¿Cómo habilitar el registro del ID de evento 7042 (motivo de parada del servicio)?

Question

No soy un experto en Windows, pero tal vez podría sugerir dos cosas para comprobar, ya que no hay otras respuestas.

En primer lugar, verifique si Windows 2022 sigue un enfoque similar al monitoreo de servicios de Windows 2008, como se describe.aquí(oaquí, oaquí- estas fuentes son casi las mismas). Creo que es muy probable que el principio de configuración de auditoría permanezca sin cambios, por lo que puede intentar ejecutar un comando de los artículos mencionados en ambos servidores y verificar el resultado:

SC SDSHOW <service_name>

La documentación del comando esaquí.

Si el resultado difiere, podría considerar tomar la cadena del servidor A y aplicar el mismo DACL/SACL al servicio en el servidor B usando SC SDSETel comando, como se describe en el artículo1o2. Asegúrese de comprender lo que está haciendo y asegúrese de verificar DACL primero usandoConvertirDe-SddlString, por ejemplo, comoDACL incorrecto podría provocar una interrupción del servicio! Planifique y ejecute con precaución, haga una copia de seguridad del DACL anterior antes de sobrescribirlo.

Si eso no funciona (los resultados son los mismos), verifique quizás las opciones de auditoría global en ambos servidores. Según el mensaje de error, es posible que este evento esté clasificado como Successy que la auditoría de eventos exitosos no esté habilitada en el servidor B. Por lo tanto, verifique estas opciones también en ambos servidores ejecutando

auditpol /get /subcategory:"Other Object Access Events"
auditpol /get /subcategory:"Handle Manipulation"

Debería ver Success(o lo que sea) la auditoría configurada en ambos servidores de la misma manera. De lo contrario, puede intentar aplicar la misma configuración para el servidor B que tiene en A usando el auditpol /setcomando; una vez más, de la misma manera que se describe en el artículo.1o2. Tenga en cuenta quePermitir la auditoría de eventos exitosos podría causar un aumento considerable en el recuento de registros., así que supervise de cerca el estado del servidor después de cambiar las opciones de auditoría.

Además, podría valer la pena comprobar la GUI de GPO, como se mencionóaquíyaquí:

Computer Configuration -> Policies -> Windows Settings -> Security Settings -> System Services

Nunca lo probé, pero tal vez esta sección todavía esté vigente y haya algo interesante allí.

Answer 1

No soy un experto en Windows, pero tal vez podría sugerir dos cosas para comprobar, ya que no hay otras respuestas.

En primer lugar, verifique si Windows 2022 sigue un enfoque similar al monitoreo de servicios de Windows 2008, como se describe.aquí(oaquí, oaquí- estas fuentes son casi las mismas). Creo que es muy probable que el principio de configuración de auditoría permanezca sin cambios, por lo que puede intentar ejecutar un comando de los artículos mencionados en ambos servidores y verificar el resultado:

SC SDSHOW <service_name>

La documentación del comando esaquí.

Si el resultado difiere, podría considerar tomar la cadena del servidor A y aplicar el mismo DACL/SACL al servicio en el servidor B usando SC SDSETel comando, como se describe en el artículo1o2. Asegúrese de comprender lo que está haciendo y asegúrese de verificar DACL primero usandoConvertirDe-SddlString, por ejemplo, comoDACL incorrecto podría provocar una interrupción del servicio! Planifique y ejecute con precaución, haga una copia de seguridad del DACL anterior antes de sobrescribirlo.

Si eso no funciona (los resultados son los mismos), verifique quizás las opciones de auditoría global en ambos servidores. Según el mensaje de error, es posible que este evento esté clasificado como Successy que la auditoría de eventos exitosos no esté habilitada en el servidor B. Por lo tanto, verifique estas opciones también en ambos servidores ejecutando

auditpol /get /subcategory:"Other Object Access Events"
auditpol /get /subcategory:"Handle Manipulation"

Debería ver Success(o lo que sea) la auditoría configurada en ambos servidores de la misma manera. De lo contrario, puede intentar aplicar la misma configuración para el servidor B que tiene en A usando el auditpol /setcomando; una vez más, de la misma manera que se describe en el artículo.1o2. Tenga en cuenta quePermitir la auditoría de eventos exitosos podría causar un aumento considerable en el recuento de registros., así que supervise de cerca el estado del servidor después de cambiar las opciones de auditoría.

Además, podría valer la pena comprobar la GUI de GPO, como se mencionóaquíyaquí:

Computer Configuration -> Policies -> Windows Settings -> Security Settings -> System Services

Nunca lo probé, pero tal vez esta sección todavía esté vigente y haya algo interesante allí.

¿Cómo habilitar el registro del ID de evento 7042 (motivo de parada del servicio)?

Respuesta1

información relacionada