¿Cómo realizar seguimiento de la creación y eliminación de archivos / carpetas en Windows?

Descubra cómo
Con auditoría nativa de AD
Con ADAudit Plus

Auditoría nativa

1. Configuración de la lista de control de acceso del sistema (SACL) de auditoría del archivo:

  • Seleccione el archivo que desea auditar y vaya a Propiedades. Selecciona la pestaña Seguridad → Opciones avanzadas → Auditoría → Agregar.
  • Seleccione Principal: Todos; escriba: Todo; se aplica a: Esta carpeta, subcarpetas y archivos.
  • Haga clic en Mostrar permisos avanzados, seleccione Cambiar permisos y Tomar posesión.

2. Configuración de la directiva de auditoría de su dominio

  • Vaya a su Consola de administración de directivas de grupo y edite la Directiva de dominio predeterminada.
  • Vaya a Configuración del equipo → Directivas → Configuración de Windows → Configuraciones de seguridad.
  • Vaya a Directivas locales → Directiva de auditoría: Audite el acceso a objetos. Seleccione Correcto y Errores.
  • Vaya a Configuración de directiva de auditoría avanzada → Directivas de auditoría → Acceso a objetos:
    • Auditar sistema de archivos: Seleccione Correcto y Errores.
    • Auditar manipulación de identificadores: Seleccione Correcto y Errores.
  • Vaya a Registro de eventos y defina el:
    • Tamaño máximo de registro de seguridad en 1GB.
    • Método de retención para el registro de seguridad en Sobrescribir eventos cuando sea necesario.

3. Comprobación del evento en su Visor de eventos

Vaya a los registros de seguridad de Windows y busque:

  • ID de evento 4663
  • Categoría de tarea:  Sistema de archivos o Almacenamiento extraíble

El nombre de cuenta y el ID de seguridad le mostrarán quién cambió el propietario o los permisos del archivo/carpeta.

Cómo saber quién cambió los permisos de carpeta - screenshot 1

Monitorización simplificada de cambios de permisos de carpetas con ADAudit Plus

Con los informes simples y fáciles de leer de ADAudit Plus, un solo clic es todo lo que se necesita para obtener detalles completos de quién cambió los permisos de archivo/carpeta, cuándo y desde qué máquina. También se muestra el valor exacto del permiso cambiado. Estos informes se pueden exportar y programar para que se generen automáticamente en los momentos específicos y se envíen a su bandeja de entrada. También puede configurar alertas para que le notifiquen cuando se cambien los permisos de archivos/carpetas críticos. De esta manera podrá tomar medidas de inmediato.

Inicie sesión en ADAudit Plus. Vaya a la pestaña Auditoría de archivo, y en Informes de auditoría de archivos, navegue hasta el informe de cambios de permisos de carpeta.

Cómo saber quién cambió los permisos de carpeta - screenshot 2

En este informe puede encontrar estos detalles:

  • El nombre del archivo/la carpeta y su ubicación en el servidor
  • Nombre del usuario que modificó el permiso
  • Valores de la lista de control de acceso (ACL) nueva y antigua
  • Permisos modificados
  • Servidor donde reside el archivo o carpeta
  • Hora en la que se cambió el permiso

Para comprender qué se cambió exactamente en la ACL del archivo/carpeta, haga clic en el enlace Más del campo Permiso modificado.

Cómo saber quién cambió los permisos de carpeta - screenshot 3

Los valores nuevos y antiguos de su ACL también se proporcionan en detalle.

LCA antigua:

Cómo saber quién cambió los permisos de carpeta - screenshot 4

New ACL:

Cómo saber quién cambió los permisos de carpeta - screenshot 5

Tenga en cuenta que, en este ejemplo, Mark Lloyd tiene el control total durante este cambio de permiso. Con estos detalles, puede investigar más a fondo si cree que el cambio de permiso parece malicioso. Si desea filtrar los permisos cambiados en función del servidor en el que residen los archivos/carpetas, simplemente cambie a Informes basados en servidor y navegue hasta el informe Permisos de carpeta cambiados. Se muestra un informe similar filtrado según el servidor que seleccione. Para ver los cambios de permisos realizados por un usuario específico, vaya a los Informes basados en usuarios y seleccione el informe Permisos de carpeta cambiados.

Hacer un seguimiento de los cambios de permisos de sus archivos y carpetas es fundamental para mantener la integridad de los archivos y evitar el acceso no autorizado.

Los pasos anteriores responden a las siguientes preguntas de monitorización de permisos de archivos/carpetas:

  • Saber quién cambió los permisos en una carpeta en Windows
  • Cómo comprobar quién cambió los permisos de carpeta
  • Cómo ver quién cambió los permisos de carpeta
  • Cómo decir quién cambió los permisos de carpeta
  • Quién cambió el permiso de archivo de Windows
  • Comprobar quién cambió los permisos de archivo
  • Cómo auditar los cambios de permisos de archivos
  • Cómo saber quién cambió los permisos de carpeta
  • Software: cómo saber quién cambió los permisos de las carpetas
  • Cómo saber quién cambió los permisos de la carpeta en Windows 2003
  • Cómo saber quién cambió los permisos de carpeta Windows 2008 R2
  • Cómo saber quién cambió los permisos de carpeta Windows 2008
  • Cómo encontrar los cambios de permisos a nivel de carpeta en Windows Server 2003
  • Cómo realizar seguimiento de los cambios de permisos de carpetas en el servidor de archivos de Windows
  • Cómo realizar seguimiento si los permisos de archivos y carpetas cambiaron en un servidor
  • Cómo auditar los cambios de permisos de carpetas
  • Cómo saber quién cambió los permisos de una carpeta en un servidor
  • Cómo encontrar quién cambió los permisos de la carpeta compartida
  • Cómo monitorizar cambios en archivos y permisos de carpetas
  • Cómo comprobar los cambios de permisos de carpeta en Windows Server
  • Cómo comprobar quién cambia los permisos de acceso a la carpeta
¿La auditoría nativa se está volviendo demasiado trabajo?

Simplifique la auditoría y la generación de informes del servidor de archivos con ADAudit Plus.

Descárguela GRATIS