Auditar el acceso a ficheros en Windows 7 y Windows XP

Conocer cuando un fichero ha sido accedido o cuando ha sido abierto puede mejorar la seguridad de tu ordenador. En esta entrada aprenderás a hacerlo en Windows 7 y Windows XP.

 

Nota: Activar las auditorias de acceso a objetos repercute en el rendimiento de la máquina.

Auditar el acceso de usuario a archivos, carpetas e impresoras

 Windows XP

1.  Inicio, Panel de control, Rendimiento y mantenimiento y, por último, en Herramientas administrativas.
2. Haga doble clic en Directiva de seguridad local.
3. En el panel izquierdo, haga doble clic en la opción Directivas locales para expandirla.
4. En el panel izquierdo, haga clic en Directiva de auditoría para mostrar la configuración de la directiva individual en el panel derecho.
5. Haga doble clic en Auditar el acceso a objetos.

 Windows 7 (Auditoría de acceso a objetos en Windows)

•  Presiona la tecla de Windows + R,escribe gpedit.msc y presiona intro.

•  Este comando abre la directiva del equipo local. En el panel izquierdo aparecerá:

• En el panel izquierdo Ve a la Directiva de equipo local, Configuración de Windows, Configuración de seguridad, Directivas locales, directiva de auditoria. 
• Doble clic sobre Auditar el acceso a objetos
• Selecciona Correcto o Erróneo

•  Una vez configurada la auditoría, hay que actualizar la política con gpupdate /force y pasar a configurar de qué objetos queremos auditar sus accesos

Especificar archivos, carpetas e impresoras para auditar

Cómo saber quién ha accedido a un archivo

 Windows XP

1. En el Explorador de Windows, busque el archivo o carpeta que desea auditar. Para auditar una impresora, búsquela haciendo clic en Inicio y haciendo clic a continuación en Impresoras y faxes.
2. Haga clic con el botón secundario del mouse en el archivo, la carpeta o la impresora que desea auditar y, a continuación, haga clic en Propiedades.
3. Haga clic en la ficha Seguridad y, a continuación, haga clic en Opciones avanzadas.
4. Haga clic en la ficha Auditoría y, a continuación, en Agregar.
5. En el cuadro Escriba el nombre de objeto a seleccionar, escriba el nombre del usuario o grupo cuyo acceso desea auditar. Puede examinar el equipo en busca de nombres haciendo clic en Opciones avanzadas y haciendo clic a continuación en Buscar ahora en el cuadro de diálogo Seleccionar usuario o grupo.
6. Haga clic en Aceptar.
7. Active las casillas Correcto o Error correspondientes a las acciones que desee auditar y, a continuación, haga clic enAceptar.

 El Visor de Sucesos en Windows XP es el Visor de Eventos en Windows 7

 Windows 7

Ve al fichero que quieras auditar. En nuestro caso un fichero llamado fichero.doc en la carpeta C:\Documentos. Botón derecho y selecciona propiedades.

 Ve a la pestaña de seguridad

Presiona Opciones Avanzada, ve a la pestaña de auditoria , y presiona editar.

Te pregunta sobre que usuarios quieres hacer la auditorio. Vamos a elejir el genérico todos.

Verás una lista nosotros seleccionaremos:

Abre y cierra cada fichero para crear un evento de esa clase .

El visor de eventos usa los eventos creados para poder realizar los filtros así que necesitamos al menos uno de ese tipo.

Abre el Visor de eventos, presiona la tecla de Windows + R y escribe:

%windir%\system32\eventvwr.msc /s

Presiona Crear vista personalizada en el panel derecho

Seleccionamos por registro y Seguridad:

Selecciona Auditoría de seguridad:

Debes dejar seleccionado por registro la configuración final es:

En categoría de la tarea elegimos sistema de archivos:

  

Seleccionamos Auditoria correcta en palabras clave:

  

Escribimos un nombre para el filtro y damos a aceptar en cada ventana abierta.

Event Log y  Event Viewer

Solución de problemas

• El disco duro debe tener el formato del sistema de archivos NTFS para que la auditoría funcione.
• Si el equipo es miembro de un dominio y el administrador ha establecido directivas de auditoría en el nivel de dominio, esas directivas reemplazan esta configuración regional.
• Debido a que el registro de seguridad tiene un límite de tamaño, seleccione cuidadosamente los archivos y carpetas que se auditarán. Considere también la cantidad de espacio en disco que desea dedicar al registro de seguridad. El tamaño máximo del registro de seguridad se define en el visor de eventos.

Supervisar los intentos de obtener acceso y cambiar la configuración del equipo

 Para supervisar quién abre documentos

1. Haga clic con el botón secundario en el documento o archivo del que desea realizar un seguimiento y, a continuación, haga clic en Propiedades.
2. Haga clic en la ficha Seguridad, en Avanzadas y, a continuación, en Auditoría.
3. Haga clic en Continuar.  Si se le solicita una contraseña de administrador o una confirmación, escriba la contraseña o proporcione la confirmación.
4. Haga clic en Agregar.
5. En Escriba el nombre de objeto a seleccionar, escriba el nombre del usuario o grupo de cuyas acciones desea realizar un seguimiento y, a continuación, haga clic en Aceptar en cada uno de los cuatro cuadros de diálogo abiertos.
   Si desea supervisar a todos, escriba Todos. Si desea supervisar a una persona en particular, escriba el nombre del equipo seguido del nombre de usuario de la persona, o el nombre del dominio seguido del nombre de usuario de la persona (si el equipo se encuentra en un dominio): equipo\nombre de usuario o dominio\nombre de usuario.
6. Active la casilla correspondiente a las acciones que desee auditar y haga clic en Aceptar. En la tabla siguiente se describen las acciones que se pueden auditar.

   Acciones que se pueden auditar en los archivos

   Acción		Descripción
   Recorrer carpeta / Ejecutar archivo		Realiza un seguimiento de las ocasiones en que alguien ejecuta un archivo de programa.
   Listar carpeta / Leer datos		Realiza un seguimiento de las ocasiones en que alguien ve los datos en un archivo.
   Atributos de lectura		Realiza un seguimiento de las ocasiones en que alguien ve los atributos de un archivo, como sólo lectura y oculto.
   Atributos extendidos de lectura		Realiza un seguimiento de las ocasiones en que alguien ve los atributos extendidos de un archivo. Los atributos extendidos se definen por el programa que creó el archivo.
   Crear archivos / Escribir datos		Realiza un seguimiento de las ocasiones en que alguien cambia el contenido de un archivo.
   Crear carpetas / Anexar datos		Realiza un seguimiento de las ocasiones en que alguien agrega datos al final de un archivo.
   Atributos de escritura		Realiza un seguimiento de las ocasiones en que alguien cambia los atributos de un archivo.
   Atributos extendidos de escritura		Realiza un seguimiento de las ocasiones en que alguien cambia los atributos extendidos de un archivo.
   Eliminar subcarpetas y archivos		Realiza un seguimiento de las ocasiones en que alguien elimina una carpeta.
   Eliminar		Realiza un seguimiento de las ocasiones en que alguien elimina un archivo.
   Permisos de lectura		Realiza un seguimiento de las ocasiones en que alguien lee los permisos de un archivo.
   Cambiar permisos		Realiza un seguimiento de las ocasiones en que alguien cambia los permisos de un archivo.
   Tomar posesión		Realiza un seguimiento de las ocasiones en que alguien toma posesión de un archivo.

Novedades de auditoría de seguridad de Windows

Auditoría de acceso a objetos global. En Windows Server 2008 R2 y Windows 7, los administradores pueden definir las listas de control de acceso del sistema (SACL) de todo el equipo, ya sea para el sistema de archivos o el Registro. A continuación, la SACL especificada se aplica automáticamente a cada objeto individual de ese tipo.

Para crear una directiva de auditoría de seguridad de Windows avanzada, se debe usar el complemento Directiva de seguridad local o GPMC en un equipo que ejecute Windows Server 2008 R2 o Windows 7