none
Auditoria en Servidor de Archivos Windows 2008 R2 RRS feed

  • Pregunta

  • Estimados tengo un servidor de archivos con windows 2008 R2 y me gustaria saber como habilito la auditoria para saber quien elimino un archivo y generar reportes con el detalle.
    jueves, 21 de abril de 2011 18:44

Respuestas

  • Hola Sebastian

    Lo primero que tienes que tener en cuenta es que solo se auditan los eventos que ocurren después de habilitar la auditoría, nunca los anteriores, por lo que no te servirá para averiguar quien borró un archivo antes, sino que te permitirá saber lo ocurrido a partir de este momento.

    Se debe activar en dos partes: primero tienes que editar las políticas locales del servidor (o hacerlo mediante GPO si quieres que afecte a más de un equipo) e irte a la rama Configuración de Equipo - Configuración de Windows -  Configuración de Seguridad -  Directivas locales - Directiva de Auditoría, y en ella habilitar "Auditar el acceso a objetos", tanto los correctos como los erroneos.

    El siguiente paso es irte al volumen del servidor que contiene los datos, determinar cual es la carpeta cuyo contenido (y subcarpetas) quieres auditar, y en ella editar sus propiedades, pestaña seguridad, botón opciones avanzadas, pestaña auditoría, botón editar, botón agregar; añades entonces los usuarios o grupos cuyas acciones quieres auditar en esa rama de carpetas, y les marcas las casillas en aquellos eventos que les quieres auditar (en tu caso, eliminar carpetas y archivos).

    El resultado lo verás en el visor de sucesos, rama seguridad.


    Saludos
    José Antonio Quílez
    Mi Blog
    • Propuesto como respuesta Ismael Borche lunes, 25 de abril de 2011 14:59
    • Marcado como respuesta Ismael Borche martes, 26 de abril de 2011 14:54
    viernes, 22 de abril de 2011 10:51
    Moderador

Todas las respuestas

  • Hola Sebastian

    Lo primero que tienes que tener en cuenta es que solo se auditan los eventos que ocurren después de habilitar la auditoría, nunca los anteriores, por lo que no te servirá para averiguar quien borró un archivo antes, sino que te permitirá saber lo ocurrido a partir de este momento.

    Se debe activar en dos partes: primero tienes que editar las políticas locales del servidor (o hacerlo mediante GPO si quieres que afecte a más de un equipo) e irte a la rama Configuración de Equipo - Configuración de Windows -  Configuración de Seguridad -  Directivas locales - Directiva de Auditoría, y en ella habilitar "Auditar el acceso a objetos", tanto los correctos como los erroneos.

    El siguiente paso es irte al volumen del servidor que contiene los datos, determinar cual es la carpeta cuyo contenido (y subcarpetas) quieres auditar, y en ella editar sus propiedades, pestaña seguridad, botón opciones avanzadas, pestaña auditoría, botón editar, botón agregar; añades entonces los usuarios o grupos cuyas acciones quieres auditar en esa rama de carpetas, y les marcas las casillas en aquellos eventos que les quieres auditar (en tu caso, eliminar carpetas y archivos).

    El resultado lo verás en el visor de sucesos, rama seguridad.


    Saludos
    José Antonio Quílez
    Mi Blog
    • Propuesto como respuesta Ismael Borche lunes, 25 de abril de 2011 14:59
    • Marcado como respuesta Ismael Borche martes, 26 de abril de 2011 14:54
    viernes, 22 de abril de 2011 10:51
    Moderador
  • Hola a todos.

    Yo tengo el mismo problema pero con la diferencia de que mi servidor de archivos y mi Dominio están en equipos diferentes.

    Probé la respuesta de José Antonio, pero no me arroja nada en el visor de eventos, y creo que es por que la carpeta que quiero auditar esta en otro equipo diferente de mi controlador de dominio.

    Si me pueden ayudar con esto se los agradecería, por que es un dolor de cabeza cuando borran un archivo y no sabres quien lo hizo!

    miércoles, 18 de febrero de 2015 15:58
  • Hola Ekel,

    Si no te importa abre un nuevo hilo con tu problema, así no revivimos mensajes del 2011.

    La GPO la creas y la vinculas a la OU donde se encuentre el servidor que quieres auditar, son los mismos pasos pero la GPO la enlazas a la OU de tu server.



    Daniel Graciá - Madrid / España

    MCSA 2012, MCSA 2008, MCITP Enterprise Admin
    MCTS SCOM 2007, Windows Vista Configuration
    MCSA 2003 + Security, MCSE 2003 + Security
    MCP ISA SERVER 2000,ITIL Foundation v3

    El Blog de Dani Gracia
    Dani Gracia en Twitter
    Dani Gracia en LinkedIn

    miércoles, 18 de febrero de 2015 16:25
  • hola.

    si el dominio y tu servidor de archivos los tienes en equipos diferentes solo implementa la GPO en el dominio lo configuras para que guarde eventos correctos e incorrectos y vas a tu servidor de archivos e implementar la auditoria (tu servidor de archivos esta en el dominio)con el rango de ip y como DNS la IP del dominio.

    Slds.

    miércoles, 30 de marzo de 2016 18:12