Cómo habilitar la auditoría de acceso a archivos y carpetas en Windows Server

Do it Done with ADAudit Plus
Con auditoría nativa de AD
Con ADAudit Plus

Auditoría nativa

Habilitar la auditoría a nivel de servidor

  • Inicio  → Herramientas administrativas → Complemento Directiva de seguridad local.
  • Expanda Directiva local → Directiva de auditoría.
  • Vaya a Auditar acceso a objetos.
  • Seleccione Correcto/Erróneo (según sea necesario).
  • Confirme sus selecciones y haga clic en Aceptar.

Habilitar la auditoría a nivel de objeto

  • Navegue por el Explorador de Windows al archivo que desea monitorizar.
  • Haga clic con el botón derecho en la carpeta/el archivo de destino y seleccione Propiedades.
  • Seguridad → Opciones avanzadas.
  • Seleccione la pestaña Auditoría.
  • Presione en Agregar.
  • Seleccione la Entidad a la que desee conceder permisos de auditoría.
  • En el cuadro de diálogo Entrada de auditoría, seleccione los tipos de acceso que desee auditar.
  • Debe seleccionar por separado opciones para auditar eventos ejecutados correctamente y eventos erróneos.
  • Presione en Aceptar cuando haya terminado.

Auditoría del acceso a archivos y carpetas con ADAudit Plus

Las herramientas nativas de auditoría devuelven multitud de registros en el Visor de eventos que requieren que el usuario filtre los eventos de acceso a archivos/carpetas o que ejecute scripts de PowerShell para hacer ese filtrado. Debido al espacio de almacenamiento limitado de la herramienta nativa, es posible que se sobrescriban registros que el usuario necesita.

En una investigación o auditoría de cumplimiento normativo, es difícil obtener una visión clara de quién accedió a un archivo/carpeta utilizando herramientas nativas. ADAudit Plus le permite extraer registros de acceso completos de cualquier archivo/carpeta con un solo clic. Se proporcionan informes en tiempo real para monitorizar todos los intentos de acceder a archivos o carpetas en sus servidores de archivos. Estos informes se pueden archivar y guardar en cualquier lugar localmente, por lo que no necesita preocuparse por las limitaciones del espacio de almacenamiento como ocurre con las herramientas nativas. De esta manera, los registros de eventos pasados se pueden almacenar durante el tiempo que sea necesario para utilizarlos con fines forenses y de cumplimiento.

Inicie sesión en ADAudit Plus y vaya a la pestaña Auditoría de archivos. En Informes de auditoría de archivos, vaya al informe de Acceso de lectura de archivos.

Este informe le proporciona estos detalles:

  • A qué archivo se accedió
  • Quién accedió al archivo
  • Cuándo se accedió al archivo
  • Qué equipo cliente se utilizó para acceder al archivo
  • Nombre del servidor donde reside el archivo

También puede conocer los intentos fallidos realizados para leer, escribir o eliminar un archivo. Los informes contienen los detalles siguientes:

  • Nombre del archivo
  • Nombre del usuario cuya solicitud falló
  • Hora en que se hizo la solicitud
  • Nombre del servidor donde reside el archivo

Puede configurar estos informes para que se creen y envíen automáticamente por correo electrónico a intervalos especificados. También se pueden enviar alertas inmediatas a su correo electrónico o teléfono cuando se acceda a archivos o carpetas críticas. Estos informes se pueden exportar como un archivo CSV, PDF, XLS o HTML.

Al disponer de un registro de todos los intentos realizados para acceder a un archivo (incluidos los fallidos), las investigaciones en caso de una vulneración de datos pasan a ser mucho más fáciles. Puede hacer un seguimiento de todos los usuarios que accedieron a un archivo para descartar posibles sospechosos. Esto también puede ayudar a identificar el equipo cliente desde el que se realizaron intentos fallidos, lo cual puede denotar la existencia de un sistema vulnerado.

¿La auditoría nativa se está volviendo demasiado trabajo?

Simplifique la auditoría y los informes de LDAP con ADAudit Plus.

¡Pruébelo ahora!