Cómo detectar quién intentó modificar un archivo o una carpeta en su servidor de archivos de Windows

Auditoría Nativa

1. Navegue hasta el recurso compartido de archivos requerido → Haga clic derecho en él y seleccione "Propiedades".
2. Vaya a la pestaña "Seguridad" → Haga clic en el botón "Avanzado" → Cambie a la pestaña "Auditoría" → Haga clic en el botón "Agregar" y defina la auditoría:
   • Principal es igual a "Everyone"
   • El tipo es igual a "All"
   • Aplica a: "Esta carpeta, subcarpetas y archivos".
3. Seleccione los siguientes "Advanced Permissions":
   • Recorrer carpeta / ejecutar archivo
   • Listar carpeta / leer datos
   • Crear archivos / escribir datos
   • Crear carpetas / añadir datos
   • Escriba atributos.
4. Ejecute gpedit.msc → Vaya al menú "Editar".
5. Cree una nueva política → Editar → Configuración del equipo → Políticas → Configuración de Windows → Configuración de seguridad → Políticas locales → Política de auditoría:
   • Auditar el acceso a objetos → Definir → Éxitos y Fallos
6. Vaya a "Configuración de Política de Auditoría Avanzada" → Políticas de Auditoría → Acceso a Objetos:
   • Auditar el sistema de archivos → Definir → Éxitos y fallos
   • Auditoría de manipulación de Handle → Definir → Éxitos y fallos
7. Vaya al registro de eventos → Defina:
   • Tamaño máximo del registro de seguridad a 4gb
   • Método de retención para el registro de seguridad en "Sobrescribir eventos según sea necesario"
8. Para vincular la nueva GPO a la OU con servidores de archivos, vaya a "Group Policy Management" → Haga clic derecho en la OU definida → Elija "Link an Existing GPO" → Seleccione la GPO que ha creado.
9. Para forzar la actualización de la política de grupo, vaya a "Group Policy Management" → Haga clic derecho en la OU definida → Haga clic en "Group Policy Update".
10. Abra el Visor de Eventos → Busque en los Registros de Seguridad de Windows el ID de evento 4656 con la palabra clave "Auditoría Fallida", la categoría de tarea "Servidor de Archivos" o "Almacenamiento Extraíble" y con las cadenas "Accesos: READ_CONTROL" y Razones de Acceso: "WriteData (o AddFile) No concedido". "Sujeto: ID de Seguridad" le mostrará quién intentó cambiar un archivo.

Netwrix Auditor for Windows File Servers

• Ejecute Netwrix Auditor → Vaya a “Buscar” → Haga clic en “Modo avanzado” si no está seleccionado → Configure los siguientes filtros:
  • Filter = “Fuente de datos”
    Operator = “Igual”
    Value = “Servidores de archivos”
  • Filter = “Action”
    Operator = “Equals”
    Value = “Modify (Failed Attempt)”
• Haga clic en el botón “Buscar” y revise quién intentó modificar archivos y carpetas en su servidor de archivos.

Para crear una alerta sobre intentos fallidos de modificar un archivo o una carpeta, haga lo siguiente:

• Desde los resultados de búsqueda, navegue hasta “Herramientas” → Haga clic en “Crear alerta” → Especifique el nombre de la nueva alerta.
• Cambie a la pestaña “Destinatarios” → Haga clic en "Añadir destinatario" → Especifique la dirección de correo electrónico donde desea que se entregue la alerta.
• Haga clic en “Agregar” para guardar la alerta.