Cómo detectar quién cambió el propietario de un archivo o carpeta
Auditoría nativa vs. Netwrix Auditor for Windows File Servers
Netwrix Auditor for Windows File Servers
- Ejecute Netwrix Auditor → Vaya a “Buscar” → Haga clic en “Modo avanzado” si no está seleccionado → Configure los siguientes filtros:
- Filter = “Fuente de datos”
Operator = “Igual”
Value = “Servidores de archivos” - Filtro = “Detalles”
Operador = “Contiene”
Valor = “Propietario cambiado"
- Filter = “Fuente de datos”
- Haga clic en el botón “Buscar” y revise quién cambió los propietarios de archivos o carpetas.
Para crear una alerta sobre cambios en el propietario de archivos o carpetas:
- Desde los resultados de búsqueda, navegue hasta “Herramientas” → Haga clic en “Crear alerta” → Especifique el nombre de la nueva alerta.
- Cambie a la pestaña “Destinatarios” → Haga clic en "Añadir destinatario" → Especifique la dirección de correo electrónico donde desea que se entregue la alerta.
- Haga clic en “Agregar” para guardar la alerta.
Auditoría Nativa
- Navegue hasta la compartición de archivos requerida → Haga clic derecho y seleccione "Propiedades" → Cambie a la pestaña "Seguridad" → Haga clic en el botón "Avanzado" → Vaya a la pestaña "Auditoría" → Haga clic en el botón "Agregar" → Seleccione Principal: "Todos"; Seleccione Tipo: "Todos"; Seleccione Aplica a: "Esta carpeta, subcarpetas y archivos"; Seleccione los siguientes "Permisos avanzados": "Cambiar permisos y "Tomar posesión".
- Ejecute gpmc.msc → Edite la "Política de Dominio Predeterminada" → Configuración del Equipo → Políticas → Configuración de Windows → Configuración de Seguridad.
- Vaya a Políticas locales → Política de auditoría:
- Auditar el acceso a objetos → Definir → Éxitos y Fallos
- Vaya a "Configuración de Política de Auditoría Avanzada" → Políticas de Auditoría → Acceso a Objetos:
- Auditar el sistema de archivos → Definir → Éxitos y fallos
- Auditoría de manipulación de Handle → Definir → Éxitos y fallos
- Vaya al registro de eventos → Defina:
- Tamaño máximo del registro de seguridad a 1 GB
- Método de retención para el registro de seguridad en “Sobrescribir eventos según sea necesario”
- Abra el Visor de Eventos → Busque en los Registros de Seguridad de Windows el ID de evento 4663 con la categoría de tarea "File Server" o "Removable Storage" y con la cadena "Accesses: WRITE_OWNER". El "Subject Security ID" le mostrará quién cambió el propietario de un archivo o una carpeta.
Aprenda más sobre Netwrix Auditor for Windows File Servers
Detecte rápidamente cambios en la propiedad de archivos/carpetas para mitigar el riesgo de violaciones de datos
Cada objeto en una compartición de archivos tiene un propietario. El propietario de un archivo controla quién tiene permissions al objeto; los permisos de acceso completo son particularmente importantes porque permiten al usuario leer, copiar, eliminar y trasladar el archivo. Por lo tanto, cualquier cambio en el propietario de un archivo aumenta el riesgo de acceso no autorizado que podría resultar en la pérdida o fuga de datos sensibles. Los administradores de TI deben monitorear continuamente cada cambio en el propietario de un archivo y detectar cambios inapropiados para mitigar el riesgo de violaciones de datos y fallos de cumplimiento.
Netwrix Auditor for Windows File Servers ofrece una visibilidad completa de lo que está sucediendo en sus servidores de archivos Windows y proporciona datos de auditoría accionables sobre todos los cambios realizados en archivos y carpetas, incluido el cambio de propietario de un archivo. La aplicación también proporciona los valores actuales y pasados para cada cambio. Estos valores le ayudan a detectar rápidamente cuál fue el propietario del archivo que cambió, el nombre antiguo y el nuevo del propietario del archivo, cuándo y dónde se realizó el cambio y — lo más importante — quién cambió el propietario de un archivo.
Compartir en