Auditar acceso a recursos administrativos

21/07/2006 - 17:47 por Gustavo Vargas | Informe spam

Hola

Alguien sabe si cuando se realiza el mapeo de una unidad (C$, ADMIN$, D$,
etc.), se genera un evento en el event viewer, ya se en la maquina destino o
en la local?, y cual seria el ID de ese evento?.

De que otra forma podría auditar el acceso a esos recursos?

Gracias, Saludos.

Gustavo Francisco Vargas
gvargas@internetsecurity.com.mx

Siga el debate

6 respuestas

Tengo una respuesta

Preguntas similare

Mostrar todos los temas similares

Leer las respuestas

#6 Gustavo Vargas

25/07/2006 - 23:58 | Informe spam

En esa parte estoy consiente de ello, pero la idea es poder realizar una
copia de el log de auditoria mediante un script o un monitoreo de los
eventos en tiempo real, adicionalmente a la implementacion de politicas y
permisos que dificultarian para algunos administradores el poder verl el log
de auditoria.

La idea es conocer quien logro mapear un recurso administrativo y desde que
maquina, pero por lo que he visto al parecer el sistema operativo no genera
un evento que me pueda proporcionar esos datos.

La opcion que tengo actualmente es activar la auditoria cuando se lea alguna
unidad de disco, lo cual me generaria un evento, y correlacionar ese evento
con los 576, 540 y 538 que se generan al momento de acceder al recurso
administrativo, el problema con esta solucion es que tambien habria muchos
eventos de las lecturas que se realizan localmente a la unidad.

Siga el debate Respuesta

Responder a este mensaje

Ads by Google

Hacer una pregunta

Tengo una respuesta

1 2

Busqueda sugerida