none
Registro de actividades en un servidor con Windows 2008 RRS feed

  • Pregunta

  • Hola.

    Tenemos una pequeña oficina con un servidor con Windows 2008 server.

    Como se puede configurar Windows 2008 para que genere un  log de los usuarios que se han conectado y desconectado, añadido y borrado archivos y  que quede todo registrado?

    Un saludo y gracias.

    miércoles, 7 de diciembre de 2011 0:10

Respuestas

  • En primer lugar tienes que habilitar las auditorías en una GPO que afecte al servidor (o en las políticas locales si no tienes dominio).

    Tienes que habilitar las auditorías de inicio de sesión (para los inicios de sesión locales en el servidor) y de inicio de sesión de cuenta (para registrar las conexiones realizadas a través de la red), y también las de acceso a objetos.

    Una vez hecho, y en lo referente a esta última, tienes que irte a las carpetas cuyo contenido quieres auditar, y en las propiedades avanzadas de seguridad, pestaña auditorías, seleccionas a que usuarios quieres auditar (puede ser a todos o especificar usuarios o grupos) y qué quieres auditarles en esa rama de carpetas (creación de archivos, borrado, etc).

    En todos los casos puedes auditar solo los eventos erroneos (por ejemplo intentar acceder a un objeto sin tener los permisos adecuados, intentar iniciar sesión o conectarse con un usuario sin derechos de hacerlo, etc) o también los correctos, pero ten en cuenta que auditar también los correctos hará que el registro de eventos de seguridad, que es donde luego verás los resultados, crezca considerablemente.

     

     


    Saludos
    José Antonio Quílez
    Mi Blog
    • Marcado como respuesta toni70 jueves, 8 de diciembre de 2011 10:55
    miércoles, 7 de diciembre de 2011 15:09
    Moderador

Todas las respuestas

  • En primer lugar tienes que habilitar las auditorías en una GPO que afecte al servidor (o en las políticas locales si no tienes dominio).

    Tienes que habilitar las auditorías de inicio de sesión (para los inicios de sesión locales en el servidor) y de inicio de sesión de cuenta (para registrar las conexiones realizadas a través de la red), y también las de acceso a objetos.

    Una vez hecho, y en lo referente a esta última, tienes que irte a las carpetas cuyo contenido quieres auditar, y en las propiedades avanzadas de seguridad, pestaña auditorías, seleccionas a que usuarios quieres auditar (puede ser a todos o especificar usuarios o grupos) y qué quieres auditarles en esa rama de carpetas (creación de archivos, borrado, etc).

    En todos los casos puedes auditar solo los eventos erroneos (por ejemplo intentar acceder a un objeto sin tener los permisos adecuados, intentar iniciar sesión o conectarse con un usuario sin derechos de hacerlo, etc) o también los correctos, pero ten en cuenta que auditar también los correctos hará que el registro de eventos de seguridad, que es donde luego verás los resultados, crezca considerablemente.

     

     


    Saludos
    José Antonio Quílez
    Mi Blog
    • Marcado como respuesta toni70 jueves, 8 de diciembre de 2011 10:55
    miércoles, 7 de diciembre de 2011 15:09
    Moderador
  • Ok, muchas gracias.

    En la empresa nos han pedido para la ley de protección de datos que conservemos los log de acceso a las carpetas de todos los usuarios.

    Además, también nos piden que conservemos por un máximo de dos años todos los accesos de los usuarios al servidor.

    Muchas gracias por tu ayuda, si tengo alguna duda sobre dicha configuración volveré a pedir vuestra ayuda ;).

    Un saludo.

    jueves, 8 de diciembre de 2011 10:55