Auditar acceso a recursos administrativos

21/07/2006 - 17:47 por Gustavo Vargas | Informe spam
Hola

Alguien sabe si cuando se realiza el mapeo de una unidad (C$, ADMIN$, D$,
etc.), se genera un evento en el event viewer, ya se en la maquina destino o
en la local?, y cual seria el ID de ese evento?.

De que otra forma podría auditar el acceso a esos recursos?

Gracias, Saludos.

Gustavo Francisco Vargas
gvargas@internetsecurity.com.mx

Preguntas similare

Leer las respuestas

#1 Manuel Maza
25/07/2006 - 10:51 | Informe spam
Hola,

ejecuta el comando gpedit.msc
expande \configuracion de equipo\configuracin de Windows\configuracion de
seguridad\politicas locales \politicas de auditoria

selecciona las dos opciones en "auditoria de acceso a objetos"
"Gustavo Vargas" wrote in message
news:
Hola

Alguien sabe si cuando se realiza el mapeo de una unidad (C$, ADMIN$, D$,
etc.), se genera un evento en el event viewer, ya se en la maquina destino
o en la local?, y cual seria el ID de ese evento?.

De que otra forma podría auditar el acceso a esos recursos?

Gracias, Saludos.

Gustavo Francisco Vargas



Respuesta Responder a este mensaje
#2 Gustavo Vargas
25/07/2006 - 18:20 | Informe spam
Hola,

Con eso logro activar la auditoria local, la cual ya esta activa.

Sin embargo el problema es que no existe un evento como tal que indique que
se han conectado a un "Administrative Share", se generan eventos en el log
de seguridad, pero son eventos de logeo, los cuales también pudieran ser
generados por un servicio, agente, etc.

Como los eventos de logeo no me indican que recurso se accede, no hay forma
de identificar a donde se realizo el acceso ya que esos eventos se generan
si entro a \\Maquina\C$ o a \\Maquina\Compartido.

Lo que busco es una forma de auditar únicamente el acceso a los recursos
administrativos (C$, ADMIN$, PRINT$, IPC$, etc.)

Saludos.


"Manuel Maza" escribió en el mensaje
news:
Hola,

ejecuta el comando gpedit.msc
expande \configuracion de equipo\configuracin de Windows\configuracion de
seguridad\politicas locales \politicas de auditoria

selecciona las dos opciones en "auditoria de acceso a objetos"
"Gustavo Vargas" wrote in message
news:
Hola

Alguien sabe si cuando se realiza el mapeo de una unidad (C$, ADMIN$, D$,
etc.), se genera un evento en el event viewer, ya se en la maquina
destino o en la local?, y cual seria el ID de ese evento?.

De que otra forma podría auditar el acceso a esos recursos?

Gracias, Saludos.

Gustavo Francisco Vargas







Respuesta Responder a este mensaje
#3 Rodolfo Parrado Gutiérrez [MVP]
25/07/2006 - 21:02 | Informe spam
los unicos que pueden acceder esos recursos son los que pertenezcan al grupo administradores locales de cada maquina... porque hay gente con es e password accediendo?

Rodolfo Parrado Gutiérrez
https://mvp.support.microsoft.com/p...9D07FF1244
Bogotá - Colombia
¬¬-
MVP Windows Server Security
MCT, MCSE, MCSA, MCDST, MCP+I
¬¬-
Este mensaje se proporciona "como está" sin garantías de ninguna índole, y
no otorga ningún derecho.

¬¬-
"Gustavo Vargas" wrote in message news:
Hola,

Con eso logro activar la auditoria local, la cual ya esta activa.

Sin embargo el problema es que no existe un evento como tal que indique que
se han conectado a un "Administrative Share", se generan eventos en el log
de seguridad, pero son eventos de logeo, los cuales también pudieran ser
generados por un servicio, agente, etc.

Como los eventos de logeo no me indican que recurso se accede, no hay forma
de identificar a donde se realizo el acceso ya que esos eventos se generan
si entro a \\Maquina\C$ o a \\Maquina\Compartido.

Lo que busco es una forma de auditar únicamente el acceso a los recursos
administrativos (C$, ADMIN$, PRINT$, IPC$, etc.)

Saludos.


"Manuel Maza" escribió en el mensaje
news:
Hola,

ejecuta el comando gpedit.msc
expande \configuracion de equipo\configuracin de Windows\configuracion de
seguridad\politicas locales \politicas de auditoria

selecciona las dos opciones en "auditoria de acceso a objetos"
"Gustavo Vargas" wrote in message
news:
Hola

Alguien sabe si cuando se realiza el mapeo de una unidad (C$, ADMIN$, D$,
etc.), se genera un evento en el event viewer, ya se en la maquina
destino o en la local?, y cual seria el ID de ese evento?.

De que otra forma podría auditar el acceso a esos recursos?

Gracias, Saludos.

Gustavo Francisco Vargas











Respuesta Responder a este mensaje
#4 Gustavo Vargas
25/07/2006 - 21:26 | Informe spam
Porque son administradores, son pocas personas las que accesan a esos
recursos, pero me interesa tener la auditoria sobre cuando entran a esos
recursos (Servidores).

Gracias, Saludos
Respuesta Responder a este mensaje
#5 Rodolfo Parrado Gutiérrez [MVP]
25/07/2006 - 22:58 | Informe spam
el problema es que si son administradores para ellos es muy facil borrar los logs de auditoria...

Rodolfo Parrado Gutiérrez
https://mvp.support.microsoft.com/p...9D07FF1244
Bogotá - Colombia
¬¬-
MVP Windows Server Security
MCT, MCSE, MCSA, MCDST, MCP+I
¬¬-
Este mensaje se proporciona "como está" sin garantías de ninguna índole, y
no otorga ningún derecho.

¬¬-
"Gustavo Vargas" wrote in message news:
Porque son administradores, son pocas personas las que accesan a esos
recursos, pero me interesa tener la auditoria sobre cuando entran a esos
recursos (Servidores).

Gracias, Saludos


Respuesta Responder a este mensaje
Ads by Google
Help Hacer una preguntaSiguiente Respuesta Tengo una respuesta
Search Busqueda sugerida