Cómo configurar una auditoría de archivos en un servidor Windows

Created:

2016-11-16 12:48:24 UTC

Modified:

2017-08-20 23:55:02 UTC

5

Was this article helpful?


Have more questions?

Enviar una solicitud

Cómo configurar una auditoría de archivos en un servidor Windows

Applicable to:

  • Plesk 12.0 for Windows

Información

El equipo de soporte de Parallels en ningún caso se encarga de la configuración de seguridad y la auditoría de eventos, sino que esta debería ser gestionada por el administrador de seguridad de su empresa.
De todos modos, podemos proporcionarle algunas recomendaciones para las herramientas preintegradas de Microsoft Windows que le permitirán efectuar auditorías de los archivos y carpetas del servidor y le permitirán protegerlo de posibles usos no autorizados.

En algunos casos es necesario conocer quién modificó o eliminó un archivo o una carpeta y cuándo se produjo dicha operación. Microsoft Windows le permite controlar distintos tipos de eventos relacionados con la seguridad.

En este artículo se describe cómo configurar una auditoría de archivos en un servidor Windows 2008 R2 y cómo obtener los datos del registro.

  1. Active Auditar el seguimiento de procesos para los resultados Correcto y Incorrecto :
    1. Vaya a Inicio -> Ejecutar.
    2. Teclee secpol.msc y presione Enter.
    3. Vaya a Configuración de seguridad -> Directivas locales -> Directiva de auditoría.
    4. Edite la opción Auditar el seguimiento de procesos y habilite la auditoría para los eventos Correcto e Incorrecto .

    La configuración resultante debería ser similar a la que se muestra en la siguiente imagen:

  2. Propague los cambios efectuados en la directiva:
    1. Vaya a Inicio -> Ejecutar.
    2. Teclee gpupdate /force y presione Enter.
  3. Configure la auditoría de archivos y carpetas para los tipos de eventos deseados:
    1. Abra el Explorador de Windows y vaya al archivo o a la carpeta en cuestión.
    2. Haga clic con el botón secundario del ratón en el archivo y vaya al menú Avanzado presente en la pestaña Seguridad de las Propiedades del archivo.
    3. Vaya a la pestaña Auditoría y haga clic en el botón Editar .
    4. Haga clic en Añadir para seleccionar los usuarios y grupos a controlar. La práctica más habitual es añadir el grupo Usuarios autenticados .
    5. En Entrada de auditoría , seleccione las casillas correspondientes a los eventos deseados tanto para Correcto como para Incorrecto . Si desea realizar una auditoría explícita, seleccione todas las casillas.

    La configuración resultante debería ser similar a la que se muestra en la siguiente imagen:

Ahora cada vez que se intente acceder a la carpeta o al archivo en cuestión, esto quedará reflejado en el registro de seguridad del visor de eventos. Si el administrador de seguridad desea comprobar si se accedió o no al archivo, lo más fácil es exportar el registro de seguridad del visor de eventos a un archivo de texto o bien a un archivo HTML y buscar los eventos de inicio de sesión correspondientes:
  1. Exporte el registro Seguridad del Visor de eventos :
    1. Vaya a Inicio -> Ejecutar.
    2. Teclee la línea que puede ver a continuación y presione Enter:
    wmic ntevent where log='Security' get LogFile, SourceName, EventType,Message, TimeGenerated /format:htable > C:\SecurityLog.htm

  2. Busque las entradas correspondientes del registro en el archivo HTML resultante:
    1. Abra el archivo HTML en su navegador web.
    2. Abra la búsqueda contextual presionando la combinación de teclas Ctrl+F.
    3. Busque el nombre del archivo deseado para así ver los intentos de acceso realizados.
    4. En este ejemplo podemos ver que FileToTrackAccess.txt fue abierto con notepad.exe :

    Una vez hecho esto, recuerde el ID de inicio de sesión para descubrir la dirección IP desde la que accedió el usuario.
  3. Busque el evento de acceso correspondiente en el archivo HTML usando el ID de inicio de sesión obtenido en el paso anterior:

    Tal y como puede verse en la imagen, las modificaciones realizadas mediante notepad.exe fueron efectuadas por el usuario Administrador , quien inició sesión de forma remota desde la IP 192.168.39.235 .

NOTA: este procedimiento puede no funcionar tal y como es de esperar si el servidor es miembro de un dominio Active Directory que tiene asignadas directivas de grupo. En este caso, si es necesario consulte a su administrador de red.

Información adicional

Los pasos aquí detallados representan una de las muchas formas de auditar el acceso a los archivos y carpetas presentes en su servidor.
Le sugerimos proporcionar esta información al administrador de seguridad de su empresa para que así la tarea se efectúe de forma más eficiente.

Recursos adicionales (EN):
http://www.ultimatewindowssecurity.com/wiki/WindowsSecuritySettings/Recommended-Baseline-Audit-Policy-for-Windows-Server-2008
http://www.computerperformance.co.uk/w2k3/gp/group_policy_security_audit.htm
http://oreilly.com/pub/a/windows/2005/07/26/audit_policy.html
http://technet.microsoft.com/en-us/library/dd277403.aspx
¿Tiene más preguntas? Enviar una solicitud
Inicie sesión para dejar un comentario.