Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
Auditoria usuario-ficheros
1 view
Skip to first unread message
Lonvriz
Jan 13, 2005, 4:15:43 AM1/13/05
to
Hola al grupo
Tengo una serie de bases de datos (dbf) en un directorio del disco duro. Me
gustaria saber si puedo ir dejando constancia en un log o algo asi, de todo
lo que haga con ellos un solo usuario del sistema, es decir, si modifica
ficheros, si los borra, etc...
Por supuesto hablo de Win2003 server.
Un saludo y gracias en avance.
Fernando Reyes [MS MVP]
Jan 13, 2005, 5:26:46 AM1/13/05
to
Para auditar el acceso a pbjetos, lo primero que se tiene que hacer es
activar la directiva "Configuración del equipo\Configuración de
Windows\Configuración de seguridad\Directivas locales\Directiva de
auditoría\Auditar el acceso a objetos". Con ella activa que se auditen
los éxitos en los accesos y los fracasos (es decir, éxito cuando un usuario
autorizado accede sin problemas y fracaso cuando un usuario no autorizado es
rechazado al acceder). Esto se puede hacer en una GPO que afecte al equipo donde
se quiere auditar o con las políticas del sistema (gpedit.msc) del equipo donde
se quiere auditar; en caso de tratarse de un controlador de dominio, por fuerza
se deberá hacer por GPO, pues los DC's no tienen políticas del
sistema.
Una vez activada esa directiva, se hace click derecho sobre la carpeta o fichero en el que se quiere establecer la auditoría, propiedades, pestaña "Seguridad", "Avanzadas", pestaña "Auditoría" y se estableces el usuario/grupo al que se le aplica la auditoría y qué se controlará con ella exáctamente. Este artículo te explica las auditorías posibles:
Auditar la configuración en objetos
http://www.microsoft.com/windows2000/es/advanced/help/default.asp?url=/windows2000/es/advanced/help/sag_SEconceptsUnAudDS.htm
Una vez hecho todo esto, los registros de la auditoría se verán en el visor de sucesos, en seguridad, del equipo que contiene los archivos y carpetas auditados.
No quiero que se me quede en el tintero el comentar que se hace bien al restringir la auditoría al menor número de usuarios y carpetas/ficheros. Las auditorías deben hacerse lo más restrictivas posibles en cuanto a número de objetos auditados y usuarios a los que se audita, pues el sistema lo primero que hace es registrar la auditoría, con lo que si a todos los usuarios y objetos se les tiene auditados, es tremendo el uso de procesador, accesos a disco y tráfico de red que se hará, con el consiguiente empeoramiento del rendimiento del equipo y de la red.
Una última cosa. Cuando se activan auditorías, es recomendable que se active la política "Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad\Apagar el sistema de inmediato si no se puede registrar auditorías de seguridad". Esta política lo que hace, es que cuando se llena el registro de sucesos de seguridad, de forma que al hacer un intento de escribir un suceso de seguridad no se pueda, el equipo hace shutdown y sólo podrá iniciar sesión en el equipo un administrador, para borrar el registro (guardándolo antes en un fichero, claro). Para que este mecanismo funcione, en el visor de sucesos tienes que hacer click derecho sobre "Seguridad", propiedades, y en la pestaña "Seguridad" seleccionar la opción "No sobrescribir sucesos (borrado manual)"; quizás interese también hacer más grande el tamaño del registro (que de forma predeterminada es de 512 KB).
Una vez activada esa directiva, se hace click derecho sobre la carpeta o fichero en el que se quiere establecer la auditoría, propiedades, pestaña "Seguridad", "Avanzadas", pestaña "Auditoría" y se estableces el usuario/grupo al que se le aplica la auditoría y qué se controlará con ella exáctamente. Este artículo te explica las auditorías posibles:
Auditar la configuración en objetos
http://www.microsoft.com/windows2000/es/advanced/help/default.asp?url=/windows2000/es/advanced/help/sag_SEconceptsUnAudDS.htm
Una vez hecho todo esto, los registros de la auditoría se verán en el visor de sucesos, en seguridad, del equipo que contiene los archivos y carpetas auditados.
No quiero que se me quede en el tintero el comentar que se hace bien al restringir la auditoría al menor número de usuarios y carpetas/ficheros. Las auditorías deben hacerse lo más restrictivas posibles en cuanto a número de objetos auditados y usuarios a los que se audita, pues el sistema lo primero que hace es registrar la auditoría, con lo que si a todos los usuarios y objetos se les tiene auditados, es tremendo el uso de procesador, accesos a disco y tráfico de red que se hará, con el consiguiente empeoramiento del rendimiento del equipo y de la red.
Una última cosa. Cuando se activan auditorías, es recomendable que se active la política "Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad\Apagar el sistema de inmediato si no se puede registrar auditorías de seguridad". Esta política lo que hace, es que cuando se llena el registro de sucesos de seguridad, de forma que al hacer un intento de escribir un suceso de seguridad no se pueda, el equipo hace shutdown y sólo podrá iniciar sesión en el equipo un administrador, para borrar el registro (guardándolo antes en un fichero, claro). Para que este mecanismo funcione, en el visor de sucesos tienes que hacer click derecho sobre "Seguridad", propiedades, y en la pestaña "Seguridad" seleccionar la opción "No sobrescribir sucesos (borrado manual)"; quizás interese también hacer más grande el tamaño del registro (que de forma predeterminada es de 512 KB).
--
Un saludo
Fernando Reyes [MS MVP]
MCSE Windows 2000
MCSA Windows Server 2003
Fue Lonvriz (iidoip...@hotmailNOSPAM.com) el que, con sus deditos, escribió:
Lonvriz
Jan 13, 2005, 5:56:18 AM1/13/05
to
Muchisimas gracias Fernando, mejor explicado imposible...
Un saludo,
"Fernando Reyes [MS MVP]" <te.quedas.s...@espamero.asqueroso.org>
escribió en el mensaje news:eKfdzoV%23EH...@TK2MSFTNGP12.phx.gbl...
0 new messages