4611(S): se ha registrado un proceso de inicio de sesión de confianza con la autoridad de seguridad local.

Se aplica a

  • Windows 10
  • WindowsServer2016
Event 4611 illustration

Subcategoría:   Extensión del sistema de seguridad de auditoría

Descripción del evento:

Este evento indica que un proceso de inicio de sesión se ha registrado con la autoridad de seguridad local (LSA). Además, las solicitudes de inicio de sesión ahora se aceptarán desde este origen.

En el nivel técnico, el evento no procede del registro de un proceso de inicio de sesión de confianza, sino de una confirmación de que el proceso es un proceso de inicio de sesión de confianza. Si se trata de un proceso de inicio de sesión de confianza, se genera el evento.

Un proceso de inicio de sesión es una parte de confianza del sistema operativo que controla la función de inicio de sesión general para diferentes métodos de inicio de sesión (red, interactivo, etc.).

Normalmente, estos eventos se ven durante el inicio del sistema operativo o las acciones de autenticación y inicio de sesión del usuario.

Nota  Para obtener recomendaciones, consulte Recomendaciones de supervisión de seguridad para este evento.


XML del evento:

- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
 <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" /> 
 <EventID>4611</EventID> 
 <Version>0</Version> 
 <Level>0</Level> 
 <Task>12289</Task> 
 <Opcode>0</Opcode> 
 <Keywords>0x8020000000000000</Keywords> 
 <TimeCreated SystemTime="2015-10-14T03:43:29.604031000Z" /> 
 <EventRecordID>1048175</EventRecordID> 
 <Correlation /> 
 <Execution ProcessID="516" ThreadID="548" /> 
 <Channel>Security</Channel> 
 <Computer>DC01.contoso.local</Computer> 
 <Security /> 
 </System>
- <EventData>
 <Data Name="SubjectUserSid">S-1-5-18</Data> 
 <Data Name="SubjectUserName">DC01$</Data> 
 <Data Name="SubjectDomainName">CONTOSO</Data> 
 <Data Name="SubjectLogonId">0x3e7</Data> 
 <Data Name="LogonProcessName">Winlogon</Data> 
 </EventData>
 </Event>

Roles de servidor necesarios: Ninguno.

Versión mínima del sistema operativo: Windows Server 2008, Windows Vista.

Versiones de eventos: 0.

Descripciones del campo:

Asunto:

  • Id. de seguridad [Type = SID]: SID de la cuenta que registró el proceso de inicio de sesión de confianza. El Visor de eventos intenta automáticamente resolver los SID y muestra el nombre de la cuenta. Si no se puede resolver el SID, verá los datos de origen en el evento.

Nota  Un identificador de seguridad (SID) es un valor único de longitud variable que se usa para identificar un elemento de confianza (entidad de seguridad). Cada cuenta tiene un SID único emitido por una autoridad, como un controlador de dominio de Active Directory, que se almacena en una base de datos de seguridad. Cada vez que un usuario inicia sesión, el sistema recupera el SID de ese usuario de la base de datos y lo coloca en el token de acceso del usuario. El sistema utiliza el SID del token de acceso para identificar al usuario en todas las interacciones posteriores con la seguridad de Windows. Una vez que se utiliza un SID como identificador único para un usuario o grupo, no se puede volver a usar para identificar a otro usuario o grupo. Para más información sobre los SID, consulte Identificadores de seguridad.

  • Nombre de cuenta [Type = UnicodeString]: el nombre de la cuenta que registró el proceso de inicio de sesión de confianza.

  • Dominio de cuenta [Tipo = UnicodeString]: dominio o nombre del equipo del sujeto. Los formatos pueden variar e incluyen lo siguiente:

    • Ejemplo de nombre NETBIOS de dominio: CONTOSO

    • Nombre de dominio completo en minúsculas: contoso.local

    • Nombre de dominio completo en mayúsculas: CONTOSO.LOCAL

    • En el caso de algunas entidades de seguridad conocidas, como SERVICIO LOCAL o INICIO DE SESIÓN ANÓNIMO, el valor de este campo es "NT AUTHORITY".

    • En el caso de las cuentas de usuario locales, este campo contendrá el nombre del equipo o dispositivo al que pertenece esta cuenta, por ejemplo: "Win81".

  • Id. de inicio de sesión [Tipo = HexInt64 ]: valor hexadecimal que puede ayudarle a relacionar este evento con eventos recientes que pueden contener el mismo Id. de inicio de sesión, por ejemplo, "4624: Una cuenta ha iniciado sesión correctamente".

Nombre del proceso de inicio de sesión [Type = UnicodeString]: el nombre del proceso de inicio de sesión registrado.

Recomendaciones de supervisión de seguridad.

Para 4611(S): se ha registrado un proceso de inicio de sesión de confianza con la autoridad de seguridad local.

****   Importante   Para este evento, vea también Apéndice A: Recomendaciones de supervisión de seguridad para muchos eventos de auditoría.

  • Dado que la cuenta SYSTEM suele desencadenar este evento, se recomienda notificarlo siempre que "Subject\Security ID" no sea SYSTEM.

  • Normalmente, este evento tiene un propósito informativo. Si definió la lista de procesos de inicio de sesión permitidos en el sistema, puede comprobar que el valor del campo "Nombre del proceso de iniciode sesión" se encuentra en la lista de permitidos o no.