Configuración de la auditoría del sistema de archivos
- Navegue hasta el archivo compartido, haga clic con el botón derecho y seleccione "Propiedades" → Seleccione la pestaña "Seguridad" → Haga clic en el botón "Avanzado" → Vaya a la pestaña "Auditoría" → Haga clic en el botón "Añadir" → Seleccione lo siguiente:
- Principal: "Todos"
- Tipo: "Todos"
- Se aplica a: "Esta carpeta, subcarpetas y archivos"
- Permisos avanzados: "Eliminar subcarpetas y archivos" y "Eliminar"
- Ejecute el editor de directivas de grupo (gpedit.msc) y cree y edite una nueva GPO. En concreto, vaya a → Configuración del equipo → Configuración de Windows → Configuración de seguridad → Directivas locales → Directiva de auditoría, y configure lo siguiente:
- Auditar acceso a objetos → Definir → Correcto y Error.
- Vaya a "Configuración de la política de auditoría avanzada" → Directivas de auditoría → Acceso a objetos, y configure lo siguiente:
- Auditar sistema de archivos → Definir →Correcto y Error.
- Auditar Manipulación de Identificadores → Definir → Correcto y Error.
- Vincule el nuevo GPO a su servidor de archivos.
- Aplique su cambio forzando una actualización de la Política de Grupo: Vaya a "Administración de Políticas de Grupo" → Haga clic con el botón derecho en la UO → Haga clic en "Actualización de la Política de Grupo".
Revisión de eventos
- Abra el Visor de Eventos y busque en el registro de seguridad el ID de evento 4656 con una categoría de tarea de "Sistema de Archivos" o "Almacenamiento Extraíble" y la cadena "Accesos: DELETE".
- Revise el informe. El campo "Asunto: ID de seguridad" mostrará quién ha borrado cada archivo.
0 Comentarios