Auditar el acceso a objetos (ficheros, etc) en Windows Server 2012

Es muy común hoy en día la necesidad de auditar el acceso a los ficheros de nuestros servidores. Con estas auditorías podremos saber si alguien ha borrado un fichero, lo ha modificado, ha accedido a él, etc, etc.

Para ello, primero estableceremos una nueva GPO en nuestro dominio para habilitar la auditoría y lo vincularemos al servidor de ficheros, o a todo el dominio, según sea necesario.

La vamos a llamar «Auditoria de Objetos», por ejemplo.

Y después editaremos la directiva y habilitaremos la directiva de auditoría de objetos:

Una vez hecho esto, vamos a las propiedades de las carpetas que deseamos auditar y establecemos las operaciones sobre la misma que queremos que vayan al registro de eventos. Abrimos las opciones avanzadas de seguridad:

Y una vez las tenemos abiertas, vamos a la pestaña de «Auditoría»:

 

Y seleccionamos las operaciones a auditar y sobre qué usuarios o grupos deseamos realizar la auditoría, podemos elegir auditar distintas operaciones para cada grupo de usuarios o usuarios:

También podemos auditar todos los permisos que se utilicen, a nuestro gusto.

En este caso he elegido la entidad de seguridad»Todos», pero se puede elegir un usuario concreto o un grupo, y normalmente se seleccionan únicamente las operaciones a auditar, solo borrado de ficheros, por ejemplo. En «Tipo» podemos elegir Correcto, Error o Ambos para auditar todas las operaciones que realicen sobre los ficheros.

Y nos aparecerá en el visor de eventos los registros, el ID de evento es el 4663, 4659, 4656, etc. Podemos crear un filtro en el visor de eventos para verlos todos.

Una vez hecho esto necesitaríamos configurar el log de seguridad, a nivel de retención, para que sobre escriba o archive el contenido, en nuestro caso nos interesa archivar el contenido y guardarlo.

Lo explicamos en el siguiente enlace.

 

 

 

 

 

 

5 comentarios sobre “Auditar el acceso a objetos (ficheros, etc) en Windows Server 2012

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *