Como comentaba en la auditoría de acceso a objetos, necesitamos configurar la SACL para cada objeto que queramos auditar.
Una SACL se compone de ACEs (Entradas de control de acceso) y cada ACE contiene tres elementos:
- El principal de seguridad (usuario, equipo o grupo) a ser auditado.
- El tipo de acceso específico a auditarse, denominado máscara de acceso.
- Una bandera para indicar que se auditan los errores, los aciertos, o ambos.
Si tenemos claro que queremos grabar los intentos de acceso en archivos, claves del registro o impresoras, debemos habilitar la auditoría y crear la SACL en el recurso.
Tened precaución cuando auditamos permisos de lectura&ejecución de archivos ejecutables ya que se producen gran cantidad de eventos a grabar. Un antivirus provoca cientos de accesos a objetos cada vez que escanea el sistema y la auditoría esté habilitada para control completo (full control).
Debemos definir sólo las acciones que queremos habilitar al configurar la SACL.
Antes de implementar la auditoría de archivos, claves del registro o impresoras, debemos asegurarnos que la misma no afecta al rendimiento del servidor y/o el recurso, y nos cree problemas en los procesos de trabajo.
Al habilitar la auditoría, podemos grabar los intentos fallidos y acertados de acceso a archivos, claves del registro y impresoras, se generan las entradas correspondientes, las más comunes:
Si además se ejecutara Certificate Services podrían aparecer otros eventos relacionados con certificados.