Cómo encontrar qué proceso detuvo o inició los Servicios de Windows

El servicio de Windows(Windows Service) que se detiene o deshabilita no es muy común, pero puede suceder a veces. El mayor problema aquí es que no hay forma de averiguar qué proceso(Process) detuvo o actualizó los servicios(Windows Services) de Windows en Windows 10 . Ahí es donde necesita un programa que pueda auditar dichos servicios. Es útil con los servicios personalizados que son más propensos a estos problemas. Windows Service Auditor es un programa gratuito que le permite realizar un seguimiento de dichos servicios. Windows Service Auditor le dirá qué proceso detuvo, inició, eliminó o actualizó los servicios de (Services)Windows . Mantendrá un registro del usuario, la hora y el proceso que realizó cualquier cambio.

Encuentre(Find) qué proceso detuvo o inició los Servicios de (Services)Windows

Windows Service Auditor es una aplicación portátil gratuita que le permite realizar una auditoría detallada. También puede sondear los registros de eventos de Windows(Windows Event Logs) para brindar una mejor perspectiva. Windows ofrece algunas herramientas, pero no ayudan al consumidor general. Herramientas como el Visor de eventos y AuditPol brindan una vista detallada, pero no son útiles. Debe ser un experto para comprender y depurar esos problemas.

Características del auditor de servicios de Windows

  • Funciona con equipos de dominio, políticas de auditoría locales y globales
  • Rastree qué programa detuvo o eliminó el servicio de Windows(Windows Service)
  • Cuándo se inició el servicio y a qué hora se inició el servicio
  • Cualquier error de inicio de los servicios.

Cómo usar el Auditor de servicios de Windows

Dado que este es un servicio de monitoreo, no puede hacer todo por sí solo. Tendrá que elegir qué servicio se debe rastrear. Junto con él, puede detener, iniciar servicios si es necesario. Aquí se explica cómo utilizar la auditoría de configuración del servicio.

1] Configuración inicial

Proceso detenido Servicios de Windows

Es una aplicación portátil, así que asegúrese de descargarla y guardarla en un lugar donde no se elimine. Además, asegúrese de configurarlo para que se inicie cuando se inicia la computadora, para que la auditoría no pierda el seguimiento. Inicie la aplicación y verá dos partes: Lista de servicios de (Services)Windows y Registros de eventos(Event) . El último revela cualquier registro de eventos conectado al servicio seleccionado.

2 ] Habilitar auditoría de seguridad avanzada(] Enable Advanced Security Auditing)

Windows no realiza un seguimiento de algunas de las funciones avanzadas como configuración predeterminada. Deberá habilitar la auditoría de seguridad avanzada para capturar los detalles. Lo bueno es que usando Windows Service Auditor ; puede habilitarlo de inmediato.

Haga clic(Click) en el menú de la aplicación(Application) y luego seleccione "Habilitar política de auditoría local". Esta opción está habilitada automáticamente por defecto, pero si deseas deshabilitarla, este es el menú al que debes acceder. Al habilitar esto, Windows ahora monitoreará la auditoría según lo siguiente

  • Otro acceso a objetos
  • Manipulación de manijas
  • Ampliación del sistema de seguridad

3] Supervisar un servicio

Supervise el servicio de Windows en busca de cambios

El último paso es seleccionar un servicio y luego hacer clic en el ícono "Ojo" en el menú superior para comenzar a monitorearlo. Una vez habilitado, observe un ícono de "Ojo" al lado del servicio que se está monitoreando. Selecciónalo, y tendrás detalles en la sección Eventos. Incluirá todos los cambios realizados por un programa o un usuario junto con una marca de tiempo. No hay forma de habilitarlo para múltiples servicios, y no funcionará para todos los servicios, sino solo para aquellos que no están bajo el control del sistema. Con la política de auditoría implementada, Windows capturará eventos de auditoría detallados cada vez que alguien intente iniciar, detener o actualizar su servicio.

También puede habilitar la auditoría para cualquier servicio utilizando la opción de menú disponible en servicios.

habilitar la auditoría de servicios avanzados de Windows

Cómo funciona Windows Service Auditor en equipos de dominio(Domain)

Si bien puede habilitarlo en cualquier computadora que sea parte del dominio, hay un inconveniente. Cualquier cambio realizado por Windows Service Auditor se sobrescribirá la próxima vez que el servidor actualice la política. Tendrá que actualizar manualmente la Política de auditoría global(Global Audit Policy) nuevamente para habilitar la auditoría avanzada. Microsoft tiene documentación detallada(detailed documentation) sobre cómo puede actualizar la política de(Policy) auditoría global .

Al igual que la edición de políticas(Policy) locales , deberá configurar el sistema para auditar eventos en Acceso a otros objetos(Object Access)Manipulación(Handle Manipulation) de manejo y  Extensión del sistema de seguridad(Security System Extension) . Está disponible en Configuración de seguridad(Security Settings) .

Descárgala desde la página oficial(official page) .

Espero que la publicación haya sido fácil de seguir y que haya podido habilitar la Auditoría de seguridad avanzada(Advanced Security Auditing ) para los servicios de Windows en Windows 10.



Alberto Caballero

About the author

Soy ingeniero de software con más de 15 años de experiencia en Microsoft Office y Edge. También he desarrollado varias herramientas utilizadas por los usuarios finales, como una aplicación para rastrear datos de salud importantes y un detector de ransomware. Mis habilidades radican en desarrollar un código elegante que funcione bien en varias plataformas, además de tener una gran comprensión de la experiencia del usuario.


Related posts