Magic Quadrant™ para la gestión de acceso privilegiado 2025: Netwrix reconocida por cuarto año consecutivo. Descarga el informe.

ContáctenosSoporteCommunity
English Español Italiano Français Deutsch Português
Plataforma
Soluciones

Data Security Posture Management

Descubra y clasifique datos en entornos híbridos. Evalúe, priorice y mitigue los riesgos para los datos sensibles.

Directory Management

Simplifique y asegure la administración del directorio reduciendo la complejidad, el riesgo y el esfuerzo manual.

Endpoint Management

Asegure los endpoints y prevenga la pérdida de datos mientras mantiene a los equipos productivos, sin importar dónde trabajen.

Identity Management

Asegure cada identidad, agilice cada proceso y manténgase a la vanguardia del cumplimiento, sin añadir complejidad.

Identity Threat Detection & Response

Manténgase a la vanguardia de las amenazas basadas en identidades: remedie proactivamente los riesgos, bloquee ataques y asegure una recuperación rápida.

Privileged Access Management

Reduzca su superficie de ataque eliminando privilegios permanentes, asegurando credenciales y monitoreando sesiones privilegiadas.
Productos destacados Ver todos los productos
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plataforma Netwrix 1Secure™

Explorar
Netwrix AI Entornos que protegemos Integraciones MSPs Riesgos de seguridad de Active Directory Cumplimiento Precios
Centro de Recursos Ver todo
BlogAttack CatalogCumplimientoHistorias de clientesMarcos de CiberseguridadGlosario de CiberseguridadEventosFreewareGuíasIdeas PortalNoticiasPodcastsPublicacionesAnuncios de ProductosInvestigaciónWebinars
Asset not found

Historia Destacada de un Cliente

DXC Technology permite a los clientes lograr el cumplimiento de PCI DSS y centrarse en iniciativas estratégicas
Socios
Programa de SociosConviértete en un SocioMSPsBuscador de sociosWebinars
Asset not found

Historia Destacada de Cliente

AppRiver mejora el control sobre Active Directory al tiempo que reduce significativamente el tiempo de auditoría
Asset not found

Historia Destacada de un Cliente

MSP ayuda a cliente a recuperarse de un ransomware en 6 horas
¿Por qué Netwrix?
Acerca de nosotrosLiderazgoNetwrix AIHistorias de clientesReconocimientoNoticiasCarreras
Asset not found

Historia Destacada de un Cliente

Horizon Leisure Centres acelera la clasificación de datos para cumplir con el RGPD y ahorra £80,000 al año
Asset not found

Historia Destacada de un Cliente

Samsung R&D Institute protege los datos con uso multiplataforma y despliegue rápido en macOS utilizando Netwrix Endpoint Protector
Centro de recursosBlog
Monitoreo de Acceso a Archivos de Windows

Monitoreo de Acceso a Archivos de Windows

Dec 9, 2022

En esta publicación, exploraremos cómo configurar file access auditing en un servidor de archivos Windows y exploraremos los desafíos al interpretar eventos críticos de acceso.

Antecedentes

El primer paso para desarrollar una estrategia de auditoría efectiva es obtener un buen entendimiento de sus sistemas, casos de uso y necesidades empresariales, para así evitar el impacto de configurar un alcance de auditoría más amplio del que realmente se necesita. Cuantos más ajustes de audit policy elija y más archivos y carpetas audite, más trabajo tendrá que hacer el servidor de archivos para registrar los eventos, más almacenamiento se requerirá para acomodar el volumen de eventos y más datos tendrán que analizar los administradores para comprender quién está accediendo a qué.

Por lo tanto, antes de habilitar una política de auditoría, asegúrese de:

  • Determine dónde se almacenan los datos más críticos de su organización y priorice qué archivos y carpetas necesitan ser auditados.
  • Determine la cantidad de almacenamiento que se requerirá para soportar la configuración de auditoría elegida.

Contenido relacionado seleccionado:

Configuración de auditoría de acceso a archivos en un servidor de archivos Windows

En esta entrada de blog, mostraré cómo habilitar una política de auditoría avanzada a través de Group Policy en un controlador de dominio con Windows Server 2016 R2. (Si solo tienes un servidor de archivos, podrías usar Security Policy en su lugar.)

La política de auditoría avanzada permite a los administradores ser más selectivos en los tipos y número de eventos a devolver de lo que pueden con la configuración de la política de auditoría básica. En particular, cuando se trata de auditar el acceso a archivos, la política de auditoría básica proporciona una única configuración mientras que la política avanzada ofrece 14 subcategorías. En este ejemplo, habilitaremos las siguientes opciones:

  • Auditoría del sistema de archivos — Auditorías de los intentos de los usuarios por acceder a objetos del sistema de archivos.
  • Auditoría de manipulación de Handle — Añade visibilidad a los intentos de acceso fallidos.
  • Cree un nuevo objeto de Directiva de grupo (GPO) a través de Group Policy Management e ingrese un nombre adecuado.
Image
  • Haga clic derecho en el nuevo GPO para lanzar la ventana del Editor de administración de directivas de grupo.
Image
  • Navegue hasta Computer Configuration –> Windows Settings –> Advanced Audit Policy Configuration –> Audit Policies –> Object Access.
Image
  • Haga doble clic en Audit File System. Luego seleccione Configure the following audit events y elija tanto Éxito como Fracaso. Guarde sus cambios haciendo clic en Aplicar y luego haga clic en Aceptar.
Image
  • Haga doble clic en Audit Handle Manipulation. Seleccione Configure los siguientes eventos de auditoría y elija tanto Éxito como Fracaso. Luego haga clic en Aplicar y después en Aceptar.
Image
  • Ahora necesitamos vincular la nueva GPO con la OU que contiene los servidores de archivos. En la Administración de Políticas de Grupo, haga clic derecho en la OU, seleccione Vincular una GPO existente…, seleccione la GPO que creamos (Política de Acceso al Sistema de Archivos) y haga clic en OK para aplicarla a la OU seleccionada. Luego fuerce a los servidores de archivos a verificar la nueva política de grupo: Haga clic derecho en la OU en la Administración de Políticas de Grupo nuevamente, haga clic en Actualización de Políticas de Grupo y siga los pasos del asistente.
Image
  • Navegue hasta las propiedades del registro de seguridad en el servidor de archivos Windows objetivo. Luego configure el Maximum log size (KB) y la acción a realizar si se alcanza el tamaño máximo del registro de eventos.
Image
  • Navegue hasta la pestaña de seguridad en las propiedades de cada carpeta objetivo –> haga clic en Advanced –> navegue hasta la pestaña de Auditing –> haga clic en Add –> configure los ajustes de auditoría. Suponiendo que estas carpetas contienen los activos más críticos de su organización, probablemente querrá monitorear los eventos de acceso de todos los usuarios seleccionando el principio de “Todos”.
Image

Desafíos con la Auditoría de Acceso a Archivos

Ahora revisemos algunos de los principales desafíos en la auditoría de acceso a archivos.

Alto volumen de eventos

Los administradores a menudo tienen dificultades para gestionar eficazmente el enorme volumen de datos de auditoría que se produce. Por ejemplo, examinemos los eventos creados por el siguiente escenario común:

  1. Un usuario abre un documento de Microsoft Word en un recurso compartido de archivos.
  2. El usuario edita el documento.
  3. El usuario guarda y cierra el documento.

Este comportamiento ordinario resultaría en más de 200 eventos registrados en el registro de eventos, como se muestra a continuación. Multiplique esto por la cantidad de veces que los usuarios realizarán esta actividad todos los días, ¡y es fácil ver cómo rápidamente la tarea de monitorear el acceso a archivos se vuelve ingobernable!

Image

Aquí hay más detalles sobre los eventos que podrían devolverse en nuestro escenario simple:

ID de evento

Descripción


Detalles

4656

Se solicitó un identificador para un objeto

Este es el primer evento registrado cuando un usuario intenta acceder a un archivo; incluye el tipo de acceso que se está solicitando.

4658

El identificador de un objeto fue cerrado

Este evento registra cuándo se cerró un identificador de un objeto. Es útil para determinar cuánto tiempo estuvo abierto un archivo.

4660

Se eliminó un objeto

Este evento se registra cuando se elimina un objeto. Para saber cuál fue, debe relacionarlo con un evento 4656 correspondiente.

4663

Se intentó acceder a un objeto

Este evento identifica la operación que se intentó contra un archivo o carpeta, como LeerDatos, EscribirDatos o Eliminar.

4670

Los permisos en un objeto fueron cambiados

Este evento se registra cuando se cambian los permisos de un archivo o carpeta. Muestra quién hizo el cambio y los valores de antes y después.

Ruido de archivos temporales

El ejemplo anterior devolvió 230 eventos, pero casi la mitad de ellos se registraron contra archivos temporales que solo existieron durante un corto período de tiempo.

Microsoft Office utiliza archivos temporales para múltiples propósitos, incluyendo el auto-guardado de datos durante la edición, liberar memoria y prevenir la pérdida de datos. Aunque esto proporciona a los usuarios una mejor experiencia, es un gran dolor de cabeza para el administrador encargado de gestionar el rastro de auditoría: Para poder entender qué objetos están siendo accedidos, no solo tienen que correlacionar varios IDs de Evento diferentes, también tienen que identificar y descartar los eventos relacionados con archivos temporales.

Dificultad para entender los cambios en los permisos

El evento 4670 se registra cuando se cambia un permiso en un archivo o carpeta. Es vital monitorear estos eventos ya que pueden poner en riesgo información sensible, como cuando se añade un permiso de carpeta al grupo de Domain Users. Aquí hay un ejemplo de evento:

Image

El evento 4670 puede ser difícil de manejar por varias razones:

  • El descriptor de seguridad se representa utilizando el lenguaje Security Descriptor Definition Language (SDDL), por lo que el administrador necesita traducirlo a un formato legible.
  • Una vez traducido, el administrador necesita comparar minuciosamente los descriptores de seguridad originales y nuevos para identificar el permiso modificado.

Correlacionando eventos para entender el movimiento de archivos

Comprender el movimiento de archivos de un lugar a otro puede ser crítico, por ejemplo, cuando los documentos de un usuario están desaparecidos y necesitan ser encontrados. Pero mover un archivo, ya sea mediante arrastrar y soltar o cortar y pegar, genera múltiples eventos, muchos de los cuales son eventos 4663. Para determinar a dónde se movió un archivo, los administradores tienen que filtrar manualmente los eventos de ruido y correlacionar los eventos 4663 que tienen un ID de Manejo coincidente.

Image

¿Cómo puede ayudar Netwrix?

Como hemos visto, la auditoría nativa de acceso a archivos sobrecarga a los administradores con tantos datos de eventos y esfuerzos manuales de filtrado y correlación que no es una forma viable de responder preguntas cruciales sobre el acceso a archivos, cambios de permisos y movimiento de archivos.

El software de Data Security Posture Management de Netwrix proporciona un enfoque efectivo y escalable para el monitoreo de actividad de archivos. Además, te ayudará a reducir el riesgo de incidentes de ciberseguridad al permitirte comprender quién tiene acceso a qué y limitar estrictamente el acceso a datos sensibles. Puedes:

  • Audite la actividad a través de su ecosistema de TI.
  • Reduzca el acceso a datos sensibles al mínimo requerido para reducir el riesgo de amenazas internas y minimizar el daño de ransomware y otros ataques.
  • Agilice las atestaciones de privilegios regulares por parte de los propietarios de los datos.
  • Proteja los datos sensibles dondequiera que vayan con un etiquetado preciso y consistente del contenido.

FAQ

¿Cómo monitorear el acceso a archivos en Windows?

La monitorización del acceso a archivos de Windows requiere habilitar la política de auditoría para el acceso a objetos y configurar carpetas específicas para la auditoría. Comience abriendo la Administración de Políticas de Grupo (gpedit.msc) y navegue a Configuración del equipo > Configuración de Windows > Configuración de seguridad > Directivas locales > Política de auditoría. Habilite “Auditar el acceso a objetos” para eventos de éxito y error. A continuación, haga clic derecho en las carpetas que desea monitorear, seleccione Propiedades > Seguridad > Avanzado > Auditoría, y agregue usuarios o grupos con los tipos de acceso específicos que desea rastrear.

El desafío con la supervisión nativa de Windows es que genera enormes cantidades de datos de registro sin contexto. Verás quién accedió a qué archivo, pero conectar esa actividad con el riesgo empresarial real requiere un análisis manual. Data Security que comienza con la identidad significa comprender no solo el acceso a archivos, sino si ese acceso se alinea con las responsabilidades laborales y las necesidades empresariales. Las organizaciones necesitan soluciones que correlacionen automáticamente los patrones de acceso a archivos con los roles de usuario, la sensibilidad de los datos y los requisitos de cumplimiento para detectar comportamientos riesgosos antes de que se conviertan en una violación.

Cómo habilitar la auditoría de archivos en Windows Server 2016?

Windows Server 2016 la auditoría de archivos sigue un proceso de dos pasos: habilitar la política de auditoría y configurar la auditoría a nivel de carpeta. Abra la Consola de Administración de Políticas de Grupo y navegue a Configuración del equipo > Políticas > Configuración de Windows > Configuración de seguridad > Configuración avanzada de políticas de auditoría > Acceso a objetos. Habilite “Auditar sistema de archivos” para eventos de éxito y fallo. Aplique la política usando gpupdate /force.

Para la auditoría específica de carpetas, acceda a las Propiedades de la carpeta objetivo > pestaña de Seguridad > Avanzado > pestaña de Auditoría. Haga clic en Agregar para crear nuevas entradas de auditoría, especificando qué usuarios o grupos monitorear y qué acciones desencadenan eventos de auditoría (Leer, Escribir, Eliminar, Cambiar Permisos). Windows Server 2016 introdujo capacidades de filtrado mejoradas, pero aún necesitará gestionar manualmente la avalancha de datos de auditoría. La clave está en centrarse en repositorios de datos de alto valor y comprender que el monitoreo efectivo conecta el acceso a archivos con el contexto de identidad, no solo registrando todo lo que se mueve.

¿Cómo habilitar la auditoría de archivos en Windows Server 2019?

Windows Server 2019 simplifica la auditoría de archivos con opciones mejoradas de Directiva de grupo y filtrado de eventos mejorado. Acceda a la Configuración de políticas de auditoría avanzada a través de Administración de directivas de grupo > Configuración del equipo > Políticas > Configuración de Windows > Configuración de seguridad > Configuración de políticas de auditoría avanzada > Acceso a objetos. Active “Auditar sistema de archivos” y considere habilitar “Auditar uso compartido de archivos” para el monitoreo de acceso a la red.

Configure la auditoría de carpetas a través de la pestaña Seguridad > Avanzado > Auditoría, donde Server 2019 ofrece un control más granular sobre qué operaciones de archivo generan eventos. La plataforma incluye un mejor filtrado para archivos temporales y procesos del sistema, reduciendo el ruido en los registros de auditoría. Sin embargo, el desafío fundamental permanece: los datos de auditoría en bruto no se traducen automáticamente en conocimientos de seguridad. Puedes registrar cada interacción con archivos, pero sin un contexto basado en la identidad, estás recopilando datos en lugar de inteligencia accionable. Las organizaciones se centran en conectar los patrones de acceso a archivos con análisis de comportamiento de usuarios y data classification para identificar amenazas genuinas en lugar de ahogarse en entradas de registro.

¿Dónde se registran los eventos de auditoría del sistema de archivos de Windows?

Los eventos de auditoría del sistema de archivos de Windows se registran en el Registro de eventos de seguridad de Windows, accesibles a través del Visor de eventos en Registros de Windows > Seguridad. Estos eventos suelen aparecer con los ID de evento 4656 (solicitud de handle), 4658 (handle cerrado), 4663 (intento de acceso) y 4660 (objeto eliminado). Puede filtrar el registro de Seguridad por estos ID de evento específicos para centrarse en la actividad de acceso a archivos.

El Registro de Eventos de Seguridad tiene limitaciones para el monitoreo de archivos empresariales. Se llena rápidamente, los eventos carecen de contexto empresarial y correlacionar patrones de acceso a través de múltiples servidores se convierte en un proceso manual. Cada evento muestra detalles técnicos como SIDs de usuario y rutas de archivos, pero no indica si el acceso representa una actividad empresarial normal o una posible amenaza interna. El monitoreo de archivos de nivel empresarial requiere la recolección centralizada de registros, la correlación automatizada con información de identidad y un filtrado inteligente basado en la sensibilidad de los datos y los roles de usuario. El objetivo no es solo capturar cada interacción con los archivos, sino entender qué patrones de acceso representan un riesgo real para su Data Security Posture Management.

Compartir en

Aprende más

Acerca del autor

Asset Not Found

Joe Dibley

Investigador de seguridad

Investigador de seguridad en Netwrix y miembro del Equipo de Investigación de Seguridad de Netwrix. Joe es un experto en Active Directory, Windows y una amplia variedad de plataformas y tecnologías de software empresarial, Joe investiga nuevos riesgos de seguridad, técnicas de ataque complejas y las mitigaciones y detecciones asociadas.

Aprende más sobre este tema

Leyes de Privacidad de Datos por Estado: Diferentes Enfoques para la Protección de la Privacidad

Ejemplo de Análisis de Riesgos: Cómo Evaluar los Riesgos

El Triángulo de la CIA y su Aplicación en el Mundo Real

¿Qué es la gestión de registros electrónicos?

Análisis Cuantitativo de Riesgo: Expectativa de Pérdida Anual

Últimos blogs

Los próximos cinco minutos de cumplimiento: construyendo seguridad de datos basada en la identidad a través de APAC

Gestión de configuración para el control seguro de Endpoint

Clasificación de datos y DLP: Prevenga la pérdida de datos, demuestre el cumplimiento

Cumplimiento de CMMC y el papel crítico del control de USB estilo MDM en la protección de CUI

DSPM, ASM y ITDR: Construyendo una estrategia de seguridad consciente de la exposición y basada en datos

De ruido a acción: convirtiendo el riesgo de datos en resultados medibles

IA en el trabajo: Velocidad, riesgo y por qué la simplicidad triunfa

Leyes de Privacidad de Datos por Estado: Diferentes Enfoques para la Protección de la Privacidad

Ejemplo de Análisis de Riesgos: Cómo Evaluar los Riesgos

El Triángulo de la CIA y su Aplicación en el Mundo Real

Nuestros artículos más destacados

Tipos comunes de dispositivos de red y sus funciones

Cómo ejecutar un script de PowerShell desde el Programador de tareas

Cómo instalar y usar Active Directory Users and Computers (ADUC)?

Descargue e instale PowerShell 7

Los ataques cibernéticos más grandes y notorios de la historia

Comandos esenciales de PowerShell: Una guía rápida para principiantes

Una visión general del ciberataque MGM

Extracción de hashes de contraseñas del archivo Ntds.dit

Guía para montar comparticiones Unix con un cliente NFS de Windows

Cómo los puertos abiertos inseguros y vulnerables representan serios riesgos de seguridad