La Auditoría le permite controlar qué usuarios y grupos han tenido acceso a archivos y carpetas específicos, normalmente en los documentos más sensibles. Configurando la Auditoría podemos saber quien abrió un documento, que modificó, y si trataron de acceder sin permiso en volúmenes formateados con NTFS. En Windows 7, hay 53 categorías de eventos. Esto permite ser más específico acerca de los tipos de eventos en una auditoría.

En entornos Empresariales
Es muy importante planificar que recursos de nuestra organización son más sensibles y  las auditorias deben estar activadas para que los accesos generen los eventos que queremos registrar. Hay que tener presente que si se desea registrar los intentos fallidos de acceso a un recurso, hay que activar el registro de error.

Activar las auditorias de acceso a objetos repercute en el rendimiento de la maquina. Los archivos de log generados por la auditoria también deben ser protegidos, a ser posible en otra máquina, una tarea sencilla en los sistemas Microsoft gracias a las Suscripciones de Eventos.

Configurar auditoría
  • Editor de directivas de grupo local 
  • Configuración del equipo\Windows\Seguridad\Directivas locales\Opciones de seguridad.
  • Configuración del equipo\Windows\Directivas de auditoría del sistema
  • Objeto de directiva de grupo local\Establecer el archivo de Directiva de auditoría del sistema.
  • Edite las propiedades del archivo o carpeta que desea auditar, en la pestaña Seguridad, Avanzado, Auditoría, Continuar para elevar privilegios.
  • Agregar y agregue los grupos en los que desea auditar el acceso, en seguridad selecciona cuál de los privilegios especiales deseas auditar.
  • Eventos de auditoría ahora se escribirá en el registro de seguridad, accede mediante el Visor de Eventos.