Cómo auditar la eliminación de archivos y carpetas en Windows Server 2008 r2

Cómo auditar la eliminación de archivos y carpetas en Windows Server 2008 r2

Necesito habilitar la auditoría de acciones de eliminación en una carpeta compartida de red específica (y todos sus elementos secundarios) en una máquina con Windows Server 2008 r2. Lo más cercano que pude encontrar fue este artículo:http://www.intelliadmin.com/index.php/2008/03/use-auditing-to-track-who-deleted-your-files/pero corresponde al año 2003.

En los comentarios, una persona señala que los EventID 560 y 564 no son relevantes para Win 2003. Sugieren que una eliminación en Win 2008 sea EventID 4656, pero no encuentro ninguno de estos eventos en mi registro de seguridad. Habilité la auditoría en la carpeta a través de la opción de la pestaña de seguridad después de hacer clic derecho en la carpeta. Otro comentario en el enlace citado sugiere que la auditoría debe estar habilitada tanto en el sistema de archivos local como en el servidor, y también que las políticas de grupo podrían sobrescribir cualquier política local.

Intenté habilitar la auditoría en las Políticas de seguridad locales en Políticas locales\Política de auditoría\Acceso a objetos de auditoría, pero parece que se elimina cada vez que cierro la consola de políticas. Soy administrador local en el servidor, pero no administrador de dominio y estoy un poco atascado en este punto. Cualquier sugerencia será muy apreciada.

Respuesta1

Habilite la Papelera de reciclaje de Active Directory en ese recurso compartido y después de auditar, elimine el cambio en su Active Directory. (Guía paso a paso de la Papelera de reciclaje de Active Directory)

Usando el mecanismo de auditoría

En Windows Server 2008 R2, al igual que en Windows Server 2008, puede utilizar el mecanismo de auditoría de Servicios de dominio de Active Directory (AD DS) con la política de auditoría de cambios del servicio de directorio para registrar valores antiguos y nuevos cuando se realizan cambios en los objetos de Active Directory y sus atributos. . Le recomendamos que implemente la auditoría en su entorno de Active Directory para realizar un seguimiento de todas las eliminaciones de objetos, los tiempos de eliminación de objetos y los nombres de cuentas que realizan estas eliminaciones de objetos. Para obtener más información, consulte la Guía paso a paso de auditoría de AD DS (http://go.microsoft.com/fwlink/?LinkID=125458).

De;Apéndice A: Tareas adicionales de la papelera de reciclaje de Active Directory

nb: debe ser más que un administrador local para esa solución.

Respuesta2

Primero configure el acceso al objeto de auditoría en la Política de grupo de AD o en el GPO local del servidor. La configuración se encuentra en Configuración del equipo-->Configuración de Windows-->Configuración de seguridad-->Políticas locales-->Políticas de auditoría. Habilite la auditoría de éxito/fracaso para "Auditar acceso a objetos".

Después de eso, configure una entrada de auditoría en la carpeta específica que desea auditar. Haga clic derecho en la carpeta-->Propiedades-->Avanzado. En la pestaña de auditoría, haga clic en Agregar, luego ingrese los usuarios/grupos que desea auditar y qué acciones desea auditar. La auditoría de Control total creará una entrada de auditoría cada vez que alguien abra, cambie, cierre o elimine un archivo, o usted puede simplemente auditar las operaciones de eliminación.

Después de realizar estos pasos, cualquier archivo eliminado aparecerá en el registro de seguridad del servidor de archivos:https://technet.microsoft.com/en-us/library/dd772690%28WS.10%29.aspx

Respuesta3

Sé que esta es una vieja pregunta, pero tuve la misma pregunta y nunca encontré una respuesta, así que espero que esto ayude a alguien más. Terminé encontrando el evento de eliminación con ID de evento: 4663. Aquí hay un ejemplo:

An attempt was made to access an object.

Subject:
    Security ID:        xxx\administrator
    Account Name:       administrator
    Account Domain:     xxx
    Logon ID:       0x64ba61

Object:
    Object Server:  Security
    Object Type:    File
    Object Name:    D:\xxx\New folder
    Handle ID:  0xca8

Process Information:
    Process ID: 0xc80
    Process Name:   C:\Windows\explorer.exe

Access Request Information:
    Accesses:   DELETE

    Access Mask:    0x10000

información relacionada