success 11 Windows- cuenta: DESKTOP-K618JK0$Navegación
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e4 Grupo: Id
11:39:58 Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
Auditing C:\Windows\System32\svchost.exe
Microsoft- 5061: Operación criptográfica. Sujeto: Id. de seguridad: S-1-5-21-1163546357-429208663-839679816
2023-08-
Audit Windows- USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id. de inicio de sesión: 0x49d39 Parámetros criptográ
Seguridad 12290 11
Success Security- Microsoft Software Key Storage Provider Nombre de algoritmo: ECDSA_P256 Nombre de clave: Microso
11:40:00
Auditing device certificate Tipo de clave: %%2500 Operación criptográfica: Operación: %%2480 Código de retor
Microsoft- 5061: Operación criptográfica. Sujeto: Id. de seguridad: S-1-5-19 Nombre de cuenta: SERVICIO LOCAL
2023-08-
Audit Windows- AUTHORITY Id. de inicio de sesión: 0x3e5 Parámetros criptográficos: Nombre de proveedor: Microsoft S
Seguridad 12290 11
Success Security- Nombre de algoritmo: ECDSA_P256 Nombre de clave: Microsoft Connected Devices Platform device cer
11:40:00
Auditing 2500 Operación criptográfica: Operación: %%2480 Código de retorno: 0x0
5058: Operación de archivo de clave. Tema: Id. de seguridad: S-1-5-21-1163546357-429208663-8396
cuenta: USUARIO Dominio de cuentas: DESKTOP-K618JK0 Id. de inicio de sesión: 0x49d39 Información
Microsoft-
2023-08- 5792 Hora de creación del proceso: 2023-08-11T16:40:00.4526686Z Parámetros criptográficos: Nombr
Audit Windows-
Seguridad 12292 11 Software Key Storage Provider Nombre del algoritmo: UNKNOWN Nombre de la clave: Microsoft Connec
Success Security-
11:40:00 certificate Tipo de clave: %%2500 Información de la operación de archivo de clave: Ruta del archivo:
Auditing
C:\Users\USUARIO\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_b4
d2fc0c5f591f Operación: %%2458 Código de retorno: 0x0
5059: Operación de migración de claves. Tema: Id. de seguridad: S-1-5-21-1163546357-429208663-8
Microsoft-
2023-08- cuenta: USUARIO Dominio de cuentas: DESKTOP-K618JK0 Id. de inicio de sesión: 0x49d39 Información
Audit Windows-
Seguridad 12292 11 5792 Tiempo de creación del proceso: 2023-08-11T16:40:00.4526686Z Parámetros criptográficos: Nom
Success Security-
11:40:00 Software Key Storage Provider Nombre del algoritmo: ECDSA_P256 Nombre de la clave: Microsoft Conn
Auditing
device certificate Tipo de clave: %%2500 Información adicional: Operación: %%2464 Código de retorn
5058: Operación de archivo de clave. Tema: Id. de seguridad: S-1-5-19 Nombre de cuenta: SERVICIO
NT AUTHORITY Id. de inicio de sesión: 0x3e5 Información del proceso: Id. de proceso: 6232 Hora de cr
Microsoft-
2023-08- 11T16:40:00.7025967Z Parámetros criptográficos: Nombre del proveedor: Microsoft Software Key Stor
Audit Windows-
Seguridad 12292 11 algoritmo: UNKNOWN Nombre de la clave: Microsoft Connected Devices Platform device certificate Tipo
Success Security-
11:40:00 Información de la operación de archivo de clave: Ruta del archivo:
Auditing
C:\Windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13
-786c-44e4-b23c-d2fc0c5f591f Operación: %%2458 Código de retorno: 0x0
5059: Operación de migración de claves. Tema: Id. de seguridad: S-1-5-19 Nombre de cuenta: SERVIC
Microsoft-
2023-08- cuentas: NT AUTHORITY Id. de inicio de sesión: 0x3e5 Información del proceso: Id. de proceso: 6232 T
Audit Windows-
Seguridad 12292 11 proceso: 2023-08-11T16:40:00.7025967Z Parámetros criptográficos: Nombre del proveedor: Microsoft
Success Security-
11:40:00 Provider Nombre del algoritmo: ECDSA_P256 Nombre de la clave: Microsoft Connected Devices Platform
Auditing
clave: %%2500 Información adicional: Operación: %%2464 Código de retorno: 0x0
4648: Se intentó iniciar sesión con credenciales explícitas. Sujeto: Id. de seguridad: S-1-5-18 Nombre d
$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 GUID de inicio de sesión: {00000000
Microsoft- 000000000000} Cuenta cuyas credenciales se usaron: Nombre de cuenta: USUARIO Dominio de cuenta
2023-08-
Audit Windows- de inicio de sesión: {00000000-0000-0000-0000-000000000000} Servidor de destino: Nombre de serv
Seguridad 12544 11
Success Security- Información adicional: localhost Información de proceso: Id. de proceso: 0xb34 Nombre de proceso: C:
11:40:00
Auditing \svchost.exe Información de red: Dirección de red: 127.0.0.1 Puerto: 0 Este evento se genera cuando u
sesión en una cuenta especificando explícitamente las credenciales de la cuenta. Suele producirse en co
como tareas programadas, o cuando se usa el comando RUNAS.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-21-1163546357-429208663-839679816-1001 Nombre de cuenta: USU
DESKTOP-K618JK0 Id. de inicio de sesión: 0x49ca2 Inicio de sesión vinculado: 0x49d39 Nombre de cue
cuenta de red: - GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000} Información d
0xb34 Nombre de proceso: C:\Windows\System32\svchost.exe Información de red: Nombre de estació
K618JK0 Dirección de red de origen: 127.0.0.1 Puerto de origen: 0 Información de autenticación detalla
Microsoft- sesión: User32 Paquete de autenticación: Negotiate Servicios transitados: - Nombre de paquete (solo N
2023-08-
Audit Windows- Este evento se genera cuando se crea una sesión de inicio. Lo genera el equipo al que se tuvo acceso. L
Seguridad 12544 11
Success Security- indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un servicio como el servicio
11:40:00
Auditing como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica la clase de inicio de sesión
comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión indican la cuenta para la que
sesión, es decir, aquella en la que se inició la sesión. Los campos de red indican dónde se originó una so
remota. Nombre de estación de trabajo no está siempre disponible y se puede dejar en blanco en algun
de suplantación indica en qué medida un proceso en la sesión de inicio de sesión puede suplantar. Los c
autenticación proporcionan información detallada sobre esta solicitud de inicio de sesión específica. - GU
identificador único que se puede usar para correlacionar este evento con un evento KDC. - Servicios tra
intermedios que participaron en esta solicitud de inicio de sesión. - Nombre de paquete indica el subpro
protocolos NTLM. - Longitud de clave indica la longitud de la clave de sesión generada. Será 0 si no se s
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1843 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-21-1163546357-429208663-839679816-1001 Nombre de cuenta: USU
DESKTOP-K618JK0 Id. de inicio de sesión: 0x49d39 Inicio de sesión vinculado: 0x49ca2 Nombre de cue
cuenta de red: - GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000} Información d
0xb34 Nombre de proceso: C:\Windows\System32\svchost.exe Información de red: Nombre de estació
K618JK0 Dirección de red de origen: 127.0.0.1 Puerto de origen: 0 Información de autenticación detalla
Microsoft- sesión: User32 Paquete de autenticación: Negotiate Servicios transitados: - Nombre de paquete (solo N
2023-08-
Audit Windows- Este evento se genera cuando se crea una sesión de inicio. Lo genera el equipo al que se tuvo acceso. L
Seguridad 12544 11
Success Security- indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un servicio como el servicio
11:40:00
Auditing como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica la clase de inicio de sesión
comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión indican la cuenta para la que
sesión, es decir, aquella en la que se inició la sesión. Los campos de red indican dónde se originó una so
remota. Nombre de estación de trabajo no está siempre disponible y se puede dejar en blanco en algun
de suplantación indica en qué medida un proceso en la sesión de inicio de sesión puede suplantar. Los c
autenticación proporcionan información detallada sobre esta solicitud de inicio de sesión específica. - GU
identificador único que se puede usar para correlacionar este evento con un evento KDC. - Servicios tra
intermedios que participaron en esta solicitud de inicio de sesión. - Nombre de paquete indica el subpro
protocolos NTLM. - Longitud de clave indica la longitud de la clave de sesión generada. Será 0 si no se s
Seguridad Audit 12544 2023-08- Microsoft- 4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Success 11 Windows- Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
11:40:00 Security- administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
Auditing sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x58 Nombre de proceso: C:\Win
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 411 of 466
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
Navegación
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id. de inicio de
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
11:40:00
Auditing SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
11:40:00
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4798: Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18
2023-08-
Audit Windows- -K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Usuario: Id. de seguridad: S
Seguridad 13824 11
Success Security- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Info
11:40:00
Auditing proceso: 0x454 Nombre de proceso: C:\Windows\System32\LogonUI.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 11
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
11:40:00
Auditing C:\Windows\System32\svchost.exe
Microsoft- 4798: Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-21
2023-08-
Audit Windows- 839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id. de inicio de
Seguridad 13824 11
Success Security- de seguridad: S-1-5-21-1163546357-429208663-839679816-1001 Nombre de cuenta: USUARIO Domi
11:40:01
Auditing K618JK0 Información de proceso: Id. de proceso: 0x18c8 Nombre de proceso: C:\Windows\explorer.ex
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x58 Nombre de proceso: C:\Win
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
11:40:02
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x58 Nombre de proceso: C:\Win
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
11:40:02
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x58 Nombre de proceso: C:\Win
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
11:40:02
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
11:40:02
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
11:40:02
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
11:40:02
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 11
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
11:40:02
Auditing C:\Windows\System32\SearchIndexer.exe
Seguridad Audit 12544 2023-08- Microsoft- 4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Success 11 Windows- Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
11:40:03 administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 412 of 466
Security- sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Auditing Navegación
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x58 Nombre de proceso: C:\Win
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
11:40:03
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
11:40:04
Auditing almacenadas en el Administrador de credenciales.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x58 Nombre de proceso: C:\Win
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
11:40:05
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
11:40:05
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
11:40:05
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
11:40:05
Auditing almacenadas en el Administrador de credenciales.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x58 Nombre de proceso: C:\Win
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
11:40:07
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x58 Nombre de proceso: C:\Win
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
11:40:07
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
11:40:07
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Seguridad 12548
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 413 of 466
Audit 2023-08- Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
Success 11 Windows- SYSTEM Dominio de cuenta:Navegación
NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
11:40:07 Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 11
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
11:40:10
Auditing C:\Windows\System32\svchost.exe
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x58 Nombre de proceso: C:\Win
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
11:40:12
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
11:40:12
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
11:40:20
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
11:40:20
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8099 Este evento se produce cuando un usuario realiza una operación de lect
11:40:20
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8099 Este evento se produce cuando un usuario realiza una operación de lect
11:40:20
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
11:40:20
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
11:40:20
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
11:40:21
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
11:40:21
Auditing almacenadas en el Administrador de credenciales.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x58 Nombre de proceso: C:\Win
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
11:40:22
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
11:40:22
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 11 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
11:40:22 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 11 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
11:40:22 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 11 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
11:40:22 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 414 of 466
Seguridad Audit 13824 2023-08- Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
Success 11 Windows- 839679816-1001 Nombre deNavegación
la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
11:40:22 Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
11:40:22
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
11:40:22
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
11:40:22
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
11:40:26
Auditing almacenadas en el Administrador de credenciales.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x58 Nombre de proceso: C:\Win
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
11:40:42
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x58 Nombre de proceso: C:\Win
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
11:40:42
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
11:40:42
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
11:40:42
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x58 Nombre de proceso: C:\Win
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
11:40:49
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
11:40:49
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Seguridad Audit 12544 2023-08- Microsoft- 4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Success 11 Windows- Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
11:40:57 Security- administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
Auditing sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x58 Nombre de proceso: C:\Win
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 415 of 466
servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
que se realizó. Los tipos másNavegación
comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
11:40:57
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x58 Nombre de proceso: C:\Win
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
11:41:32
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
11:41:32
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x58 Nombre de proceso: C:\Win
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
11:41:43
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
11:41:43
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x58 Nombre de proceso: C:\Win
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
11:41:50
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
11:41:50
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Seguridad Audit 12544 2023-08- Microsoft- 4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Success 11 Windows- Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
11:41:58 Security- administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
Auditing sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x58 Nombre de proceso: C:\Win
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 416 of 466
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
Navegación
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x58 Nombre de proceso: C:\Win
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
11:41:58
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
11:41:58
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
11:41:58
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x58 Nombre de proceso: C:\Win
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
11:41:59
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
11:41:59
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x58 Nombre de proceso: C:\Win
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
11:43:54
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
11:43:54
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
11:44:01
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
11:44:03
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
11:44:03
Auditing almacenadas en el Administrador de credenciales.
Seguridad Audit 12544 2023-08- Microsoft- 4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Success 11 Windows- Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
11:44:54 Security- administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
Auditing sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x58 Nombre de proceso: C:\Win
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 417 of 466
servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
que se realizó. Los tipos másNavegación
comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
11:44:54
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x58 Nombre de proceso: C:\Win
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
11:44:58
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
11:44:58
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x58 Nombre de proceso: C:\Win
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
11:45:22
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x58 Nombre de proceso: C:\Win
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
11:45:22
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
11:45:22
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
11:45:22
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 11
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
11:45:22
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 11
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
11:45:22
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 11
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
11:45:22
Auditing C:\Windows\System32\VSSVC.exe
Seguridad Audit 13826 2023-08- Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
Success 11 Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
11:45:22 Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
Auditing C:\Windows\System32\VSSVC.exe
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 418 of 466
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Navegación
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x58 Nombre de proceso: C:\Win
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
11:47:21
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
11:47:21
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x58 Nombre de proceso: C:\Win
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
11:52:01
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
11:52:01
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 11
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
11:52:05
Auditing C:\Windows\System32\svchost.exe
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x58 Nombre de proceso: C:\Win
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
11:52:35
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
11:52:35
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x58 Nombre de proceso: C:\Win
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
11:54:58
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
11:54:58
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Seguridad Audit 12544 Microsoft- 4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Success Windows- Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 419 of 466
2023-08- Security- administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
11 Auditing Navegación
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
11:55:01 Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x58 Nombre de proceso: C:\Win
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
11:55:01
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x58 Nombre de proceso: C:\Win
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
11:55:35
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x58 Nombre de proceso: C:\Win
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
11:55:35
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
11:55:35
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
11:55:35
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
4907: Se cambió la configuración de auditoría en un objeto. Sujeto: Id. de seguridad: S-1-5-18 Nombre
Microsoft- K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Objeto: Servidor del objeto:
2023-08-
Audit Windows- Nombre del objeto: C:\Windows\WinSxS\FileMaps\_0000000000000000.cdf-ms Id. de identificador: 0x
Seguridad 13568 11
Success Security- Id. de proceso: 0x273c Nombre de proceso: C:\Windows\WinSxS\amd64_microsoft-windows-
11:55:35
Auditing servicingstack_31bf3856ad364e35_10.0.19041.1940_none_7dd80d767cb5c7b0\TiWorker.exe Configur
de seguridad original: ? Nuevo descriptor de seguridad: S:ARAI(AU;SAFA;0x1f0116;;;WD)
4907: Se cambió la configuración de auditoría en un objeto. Sujeto: Id. de seguridad: S-1-5-18 Nombre
Microsoft- K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Objeto: Servidor del objeto:
2023-08-
Audit Windows- Nombre del objeto: C:\Windows\WinSxS\FileMaps\$$.cdf-ms Id. de identificador: 0x6ec Información de
Seguridad 13568 11
Success Security- 0x273c Nombre de proceso: C:\Windows\WinSxS\amd64_microsoft-windows-
11:55:35
Auditing servicingstack_31bf3856ad364e35_10.0.19041.1940_none_7dd80d767cb5c7b0\TiWorker.exe Configur
de seguridad original: ? Nuevo descriptor de seguridad: S:ARAI(AU;SAFA;0x1f0116;;;WD)
4907: Se cambió la configuración de auditoría en un objeto. Sujeto: Id. de seguridad: S-1-5-18 Nombre
Microsoft- K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Objeto: Servidor del objeto:
2023-08-
Audit Windows- Nombre del objeto: C:\Windows\WinSxS\FileMaps\$$_system32_21f9a9c4a2f8b514.cdf-ms Id. de iden
Seguridad 13568 11
Success Security- de proceso: Id. de proceso: 0x273c Nombre de proceso: C:\Windows\WinSxS\amd64_microsoft-window
11:55:35
Auditing servicingstack_31bf3856ad364e35_10.0.19041.1940_none_7dd80d767cb5c7b0\TiWorker.exe Configur
de seguridad original: ? Nuevo descriptor de seguridad: S:ARAI(AU;SAFA;0x1f0116;;;WD)
4907: Se cambió la configuración de auditoría en un objeto. Sujeto: Id. de seguridad: S-1-5-18 Nombre
Microsoft- K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Objeto: Servidor del objeto:
2023-08-
Audit Windows- Nombre del objeto: C:\Windows\WinSxS\FileMaps\$$_system32_es-mx_429cdb1e84dc62e4.cdf-ms Id.
Seguridad 13568 11
Success Security- Información de proceso: Id. de proceso: 0x273c Nombre de proceso: C:\Windows\WinSxS\amd64_micr
11:55:35
Auditing servicingstack_31bf3856ad364e35_10.0.19041.1940_none_7dd80d767cb5c7b0\TiWorker.exe Configur
de seguridad original: ? Nuevo descriptor de seguridad: S:ARAI(AU;SAFA;0x1f0116;;;WD)
4907: Se cambió la configuración de auditoría en un objeto. Sujeto: Id. de seguridad: S-1-5-18 Nombre
Microsoft- K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Objeto: Servidor del objeto:
2023-08-
Audit Windows- Nombre del objeto: C:\Windows\WinSxS\FileMaps\$$_ocr_3f580719a4c8eb5a.cdf-ms Id. de identificado
Seguridad 13568 11
Success Security- proceso: Id. de proceso: 0x273c Nombre de proceso: C:\Windows\WinSxS\amd64_microsoft-windows-
11:55:35
Auditing servicingstack_31bf3856ad364e35_10.0.19041.1940_none_7dd80d767cb5c7b0\TiWorker.exe Configur
de seguridad original: ? Nuevo descriptor de seguridad: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Seguridad Audit 13568 Microsoft- 4907: Se cambió la configuración de auditoría en un objeto. Sujeto: Id. de seguridad: S-1-5-18 Nombre
Success Windows- K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Objeto: Servidor del objeto:
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 420 of 466
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 421 of 466
servicingstack_31bf3856ad364e35_10.0.19041.1940_none_7dd80d767cb5c7b0\TiWorker.exe Configur
Navegación
de seguridad original: ? Nuevo descriptor de seguridad: S:ARAI(AU;SAFA;0x1f0116;;;WD)
4907: Se cambió la configuración de auditoría en un objeto. Sujeto: Id. de seguridad: S-1-5-18 Nombre
Microsoft- K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Objeto: Servidor del objeto:
2023-08-
Audit Windows- Nombre del objeto: C:\Windows\OCR\es-mx\MsOcrRes.orp Id. de identificador: 0x684 Información de p
Seguridad 13568 11
Success Security- 0x273c Nombre de proceso: C:\Windows\WinSxS\amd64_microsoft-windows-
11:55:35
Auditing servicingstack_31bf3856ad364e35_10.0.19041.1940_none_7dd80d767cb5c7b0\TiWorker.exe Configur
de seguridad original: S:AINO_ACCESS_CONTROL Nuevo descriptor de seguridad: S:ARAI(AU;SAFA;DC
4907: Se cambió la configuración de auditoría en un objeto. Sujeto: Id. de seguridad: S-1-5-18 Nombre
Microsoft- K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Objeto: Servidor del objeto:
2023-08-
Audit Windows- Nombre del objeto: C:\Windows\System32\es-MX\datadict.080A.dat Id. de identificador: 0x684 Inform
Seguridad 13568 11
Success Security- proceso: 0x273c Nombre de proceso: C:\Windows\WinSxS\amd64_microsoft-windows-
11:55:35
Auditing servicingstack_31bf3856ad364e35_10.0.19041.1940_none_7dd80d767cb5c7b0\TiWorker.exe Configur
de seguridad original: S:AINO_ACCESS_CONTROL Nuevo descriptor de seguridad: S:ARAI(AU;SAFA;DC
4907: Se cambió la configuración de auditoría en un objeto. Sujeto: Id. de seguridad: S-1-5-18 Nombre
Microsoft- K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Objeto: Servidor del objeto:
2023-08-
Audit Windows- Nombre del objeto: C:\Windows\System32\es-MX\datamap.080A.dat Id. de identificador: 0x6f4 Inform
Seguridad 13568 11
Success Security- proceso: 0x273c Nombre de proceso: C:\Windows\WinSxS\amd64_microsoft-windows-
11:55:35
Auditing servicingstack_31bf3856ad364e35_10.0.19041.1940_none_7dd80d767cb5c7b0\TiWorker.exe Configur
de seguridad original: S:AINO_ACCESS_CONTROL Nuevo descriptor de seguridad: S:ARAI(AU;SAFA;DC
4907: Se cambió la configuración de auditoría en un objeto. Sujeto: Id. de seguridad: S-1-5-18 Nombre
Microsoft- K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Objeto: Servidor del objeto:
2023-08-
Audit Windows- Nombre del objeto: C:\Windows\System32\es-MX\ExpressiveInput.080A.lex Id. de identificador: 0x504
Seguridad 13568 11
Success Security- de proceso: 0x273c Nombre de proceso: C:\Windows\WinSxS\amd64_microsoft-windows-
11:55:35
Auditing servicingstack_31bf3856ad364e35_10.0.19041.1940_none_7dd80d767cb5c7b0\TiWorker.exe Configur
de seguridad original: S:AINO_ACCESS_CONTROL Nuevo descriptor de seguridad: S:ARAI(AU;SAFA;DC
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 11
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
11:55:35
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 11
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
11:55:35
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 11
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
11:55:35
Auditing C:\Windows\System32\VSSVC.exe
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 11
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
11:55:35
Auditing C:\Windows\System32\VSSVC.exe
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x58 Nombre de proceso: C:\Win
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
11:57:46
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
11:57:46
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 11
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
11:57:50
Auditing C:\Windows\System32\svchost.exe
4798: Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-21
Microsoft-
2023-08- 839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id. de inicio de
Audit Windows-
Seguridad 13824 11 de seguridad: S-1-5-21-1163546357-429208663-839679816-1001 Nombre de cuenta: USUARIO Domi
Success Security-
11:58:09 K618JK0 Información de proceso: Id. de proceso: 0x1fb0 Nombre de proceso: C:\Program
Auditing
Files\Google\Chrome\Application\chrome.exe
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x58 Nombre de proceso: C:\Win
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
11:58:16
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
11:58:16
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Seguridad 13824
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 422 of 466
Audit 2023-08- Microsoft- 4798: Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-21
Success 11 Windows- 839679816-1001 Nombre deNavegación
cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id. de inicio de
11:58:28 Security- de seguridad: S-1-5-21-1163546357-429208663-839679816-1001 Nombre de cuenta: USUARIO Domi
Auditing K618JK0 Información de proceso: Id. de proceso: 0x2778 Nombre de proceso: C:\Program
Files\Google\Chrome\Application\chrome.exe
Microsoft- 4797: Se ha realizado un intento de consultar la existencia de una contraseña en blanco para una cuent
2023-08-
Audit Windows- seguridad: S-1-5-21-1163546357-429208663-839679816-1001 Nombre de la cuenta: USUARIO Domin
Seguridad 13824 11
Success Security- K618JK0 Id. de inicio de sesión: 0x49d39 Información adicional: Estación de trabajo del llamador: DESK
11:58:52
Auditing cuenta de destino: Administrador Dominio de la cuenta de destino: DESKTOP-K618JK0
Microsoft- 4797: Se ha realizado un intento de consultar la existencia de una contraseña en blanco para una cuent
2023-08-
Audit Windows- seguridad: S-1-5-21-1163546357-429208663-839679816-1001 Nombre de la cuenta: USUARIO Domin
Seguridad 13824 11
Success Security- K618JK0 Id. de inicio de sesión: 0x49d39 Información adicional: Estación de trabajo del llamador: DESK
11:58:52
Auditing cuenta de destino: DefaultAccount Dominio de la cuenta de destino: DESKTOP-K618JK0
Microsoft- 4797: Se ha realizado un intento de consultar la existencia de una contraseña en blanco para una cuent
2023-08-
Audit Windows- seguridad: S-1-5-21-1163546357-429208663-839679816-1001 Nombre de la cuenta: USUARIO Domin
Seguridad 13824 11
Success Security- K618JK0 Id. de inicio de sesión: 0x49d39 Información adicional: Estación de trabajo del llamador: DESK
11:58:52
Auditing cuenta de destino: Invitado Dominio de la cuenta de destino: DESKTOP-K618JK0
Microsoft- 4797: Se ha realizado un intento de consultar la existencia de una contraseña en blanco para una cuent
2023-08-
Audit Windows- seguridad: S-1-5-21-1163546357-429208663-839679816-1001 Nombre de la cuenta: USUARIO Domin
Seguridad 13824 11
Success Security- K618JK0 Id. de inicio de sesión: 0x49d39 Información adicional: Estación de trabajo del llamador: DESK
11:58:52
Auditing cuenta de destino: WDAGUtilityAccount Dominio de la cuenta de destino: DESKTOP-K618JK0
Microsoft- 4798: Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-21
2023-08-
Audit Windows- 839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id. de inicio de
Seguridad 13824 11
Success Security- de seguridad: S-1-5-21-1163546357-429208663-839679816-1001 Nombre de cuenta: USUARIO Domi
11:59:15
Auditing K618JK0 Información de proceso: Id. de proceso: 0x24c8 Nombre de proceso: C:\Program Files\WinRA
Microsoft- 4798: Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-21
2023-08-
Audit Windows- 839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id. de inicio de
Seguridad 13824 11
Success Security- de seguridad: S-1-5-21-1163546357-429208663-839679816-1001 Nombre de cuenta: USUARIO Domi
11:59:59
Auditing K618JK0 Información de proceso: Id. de proceso: 0x1034 Nombre de proceso: C:\Program Files\WinRA
Microsoft- 4797: Se ha realizado un intento de consultar la existencia de una contraseña en blanco para una cuent
2023-08-
Audit Windows- seguridad: S-1-5-21-1163546357-429208663-839679816-1001 Nombre de la cuenta: USUARIO Domin
Seguridad 13824 11
Success Security- K618JK0 Id. de inicio de sesión: 0x49d39 Información adicional: Estación de trabajo del llamador: DESK
12:01:37
Auditing cuenta de destino: Administrador Dominio de la cuenta de destino: DESKTOP-K618JK0
Microsoft- 4797: Se ha realizado un intento de consultar la existencia de una contraseña en blanco para una cuent
2023-08-
Audit Windows- seguridad: S-1-5-21-1163546357-429208663-839679816-1001 Nombre de la cuenta: USUARIO Domin
Seguridad 13824 11
Success Security- K618JK0 Id. de inicio de sesión: 0x49d39 Información adicional: Estación de trabajo del llamador: DESK
12:01:37
Auditing cuenta de destino: DefaultAccount Dominio de la cuenta de destino: DESKTOP-K618JK0
Microsoft- 4797: Se ha realizado un intento de consultar la existencia de una contraseña en blanco para una cuent
2023-08-
Audit Windows- seguridad: S-1-5-21-1163546357-429208663-839679816-1001 Nombre de la cuenta: USUARIO Domin
Seguridad 13824 11
Success Security- K618JK0 Id. de inicio de sesión: 0x49d39 Información adicional: Estación de trabajo del llamador: DESK
12:01:37
Auditing cuenta de destino: Invitado Dominio de la cuenta de destino: DESKTOP-K618JK0
Microsoft- 4797: Se ha realizado un intento de consultar la existencia de una contraseña en blanco para una cuent
2023-08-
Audit Windows- seguridad: S-1-5-21-1163546357-429208663-839679816-1001 Nombre de la cuenta: USUARIO Domin
Seguridad 13824 11
Success Security- K618JK0 Id. de inicio de sesión: 0x49d39 Información adicional: Estación de trabajo del llamador: DESK
12:01:37
Auditing cuenta de destino: WDAGUtilityAccount Dominio de la cuenta de destino: DESKTOP-K618JK0
Microsoft- 4797: Se ha realizado un intento de consultar la existencia de una contraseña en blanco para una cuent
2023-08-
Audit Windows- seguridad: S-1-5-21-1163546357-429208663-839679816-1001 Nombre de la cuenta: USUARIO Domin
Seguridad 13824 11
Success Security- K618JK0 Id. de inicio de sesión: 0x49d39 Información adicional: Estación de trabajo del llamador: DESK
12:01:37
Auditing cuenta de destino: Administrador Dominio de la cuenta de destino: DESKTOP-K618JK0
Microsoft- 4797: Se ha realizado un intento de consultar la existencia de una contraseña en blanco para una cuent
2023-08-
Audit Windows- seguridad: S-1-5-21-1163546357-429208663-839679816-1001 Nombre de la cuenta: USUARIO Domin
Seguridad 13824 11
Success Security- K618JK0 Id. de inicio de sesión: 0x49d39 Información adicional: Estación de trabajo del llamador: DESK
12:01:37
Auditing cuenta de destino: DefaultAccount Dominio de la cuenta de destino: DESKTOP-K618JK0
Microsoft- 4798: Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-21
2023-08-
Audit Windows- 839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id. de inicio de
Seguridad 13824 11
Success Security- de seguridad: S-1-5-21-1163546357-429208663-839679816-1001 Nombre de cuenta: USUARIO Domi
12:01:37
Auditing K618JK0 Información de proceso: Id. de proceso: 0x1c54 Nombre de proceso: C:\Windows\System32\R
Microsoft- 4797: Se ha realizado un intento de consultar la existencia de una contraseña en blanco para una cuent
2023-08-
Audit Windows- seguridad: S-1-5-21-1163546357-429208663-839679816-1001 Nombre de la cuenta: USUARIO Domin
Seguridad 13824 11
Success Security- K618JK0 Id. de inicio de sesión: 0x49d39 Información adicional: Estación de trabajo del llamador: DESK
12:01:37
Auditing cuenta de destino: WDAGUtilityAccount Dominio de la cuenta de destino: DESKTOP-K618JK0
Microsoft- 4797: Se ha realizado un intento de consultar la existencia de una contraseña en blanco para una cuent
2023-08-
Audit Windows- seguridad: S-1-5-21-1163546357-429208663-839679816-1001 Nombre de la cuenta: USUARIO Domin
Seguridad 13824 11
Success Security- K618JK0 Id. de inicio de sesión: 0x49d39 Información adicional: Estación de trabajo del llamador: DESK
12:01:37
Auditing cuenta de destino: Invitado Dominio de la cuenta de destino: DESKTOP-K618JK0
Microsoft- 4798: Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-21
2023-08-
Audit Windows- 839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id. de inicio de
Seguridad 13824 11
Success Security- de seguridad: S-1-5-21-1163546357-429208663-839679816-501 Nombre de cuenta: Invitado Dominio
12:01:37
Auditing K618JK0 Información de proceso: Id. de proceso: 0x1c54 Nombre de proceso: C:\Windows\System32\R
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x58 Nombre de proceso: C:\Win
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
12:01:40
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
12:01:40
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
4798: Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-21
Microsoft-
2023-08- 839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id. de inicio de
Audit Windows-
Seguridad 13824 11 de seguridad: S-1-5-21-1163546357-429208663-839679816-1001 Nombre de cuenta: USUARIO Domi
Success Security-
12:01:40 K618JK0 Información de proceso: Id. de proceso: 0x14cc Nombre de proceso:
Auditing
C:\Windows\ImmersiveControlPanel\SystemSettings.exe
Seguridad 13824
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 423 of 466
Audit 2023-08- Microsoft- 4797: Se ha realizado un intento de consultar la existencia de una contraseña en blanco para una cuent
Success 11 Windows- Navegación
seguridad: S-1-5-21-1163546357-429208663-839679816-1001 Nombre de la cuenta: USUARIO Domin
12:01:40 Security- K618JK0 Id. de inicio de sesión: 0x49d39 Información adicional: Estación de trabajo del llamador: DESK
Auditing cuenta de destino: Administrador Dominio de la cuenta de destino: DESKTOP-K618JK0
4798: Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-21
Microsoft-
2023-08- 839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id. de inicio de
Audit Windows-
Seguridad 13824 11 de seguridad: S-1-5-21-1163546357-429208663-839679816-501 Nombre de cuenta: Invitado Dominio
Success Security-
12:01:40 K618JK0 Información de proceso: Id. de proceso: 0x14cc Nombre de proceso:
Auditing
C:\Windows\ImmersiveControlPanel\SystemSettings.exe
4798: Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-21
Microsoft-
2023-08- 839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id. de inicio de
Audit Windows-
Seguridad 13824 11 de seguridad: S-1-5-21-1163546357-429208663-839679816-501 Nombre de cuenta: Invitado Dominio
Success Security-
12:01:40 K618JK0 Información de proceso: Id. de proceso: 0x14cc Nombre de proceso:
Auditing
C:\Windows\ImmersiveControlPanel\SystemSettings.exe
4798: Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-21
Microsoft-
2023-08- 839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id. de inicio de
Audit Windows-
Seguridad 13824 11 de seguridad: S-1-5-21-1163546357-429208663-839679816-501 Nombre de cuenta: Invitado Dominio
Success Security-
12:01:40 K618JK0 Información de proceso: Id. de proceso: 0x14cc Nombre de proceso:
Auditing
C:\Windows\ImmersiveControlPanel\SystemSettings.exe
4798: Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-21
Microsoft-
2023-08- 839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id. de inicio de
Audit Windows-
Seguridad 13824 11 de seguridad: S-1-5-21-1163546357-429208663-839679816-501 Nombre de cuenta: Invitado Dominio
Success Security-
12:01:40 K618JK0 Información de proceso: Id. de proceso: 0x14cc Nombre de proceso:
Auditing
C:\Windows\ImmersiveControlPanel\SystemSettings.exe
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 11 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
12:01:40 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 11 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
12:01:40 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft-
2023-08- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-1
Audit Windows-
Seguridad 13824 11 DESKTOP-K618JK0$ Dominio de la cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Operación de le
Success Security-
12:01:40 se produce cuando un usuario realiza una operación de lectura en las credenciales almacenadas en el A
Auditing
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:01:40
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:01:40
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:01:40
Auditing almacenadas en el Administrador de credenciales.
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x58 Nombre de proceso: C:\Win
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
12:01:50
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
12:01:50
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x58 Nombre de proceso: C:\Win
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
Microsoft- NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
2023-08-
Audit Windows- Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
Seguridad 12544 11
Success Security- servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
12:02:47
Auditing que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
12:02:47
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4799: Se enumeró la pertenencia a grupos locales con seguridad habilitada. Firmante: Id. de seguridad
2023-08-
Audit Windows- cuenta: DESKTOP-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Grupo: Id
Seguridad 13826 11
Success Security- Nombre de grupo: Administradores Dominio de grupo: Builtin Información de proceso: Id. de proceso:
12:02:51
Auditing C:\Windows\System32\svchost.exe
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 424 of 466
Seguridad Audit 13824 2023-08- Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
Success 11 Windows- 839679816-1001 Nombre deNavegación
la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
12:04:32 Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:32
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:32
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:32
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:32
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:32
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:32
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:32
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:32
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:32
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:32
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:32
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:32
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:32
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:32
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8099 Este evento se produce cuando un usuario realiza una operación de lect
12:04:32
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:32
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:32
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:32
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:32
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:32
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:32
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:32
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:32
Auditing almacenadas en el Administrador de credenciales.
Seguridad Audit 13824 Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
Success Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 425 of 466
2023-08- Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
11 Auditing Navegación
almacenadas en el Administrador de credenciales.
12:04:32
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:32
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:32
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:32
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:32
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:32
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:32
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:32
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:32
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:32
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:32
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:32
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:32
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:32
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:32
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 4797: Se ha realizado un intento de consultar la existencia de una contraseña en blanco para una cuent
2023-08-
Audit Windows- seguridad: S-1-5-21-1163546357-429208663-839679816-1001 Nombre de la cuenta: USUARIO Domin
Seguridad 13824 11
Success Security- K618JK0 Id. de inicio de sesión: 0x49d39 Información adicional: Estación de trabajo del llamador: DESK
12:04:32
Auditing cuenta de destino: Administrador Dominio de la cuenta de destino: DESKTOP-K618JK0
4798: Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-21
Microsoft-
2023-08- 839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id. de inicio de
Audit Windows-
Seguridad 13824 11 de seguridad: S-1-5-21-1163546357-429208663-839679816-501 Nombre de cuenta: Invitado Dominio
Success Security-
12:04:32 K618JK0 Información de proceso: Id. de proceso: 0x14cc Nombre de proceso:
Auditing
C:\Windows\ImmersiveControlPanel\SystemSettings.exe
4798: Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-21
Microsoft-
2023-08- 839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id. de inicio de
Audit Windows-
Seguridad 13824 11 de seguridad: S-1-5-21-1163546357-429208663-839679816-501 Nombre de cuenta: Invitado Dominio
Success Security-
12:04:32 K618JK0 Información de proceso: Id. de proceso: 0x14cc Nombre de proceso:
Auditing
C:\Windows\ImmersiveControlPanel\SystemSettings.exe
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:32
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:32
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:32
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:32
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:32
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:32
Auditing almacenadas en el Administrador de credenciales.
Seguridad 13824
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 426 of 466
Audit 2023-08- Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
Success 11 Windows- 839679816-1001 Nombre deNavegación
la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
12:04:32 Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:32
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:32
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:32
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:32
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:32
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:32
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:32
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:32
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:32
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:32
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:32
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:32
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:32
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:32
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:32
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:32
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:32
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:32
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:32
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:32
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:32
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:32
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:32
Auditing almacenadas en el Administrador de credenciales.
Seguridad Audit 13824 Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
Success Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 427 of 466
2023-08- Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
11 Auditing Navegación
almacenadas en el Administrador de credenciales.
12:04:32
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:32
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:32
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:32
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:32
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:32
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:32
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:32
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:32
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:32
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:32
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:32
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:32
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:32
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:32
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:32
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:32
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:32
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:32
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:32
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:32
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:32
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:32
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:32
Auditing almacenadas en el Administrador de credenciales.
Seguridad Audit 13824 2023-08- Microsoft- 4798: Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-21
Success 11 Windows- 839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id. de inicio de
12:04:32 de seguridad: S-1-5-21-1163546357-429208663-839679816-1001 Nombre de cuenta: USUARIO Domi
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 428 of 466
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 429 of 466
2023-08- Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
11 Auditing Navegación
almacenadas en el Administrador de credenciales.
12:04:32
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:32
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:32
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:32
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:32
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:32
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:32
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 4797: Se ha realizado un intento de consultar la existencia de una contraseña en blanco para una cuent
2023-08-
Audit Windows- seguridad: S-1-5-21-1163546357-429208663-839679816-1001 Nombre de la cuenta: USUARIO Domin
Seguridad 13824 11
Success Security- K618JK0 Id. de inicio de sesión: 0x49d39 Información adicional: Estación de trabajo del llamador: DESK
12:04:32
Auditing cuenta de destino: Administrador Dominio de la cuenta de destino: DESKTOP-K618JK0
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:32
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:32
Auditing almacenadas en el Administrador de credenciales.
4798: Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-21
Microsoft-
2023-08- 839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id. de inicio de
Audit Windows-
Seguridad 13824 11 de seguridad: S-1-5-21-1163546357-429208663-839679816-501 Nombre de cuenta: Invitado Dominio
Success Security-
12:04:32 K618JK0 Información de proceso: Id. de proceso: 0x14cc Nombre de proceso:
Auditing
C:\Windows\ImmersiveControlPanel\SystemSettings.exe
4798: Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-21
Microsoft-
2023-08- 839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id. de inicio de
Audit Windows-
Seguridad 13824 11 de seguridad: S-1-5-21-1163546357-429208663-839679816-501 Nombre de cuenta: Invitado Dominio
Success Security-
12:04:32 K618JK0 Información de proceso: Id. de proceso: 0x14cc Nombre de proceso:
Auditing
C:\Windows\ImmersiveControlPanel\SystemSettings.exe
4798: Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-21
Microsoft-
2023-08- 839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id. de inicio de
Audit Windows-
Seguridad 13824 11 de seguridad: S-1-5-21-1163546357-429208663-839679816-1001 Nombre de cuenta: USUARIO Domi
Success Security-
12:04:32 K618JK0 Información de proceso: Id. de proceso: 0x14cc Nombre de proceso:
Auditing
C:\Windows\ImmersiveControlPanel\SystemSettings.exe
Microsoft- 4797: Se ha realizado un intento de consultar la existencia de una contraseña en blanco para una cuent
2023-08-
Audit Windows- seguridad: S-1-5-21-1163546357-429208663-839679816-1001 Nombre de la cuenta: USUARIO Domin
Seguridad 13824 11
Success Security- K618JK0 Id. de inicio de sesión: 0x49d39 Información adicional: Estación de trabajo del llamador: DESK
12:04:32
Auditing cuenta de destino: Administrador Dominio de la cuenta de destino: DESKTOP-K618JK0
4798: Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-21
Microsoft-
2023-08- 839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id. de inicio de
Audit Windows-
Seguridad 13824 11 de seguridad: S-1-5-21-1163546357-429208663-839679816-501 Nombre de cuenta: Invitado Dominio
Success Security-
12:04:32 K618JK0 Información de proceso: Id. de proceso: 0x14cc Nombre de proceso:
Auditing
C:\Windows\ImmersiveControlPanel\SystemSettings.exe
4798: Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-21
Microsoft-
2023-08- 839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id. de inicio de
Audit Windows-
Seguridad 13824 11 de seguridad: S-1-5-21-1163546357-429208663-839679816-501 Nombre de cuenta: Invitado Dominio
Success Security-
12:04:32 K618JK0 Información de proceso: Id. de proceso: 0x14cc Nombre de proceso:
Auditing
C:\Windows\ImmersiveControlPanel\SystemSettings.exe
4798: Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-21
Microsoft-
2023-08- 839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id. de inicio de
Audit Windows-
Seguridad 13824 11 de seguridad: S-1-5-21-1163546357-429208663-839679816-1001 Nombre de cuenta: USUARIO Domi
Success Security-
12:04:32 K618JK0 Información de proceso: Id. de proceso: 0x14cc Nombre de proceso:
Auditing
C:\Windows\ImmersiveControlPanel\SystemSettings.exe
Microsoft- 4797: Se ha realizado un intento de consultar la existencia de una contraseña en blanco para una cuent
2023-08-
Audit Windows- seguridad: S-1-5-21-1163546357-429208663-839679816-1001 Nombre de la cuenta: USUARIO Domin
Seguridad 13824 11
Success Security- K618JK0 Id. de inicio de sesión: 0x49d39 Información adicional: Estación de trabajo del llamador: DESK
12:04:32
Auditing cuenta de destino: Administrador Dominio de la cuenta de destino: DESKTOP-K618JK0
4798: Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-21
Microsoft-
2023-08- 839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id. de inicio de
Audit Windows-
Seguridad 13824 11 de seguridad: S-1-5-21-1163546357-429208663-839679816-501 Nombre de cuenta: Invitado Dominio
Success Security-
12:04:32 K618JK0 Información de proceso: Id. de proceso: 0x14cc Nombre de proceso:
Auditing
C:\Windows\ImmersiveControlPanel\SystemSettings.exe
4798: Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-21
Microsoft-
2023-08- 839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id. de inicio de
Audit Windows-
Seguridad 13824 11 de seguridad: S-1-5-21-1163546357-429208663-839679816-501 Nombre de cuenta: Invitado Dominio
Success Security-
12:04:32 K618JK0 Información de proceso: Id. de proceso: 0x14cc Nombre de proceso:
Auditing
C:\Windows\ImmersiveControlPanel\SystemSettings.exe
4798: Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-21
Microsoft-
2023-08- 839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id. de inicio de
Audit Windows-
Seguridad 13824 11 de seguridad: S-1-5-21-1163546357-429208663-839679816-1001 Nombre de cuenta: USUARIO Domi
Success Security-
12:04:32 K618JK0 Información de proceso: Id. de proceso: 0x14cc Nombre de proceso:
Auditing
C:\Windows\ImmersiveControlPanel\SystemSettings.exe
Microsoft- 4797: Se ha realizado un intento de consultar la existencia de una contraseña en blanco para una cuent
2023-08-
Audit Windows- seguridad: S-1-5-21-1163546357-429208663-839679816-1001 Nombre de la cuenta: USUARIO Domin
Seguridad 13824 11
Success Security- K618JK0 Id. de inicio de sesión: 0x49d39 Información adicional: Estación de trabajo del llamador: DESK
12:04:32
Auditing cuenta de destino: Administrador Dominio de la cuenta de destino: DESKTOP-K618JK0
Seguridad Audit 13824 2023-08- Microsoft- 4798: Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-21
Success 11 Windows- 839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id. de inicio de
12:04:32 de seguridad: S-1-5-21-1163546357-429208663-839679816-501 Nombre de cuenta: Invitado Dominio
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 430 of 466
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 431 of 466
Seguridad Audit 12544 2023-08- Microsoft- 4624: Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: S-1-5-18 Nombre de c
Success 11 Windows- Dominio de cuenta: WORKGROUP Navegación
Id. de inicio de sesión: 0x3e7 Información de inicio de sesión: Tipo de
12:04:33 Security- administrador restringido: - Cuenta virtual: %%1843 Token elevado: %%1842 Nivel de suplantación: %
Auditing sesión: Id. de seguridad: S-1-5-18 Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id.
Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio
0000-0000-000000000000} Información de proceso: Id. de proceso: 0x58 Nombre de proceso: C:\Win
Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: -
detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados
NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el e
Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un
servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica
que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión
se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indic
solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se pue
casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesi
campos de información de autenticación proporcionan información detallada sobre esta solicitud de inici
de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un ev
transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nomb
subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de
se solicitó una clave de sesión.
Microsoft- 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: S-1-5-1
2023-08-
Audit Windows- SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimary
Seguridad 12548 11
Success Security- SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivile
12:04:33
Auditing SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpers
Microsoft- 4797: Se ha realizado un intento de consultar la existencia de una contraseña en blanco para una cuent
2023-08-
Audit Windows- seguridad: S-1-5-21-1163546357-429208663-839679816-1001 Nombre de la cuenta: USUARIO Domin
Seguridad 13824 11
Success Security- K618JK0 Id. de inicio de sesión: 0x49d39 Información adicional: Estación de trabajo del llamador: DESK
12:04:33
Auditing cuenta de destino: Administrador Dominio de la cuenta de destino: DESKTOP-K618JK0
4798: Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-21
Microsoft-
2023-08- 839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id. de inicio de
Audit Windows-
Seguridad 13824 11 de seguridad: S-1-5-21-1163546357-429208663-839679816-501 Nombre de cuenta: Invitado Dominio
Success Security-
12:04:33 K618JK0 Información de proceso: Id. de proceso: 0x14cc Nombre de proceso:
Auditing
C:\Windows\ImmersiveControlPanel\SystemSettings.exe
4798: Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-21
Microsoft-
2023-08- 839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id. de inicio de
Audit Windows-
Seguridad 13824 11 de seguridad: S-1-5-21-1163546357-429208663-839679816-501 Nombre de cuenta: Invitado Dominio
Success Security-
12:04:33 K618JK0 Información de proceso: Id. de proceso: 0x14cc Nombre de proceso:
Auditing
C:\Windows\ImmersiveControlPanel\SystemSettings.exe
4798: Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-21
Microsoft-
2023-08- 839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id. de inicio de
Audit Windows-
Seguridad 13824 11 de seguridad: S-1-5-21-1163546357-429208663-839679816-1001 Nombre de cuenta: USUARIO Domi
Success Security-
12:04:33 K618JK0 Información de proceso: Id. de proceso: 0x14cc Nombre de proceso:
Auditing
C:\Windows\ImmersiveControlPanel\SystemSettings.exe
Microsoft- 4797: Se ha realizado un intento de consultar la existencia de una contraseña en blanco para una cuent
2023-08-
Audit Windows- seguridad: S-1-5-21-1163546357-429208663-839679816-1001 Nombre de la cuenta: USUARIO Domin
Seguridad 13824 11
Success Security- K618JK0 Id. de inicio de sesión: 0x49d39 Información adicional: Estación de trabajo del llamador: DESK
12:04:33
Auditing cuenta de destino: Administrador Dominio de la cuenta de destino: DESKTOP-K618JK0
4798: Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-21
Microsoft-
2023-08- 839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id. de inicio de
Audit Windows-
Seguridad 13824 11 de seguridad: S-1-5-21-1163546357-429208663-839679816-501 Nombre de cuenta: Invitado Dominio
Success Security-
12:04:33 K618JK0 Información de proceso: Id. de proceso: 0x14cc Nombre de proceso:
Auditing
C:\Windows\ImmersiveControlPanel\SystemSettings.exe
4798: Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-21
Microsoft-
2023-08- 839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id. de inicio de
Audit Windows-
Seguridad 13824 11 de seguridad: S-1-5-21-1163546357-429208663-839679816-501 Nombre de cuenta: Invitado Dominio
Success Security-
12:04:33 K618JK0 Información de proceso: Id. de proceso: 0x14cc Nombre de proceso:
Auditing
C:\Windows\ImmersiveControlPanel\SystemSettings.exe
4798: Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-21
Microsoft-
2023-08- 839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id. de inicio de
Audit Windows-
Seguridad 13824 11 de seguridad: S-1-5-21-1163546357-429208663-839679816-1001 Nombre de cuenta: USUARIO Domi
Success Security-
12:04:33 K618JK0 Información de proceso: Id. de proceso: 0x14cc Nombre de proceso:
Auditing
C:\Windows\ImmersiveControlPanel\SystemSettings.exe
Microsoft- 4797: Se ha realizado un intento de consultar la existencia de una contraseña en blanco para una cuent
2023-08-
Audit Windows- seguridad: S-1-5-21-1163546357-429208663-839679816-1001 Nombre de la cuenta: USUARIO Domin
Seguridad 13824 11
Success Security- K618JK0 Id. de inicio de sesión: 0x49d39 Información adicional: Estación de trabajo del llamador: DESK
12:04:33
Auditing cuenta de destino: Administrador Dominio de la cuenta de destino: DESKTOP-K618JK0
4798: Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-21
Microsoft-
2023-08- 839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id. de inicio de
Audit Windows-
Seguridad 13824 11 de seguridad: S-1-5-21-1163546357-429208663-839679816-501 Nombre de cuenta: Invitado Dominio
Success Security-
12:04:33 K618JK0 Información de proceso: Id. de proceso: 0x14cc Nombre de proceso:
Auditing
C:\Windows\ImmersiveControlPanel\SystemSettings.exe
4798: Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-21
Microsoft-
2023-08- 839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id. de inicio de
Audit Windows-
Seguridad 13824 11 de seguridad: S-1-5-21-1163546357-429208663-839679816-501 Nombre de cuenta: Invitado Dominio
Success Security-
12:04:33 K618JK0 Información de proceso: Id. de proceso: 0x14cc Nombre de proceso:
Auditing
C:\Windows\ImmersiveControlPanel\SystemSettings.exe
4798: Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-21
Microsoft-
2023-08- 839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id. de inicio de
Audit Windows-
Seguridad 13824 11 de seguridad: S-1-5-21-1163546357-429208663-839679816-1001 Nombre de cuenta: USUARIO Domi
Success Security-
12:04:33 K618JK0 Información de proceso: Id. de proceso: 0x14cc Nombre de proceso:
Auditing
C:\Windows\ImmersiveControlPanel\SystemSettings.exe
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:33
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:33
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:33
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:33
Auditing almacenadas en el Administrador de credenciales.
Seguridad Audit 13824 2023-08- Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
Success 11 Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
12:04:33
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 432 of 466
Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
Auditing Navegación
almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:33
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:33
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:33
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:33
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:33
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:33
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:33
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:33
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:33
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:33
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8099 Este evento se produce cuando un usuario realiza una operación de lect
12:04:33
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:33
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:33
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:33
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:33
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:33
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:33
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:33
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:33
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:33
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:33
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:33
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:33
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:33
Auditing almacenadas en el Administrador de credenciales.
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 433 of 466
Seguridad Audit 13824 2023-08- Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
Success 11 Windows- 839679816-1001 Nombre deNavegación
la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
12:04:33 Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:33
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:33
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:33
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:33
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:33
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:33
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:33
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:33
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:33
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:33
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:33
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:33
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:33
Auditing almacenadas en el Administrador de credenciales.
4738: Se cambió una cuenta de usuario. Sujeto: Id. de seguridad: S-1-5-21-1163546357-429208663-8
cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id. de inicio de sesión: 0x49d39 Cuenta de de
Microsoft-
2023-08- 5-21-1163546357-429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DES
Audit Windows-
Seguridad 13824 11 cambiados: Nombre de cuenta SAM: - Nombre para mostrar: - Nombre principal de usuario: - Directori
Success Security-
12:04:33 - Ruta de acceso de script: - Ruta de acceso de perfil: - Estaciones de trabajo de usuario: - Última cont
Auditing
Expiración de cuenta: - Id. de grupo primario: - Se permite delegación a: - Valor de UAC anterior: - Nu
de cuentas de usuario: - Parámetros de usuario: - Historial de SID: - Horas de inicio de sesión: - Inform
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:33
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:33
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:33
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:33
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:33
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:33
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:33
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:33
Auditing almacenadas en el Administrador de credenciales.
Seguridad Audit 13824 2023-08- Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
Success 11 Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
12:04:33
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 434 of 466
Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
Auditing Navegación
almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:33
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:33
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:33
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:33
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:33
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:33
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:33
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:33
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:33
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:33
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:33
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:33
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:33
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:33
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:33
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:33
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:33
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:33
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:33
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:33
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:33
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:33
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:33
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:33
Auditing almacenadas en el Administrador de credenciales.
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 435 of 466
Seguridad Audit 13824 2023-08- Microsoft- 4798: Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18
Success 11 Windows- Navegación
-K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Usuario: Id. de seguridad: S
12:04:33 Security- 429208663-839679816-500 Nombre de cuenta: Administrador Dominio de cuenta: DESKTOP-K618JK0
Auditing de proceso: 0x2640 Nombre de proceso: C:\Windows\System32\taskhostw.exe
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:33
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 4798: Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18
2023-08-
Audit Windows- -K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Usuario: Id. de seguridad: S
Seguridad 13824 11
Success Security- 429208663-839679816-503 Nombre de cuenta: DefaultAccount Dominio de cuenta: DESKTOP-K618JK0
12:04:33
Auditing de proceso: 0x2640 Nombre de proceso: C:\Windows\System32\taskhostw.exe
Microsoft- 4798: Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18
2023-08-
Audit Windows- -K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Usuario: Id. de seguridad: S
Seguridad 13824 11
Success Security- 429208663-839679816-501 Nombre de cuenta: Invitado Dominio de cuenta: DESKTOP-K618JK0 Inform
12:04:33
Auditing proceso: 0x2640 Nombre de proceso: C:\Windows\System32\taskhostw.exe
Microsoft- 4798: Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-18
2023-08-
Audit Windows- -K618JK0$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3e7 Usuario: Id. de seguridad: S
Seguridad 13824 11
Success Security- 429208663-839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Info
12:04:33
Auditing proceso: 0x2640 Nombre de proceso: C:\Windows\System32\taskhostw.exe
Microsoft- 4798: Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-21
2023-08-
Audit Windows- 839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id. de inicio de
Seguridad 13824 11
Success Security- de seguridad: S-1-5-21-1163546357-429208663-839679816-500 Nombre de cuenta: Administrador Do
12:04:33
Auditing K618JK0 Información de proceso: Id. de proceso: 0x2c70 Nombre de proceso: C:\Windows\System32\t
Microsoft- 4798: Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-21
2023-08-
Audit Windows- 839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id. de inicio de
Seguridad 13824 11
Success Security- de seguridad: S-1-5-21-1163546357-429208663-839679816-503 Nombre de cuenta: DefaultAccount D
12:04:33
Auditing K618JK0 Información de proceso: Id. de proceso: 0x2c70 Nombre de proceso: C:\Windows\System32\t
Microsoft- 4798: Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-21
2023-08-
Audit Windows- 839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id. de inicio de
Seguridad 13824 11
Success Security- de seguridad: S-1-5-21-1163546357-429208663-839679816-501 Nombre de cuenta: Invitado Dominio
12:04:33
Auditing K618JK0 Información de proceso: Id. de proceso: 0x2c70 Nombre de proceso: C:\Windows\System32\t
Microsoft- 4798: Se enumeró la pertenencia a grupos locales de un usuario. Firmante: Id. de seguridad: S-1-5-21
2023-08-
Audit Windows- 839679816-1001 Nombre de cuenta: USUARIO Dominio de cuenta: DESKTOP-K618JK0 Id. de inicio de
Seguridad 13824 11
Success Security- de seguridad: S-1-5-21-1163546357-429208663-839679816-1001 Nombre de cuenta: USUARIO Domi
12:04:33
Auditing K618JK0 Información de proceso: Id. de proceso: 0x2c70 Nombre de proceso: C:\Windows\System32\t
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:33
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:33
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:33
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:33
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:33
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:33
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:33
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:33
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:33
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:33
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:33
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:33
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:33
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:33
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:33
Auditing almacenadas en el Administrador de credenciales.
Seguridad Audit 13824 Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
Success Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
file:///C:/Users/USUARIO/AppData/Local/Temp/rpt-1.htm 13/8/2023
Informe de <DESKTOP-K618JK0> Page 436 of 466
2023-08- Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
11 Auditing Navegación
almacenadas en el Administrador de credenciales.
12:04:33
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:33
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:33
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:33
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron. Asunto: Id. de seguridad: S-1-5-2
2023-08-
Audit Windows- 839679816-1001 Nombre de la cuenta: USUARIO Dominio de la cuenta: DESKTOP-K618JK0 Id. de inici
Seguridad 13824 11
Success Security- Operación de lectura: %%8100 Este evento se produce cuando un usuario realiza una operación de lect
12:04:33
Auditing almacenadas en el Administrador de credenciales.
Microsoft- 5379: Las credenciales del Administrador de credenciales se leyeron