ADAudit Plus » Cómo verificar el estado de salud de su Active Directory

¿Cómo realizar seguimiento de quién cambió un archivo o una carpeta en Windows?

El seguimiento de los cambios realizados en archivos/carpetas ayuda a garantizar la seguridad de los datos y cumplir los requisitos normativos. El registrar los cambios no justificados es útil en la investigación de las vulneraciones de datos. Al mantenerse informado sobre quién cambió qué en sus servidores de archivos, también se pueden prevenir las amenazas internas. Aquí se muestra cómo utilizar métodos nativos para determinar quién cambió un archivo o carpeta en sus servidores de archivos.

Descarga GRATUITA Prueba gratuita y totalmente funcional de 30 días

  • Con auditoría nativa de Active Directory

  • Con ADAudit Plus

Monitorización completa de cambios en archivos/carpetas con ADAudit Plus:

ADAudit Plus ofrece informes que muestran los cambios realizados en sus archivos/carpetas con detalles completos en un solo clic. Estos informes se pueden exportar en cualquier formato, como CSV, PDF, XML, etc. Se pueden enviar alertas en tiempo real a su correo electrónico o teléfono para que pueda recibir una notificación cuando se realicen cambios en un archivo o carpeta críticos. Aquí se describe cómo puede acceder a estos informes:

Inicie sesión en ADAudit Plus → vaya a la pestaña Auditoría de archivos → en Informes de auditoría de archivos → navegue hasta el informe Todos los cambios de archivo/carpeta. Seleccione el período de tiempo durante el cual desea realizar un seguimiento de los cambios realizados y el dominio al que pertenece el servidor de archivos.

  • Monitorización completa de cambios en archivos/carpetas con ManageEngine ADAudit Plus
    • oEn este informe puede encontrar estos detalles:

      • Nombre del archivo o carpeta que se ha cambiado

      • Quién ha hecho los cambios

      • Cuándo se ha hecho el cambio

      • La ubicación del archivo o carpeta

    Puede seleccionar el tipo de cambios que desee ver aplicando un filtro en el gráfico que se muestra sobre el informe. Por ejemplo, si desea ver los archivos que se eliminaron, simplemente selecciónelos en el gráfico y se mostrarán todos los registros de los archivos eliminados. Para clasificar los cambios según el usuario o el servidor, hay informes individuales para cada uno. Esos informes muestran los mismos detalles, pero se recopilan de acuerdo con el servidor o usuario que seleccione.
    •  

Método nativo

  • Paso 1: Habilitar la directiva "Auditar acceso a objetos"

  • Inicie la consola de administración de directivas de grupo (Ejecutar --> gpedit.msc)

  • Cree un nuevo GPO (objeto de directiva de grupo) y asócielo al dominio donde reside el servidor de archivos o edite el GPO actual que está asociado al dominio correspondiente.

  • Vaya a Configuración del equipo -> Configuración de Windows -> Configuración de seguridad -> Directivas locales -> Directiva de auditoría.

  • En Directiva de auditoría, seleccione "Auditar acceso a objetos" y active la auditoría tanto para accesos satisfactorios como para accesos fallidos.

    Seguimiento de quién cambió un archivo o una carpeta en Windows (método nativo) Paso 1: Habilitar la directiva 'Auditar acceso a objetos'
  • Paso 2: Edite la entrada de auditoría en el archivo/carpeta correspondiente

    Localice el archivo o la carpeta cuyos accesos desee supervisar. Pulse con el botón derecho sobre el archivo o carpeta y vaya a Propiedades. En la pestaña Seguridad, pulse en Opciones avanzadas.

    En Configuración de seguridad avanzada, vaya a la pestaña Auditoría y pulse en "Agregar" para agregar una nueva entrada de auditoría.

    Seguimiento de quién cambió un archivo o una carpeta en Windows (método nativo) Paso 2: Edite la entrada de auditoría en el archivo/carpeta correspondiente
  • Seguimiento de quién cambió un archivo o una carpeta en Windows (método nativo) Paso 3: Establecer la configuración avanzada de Active Directory

  • En el cuadro de diálogo Entrada de auditoría para Active Directory, especifique los siguientes detalles:

    1. Principal: EEscriba los nombres de los usuarios cuyo acceso desea auditar.
    2. Tipo: Seleccione el tipo de acceso que desee auditar. Es preferible auditar "Todos" los cambios.
    3. Se aplica a: Seleccione si desea auditar los cambios de permisos solo en este archivo o en todas las subcarpetas y archivos.
    4. Permisos básicos: Seleccione los tipos de permisos que desee auditar. Para su necesidad específica, pulse en "Permisos avanzados" y seleccione "Atravesar la carpeta/Ejecutar el archivo", "Mostrar carpeta/leer datos", "Crear archivos/escribir datos", "Crear carpetas/anexar datos", "Escribir atributo".
    Seguimiento de quién cambió un archivo o una carpeta en Windows (método nativo) Paso 4: Rastree quién cambió la carpeta de archivos Windows
  • Paso 3: Ver registros de auditoría en el Visor de eventos

    Cada vez que un usuario acceda al archivo/carpeta seleccionado y cambie el permiso, se registrará un registro de eventos en el Visor de eventos. Para ver este registro de auditoría, vaya al Visor de eventos. En Registros de Windows, seleccione Seguridad. Puede encontrar todos los registros de auditoría en el panel central, como se muestra a continuación.

    Seguimiento de quién cambió un archivo o una carpeta en Windows (método nativo) Paso 5: Ver registros de auditoría en el Visor de eventos

  • Busque en los registros de seguridad de Windows el ID de evento 4656 con las palabras claves "Audit failed" para averiguar quién intentó cambiar un archivo o una carpeta.

    Seguimiento de quién cambió un archivo o una carpeta en Windows (método nativo) Paso 6: Rastrear quién cambió la carpeta de archivos en Windows (propiedad de evento 4656)

Proteja sus datos ahora con ADAudit Plus.

Obtener una prueba gratuita prueba completamente funcional de 30 días
Satisfaga todas sus necesidades de auditoría y de seguridad de TI con ADAudit Plus.
Active Directory Workstation Servidores de archivos Servidores Windows  Cumplimiento Productos relacionados