Nota: Activar las auditorias de acceso a objetos repercute en el rendimiento de la máquina.
Auditar el acceso de usuario a archivos, carpetas e impresoras
Windows XP
- Inicio, Panel de control, Rendimiento y mantenimiento y, por último, en Herramientas administrativas.
- Haga doble clic en Directiva de seguridad local.
- En el panel izquierdo, haga doble clic en la opción Directivas locales para expandirla.
- En el panel izquierdo, haga clic en Directiva de auditoría para mostrar la configuración de la directiva individual en el panel derecho.
- Haga doble clic en Auditar el acceso a objetos.
Windows 7 (Auditoría de acceso a objetos en Windows)
- Presiona la tecla de Windows + R,escribe gpedit.msc y presiona intro.
- Este comando abre la directiva del equipo local. En el panel izquierdo aparecerá:
- En el panel izquierdo Ve a la Directiva de equipo local, Configuración de Windows, Configuración de seguridad, Directivas locales, directiva de auditoria.
- Doble clic sobre Auditar el acceso a objetos
- Selecciona Correcto o Erróneo
- Una vez configurada la auditoría, hay que actualizar la política con gpupdate /force y pasar a configurar de qué objetos queremos auditar sus accesos
Especificar archivos, carpetas e impresoras para auditar
Cómo saber quién ha accedido a un archivo
Windows XP
- En el Explorador de Windows, busque el archivo o carpeta que desea auditar. Para auditar una impresora, búsquela haciendo clic en Inicio y haciendo clic a continuación en Impresoras y faxes.
- Haga clic con el botón secundario del mouse en el archivo, la carpeta o la impresora que desea auditar y, a continuación, haga clic en Propiedades.
- Haga clic en la ficha Seguridad y, a continuación, haga clic en Opciones avanzadas.
- Haga clic en la ficha Auditoría y, a continuación, en Agregar.
- En el cuadro Escriba el nombre de objeto a seleccionar, escriba el nombre del usuario o grupo cuyo acceso desea auditar. Puede examinar el equipo en busca de nombres haciendo clic en Opciones avanzadas y haciendo clic a continuación en Buscar ahora en el cuadro de diálogo Seleccionar usuario o grupo.
- Haga clic en Aceptar.
- Active las casillas Correcto o Error correspondientes a las acciones que desee auditar y, a continuación, haga clic enAceptar.
El Visor de Sucesos en Windows XP es el Visor de Eventos en Windows 7
Windows 7
Ve al fichero que quieras auditar. En nuestro caso un fichero llamado fichero.doc en la carpeta C:\Documentos. Botón derecho y selecciona propiedades.
Ve a la pestaña de seguridad
Presiona Opciones Avanzada, ve a la pestaña de auditoria , y presiona editar.
Te pregunta sobre que usuarios quieres hacer la auditorio. Vamos a elejir el genérico todos.
Verás una lista nosotros seleccionaremos:
Abre y cierra cada fichero para crear un evento de esa clase .
El visor de eventos usa los eventos creados para poder realizar los filtros así que necesitamos al menos uno de ese tipo.
Abre el Visor de eventos, presiona la tecla de Windows + R y escribe:
Presiona Crear vista personalizada en el panel derecho
Seleccionamos por registro y Seguridad:
Selecciona Auditoría de seguridad:
Debes dejar seleccionado por registro la configuración final es:
En categoría de la tarea elegimos sistema de archivos:
Seleccionamos Auditoria correcta en palabras clave:
Escribimos un nombre para el filtro y damos a aceptar en cada ventana abierta.
Event Log y Event Viewer
Solución de problemas
- El disco duro debe tener el formato del sistema de archivos NTFS para que la auditoría funcione.
- Si el equipo es miembro de un dominio y el administrador ha establecido directivas de auditoría en el nivel de dominio, esas directivas reemplazan esta configuración regional.
- Debido a que el registro de seguridad tiene un límite de tamaño, seleccione cuidadosamente los archivos y carpetas que se auditarán. Considere también la cantidad de espacio en disco que desea dedicar al registro de seguridad. El tamaño máximo del registro de seguridad se define en el visor de eventos.
Supervisar los intentos de obtener acceso y cambiar la configuración del equipo
Para supervisar quién abre documentos
Novedades de auditoría de seguridad de Windows
Auditoría de acceso a objetos global. En Windows Server 2008 R2 y Windows 7, los administradores pueden definir las listas de control de acceso del sistema (SACL) de todo el equipo, ya sea para el sistema de archivos o el Registro. A continuación, la SACL especificada se aplica automáticamente a cada objeto individual de ese tipo.
Para crear una directiva de auditoría de seguridad de Windows avanzada, se debe usar el complemento Directiva de seguridad local o GPMC en un equipo que ejecute Windows Server 2008 R2 o Windows 7
No hay comentarios:
Publicar un comentario