none
Auditar todo lo que se hace en el servidor RRS feed

  • Pregunta

  • Saludos Partners de IT:

    una carpeta que habia en mi servidor win server 2003 ya no aparece .como si nunca hubiera existido y contenia archivos importantisimos de un año. El ing acargo no hizo backup de esa carpeta.

    Estamos ejecutando recovery de archivos PDF pero quisiera saber todo lo que se hizo en determinado dia en el servidor .. ¿Es posible?

    Por ejemplo saber : que usuarios se iniciaron en el dominio, a que carpetas accedieron, que se elimino, que se instalo etc. y que dia fue

    Muchas gracias por sus ideas


    Juan Pablo Vidal //juanvidal.wordpress.com/
    miércoles, 21 de julio de 2010 19:05

Respuestas

  • Ja ¿y ahora que ya tuvo el siniestro quiere contratar un seguro que le cubra lo que ya sucedió? :-)

    No Juan, eso se hace *antes* mediante auditorías de seguridad. Una vez que ya sucedió, si no estaban habilitadas las auditorías de seguridad sobre dicha carpeta, no hay forma.

    Tampoco es viable en general eso de querer "auditar todo", desde que el servidor va a perder todo su rendimiento hasta que esos logs de seguridad no los puede interpretar nadie.

    Busca información con "windows auditorías de seguridad" que hay muchísima información, y si tienes dudas puntuales pues pregunta.

     


    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    • Marcado como respuesta Juan Vidal IT miércoles, 21 de julio de 2010 20:37
    miércoles, 21 de julio de 2010 19:45
    Moderador

Todas las respuestas

  • Ja ¿y ahora que ya tuvo el siniestro quiere contratar un seguro que le cubra lo que ya sucedió? :-)

    No Juan, eso se hace *antes* mediante auditorías de seguridad. Una vez que ya sucedió, si no estaban habilitadas las auditorías de seguridad sobre dicha carpeta, no hay forma.

    Tampoco es viable en general eso de querer "auditar todo", desde que el servidor va a perder todo su rendimiento hasta que esos logs de seguridad no los puede interpretar nadie.

    Busca información con "windows auditorías de seguridad" que hay muchísima información, y si tienes dudas puntuales pues pregunta.

     


    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    • Marcado como respuesta Juan Vidal IT miércoles, 21 de julio de 2010 20:37
    miércoles, 21 de julio de 2010 19:45
    Moderador
  • ok.. tanks

    si se que es algo complicado.. pero nada se pierde con preguntar ¿verdad?

    hay estoy tratando de hacer lo que puedo pasito a pasito.. pero me demoro mucho

    tansk

     


    Juan Pablo Vidal //juanvidal.wordpress.com/
    miércoles, 21 de julio de 2010 20:37
  • :-) todo se puede preguntar.
    El tema es poder dar una respuesta que sirva.

    De la experiencia, aún la mala, se aprende

    Primero que nada verificar que los usuarios tengan los permisos adecuados (estrictamente los que necesitan y no más); segundo, siempre tener copia de seguridad probada que se puede recuperar de todo lo que interese; y por último, si la información es muy sensible entonces habilitar auditoría de seguridad en dichos recursos.

     


    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    miércoles, 21 de julio de 2010 21:40
    Moderador
  • Gracias:

    Es verdad que de la experiencia se aprende... lo que sucedio fue que yo sali hace mucho tiempo de este trabajo y me volvieron a llamar y no sabi que dicha carpeta fuera tan importante...

    ahora el problemas va ha ser recuperar la info..

    gracias por el comentario Guillermo


    Juan Pablo Vidal //juanvidal.wordpress.com/
    miércoles, 21 de julio de 2010 22:14