Pasos para configurar DataSecurity Plus para supervisar cambios de permisos
- Descargue e instale DataSecurity Plus.
- Abra la consola de DataSecurity Plus.
- Vaya a Configuración → Ajustes de dominio, y haga clic en + Añadir dominio en la esquina superior derecha para añadir un nuevo dominio.
- Suministre el Nombre del dominio junto con su nombre de usuario y contraseña. Añada los controladores del dominio requeridos y haga clic en Guardar
- Para añadir servidores, vaya a Auditoría de archivos → Configuración, y haga clic en el botón Añadir servidores ubicado en la esquina superior derecha.
- Seleccione su dominio y añada los servidores que desea auditar.
- Escoja los archivos y carpetas que se van a auditar en Seleccionar objetos para monitorear.
- Haga clic en Instalar agente y terminar. Ahora, el agente está instalado en los servidores seleccionados.
Pasos para ver quién cambió permisos de archivos
- Vaya a la pestaña Auditoría de archivos.
- Vaya a Auditorías de acceso → Cambios en permisos de seguridad..
- Seleccione e Nombre del servidor y el Periodo para mostrar el informe.
- Haga clic en Filtro en la esquina superior derecha de la ventana del informe e ingrese el nombre del archivo que desea monitorear. Haga clic en Aplicar. (Para este ejemplo, nombraremos el archivo Employee_Data.)
También puede crear informes personalizados para ver cambios en los permisos para un usuario, archivo y más.
Pasos para enviar alertas instantáneas cuando se cambian permisos en un archivo
- Vaya a la pestaña Auditoría de archivos.
- Vaya a Configuración → Ajustes → Configuración de alertas..
- Haga clic en el botón + Añadir alertas ubicado en la esquina superior derecha.
- Suministre un nombre y descripción adecuados para la alerta.
- Escoja una Gravedad en el menú desplegable.
- Puede definir un Límite de umbral para enviar alertas con base en el número de eventos de cambios en los permisos que se den dentro de un tiempo específico.
- Para recibir alertas por correo electrónico, seleccione la caja Notificaciones por correo electrónico.
- Haga clic en el símbolo de editar para abrir la ventana de Ajustes de correo electrónico.
Nota: Si no se menciona el Límite de umbral entonces se envía el correo electrónico de alerta para cada evento mencionado que se presente en el archivo.
- Suministre la dirección de correo electrónico, asunto y mensaje requeridos. Para añadir argumentos al asunto o al mensaje, haga clic en Añadir y escoja el argumento en el menú desplegable.
- Haga clic en Guardar.
- Puede incluir o excluir entidades de confianza en el menú Criterios.
Ejemplo: Para monitorear quién cambió los permisos de un archivo, ingrese los siguientes detalles bajo Incluir:
- Objeto de usuario: Todos
- Acción: Cambios en permisos
- Objeto de monitoreo: Nombre del archivo que se va a monitorear (por ejemplo, (e.g. Employee_Data)
- Haga clic en Guardar.
Se ha creado un Perfil de alerta para enviar un correo electrónico cuando sea que un usuario cambie los permisos del archivo Employee_Data.
La alerta por correo electrónico se envía como se muestra a continuación:
Pasos para establecer una política de auditoría
- Inicie la consola Gestión de políticas de grupos con alguno de estos métodos:
- Vaya a Gestor de servidor > Herramientas > Consola de gestión de políticas de grupos.,
o
- Presione Win+R y en el cuadro de diálogo Ejecutar que aparece, escriba gpmc.mscy haga clic en Aceptar.
- Se abrirá la ventana Consola de gestión de políticas de grupos. Se puede crear un nuevo Objeto de políticas de grupos (GPO) o se puede modificar uno existente.
- Si desea añadir la política de grupo a un GPO, vaya al paso 6.
- Para crear un nuevo GPO, haga clic derecho sobre el dominio, sitio u OU donde desea aplicar la política y haga clic en Crear un nuevo GPO en este dominio y conéctelo aquí..
- Ingrese un nombre para el GPO en el cuadro de diálogo Nuevo GPO y haga clic en Aceptar.
- Ahora, haga clic derecho sobre ese GPO y seleccione Editar.
- En el Editor de gestión de políticas de grupos, vaya a Configuración de equipo > Políticas > Ajustes de Windows > Ajustes de seguridad > Políticas locales > Política de auditoría.
- En la lista de políticas de auditorías, haga doble clic en Auditar el acceso al objeto para abrir sus Propiedades.
- Seleccione el cuadro de verificación Definir estos ajustes de política y luego seleccione Éxito y Fallo si necesita auditar todos los cambios hechos al objeto.
- Haga clic en Aplicar y luego en Aceptar para cerrar la ventana.
- El GPO se actualizará automáticamente. Para actualizarlo manualmente, abra el Símbolo del sistema y escriba gpupdate y presione Intro. Ahora el GPO está actualizado.
Pasos para establecer las propiedades de auditoría para el archivo requerido
- Haga clic derecho en el archivo que desea auditar y seleccione Propiedades.
- Vaya a la pestaña Seguridad y haga clic en Avanzado para abrir la ventana Ajustes avanzados de seguridad..
- Vaya a la pestaña Auditoría y haga clic en Añadir para crear una nueva entrada de auditoría. Aparece la ventana Entrada de auditoría.
- Haga clic en Seleccionar un principal, y aparecerá el cuadro de diálogo Seleccionar usuario, equipo, cuenta de servicio o grupo.
- Escriba Todos como el nombre del objeto y haga clic en Verificar nombres.
- Haga clic en Aceptarpara cerrar el cuadro de diálogo.
- Seleccione el tipo de acción que desea auditar de la lista desplegable. Si desea auditar todos los eventos exitosos y fallidos, seleccione Todos.
- Esta carpeta, subcarpeta y archivos se seleccionan por defecto en el campo Aplica a.
- Bajo la sección Permisos, vaya a Permisos avanzados. Seleccione Permisos de cambios y Tomar propiedad. Haga clic en Aceptar.
- Ahora se añade la nueva entrada. Haga clic en Aplicar y en Aceptar para cerrar la ventana.
- Haga clic en Aceptar en la ventana Propiedades.
Pasos para ver quién ha cambiado permisos en al archivo con el Visor de eventos
- Abra el
- Vaya a Logs de Windows > Seguridad.
- Haga clic en la opción Filtrar logs actuales en el panel derecho de la ventana para abrir la ventana Filtrar logs actuales..
- Bajo la opción Categoría de tareas, ingrese la ID del evento del que desea ver los logs. Cuando se cambia un permiso de un archivo, se registra la ID del evento 4670.
Ingrese esta ID del evento y haga clic en Aceptar.
- Ahora se mostrará el log de cambio en el permiso.
- Para buscar un archivo particular, haga clic en Buscar... en el panel derecho.
- Dé el nombre del archivo y haga clic en Buscar siguiente.
- Haga doble clic en el log resaltado para ver los detalles.
Ahora, puede ver quién cambió los permisos de un archivo con la auditoría nativa.
¿Por qué se no se recomienda la auditoría nativa?
- La cantidad de logs aumenta rápidamente, por lo que deben archivarse o eliminarse frecuentemente.
- No ofrece funciones centralizadas de auditoría de archivos en varios entornos de servidores de archivos.
- Los logs contienen demasiadas interferencias, lo que hace tedioso obtener datos importantes de ellos.
- No ofrece funciones incorporadas para la generación de informes para cumplir con los requisitos de cumplimiento.
Si bien la auditoría nativa registra todos los eventos, no ofrece mucha ayuda cuando se trata de recuperar la información requerida o adherirse a los estándares de cumplimiento.
DataSecurity Plus supera estas dificultades y ofrece una solución integral de auditoría de archivos que puede configurarse e instalarse en minutos.