Log de archivos eliminados de la red

Hola, tengo una duda, hoy se eliminaron algunos archivos de la red, como tengo sistema de respaldo los recuperé, pero me gustaria saber si alguien sabe como puedo saber que usuario o IP elimina los archivos de la red.
Se puede saber mediante el Active Directory? queda registrado en algun log? o hay que tener un programa distinto para ver esto?.
Gracias.
15 years, 1 month ago
Sino me equivoco tendrías que habilitar auditoria lo cual es complicado para recursos compartidos y archivos en Active Directory.
Lo más común es loguear los eventos de inicio de sesión correctos y fallidos, el tema de auditoria de objetos genera demasiados eventos… Todo depende de cuantos usuarios tengas…
Una solución con otro soft sería el Intrust Plug-In for File Access, pero no te puedo ayudar más porque no la conosco bien la aplicación, justamente la quiero probar en estos días.
15 years, 1 month ago
1. dentro de AD: crea una GPO donde habilites la auditoria de acceso a objetos
directiva – conf de equipo – conf de windows – conf. de seg – directivas loc – auditar el acc a objetos
2. setealo para que te registre los exitosos para saber quien lo borro y/o fallido para saber quien lo intento.
3. aplicala en el contenedor donde este tu file server.
4. configura la politica de seguridad local de tu file server para registrar los accesos fallidos o exitosos a objetos
creo que era asi,
Saludos.
15 years, 1 month ago
Lo tenes que ver en cada equipo, para eso usa la consola del event viewer local de tu pc y conectate al equipo remoto, tenes que ser administrador local de la pc remota.
14 years, 4 months ago
Lo ves en el servidor que estás auditando, en el event viewer de Seguridad.
Si estás auditando un File Server, el log está en el event viewer del File Server.
14 years, 4 months ago
No hay caso, no genera ningun evento en seguridad.
A ver si hice bien…en el AD cree una nueva OU con un recurso compartido, a esta OU le cree una politica de seguridad que en conf de equipo registre los eventos correcto e incorrectos.
Me conecto al recuso compartido, creo un archivo, lo borro y nada, en seguridad no hay ningun evento.
Funciona de esta manera o tengo que estar si o si logueado al dominio?
14 years, 4 months ago
El equipo a auditar es el mismo servidor donde estan los archivos, igualmente lo movi a la OU donde esta la politica, pero en los eventos de seguridad sigue sin aparecer nada.
Probe de hacerlo localmente pero tampoco pasa nada.
Las directivas andan, porque por ejemplo le deshabilite la creacion de nuevas tareas programadas y eso lo tomo bien.
14 years, 4 months ago
Configurar el Visor de Sucesos para Archivos (Locales o en red) Eliminados, Actualizados o Creados (Familia Windows)
Paso 1:
Activar la directiva de auditoría.
Copiar y pegar el comando secpol.msc en la opción ejecutar saldrá la ventana de “Configuración de seguridad local”.
Seleccionar del árbol de carpetas “Directivas Locales” y a su vez seleccionar la subcarpeta “Directiva de Auditoria”.
Seleccionar las propiedades del valor “Auditar el acceso a objetos” con doble Clic.
Aparecerá una ventana con dos pestañas en la primera dice “Auditar el acceso a objetos” y la segunda dice “Explicar este valor”, asi que nos situamos en la primera. Observamos dos casillas de verificación “Correcto y Erronio”, el primero sirve para guardar losg de operaciones con éxito y el segundo guarda logs de operaciones no concluidas. Así que mínimo debes activar la opción de “Correcto” y darle clic en Aceptar. (Las operaciones son todos los sucesos que ocurren en tu equipo)
Paso 2:
Ahora hay que Auditar la o las carpetas que desees.
Ve a la carpeta que desees auditar, dale clic en propiedades.
Inmediatamente ve a la pestaña “seguridad” y da Clic en “opciones Avanzadas”., Muévete a la pestaña auditoria, dale clic al botón “Agregar”, Pica el botón “avanzado”, y posteriormente “buscar ahora” y selecciona tu usuario o grupo al que le desees aplicar auditoria. Para después seleccionar los valores de auditoría que desees.
Paso 3:
Y último paso usar el visor de sucesos.
Copiar y pegar el comando Eventvwr.msc en la opción ejecutar saldrá la ventana de “Visor de Sucesos”.
Y nos situamos en el registro de seguridad que indica:
Como intentos de inicio de sesión o creación, obertura o eliminación de archivos. Un administrador puede ver información o especificar sucesos a registrar en el log. Los Administradores controlan que sucesos se escribirán en el log de seguridad mediante la configuración de auditorías.
Cuando creas o modificas un archivo el log te muestra lo siguiente:
Id de suceso: 560
Accesos READ_CONTROL
SYNCHRONIZE
ReadData (o ListDirectory)
WriteData (o AddFile)
AppendData (o AddSubdirectory)
Cuando borras un archivo el log te muestra esto otro:
Id de suceso: 560
Accesos DELETE
READ_CONTROL
ReadAttributes
Autor: LI. Santiago Dolores Martí[email protected]
Fuentes:
11 years, 12 months ago
 

Buscar mensajes