none
auditoria de seguridad RRS feed

  • Pregunta

  • Buenas tardes, 

    tengo un server 2008 R2 en mi empresa, en el tengo varias carpetas compartidas en red, y tengo activo las auditorias de seguridad de acceso a objetos. mi problema es que cuando un usuario elimina un objeto (carpeta o archivo), en el visor de sucesos se registra el evento, pero no aparece cual fue el elemento que el usuario elimino o modifico.

    por su ayuda muchas gracias.

    martes, 25 de agosto de 2015 15:56

Respuestas

  • Hola "Leyner Guzman" como estas,

    El proceso de events IDs en security es,

    1 - Event ID 4624 > network logon
    2 - Event ID 5140 > Share Access
    3 - Event ID 4656 > Handle ID Open
    4 - Event ID 4663 > Object Name *
    5 - Event ID 4660 > Deletion
    6 - Event ID 4658 > Handle ID Close
    7 - Event ID 4634 > network logoff

    Verifica el 4663.
    Tambien puedes aplicar,

    Advanced Security Audit Policy Step-by-Step Guide
    https://technet.microsoft.com/en-us/library/dd408940(v=ws.10).aspx

    Planning and Deploying Advanced Security Audit Policies
    https://technet.microsoft.com/en-us/library/ee513968(v=ws.10).aspx

    Para configurar usa:

    Folder > properties > security > advanced > auditing > 
    edit > add > seleccionas grupo deseado o everyone > apply onto: this folder, subfolders and files > access: seleccionas "Delete" y "Delete subfolders and files" > ok > ok > ok > ok.

    Espero alcance tu respuesta. Hasta pronto.
    • Editado Ignacio Barrios martes, 25 de agosto de 2015 19:26
    • Propuesto como respuesta JoséMiel martes, 25 de agosto de 2015 20:46
    • Marcado como respuesta Moderador M lunes, 31 de agosto de 2015 14:41
    martes, 25 de agosto de 2015 19:25