Configuración de controles de auditoría de archivos y carpetas
Debe establecer controles de auditoría en los archivos y carpetas que desee auditar para los intentos de acceso de los usuarios. Los controles de auditoría también se conocen como listas de control de acceso al sistema (SACL) de NTFS.
Los controles de auditoría se configuran mediante la interfaz gráfica de usuario nativa de Windows o mediante programación mediante comandos de Windows PowerShell. Si la herencia está habilitada, normalmente tendrá que configurar los controles de auditoría únicamente en las carpetas de nivel superior en las que desee registrar los accesos.
Si desea utilizar una interfaz gráfica de usuario para configurar los controles de auditoría en sus archivos y carpetas, utilice el Explorador de archivos de Windows. En un archivo o carpeta determinados, abra el Explorador de archivos de Windows y seleccione la pestaña Propiedades > Seguridad > Avanzada > Auditoría.
En el siguiente ejemplo de control de auditoría, se auditan los eventos correctos de una carpeta. Se emitirá una entrada en el registro de eventos de Windows cada vez que el usuario administrador abra ese identificador para que lo lea correctamente.
El campo Tipo indica qué acciones desea auditar. Defina este campo en Éxito para auditar los intentos correctos, Error para auditar los intentos fallidos o Todos para auditar tanto los intentos exitosos como los fallidos.
Para obtener más información sobre los campos de entrada de auditoría, consulte Aplicar una política de auditoría básica a un archivo o carpeta
Puede usar el comando Set-Acl
de Microsoft Windows para configurar la SACL de auditoría en cualquier archivo o carpeta. Para obtener información acerca de este comando, consulte la documentación de Microsoft Set-Acl
A continuación, se muestra un ejemplo del uso de una serie de comandos y variables de PowerShell para configurar el acceso de auditoría para intentos exitosos. Puede adaptar estos comandos de ejemplo para que se ajusten a las necesidades de su sistema de archivos.
$path = "C:\Users\TestUser\Desktop\DemoTest\" $ACL = Get-Acl $path $ACL | Format-List $AuditUser = "TESTDOMAIN\TestUser" $AuditRules = "FullControl" $InheritType = "ContainerInherit,ObjectInherit" $AuditType = "Success" $AccessRule = New-Object System.Security.AccessControl.FileSystemAuditRule($AuditUser,$AuditRules,$InheritType,"None",$AuditType) $ACL.SetAuditRule($AccessRule) $ACL | Set-Acl $path Get-Acl $path -Audit | Format-List