Cryptolocker nos atacó hace aproximadamente un mes y nunca configuramos la auditoría de archivos, por lo que no había forma de identificar de qué usuario se originó.
Entré en Herramientas de administración > Política de seguridad local > Política local > Política de auditoría > y habilité Éxito y fracaso en el acceso a objetos.
Luego fui a la configuración de auditoría para la carpeta raíz de las unidades compartidas y seleccioné "Usuarios de dominio" monitoreados para escribir atributos, eliminar y eliminar subcarpetas y archivos.
Pero el registro de eventos simplemente está inundado con el evento 5145 "Compartido detallado de archivos", "Se verificó un objeto compartido de red para ver si al cliente se le puede otorgar el acceso deseado".
Realmente no necesito ver estos eventos, y solo quiero realizar un seguimiento si se modifica un archivo, en caso de que el cryptolocker nos ataque nuevamente. ¿Hay algo más que deba hacer para obtener solo ese tipo de eventos?
¿Existe alguna herramienta que haga un mejor trabajo que el Registro de eventos de Windows?
Respuesta1
Cuando se utilizan las configuraciones de auditoría heredadas ubicadas en:
Configuración de Windows > Configuración de seguridad > Políticas locales > Política de auditoría > Acceso a objetos, que es muy tosco y puede crear mucho ruido, dependiendo de los objetos que puedan tener habilitada la auditoría.
Si configura la auditoría heredada como No configurada y habilita la Auditoría avanzada ubicada en:
Configuración de Windows > Configuración de seguridad > Políticas locales > Configuración avanzada de políticas de auditoría > Acceso a objetos
Puede habilitar solo las subcategorías que necesite, en este caso Sistema de archivos.
Luego, en el sistema de archivos, habilite solo los tipos de auditoría que necesita en las carpetas de nivel superior:
