0

Auditoría de los recursos compartidos de un Servidor de archivos

Hola a tod@s.

  • En este post vamos a ver como auditar los accesos a los recursos compartidos de un servidor de archivos.
  • Como podemos ver tenemos tres recursos compartidos (Publico, Grupos y Usuarios), que será dónde habilitemos las auditorías para controlar los accesos, la introducción y eliminación de ficheros y todo lo que ocurra en estos recursos compartidos:

  • Lo primero que debemos hacer es crearnos una GPO para habilitar la auditoría de objetos en nuestro Active Directory, para ello nos abrimos la consola de Administración de directivas de grupo y sobre Objetos de directivas de grupo le indicamos que queremos crearnos una nueva GPO:

  • Le damos un nombre a la GPO y la editamos:

  • Una vez editada, aquí tenemos la configuración para habilitar la auditoría a objetos en nuestro File Server:

  • Ahora esta GPO la vamos a vincular sobre la OU Servidores, que es dónde se encuentra nuestro File Server:

  • Una vez aplicada la GPO, nos abrimos las configuraciones avanzadas de seguridad de nuestro primer recurso compartido, llamado “Publico” y nos vamos a la pestaña de “Auditoría”, dónde vamos a agregar a los usuarios o grupos a los que le queremos aplicar la auditoría:

  • En primer lugar habilitamos la auditoría a los Usuarios del dominio, en Tipo le indicamos Todo (Acierto y Error), lo aplicaremos a “Esta carpeta, subcarpetas y archivos”, y como permisos vamos a auditar la creación y eliminación de archivos y carpetas:

  • Para los otros dos recursos compartidos (Grupos y Usuarios) realizamos las mismas configuraciones:

  • Con todo esto ya tenemos configurado las auditorías de los recursos compartidos de nuestro File Server.
  • Los registros de auditoría quedan todos guardados en el Visor de eventos del Servidor de archivos, en los Registros de Windows > Seguridad:

  • La capacidad del registro de Seguridad la vamos a aumentar a 1 GB, así guardaremos más eventos y durante más tiempo, también como le hemos habilitado la auditoría a todos los Usuarios del dominio, se van a generar gran cantidad de estos eventos:

  • Ahora vamos a eliminar algunos ficheros de nuestro servidor de archivos y veremos en el visor de eventos que usuario a eliminado estos ficheros:

  • Como vemos el usuario jramos ha eliminado estos ficheros:

 

Saludos y espero que os sea de ayuda 😉

ragasys

Técnico Superior STI

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.