Es muy común hoy en día la necesidad de auditar el acceso a los ficheros de nuestros servidores. Con estas auditorías podremos saber si alguien ha borrado un fichero, lo ha modificado, ha accedido a él, etc, etc.
Para ello, primero estableceremos una nueva GPO en nuestro dominio para habilitar la auditoría y lo vincularemos al servidor de ficheros, o a todo el dominio, según sea necesario.
La vamos a llamar “Auditoria de Objetos”, por ejemplo.
Y después editaremos la directiva y habilitaremos la directiva de auditoría de objetos:
Una vez hecho esto, vamos a las propiedades de las carpetas que deseamos auditar y establecemos las operaciones sobre la misma que queremos que vayan al registro de eventos. Abrimos las opciones avanzadas de seguridad:
Y una vez las tenemos abiertas, vamos a la pestaña de “Auditoría”:
Y seleccionamos las operaciones a auditar y sobre qué usuarios o grupos deseamos realizar la auditoría, podemos elegir auditar distintas operaciones para cada grupo de usuarios o usuarios:
También podemos auditar todos los permisos que se utilicen, a nuestro gusto.
En este caso he elegido la entidad de seguridad”Todos”, pero se puede elegir un usuario concreto o un grupo, y normalmente se seleccionan únicamente las operaciones a auditar, solo borrado de ficheros, por ejemplo. En “Tipo” podemos elegir Correcto, Error o Ambos para auditar todas las operaciones que realicen sobre los ficheros.
Y nos aparecerá en el visor de eventos los registros, el ID de evento es el 4663, 4659, 4656, etc. Podemos crear un filtro en el visor de eventos para verlos todos.
Una vez hecho esto necesitaríamos configurar el log de seguridad, a nivel de retención, para que sobre escriba o archive el contenido, en nuestro caso nos interesa archivar el contenido y guardarlo.
Lo explicamos en el siguiente enlace.
5 comentarios en “Auditar el acceso a objetos (ficheros, etc) en Windows Server 2012”
y si mi servidor de dominio y mi servidor de archivos son dos maquinas diferentes?? qué procedimiento se realiza allí? porque sigo los pasos en cada servidor y los eventos no son visualizados…
Hola,
Cuando activo la auditoria a nivel de GPO me audita TODO el sistema de ficheros cuando en realidad sólo quiero auditar un directorio (y subdirectorios) específico. ¿Es algo normal o debí hacer algo mal?
Gracias,
Tote
Es lo normal.
Hola!
Es posible en el visor de eventos filtrar por el resultado de una auditoria?
Me refiero a que por ejemplo en vez de buscar por el ID de evento, buscar por el nombre del Recurso Compartido que sale dentro del el resultado de una de esas ID.
Saludos!
Si tu servidor de archivos no es DC, la GPO debes aplicarla en la OU Equipos (x defecto al ingresar equipos al dominio) o en la OU específica donde lo tengas asignado.
Los comentarios están cerrados.