lunes, 9 de diciembre de 2013

¿Quién borro esa carpeta? Cómo descubrir a culpable

Los Archivos compartidos no son sólo una Cosa práctica sino que estan usados ampliamente en grandes y pequenas empresas. Gracias a las Copias de Sombra o Shadowscopy podemos reestablecer fácilmente los archivos de Estas carpetas.

Pero que pasa, si repetidamente se pierden carpetas y archivos compartidos? Recuperamos estos repetidamente, pero en algun momento estamos hasta la coronilla del asunto y nos preguntamos : Quien esta haciendo esto? es menso, descuidado o saboteador? y cuando buscamos alguna pista nos topamos con que nuestro servidor no tiene idea y nadie nos puede decir quien es el culpable

Por suerte, no todo esta perdido, aunque en los primeros intentos se perdieron todas las pistas, si vuelve a suceder, sólo tenemos que configurar la trampa para nuesto saboteador...

Se trata de la Politica Local de Auditoría. Yo diría que se obtiene en dos grandes capítulos, o hasta en tres:

1.- Configurar la Auditoria en las Carpetas
2.- Activar la GP Local "Auditoria"
3.- Filtrar los contenidos (pues la DATA de resultados es enorme)

1.- Configurar la Auditoria en las Carpetas
Con el Explorador de Archivos de Windows ir hasta la carpeta, abrir las Propiedades --> Seguridad --> Avanzadas --> Auditoria --> Trabajar --> Agregar --> Aqui agregar el grupo a auditar --> Auditoria para la "Carpeta" --> Marcar las casillas "Borrar" y "Borrar contenido de la carpeta --> Aceptar, aceptar, aceptar.

2.- Activar la GP Local "Auditoria "
Ejecutar gpedit.msc como administrador.
Buscar "Configuración de Equipo --> Configuración de Windows -->  Configuración de Seguridad -->  Directivas locales - Directiva de Auditoría"  y habilitar "Auditar el acceso a objetos"

3.- Filtrar los contenidos
Ahora la cantidad de protocolos sera enorme, para encontrar la informacion que necesitamos, deberemos crear un filtro, que bien podemos guardar para proximas ocasiones:
3.1.- en nuestros protocolos de Windows (alem. ereignisanzeige) --> Vista (Filtro)definida por usuario --> crear nueva -->


Los ID de resultados se pueden obviar, pues al tratarse de protocolos de seguridad en la categoria Sistema de archivos (dateisystem) nos aparecerán todo lo referente a esto. Si aun son muchos, podemos agregar IDs, donde 4663 es borrar propiamente dicho (aceptar despues de la pregunta "desea borrar?") y 4660 es mandar a borrar. También se puede encontrar informacion valiosa tras auditar el evento logon y logoff que son los 4624 y 4634

Herramienta recomendada: LogParser para bajar en...
 http://www.microsoft.com/en-us/download/details.aspx?id=24659

Un buen documento (en ingles) de MIchael Firsov pero bastante mas profundo...
http://michaelfirsov.wordpress.com/2012/03/20/windows-audit-part-3-tracing-file-deletions/

Espero que le sirva de ayuda a alguien -un "me gusta" o un "plus" + no seria mala recompensa-


No hay comentarios:

Publicar un comentario