1 Introducción

El presente documento tiene como objetivo hondar con más detalle en las opciones que se proponen para una organización en ámbito de Auditoria de Acceso y Permisos.

2 Audit Logs

Esta Opción esta incluida en Windows Server con la inclusión de una política de Grupo que genera un log el cual puede ser procesado o consultado con diferentes herramientas pagas o gratuitas, el log puede ser bastante grande por lo cual es importante definir un ámbito acotado de carpetas y usuarios.

Cuando utiliza la auditoría de Windows Server 2003 puede hacer un seguimiento tanto de las actividades de los usuarios como de las actividades de Windows Server 2003 (que se denominan sucesos) de un equipo. Al utilizar la auditoría puede especificar qué sucesos se escriben en el registro de seguridad. Por ejemplo, el registro de seguridad puede mantener un registro de los intentos válidos y fallidos de inicio de sesión, y de los sucesos relacionados con la creación, apertura o eliminación de archivos u otros objetos. Una entrada de auditoría en el registro de seguridad contiene la información siguiente:

La acción que se realizó.

El usuario que realizó la acción.

El éxito o el error del suceso y la hora a la que se produjo el suceso.

Una opción de directiva de auditoría define las categorías de sucesos que Windows Server 2003 registra en el registro de seguridad de cada equipo. El registro de seguridad le permite realizar un seguimiento de los sucesos que especifique.

Cuando audita sucesos de Active Directory, Windows Server 2003 escribe un suceso en el registro de seguridad en el controlador de dominio. Por ejemplo, si un usuario intenta iniciar sesión en el dominio utilizando una cuenta de usuario de dominio y el intento es incorrecto, el suceso se graba en el controlador de dominio, no en el equipo donde se intentó iniciar sesión. Este comportamiento se produce porque es el controlador de dominio el que intentó autenticar el intento de inicio de sesión pero no pudo hacerlo.

El tamaño del registro de seguridad es limitado. Por eso, Microsoft recomienda que seleccione cuidadosamente los archivos y las carpetas que desea auditar. Tenga en cuenta también la cantidad de espacio en disco que desea dedicar al registro de seguridad. El tamaño máximo se define en el Visor de sucesos.

Una de las herramientas para consultar este log es EventCombMT puede tomar el o los log de diferentes maquinas y hacer consultas sobre eventos tales como los de bloqueo de cuentas, o quienes accedieron a un archivo, copiaron, o eliminaron.

image

3 Auditar Accesos a Carpetas y Archivos en Tiempo Real

Security Explorer provee a los administradores de una solución unificada completa para el control de acceso y el manejo de la seguridad. Los administradores pueden hacer respaldos, recuperar, manejar, buscar, migrar y generar reportes de los permisos en Windows Server, Exchange Server, SharePoint Server y SQL Server. Todo desde una una interfaz común y simple.

Los reportes van desde quien accede a que, cuando y donde permitiendo encontrar creaciones de usuarios o asignaciones de permisos por error o deliberadamente.

http://cdn.scriptlogic.com/w/datasheet/en/security-explorer-datasheet.pdf

4 Conclusión

Si el tema de los permisos es una preocupación constante la alternativa de Security Explorer a ahora si más bien se quiere tener un reporte mensual o semanal la opción de audit log es la opción.