Hola a tod@s.
- En este post vamos a ver como auditar los accesos a los recursos compartidos de un servidor de archivos.
- Como podemos ver tenemos tres recursos compartidos (Publico, Grupos y Usuarios), que será dónde habilitemos las auditorías para controlar los accesos, la introducción y eliminación de ficheros y todo lo que ocurra en estos recursos compartidos:
- Lo primero que debemos hacer es crearnos una GPO para habilitar la auditoría de objetos en nuestro Active Directory, para ello nos abrimos la consola de Administración de directivas de grupo y sobre Objetos de directivas de grupo le indicamos que queremos crearnos una nueva GPO:
- Le damos un nombre a la GPO y la editamos:
- Una vez editada, aquí tenemos la configuración para habilitar la auditoría a objetos en nuestro File Server:
- Ahora esta GPO la vamos a vincular sobre la OU Servidores, que es dónde se encuentra nuestro File Server:
- Una vez aplicada la GPO, nos abrimos las configuraciones avanzadas de seguridad de nuestro primer recurso compartido, llamado “Publico” y nos vamos a la pestaña de “Auditoría”, dónde vamos a agregar a los usuarios o grupos a los que le queremos aplicar la auditoría:
- En primer lugar habilitamos la auditoría a los Usuarios del dominio, en Tipo le indicamos Todo (Acierto y Error), lo aplicaremos a “Esta carpeta, subcarpetas y archivos”, y como permisos vamos a auditar la creación y eliminación de archivos y carpetas:
- Para los otros dos recursos compartidos (Grupos y Usuarios) realizamos las mismas configuraciones:
- Con todo esto ya tenemos configurado las auditorías de los recursos compartidos de nuestro File Server.
- Los registros de auditoría quedan todos guardados en el Visor de eventos del Servidor de archivos, en los Registros de Windows > Seguridad:
- La capacidad del registro de Seguridad la vamos a aumentar a 1 GB, así guardaremos más eventos y durante más tiempo, también como le hemos habilitado la auditoría a todos los Usuarios del dominio, se van a generar gran cantidad de estos eventos:
- Ahora vamos a eliminar algunos ficheros de nuestro servidor de archivos y veremos en el visor de eventos que usuario a eliminado estos ficheros:
- Como vemos el usuario jramos ha eliminado estos ficheros:
Saludos y espero que os sea de ayuda 😉