Hola a tod@s.
- En este post vamos a ver como auditar los accesos a los recursos compartidos de un servidor de archivos.
- Como podemos ver tenemos tres recursos compartidos (Publico, Grupos y Usuarios), que será dónde habilitemos las auditorías para controlar los accesos, la introducción y eliminación de ficheros y todo lo que ocurra en estos recursos compartidos:
- Lo primero que debemos hacer es crearnos una GPO para habilitar la auditoría de objetos en nuestro Active Directory, para ello nos abrimos la consola de Administración de directivas de grupo y sobre Objetos de directivas de grupo le indicamos que queremos crearnos una nueva GPO:
- Le damos un nombre a la GPO y la editamos:
- Una vez editada, aquí tenemos la configuración para habilitar la auditoría a objetos en nuestro File Server:
- Ahora esta GPO la vamos a vincular sobre la OU Servidores, que es dónde se encuentra nuestro File Server:
- Una vez aplicada la GPO, nos abrimos las configuraciones avanzadas de seguridad de nuestro primer recurso compartido, llamado “Publico” y nos vamos a la pestaña de “Auditoría”, dónde vamos a agregar a los usuarios o grupos a los que le queremos aplicar la auditoría:
- En primer lugar habilitamos la auditoría a los Usuarios del dominio, en Tipo le indicamos Todo (Acierto y Error), lo aplicaremos a “Esta carpeta, subcarpetas y archivos”, y como permisos vamos a auditar la creación y eliminación de archivos y carpetas:
- Para los otros dos recursos compartidos (Grupos y Usuarios) realizamos las mismas configuraciones:
- Con todo esto ya tenemos configurado las auditorías de los recursos compartidos de nuestro File Server.
- Los registros de auditoría quedan todos guardados en el Visor de eventos del Servidor de archivos, en los Registros de Windows > Seguridad:
- La capacidad del registro de Seguridad la vamos a aumentar a 1 GB, así guardaremos más eventos y durante más tiempo, también como le hemos habilitado la auditoría a todos los Usuarios del dominio, se van a generar gran cantidad de estos eventos:
- Ahora vamos a eliminar algunos ficheros de nuestro servidor de archivos y veremos en el visor de eventos que usuario a eliminado estos ficheros:
- Como vemos el usuario jramos ha eliminado estos ficheros:
Saludos y espero que os sea de ayuda 😉
Hola buenos días, increíble post me ayudo mucho y por si fuera poco como revisar los logs y establecer un tamaño máximo de registro, en serio muchas gracias.
Muchas gracias por consultar el blog Lenin.
Un saludo amigo.
Muchas gracias por el post¡ Así lo tengo hecho desde hace tiempo pero con un problema que no logro resolver. Cuando tienes miles de accesos y quieres filtrar por un usuario concreto… no se puede¡¡¡¡ o yo no se hacerlo…. ¿Alguien sabe?
ya hice todos los pasos lo he verificado mil veces pero al borrar archivos y carpetas dentro del documento que tiene la auditoria no me muestra nada en el visor de evntos
a mi me pasa lo mismo, lo he echo mil veces y no me funciona
al apagar el firewall de windows para probar aparecen, lo que no se es que agregar al firewall