Support
 
US: +1 888 720 9500
US: +1 888 791 1189
Intl: +1 925 924 9500
Aus: +1 800 631 268
UK: 0800 028 6590
CN: +86 400 660 8680
 
 

Cómo detectar quién accedió por última vez a un archivo con DataSecurity Plus

Inicie una prueba gratuita

¿Por qué debe supervisar quién accedió por última vez a un archivo?

  • Para encontrar información esencial como quién hizo cambios, cuándo y dónde desde el evento del último acceso a un archivo.
  • Para identificar intentos de acceso no autorizado.
  • Para obtener información forense valiosa con respecto a intentos de acceso en el caso de violaciones de datos.
     
  • DataSecurity Plus
  • Auditoría nativa de Windows

Pasos para configurar DataSecurity Plus para supervisar accesos a archivos

  1. Descargue e instale DataSecurity Plus.
  2. Abra la consola de DataSecurity Plus.
  3. Vaya a Configuración > Ajustes de dominio y haga clic en + Añadir dominio en la esquina superior derecha para añadir un nuevo dominio.
  4. Suministre el Nombre del dominio junto con su nombre de usuario y contraseña. Añada los controladores del dominio requeridos y haga clic en Guardar.
  1. Para añadir servidores, vaya a Auditoría de archivos > Configuración y haga clic en el botón Añadir servidores ubicado en la esquina superior derecha.
  2. Seleccione su dominio y añada los servidores que desea auditar.
  3. Escoja los archivos y carpetas que se van a auditar en Seleccionar objetos para monitorear.
  4. Haga clic en Instalar agente y terminar. Ahora, el agente se instaló exitosamente.

Bajo la pestaña Auditoría de archivos, vaya a Auditoría de accesos y genere el informe Todos los cambios en archivos/carpetas para obtener detalles sobre el quién, cuándo y dónde de todos los cambios hechos a los archivos. Para ver todos los accesos de lectura hechos al archivo, vaya a Auditoría de accesos bajo la pestaña Auditoría de archivos y genere el informe Eventos de lectura. Aquí para ver los datos de un archivo específico.

Pasos para supervisar el acceso a un archivo particular

  1. Vaya a la pestaña Auditoría de archivos..
  2. Vaya a Configuración > Ajustes > Informes personalizados.
  1. Haga clic en el botón Crear Informe personalizado.
  2. Suministre un nombre y descripción adecuados al informe.
  3. En la sección criterios añada los siguientes filtros:
    1. Acción: Todas
    2. Nombre del archivo: Ingrese el nombre del archivo que desea auditar. (Para este ejemplo, nombraremos el archivo Employee_Data.)
  4. Haga clic en Guardar.
  1. Vaya a Auditorías de acceso > Informes personalizados.
  2. Escoja el informe personalizado que acaba de crear.

Ahora, ha configurado exitosamente DataSecurity Plus para descubrir todos los accesos al archivo requerido. La entrada con el sello de tiempo más reciente muestra quién fue el último en acceder al archivo.

Los informes de DataSecurity Plus también tienen filtros integrados para ver quién ha accedido al archivo con base en su fecha de creación, las acciones realizadas en él o incluso los usuarios que han accedido al archivo.

Pasos para establecer una política de auditoría

  1. Inicie la consola Gestión de políticas de grupos con alguno de estos métodos:
    • Vaya a Gestor de servidor > Herramientas > Consola de gestión de políticas de grupos.
    • Presione Win+R y en el cuadro de diálogo Ejecutar que aparece, escriba gpmc.msc y haga clic en Aceptar.
  2. Se abrirá la ventana Consola de gestión de políticas de grupos. Se puede crear un nuevo Objeto de políticas de grupos (GPO) o se puede modificar uno existente.
  3. Si desea añadir la política de grupo a un GPO, vaya al paso 6.
  1. Para crear un nuevo GPO, haga clic derecho sobre el dominio, sitio u OU donde desea aplicar la política y haga clic en Crear un nuevo diálogo de GPO en este dominio y conéctelo aquí..
  2. Ingrese un nombre para el GPO en el cuadro de diálogo Nuevo GPO y haga clic en Aceptar.
  1. Ahora, haga clic derecho sobre ese GPO y seleccione Editar.
  2. En el Editor de gestión de políticas de grupos vaya a Configuración de equipo > Políticas > Ajustes de Windows > Ajustes de seguridad > Políticas locales > Política de auditoría.
  1. En la lista de políticas de auditorías, haga doble clic en Auditar el acceso al objeto para abrir sus Propiedades.
  2. Seleccione el cuadro de verificación Definir estos ajustes de política y luego seleccione Éxito y Fallo si necesita auditar todos los accesos hechos en el objeto.
  3. Haga clic en Aplicar y luego en Aceptar para cerrar la ventana.
  1. El GPO se actualizará automáticamente. Para actualizarlo manualmente, abra el Símbolo del sistema y escriba gpupdate /force y presione Intro. Ahora el GPO está actualizado.

Pasos para establecer las propiedades de auditoría para el archivo requerido

  1. Haga clic derecho en el archivo (Employee_Data) que desea auditar y seleccione Propiedades.
  2. Vaya a la pestaña Seguridad y haga clic en Avanzado para abrir la ventana Ajustes avanzados de seguridad.
    • Vaya a la pestaña Auditoría y haga clic en Añadir para crear una nueva entrada de auditoría. Aparece la ventana Entrada de auditoría.
  1. Haga clic en Seleccionar un principal, y aparecerá el cuadro de diálogo Seleccionar usuario, equipo, cuenta de servicio o grupo.
  2. Escriba Todos como el nombre del objeto y haga clic en Verificar nombres.
  3. Haga clic en Aceptar para cerrar el cuadro de diálogo.
  1. Seleccione el tipo de acción que desea auditar de la lista desplegable. Si desea auditar todos los eventos exitosos y fallidos, seleccione Todos.
  2. Esta carpeta, subcarpetas y archivos se seleccionan por defecto en la opción Aplica a.
  3. Bajo la sección Permisos, seleccione Control completo y haga clic en Aceptar.
  4. Ahora se añadirá la nueva entrada. Haga clic en Aplicar y en Aceptar para cerrar la ventana.
  5. Haga clic en Aceptar en la ventana Propiedades.

Pasos para ver quién ha accedido al archivo con el Visor de eventos

  1. Abra el Visor de eventos.
  2. Vaya a Logs de Windows > Seguridad.
  1. Haga clic en la opción Filtrar logs actuales en el panel derecho de la ventana, de forma que aparezca la ventana Filtrar logs actuales.
  2. Bajo la opción Categoría de tareas, ingrese la ID del evento del que desea ver los logs. Cuando se accede a un archivo, se registran las ID de eventos 4656 y 4663.
    Ingrese estas ID de eventos y haga clic en Aceptar.
  1. Ahora se mostrará el log de acceso del archivo.
  2. Para buscar el log del acceso para un archivo particular, haga clic en Buscar... en el panel derecho.
  3. Dé el nombre del archivo y haga clic en Buscar siguiente.
  4. La primera entrada resaltada en la lista tiene la fecha más reciente.
  5. Haga doble clic en el log resaltado para ver los detalles del acceso.

Ahora, puede ver quién accedió por última vez al archivo con la auditoría nativa.

¿Por qué se no se recomienda la auditoría nativa?

  • ¿Por qué se no se recomienda la auditoría nativa?
  • No ofrece funciones centralizadas de auditoría de archivos en varios entornos de servidores de archivos.
  • Los logs contienen demasiadas interferencias, lo que hace tedioso obtener datos importantes de ellos.
  • No ofrece funciones incorporadas para la generación de informes para cumplir con los requisitos de cumplimiento.

Si bien la auditoría nativa registra todos los eventos, no ofrece mucha ayuda cuando se trata de recuperar la información requerida o adherirse a los estándares de cumplimiento.
DataSecurity Plus supera estas dificultades y ofrece una solución integral de auditoría de archivos que puede configurarse e instalarse en minutos..