Me pidieron que averiguara si hay una auditoría habilitada para uno de nuestros servidores Windows para acceder a archivos hash de contraseñas u otros archivos utilizados para la autenticación.
¿Alguien sabe si existe una funcionalidad de registro o auditoría para el acceso exitoso o fallido a los archivos hash de contraseñas y otros archivos utilizados en la autenticación en Windows Server 2008 R2?
Respuesta1
A través de un GPO puedes activar la auditoría de muchas cosas. Para eso, ve a:
Computer Configuration / Policies / Windows Settings / Security Settings / Local Policies / Audit Policy
Después, podrás ir a las propiedades de los archivos interesantes y configurar la auditoría. Los resultados aparecerán en los registros de Windows.