Muy buenas amigos y amigas, hoy voy a trabajar nuevamente el tema de la seguridad y de la auditoria que ya he comentado en otras ocasiones, solo que esta vez lo veremos enfocado a Windows Server 2012.
Auditar eventos es una excelente forma de obtener un control de la red y de las acciones de los usuarios en esta y es que mediante la auditoria podremos podremos registrar ciertas acciones, o mejor dicho, accesos de los usuarios a ciertos recursos de la red.
Para trabajar la auditoria deberemos hacerlo aplicando una GPO o Group Policy Object al usuario o grupo de usuarios que queramos tener “vigilados” pero no olvidemos que la auditoria no impedirá al usuario llevar a cabo las acciones auditadas, simplemente estas acciones quedarán registradas y podremos consultarlas más tarde mediante el visor de eventos..
Para acceder a las directivas de auditoria deberemos de seguir esta ruta:
Configuración de equipo -> Configuración de Windows -> Configuración de seguridad -> Configuración de directiva de auditoria avanzada -> Directivas de auditoria
Y tras acceder a esta ruta veremos que tenemos una serie de opciones para auditar y dentro de estas varios puntos determinados como muestra la siguiente imagen:
Y ahora creo que solo faltaría por dejar una lista de algunas cosas que podremos auditar:
1. Cuando un usuario inicia sesión correctamente
2. Cuando hay un intento de inicio se sesión fallido
3. Cuando se accede a una carpeta o archivo
4. Cuando se elimina una carpeta o archivo
5. Cuando un equipo se conecta y/o desconecta
De todas formas deberemos de ser prudentes a la hora de auditar, auditar demasiados eventos colapsará el registro y este tiene un tamaño determinado que una vez alcanzado elimina los eventos más antiguos, esto puede provocar que se eliminen registros importantes por lo que deberemos de ser muy cautos a la hora de auditar y habilitar parámetros.
Y bueno amigos, esto es todo, espero que os haya gustado y que os animéis a compartirlo.
Para este artículo me he apoyado en el libro: Windows Server 2012 – MCSA 70-410 – Instalación y configuración