Cómo detectar quién cambió los permisos de archivo con DataSecurity Plus

Comienza tu prueba gratuita

¿Por qué debería averiguar quién cambió los permisos de archivo?

  • Para monitorear si un usuario está aumentando sus privilegios para acceder a archivos confidenciales o restringidos.
  • Para asegurarse de que solo los usuarios y grupos adecuados tengan acceso a archivos confidenciales.
  • Para garantizar que los permisos mínimos asignados a un usuario se alineen estrechamente con su función en la organización.
     
  • DataSecurity Plus
  • Auditoría nativa de Windows

Pasos para configurar DataSecurity Plus para realizar un seguimiento de los cambios de permisos de archivos

  1. Descargue e instale DataSecurity Plus.
  2. Abra la consola de DataSecurity Plus.
  3. Navegue a  Configuración → Configuración de dominio y haga clic en + Agregar dominio en la esquina superior derecha para agregar un nuevo dominio.
  4. Proporcione el  nombre de dominio junto con su nombre de usuario y contraseña. Agregue los controladores de dominio necesarios y haga clic en Guardar.
  1. Para agregar servidores de archivos, vaya a  Auditoría de archivos → Configuración y haga clic en el botón  + Agregar servidor ubicado en la esquina superior derecha.
  2. Seleccione su dominio y agregue los servidores que desea auditar.
  3. Elija los archivos y carpetas que se auditarán en  Seleccionar objetos para supervisar .
  4. Haga clic en  Instalar agente y finalizar . El agente ahora está instalado en los servidores seleccionados. 

Pasos para ver quién cambió los permisos del archivo

  1. Vaya a la  pestaña Auditoría de archivos .
  2. Vaya a Auditoría de acceso → Cambios en los permisos de seguridad .
  3. Seleccione el nombre del  servidor y el  período  para mostrar el informe.
  4. Haga clic   en Filtro en la esquina superior derecha de la ventana del informe e ingrese el nombre del archivo que desea monitorear. Haga clic en  Aplicar . (Para este ejemplo, nombraremos el archivo  Employee_Data ).

También puede crear informes personalizados para ver los cambios de permisos para un usuario, archivo y más en particular.

Pasos para enviar alertas instantáneas cuando se cambia el permiso del archivo

  1. Vaya a la   pestaña Auditoría de archivos .
  2. Vaya a  Configuración → Configuración → Configuración de alerta .
  3. Haga clic en el   botón + Agregar alertas ubicado en la esquina superior derecha.
  1. Proporcione un nombre y una descripción adecuados para la alerta.
  2. Elija una  gravedad en el menú desplegable.
  3. Puede definir un  límite de umbral  para enviar alertas según la cantidad de eventos de cambio de permiso que pueden ocurrir dentro de un tiempo específico.
  4. Para recibir alertas por correo electrónico, seleccione la  casilla de verificación Notificaciones por correo electrónico .
  5. Haga clic en el  símbolo de edición para abrir la  ventana Configuración de correo electrónico .
Nota : Si   no se menciona el límite de umbral , se envía un correo electrónico de alerta para cada evento monitoreado que ocurre en el archivo.
 
  1. Proporcione la dirección de correo electrónico, el asunto y el mensaje requeridos. Para agregar argumentos al asunto o al mensaje, haga clic en  Agregar y elija el argumento en el menú desplegable.
  2. Haga clic en  Guardar .
  1. Puede incluir o excluir entidades de confianza en el menú Criterios.
    Ejemplo: para monitorear quién cambió los permisos de un archivo, ingrese los siguientes detalles en Incluir:
    • Objeto de usuario: Todo
    • Acción: Cambio de permiso
    • Objeto de supervisión: nombre de archivo que se va a supervisar (por ejemplo, Employee_Data) 
  2. Haga clic en  Guardar .

Se ha creado un perfil de alerta para enviar un correo electrónico cada vez que un usuario cambia los permisos del archivo Employee_Data.

La alerta por correo electrónico se envía como se muestra a continuación:

Pasos para establecer una política de auditoría

  1. Inicie la  consola de administración de políticas de grupo a través de cualquiera de estos métodos:
    • Vaya a  Administrador del servidor → Herramientas → Consola de administración de políticas de grupo ,
    • o

    • Presione  Win + R y en el  cuadro de diálogo Ejecutar que aparece, escriba  gpmc.msc y haga clic en  Aceptar .
  2. Se  abre la ventana Consola de administración de políticas de grupo . Se puede crear un nuevo objeto de directiva de grupo (GPO) o se puede modificar uno existente.
  3. Si desea agregar la directiva de grupo a un GPO existente, vaya al paso 6.
  1. Para crear un nuevo GPO, haga clic con el botón derecho en el dominio, sitio o unidad organizativa donde desea aplicar la política y haga clic en  Crear un nuevo GPO en este dominio y vincularlo aquí .
  2. Introduzca un nombre para el GPO en el cuadro de diálogo Nuevo GPO y haga clic en  Aceptar .
  1. Ahora haga clic derecho en ese GPO y elija  Editar .
  2. En el Editor de administración de políticas de grupo, vaya a  Configuración del equipo → Políticas → Configuración de Windows → Configuración de seguridad → Políticas locales → Política de auditoría .
  1. En la lista de políticas de auditoría, haga doble clic en  Auditar acceso a objetos para abrir sus  Propiedades .
  2. Seleccione la  casilla de verificación Definir esta configuración de política , luego elija  CorrectoError para auditar todos los cambios realizados en el objeto.
  3. Haga clic en  Aplicar y luego en  Aceptar para cerrar la ventana.
  1. El GPO se actualizará automáticamente. Para actualizarlo manualmente, abra el  símbolo del sistema , escriba  gpupdate y presione  Entrar . Ahora el GPO está actualizado.

Pasos para configurar las propiedades de auditoría para el archivo requerido

  1. Haga clic con el botón derecho en el archivo que desea auditar y elija  Propiedades .
  2. Vaya a la  pestaña Seguridad y haga clic en  Avanzado para abrir la  ventana Configuración de seguridad avanzada .
  1. Vaya a la  pestaña Auditoría y haga clic en  Agregar para crear una nueva entrada de auditoría. La  Entrada de auditoría aparece la ventana.
  2. Haga clic en  Seleccionar un principal y  aparecerá el cuadro de diálogo Seleccionar usuario, equipo, cuenta de servicio o grupo
  3. Proporcione  Todos  como nombre de objeto y haga clic en  Comprobar nombres .
  1. Haga  clic en Aceptar para cerrar el cuadro de diálogo.
  2. Elija el tipo de acción que desea auditar en el menú desplegable. Si desea auditar todos los eventos exitosos y fallidos, elija  Todos .
  3. Esta carpeta, subcarpeta y archivos están seleccionados de forma predeterminada en el   campo Se aplica a .
  4. En la  sección Permisos , vaya a  Permisos avanzados . Seleccione  Cambiar permisos  y  Tomar posesión . Haga clic en  Aceptar .
  5. Ahora se agrega la nueva entrada. Haga clic en  AplicarAceptar para cerrar la ventana.
  6. Haga  clic  en Aceptar en la  ventana Propiedades .

Pasos para ver quién ha cambiado el permiso de archivo usando el Visor de eventos

  1. Abra el  Visor de eventos.
  2. Navegue a  los registros de Windows → Seguridad.
  1. Haga clic en la  opción Filtrar registro actual en el panel derecho para abrir la  ventana Filtrar registro actual .
  2. En la  opción Categoría de tarea , ingrese el ID del evento para el que desea ver los registros. Cuando se cambia el permiso de un archivo,   se registra el ID de evento 4670 . Ingrese este ID de evento y haga clic en  Aceptar .
  1. Ahora se muestra el registro de cambios de permisos de archivos.
  2. Para buscar un archivo en particular, haga clic en  Buscar ...  en el panel derecho.
  3. Proporcione el nombre del archivo y haga clic en  Buscar siguiente.
  4. Haga doble clic en el registro resaltado para ver los detalles.

Ahora puede ver quién cambió los permisos de un archivo mediante la auditoría nativa.

¿Por qué no se prefiere la auditoría nativa?

  • La cantidad de registros aumenta rápidamente, por lo que deben archivarse o borrarse con frecuencia.
  • No ofrece capacidades de auditoría de archivos centralizadas en múltiples entornos de servidores de archivos.
  • Los registros contienen un ruido excesivo, por lo que la obtención de datos importantes requiere mucho tiempo.
  • No ofrece capacidades integradas de generación de informes para cumplir con los requisitos de cumplimiento.

Si bien la auditoría nativa registra todos los eventos, no ofrece mucha ayuda cuando se trata de recuperar la información requerida o demostrar el cumplimiento de los estándares de cumplimiento. 
DataSecurity Plus supera estas limitaciones y proporciona una solución integral de auditoría de archivos que se puede configurar e instalar en minutos.