Gestión de Active Directory » Instalación del agente

¿Cómo auditar los cambios de acceso a carpetas compartidas?

Es obligatorio realizar un seguimiento de todos los accesos a un archivo o carpeta que contenga datos sensibles, para cumplir los requisitos de conformidad y garantizar la seguridad de los datos. El seguimiento del acceso de los usuarios a las carpetas compartidas también ofrece a los administradores una mejor ventaja durante las investigaciones sobre ataques e intentos de ataque. A continuación se explica cómo auditar los accesos de usuarios a carpetas compartidas almacenadas en servidores de archivos utilizando métodos de auditoría nativos.

Descárguelo gratis

Prueba gratuita de 30 días con todas las funciones

  • Con auditoría nativa de AD

  • Con ADAudit Plus

Informes completos para controlar el acceso a archivos y carpetas con ADAudit Plus

ADAudit Plus es una solución de seguridad y cumplimiento informático que proporciona informes completos para consolidar toda la información que necesita sobre los intentos de acceso a archivos o carpetas en sus servidores de archivos. Estos informes pueden exportarse y también programarse para que se generen automáticamente, a las horas especificadas, y se entreguen en su bandeja de entrada. También puede configurar alertas para que le avisen cuando se realicen solicitudes de acceso a archivos o carpetas críticos. De este modo, podrá actuar de inmediato. A continuación se explica cómo acceder a estos informes mediante ADAudit Plus:

Inicie ADAudit Plus e inicie sesión → Vaya a la pestaña File audit → Navegue hasta File Audit Reports y seleccione File Read Access.

  • Ifile access report 

    • Los detalles que encontrarás en este informe son:
      1. ¿A qué archivo se accedió?
      2. Quién accedió al archivo
      3. Cuándo se accedió al archivo
      4. ¿Desde qué equipo del cliente se accedió al archivo?
      5. Nombre del servidor en el que se almacena el archivo

    También puede mostrar los intentos fallidos de leer, escribir o eliminar un archivo. Los informes contienen los siguientes detalles: 

    1. Nombre del archivo
    2. Nombre del usuario cuya solicitud ha fallado
    3. Hora en la que se hizo la solicitud del Nombre del servidor en el que se encuentra el archivo

    Con un registro de todos los intentos realizados para acceder a un archivo (incluidos los fallidos), las investigaciones en caso de brechas de datos se vuelven mucho más fáciles. Puede rastrear a todos los usuarios que accedieron a un archivo para detectar posibles accesos no autorizados. También puede ayudar a identificar el equipo del cliente desde el que se realizaron intentos fallidos, detectando así un sistema comprometido.

Método nativo

  • Paso 1: Habilitación de la política "Acceso a objetos"
  • Inicie la Consola de administración de directiva de grupo (Ejecutar --> gpedit.msc)
  • Cree una nueva GPO y vincúlela al dominio que contiene el servidor de archivos o edite la GPO existente que está vinculada al dominio correspondiente.
  • Navegue a Configuración del equipo -> Configuración de Windows -> Configuración de seguridad -> Directivas locales -> Directiva de auditoría.

  • En Directiva de auditoría, seleccione "Acceso a objetos" y active la auditoría tanto para Éxito como para Error.

    saasauditoría-carpeta-compartida-acceso-cambios-ajuste-seguridad-auditoría-acceso-objeto 

  • Vaya a Configuración de directiva de auditoría avanzada -> Directiva de auditoría-> Acceso a objetos. Active la auditoría para "Auditar sistema de archivos" y "Auditar manipulación de identificadores".

    auditoría-carpeta-compartida-cambios-acceso-objeto-sistema 

  • Paso 2: Editar la entrada de auditoría en el archivo o carpeta respectivo

    Localice el archivo o carpeta para el que desea realizar un seguimiento de todos los accesos. Haga clic con el botón derecho sobre él y vaya a Propiedades. En la pestaña Seguridad, haga clic en Avanzado.

    supervisión-acceso-a-archivos-y-carpetas-en-servidor-de-archivos-de-ventanas-propiedades-de-seguridad 

  • En Configuración de seguridad avanzada, vaya a la pestaña Auditoría y haga clic en Agregar para agregar una nueva entrada de auditoría.

    configuración-de-seguridad-avanzada-Active-Directory 

  • En el cuadro de diálogo Entrada de auditoría para Active Directory, escriba los siguientes detalles:

    1. Entidad de seguridad: Introduzca los nombres de los usuarios cuyo acceso desea auditar.
    2. Tipo: Seleccione el tipo de acceso que desea auditar. Es preferible auditar "Todos" los cambios.
    3. Se aplica a: Seleccione si desea auditar el acceso solo en este archivo o en todas las sub-carpetas y archivos.
    4. Permisos básicos: Elija los tipos de permisos que desea auditar. Haga clic en el botón Permisos avanzados y elija "Atravesar carpeta / ejecutar archivo", "Mostrar carpeta / leer datos", "Leer atributos" y "Leer atributos extendidos".

    auditoría-entrada-acceso-archivo-auditoría 

  • Paso 3: Visualización de registros de auditoría en el Visor de eventos

    Cada vez que un usuario acceda al archivo/carpeta seleccionado y cambie el permiso en él, se registrará un registro de eventos en el Visor de eventos. Para ver este registro de auditoría, vaya al Visor de eventos. En Registros de Windows, seleccione Seguridad. Puede encontrar todos los registros de auditoría en el panel central como se muestra a continuación.

    auditoría-de-intentos-de-acceso-fallidos-al-registro-de-ventanas-de-seguridad-de-carpetas-compartidas 

  • Para filtrar los registros de eventos y ver sólo los registros sobre los cambios de permisos de archivos o carpetas, seleccione Filtrar registro actual en el panel derecho. Simplemente busque el ID de evento 4656 y 4663 que indican cambios en los permisos de archivos o carpetas. Puede ver quién ha accedido al archivo en el campo "Nombre de cuenta" y la hora de acceso en el campo "Registrado".

    auditar-carpeta-compartida-acceso-cambios-evento-propiedades-evento4663 

¿Se está volviendo demasiado la auditoría nativa?

Simplifique la auditoría y la generación de informes del servidor de archivos con ADAudit Plus.

Obtenga su prueba gratuitaPrueba gratuita de 30 días con todas las funciones

Satisfaga todas sus necesidades de auditoría y de seguridad de TI con ADAudit Plus.
Active DirectoryWorkstationServidores de archivosServidores Windows CumplimientoProductos relacionados