Acabamos de tener un incidente en el que se eliminaron algunos archivos aleatorios del servidor. He configurado la auditoría ahora, pero como solo soy un desarrollador, quiero asegurarme de haberlo hecho bien:
- En la pestaña de seguridad de la carpeta, haga clic en avanzado/auditoría
- Usuario ingresado "Todos"
- Marcado "Eliminar" y "Eliminar subcarpetas y archivos"
Los archivos (casi) nunca deberían eliminarse, por lo que espero que esta auditoría no tenga un impacto en el rendimiento de este servidor de archivos.
Estas auditorías deberían estar en eventvwr/Seguridad, ¿verdad?
Lo siento si la pregunta es demasiado fácil, pero es absolutamente necesario que lo haga bien...
Respuesta1
¡Correcto!,http://technet.microsoft.com/en-us/library/cc784387%28WS.10%29.aspx
Sólo necesita especificar si desea auditar la eliminación exitosa, la eliminación fallida o ambas. Ambos muestran muchos registros de eventos, pero son útiles para rastrear usuarios malintencionados o utilidades con errores.
Tenga en cuenta: antes de configurar la auditoría de archivos y carpetas, debehabilite la auditoría de acceso a objetos definiendo la configuración de la política de auditoría para la categoría de evento de acceso a objetos. Si no habilita la auditoría de acceso a objetos, recibirá un mensaje de error cuando configure la auditoría de archivos y carpetas, y no se auditará ningún archivo ni carpeta.