Cómo rastrear quién eliminó un archivo de sus servidores de archivos Windows

Netwrix Auditor for Windows File Servers

1. Ejecute Netwrix Auditor. Navegue a “Reports” → Haga clic en “File Servers” → Seleccione “File Servers Activity” → Haga clic en “Files and Folders Deleted” → Haga clic en “View”.
2. Escriba el nombre del servidor en el campo “Dónde”. También puede especificar la ruta a una carpeta en particular, utilizando % como un carácter comodín.
3. Revise el informe:

Configuración de la auditoría del sistema de archivos

1. Navegue hasta el recurso compartido de archivos, haga clic derecho y seleccione "Propiedades" → Seleccione la pestaña "Seguridad" → Haga clic en el botón "Avanzado" → Vaya a la pestaña "Auditoría" → Haga clic en el botón "Agregar" → Seleccione lo siguiente:
   • Principal: "Todos"
   • Tipo: "Todo"
   • Se aplica a: "Esta carpeta, subcarpetas y archivos"
   • Permisos avanzados: "Eliminar subcarpetas y archivos" y "Eliminar"
2. Ejecute el editor de Directiva de grupo (gpedit.msc) y cree y edite un nuevo GPO. Específicamente, vaya a → Configuración del equipo → Directivas → Configuración de Windows → Configuración de seguridad → Directivas locales → Directiva de auditoría, y configure de la siguiente manera:
   • Audite el acceso a objetos → Defina → Éxitos y fallos.
3. Vaya a "Advanced Audit Policy Configuration" → Audit Policies → Object Access, y configure de la siguiente manera:
   • Auditar el sistema de archivos → Definir → Éxitos y fallos
   • Auditoría de manipulación de Handle → Definir → Éxitos y fallos
4. Vincule la nueva GPO a su servidor de archivos.
5. Aplique su cambio forzando una actualización de la Directiva de Grupo: Vaya a "Group Policy Management" → Haga clic derecho en la OU → Haga clic en "Group Policy Update".

Revisando eventos

1. Abra el Visor de eventos y busque en el registro de seguridad el ID de evento 4656 con una categoría de tarea de "Sistema de archivos" o "Almacenamiento extraíble" y la cadena "Accesses: DELETE".
2. Revise el informe. El campo "Subject: Security ID" mostrará quién eliminó cada archivo.

Aprende más sobre Netwrix Auditor for Windows File Servers

Realice auditorías regulares de eliminación de archivos para prevenir interrupciones del negocio

Si un archivo en un servidor de su dominio se elimina, ya sea de forma maliciosa o por error, los usuarios pueden no poder acceder a la información crítica que necesitan, provocando que procesos empresariales importantes se detengan. Además, sin una auditoría adecuada de eliminación de archivos y access permission change auditing, es imposible responsabilizar a los usuarios por sus acciones y prevenir futuras eliminaciones no autorizadas.

Microsoft ofrece un método nativo para auditar la eliminación de archivos en servidores de archivos Windows. Sin embargo, debes haber habilitado ya la auditoría, y el proceso de buscar en el registro de eventos de Windows los archivos eliminados puede ser bastante engorroso: Tendrás que abrir cada evento en la lista para encontrar los detalles, como el nombre de la persona que eliminó el archivo y la hora del evento.

Netwrix Auditor te permite detectar e investigar fácilmente eliminaciones de archivos maliciosas o erróneas en tus servidores de archivos Windows, dispositivos de almacenamiento EMC y NetApp filers. En solo unos pocos pasos sencillos, puedes obtener un informe claro que muestra todos los cambios y eventos de acceso, incluyendo detalles fáciles de leer de quién/qué/dónde/cuándo. Incluso puedes recibir los informes por correo electrónico automáticamente según un horario, y obtener alertas sobre tipos específicos de acciones para que puedas responder de inmediato. La búsqueda interactiva simplificará y agilizará el proceso de investigación. Netwrix Auditor también ofrece un avanzado user behavior monitoring que te mantiene informado sobre la actividad anómala, como un aumento en los eventos de acceso o eliminaciones masivas de datos, para que puedas actuar antes de sufrir una violación, pérdida de datos o tiempo de inactividad.