Auditoría de acceso a objetos

Cuando habilitamos la auditoría sobre los objetos podemos realizar un seguimiento sobre los intentos, con éxito o fallidos, de acceso a archivos, impresoras y registro de recursos. Como en la auditoría de servicios de directorio, cuando habilitamos ésta también necesitaremos configurar la SACL en cada recurso que queremos auditar.

Pongamos por caso que queremos auditar el acceso a una carpeta (o archivo) local:

• Antes de configurar la auditoría de archivos y carpetas, hemos de habilitar la auditoría de acceso a objetos(*). 

1. Abrimos el Explorador de Windows.
2. Clic derecho en el archivo o carpeta que queremos controlar, clic en Propiedades y, después, ficha Seguridad.
3. Clic en Avanzadas, luego, ficha Auditoría.
4. Ahora:
   • Configurarla para un usuario o grupo nuevo, clic en Agregar. En Escriba el nombre del objeto a seleccionar, escribimos el nombre del usuario o grupo y, luego aceptamos.
   • Quitarla para un grupo o usuario existente, clic en su nombre, Quitar, Aceptar, hemos finalizado.
   • Verla y/o modificarla la de un grupo o usuario existente, clic en su nombre, Modificar.
5. Aplicar en, seleccionamos la ubicación donde queremos realizarla.
6. Acceso, indicamos lo que queremos auditar, marcando las casillas que queremos:
   • Marcar/desmarcar Correctos para auditar o no los sucesos correctos.
   • Marcar/desmarcar Erróneos para auditar o no los sucesos erróneos.
   • Borrar todo.
7. Si no queremos herencia para los archivos y subcarpetas activamos la casilla Aplicar estos valores de auditoría sólo a los objetos y/o contenedores dentro de este contenedor.

He iniciado sesión, ido a la carpeta RECURSO y creado una subcarpeta. En el visor de sucesos ha quedado constancia de tal acción.

• Debemos iniciar sesión como miembro del grupo Administradores o tener los privilegios para Administrar el registro de auditoría y seguridad en Directiva de grupo para realizar estos procedimientos.
• Después de habilitar la auditoría de acceso a objetos, mirar el registro de seguridad del Visor de sucesos para ver el resultado de los cambios.
• Sólo podemos configurar la auditoría de archivos y carpetas en unidades NTFS.
• Sí:
  • En el diálogo Entrada de auditoría para archivo o carpeta, cuadro Acceso, las casillas están difuminadas …
  • En el diálogo Configuración de seguridad avanzada para archivo o carpeta, el botón Quitar está difuminado …

  es porque la auditoría se ha heredado de la carpeta principal.

• Como el registro de seguridad está limitado a un tamaño, hemos de calcular bien los archivos y carpetas que queremos controlar (aunque el tamaño del registro podemos aumentarlo si es necesario)

(*) Habilitar la auditoría de acceso a objetos

Localmente

Vamos a configuración de seguridad local.

Izquierda -> Directiva de auditoría (Configuración de seguridad -> Directivas Locales -> Directiva de auditoría) En el panel de detalles, clic doble en los sucesos que queremos configurar la directiva.

Marcamos la/s casilla/s convenientes de Correctos/Erróneos y pulsamos en Aceptar.

En DC’s con el paquete de herramientas de administración de Windows Server 2003

Vamos a la directiva de seguridad del controladr de dominio.

En el árbol de la consola clicamos en Directiva de auditoría (Configuración del equipo –> Configuración de Windows-> Configuración de seguridad –> Directivas locales –> Directiva de auditoría)

En el panel de detalles, clic doble en los sucesos que queremos configurar la directiva. Si lo hacemos por primera vez, marcamos la casilla Definir esta configuración de directiva. Marcamos la/s casilla/s convenientes de Correctos/Erróneos y pulsamos en Aceptar.

Dominio o una OU, desde un DC con el paquete de herramientas de administración.

Vamos al complemento de Usuarios y equipos de Active Directory.

En el árbol de la consola, clic botón secundario en el dominio u OU al que queremos establecer la Directiva de grupo. Clic en Propiedades.

Ficha Directiva de grupo. Clic en Editar y abrimos la GPO que queremos cambiar/modificar, o en Nuevo si lo que queremos es crear una nueva GPO y, después de darle nombre, clic en Editar.

En el árbol de la consola clicamos en Directiva de auditoría (Configuración del equipo –> Configuración de Windows –> Configuración de seguridad –> Directivas locales –> Directiva de auditoría) En el panel de detalles, clic doble en los sucesos que queremos configurar la directiva. Si lo hacemos por primera vez, marcamos la casilla Definir esta configuración de directiva. Marcamos la/s casilla/s convenientes de Correctos/Erróneos y pulsamos en Aceptar.

Dominio o una OU, desde un servidor miembro o estación de trabajo unida al dominio

Inicio->Ejecutar escribimos MMC y pulsamos ENTER(Abrimos la consola MMC).

Menú Archivo->Agregar o quitar complemento->Agregar. Clic en Editor de objetos de directiva de grupo->Agregar.

En la ventana Seleccionar un objeto de directiva de grupo del Asistente para directivas de grupo, clic en Examinar.

En Buscar un objeto directiva de grupo, seleccionamos una GPO, en el dominio, sitio o unidad organizativa, existente (o creamos una nueva), luego clic en Aceptar, para terminar clicando en Finalizar. Cerramos y Aceptamos.

En el árbol de la consola clicamos en Directiva de auditoría (Configuración del equipo->Configuración de Windows->Configuración de seguridad->Directivas locales->Directiva de auditoría) En el panel de detalles, clic doble en los sucesos que queremos configurar la directiva. Si lo hacemos por primera vez, marcamos la casilla Definir esta configuración de directiva. Marcamos la/s casilla/s convenientes de Correctos/Erróneos y pulsamos en Aceptar.