none
GPO auditoria de carpetas

    Pregunta

  • Buenos Días.

    Quisiera saber si yo puedo implementar una Auditoria de carpetas en un servidor Windows Server 2012 R2, pero usando un segundo servidor para esta tarea, de manera que no se congestioné el de producción.

    Muchas gracias.

    jueves, 12 de octubre de 2017 13:45

Respuestas

  • Normalmente cuando se usa el término "auditoría" es relativo al tema de auditoría de seguridad, control de quién y cómo accede a qué recursos, quien y cuándo hizo determinada modificación, quién intentó alguna operación y no pudo, etc.

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    viernes, 13 de octubre de 2017 18:34
    Moderador

Todas las respuestas

  • Hola Stiven, que yo sepa eso no es posible, porque la auditoría es algo local siempre. Los logs los puedes ver remotamente, o inclusive que desde un servidor se reenvíen determinados eventos a otros, pero la generación de los eventos siempre es en el servidor auditado

    En general hay que ser muy cuidadoso en qué, a quién y qué operaciones se auditan, porque no es sólo la sobrecarga sino además que luego hay que interpretar todos esos eventos :)

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    jueves, 12 de octubre de 2017 15:05
    Moderador
  • Hola Stiven, para este escenario tenes dos alternativas:

    1. Configurar el reenvió de los eventos de un servidor que va reenviar y otro que va recopilar. Tendrias que seguir detalladamente esta nota técnica (https://technet.microsoft.com/es-es/library/cc748890)
    2. Configurar en las propiedades de Windows Log\Security:



      Y luego con un script similar a este:
    1 c: && cd %systemroot%\System32\winevt\Logs\Security
    2 FORFILES /S /D -3 /M *.evtx /C "cmd /C c:\PROGRA~1\7-Zip\7z.exe a -tzip security_%date:~-4,4%%date:~-7,2%%date:~-10,2%.zip @file -mx5"
    3 forfiles /M *.zip /C "cmd /c MOVE @file \\TuServidor\Carpeta_compartida$"
    4 FORFILES /S /D -3 /M *.evtx /C "cmd /C del /F @file"

    Podes mover los archivos que genera a un file server de repositorio donde después podes consultarlo.

    Lo que hace este script es (en orden de lina):
    1 Posicionarse en la carpeta donde están los logs
    2 Busca y comprime archivos de eventos mayores a 3 dias agregándole la fecha y hora
    3 Mueve los archivos comprimidos al repositorio
    4 Borra los archivos procesados anteriormente


    Espero que te sirva y contame como te fue 

    jueves, 12 de octubre de 2017 15:56
  • Hola Fernando, para poder tener los eventos en un servidor remoto, e inclusive pudiendo seleccionar qué IDs de eventos, es una funcionalidad propia que está en el sistema operativo, y se puede hacer sin necesidad scripts o utilidades de terceros (que además no funcionarán al estar abierto con privilegios de escritura)

    Notificación de Eventos Remotamente | WindowServer
    https://windowserver.wordpress.com/2015/11/24/notificacin-de-eventos-remotamente/ 

    Y por otra parte, poder enviarlos a otro servidor no mejora la congenstión posible en el servidor origen, que era la pregunta original

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    jueves, 12 de octubre de 2017 17:34
    Moderador
  • Muchas gracias, por la colaboración y por aportar con sus conocimientos.

    jueves, 12 de octubre de 2017 19:38
  • Muchas gracias, por la colaboración y por aportar con sus conocimientos.

    Seguiré consultando para buscar otra manera de no saturar el servidor con los log, si de pronto la conoces te agradecería.

    jueves, 12 de octubre de 2017 19:40
  • Hola Stiven, el problema de auditar seguridad no es normalmente el tamaño de los logs, eso se puede limitar, el problema es el consumo de recursos para auditar

    Cuando se auditan muchos objetos, a muchos usuarios, y ambas opciones es cuando se corre riesgo, y por eso, como mencioné antes, hay que ser cuidadoso. Hay que pensar muy bien qué, aquién, y que acciones

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    jueves, 12 de octubre de 2017 20:15
    Moderador
  • Mi aporte no es una respuesta, sino una pregunta ¿Qué es una auditoria en AD?
    viernes, 13 de octubre de 2017 17:01
  • Normalmente cuando se usa el término "auditoría" es relativo al tema de auditoría de seguridad, control de quién y cómo accede a qué recursos, quien y cuándo hizo determinada modificación, quién intentó alguna operación y no pudo, etc.

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    viernes, 13 de octubre de 2017 18:34
    Moderador