Article ID: 112156, created on Mar 28, 2014, last review on May 11, 2014

  • Applies to:
  • Plesk 12.0 for Windows

Información

El equipo de soporte de Parallels en ningún caso se encarga de la configuración de seguridad y la auditoría de eventos, sino que esta debería ser gestionada por el administrador de seguridad de su empresa.
De todos modos, podemos proporcionarle algunas recomendaciones para las herramientas preintegradas de Microsoft Windows que le permitirán efectuar auditorías de los archivos y carpetas del servidor y le permitirán protegerlo de posibles usos no autorizados.

En algunos casos es necesario conocer quién modificó o eliminó un archivo o una carpeta y cuándo se produjo dicha operación. Microsoft Windows le permite controlar distintos tipos de eventos relacionados con la seguridad.

En este artículo se describe cómo configurar una auditoría de archivos en un servidor Windows 2008 R2 y cómo obtener los datos del registro.

  1. Active Auditar el seguimiento de procesos para los resultados Correcto y Incorrecto:
    1. Vaya a Inicio -> Ejecutar.
    2. Teclee secpol.msc y presione Enter.
    3. Vaya a Configuración de seguridad -> Directivas locales -> Directiva de auditoría.
    4. Edite la opción Auditar el seguimiento de procesos y habilite la auditoría para los eventos Correcto e Incorrecto.

    La configuración resultante debería ser similar a la que se muestra en la siguiente imagen:

     
  2. Propague los cambios efectuados en la directiva:
    1. Vaya a Inicio -> Ejecutar.
    2. Teclee gpupdate /force y presione Enter.
     
  3. Configure la auditoría de archivos y carpetas para los tipos de eventos deseados:
    1. Abra el Explorador de Windows y vaya al archivo o a la carpeta en cuestión.
    2. Haga clic con el botón secundario del ratón en el archivo y vaya al menú Avanzado presente en la pestaña Seguridad de las Propiedades del archivo.
    3. Vaya a la pestaña Auditoría y haga clic en el botón Editar.
    4. Haga clic en Añadir para seleccionar los usuarios y grupos a controlar. La práctica más habitual es añadir el grupo Usuarios autenticados.
    5. En Entrada de auditoría, seleccione las casillas correspondientes a los eventos deseados tanto para Correcto como para Incorrecto. Si desea realizar una auditoría explícita, seleccione todas las casillas.

    La configuración resultante debería ser similar a la que se muestra en la siguiente imagen:

Ahora cada vez que se intente acceder a la carpeta o al archivo en cuestión, esto quedará reflejado en el registro de seguridad del visor de eventos. Si el administrador de seguridad desea comprobar si se accedió o no al archivo, lo más fácil es exportar el registro de seguridad del visor de eventos a un archivo de texto o bien a un archivo HTML y buscar los eventos de inicio de sesión correspondientes:
  1. Exporte el registro Seguridad del Visor de eventos:
    1. Vaya a Inicio -> Ejecutar.
    2. Teclee la línea que puede ver a continuación y presione Enter:
     
    wmic ntevent where log='Security' get LogFile, SourceName, EventType,Message, TimeGenerated /format:htable > C:\SecurityLog.htm
     
     
  2. Busque las entradas correspondientes del registro en el archivo HTML resultante:
    1. Abra el archivo HTML en su navegador web.
    2. Abra la búsqueda contextual presionando la combinación de teclas Ctrl+F.
    3. Busque el nombre del archivo deseado para así ver los intentos de acceso realizados.
    4. En este ejemplo podemos ver que FileToTrackAccess.txt fue abierto con notepad.exe

    Una vez hecho esto, recuerde el ID de inicio de sesión para descubrir la dirección IP desde la que accedió el usuario.
     
  3. Busque el evento de acceso correspondiente en el archivo HTML usando el ID de inicio de sesión obtenido en el paso anterior:

    Tal y como puede verse en la imagen, las modificaciones realizadas mediante notepad.exe fueron efectuadas por el usuario Administrador, quien inició sesión de forma remota desde la IP 192.168.39.235.

NOTA: este procedimiento puede no funcionar tal y como es de esperar si el servidor es miembro de un dominio Active Directory que tiene asignadas directivas de grupo. En este caso, si es necesario consulte a su administrador de red.

Información adicional

Los pasos aquí detallados representan una de las muchas formas de auditar el acceso a los archivos y carpetas presentes en su servidor.
Le sugerimos proporcionar esta información al administrador de seguridad de su empresa para que así la tarea se efectúe de forma más eficiente.

Recursos adicionales (EN):
http://www.ultimatewindowssecurity.com/wiki/WindowsSecuritySettings/Recommended-Baseline-Audit-Policy-for-Windows-Server-2008
http://www.computerperformance.co.uk/w2k3/gp/group_policy_security_audit.htm
http://oreilly.com/pub/a/windows/2005/07/26/audit_policy.html
http://technet.microsoft.com/en-us/library/dd277403.aspx

85a92ca67f2200d36506862eaa6ed6b8 a914db3fdc7a53ddcfd1b2db8f5a1b9c 56797cefb1efc9130f7c48a7d1db0f0c ed7be2b984f9c27de1d2dc349dc19c6d a766cea0c28e23e978fa78ef81918ab8

Email subscription for changes to this article
Save as PDF