Auditoria en Windows 2000 Profesional

Puedes auditar que se borra, modifica o crea un fichero, pero no con qué
aplicación se ha abierto. Esto se realiza con auditorías de objetos.

Para realizar las auditorías de objetos, primero hay que activarlas, por
medio de una GPO si queremos que afecten a varios equipos de nuestro dominio
o si no como política del sistema (gpedit.msc) en el equipo en el que
queramos activarla. Para ello hay que activar la directiva "Configuración
del equipo\Configuración de Windows\Configuración de seguridad\Directivas
locales\Directiva de auditoría\Auditar el acceso a objetos". Al ectivarla,
puedes establecer que se registren los éxitos y/o los fracasos a la hora de
acceder al objeto.

Una vez activada la auditoría hay que realizar la auditoría en sí de los
objetos (en tu caso ficheros y carpetas) que nos interese. Para ello hacemos
click derecho sobre ellos, pestaña seguridad (sólo se pueden realizar
auditorías sobre particiones NTFS), botón avanzadas y en la pestaña
"Auditorías" establecemos las que queramos hacer y a quíén afecta.

Una última cosa. Las auditorías hay que tender a hacerlas lo más
restrictivas posible en su alcance (es decir, en el número de usuarios a los
que afectará) y en el número de objetos a los que se hará ¿Por qué? Porque
cada vez que un usuario al que afecte la auditoría abra (por ejemplo) un
documento, lo primero que se hará será registrar este hecho, antes que abrir
el documento en sí; si el documento está compartido en un servidor y éste
tiene muchas auditorías, comprenderás que va a bajar mucho su rendimiento y
además se le llenará rápidamente el visor de eventos de seguridad.

Ya que he mencionado el visor de eventos de seguridad: conviene hagas click
derecho sobre este registro (carpeta seguridad en el visor de eventos) y que
marques la opción "No sobreescribir sucesos (borrado manual del registro)" y
que a continuación actives la política "Configuración del
equipo\Configuración de Windows\Configuración de seguridad\Directivas
locales\Opciones de seguridad\Apagar el sistema de inmediato si no se puede
registrar auditorías de seguiridad". De esta forma evitarás que se
sobreescriban sucesos y se apagará el equipo cuando el registro esté lleno:
el usuario te avisará que se le ha apagado el equipo, lo encenderás, te
logarás como administrador y vaciarás (guardandlo antes) el registro de
seguridad.

Un saludo
Fernando Reyes [MS MVP]

(Deja que te huelan los sobacos para escribirme)

Visita news://marcmcoll.net cortesía de Marc Martínez Coll

"Scotti, Gustavo Eduardo" escribió en el mensaje
news:

Hola grupo
hay alguna forma que el W2K me haga una auditoria sobre lo que se
hace en la PC
ejemplo
si abren el word que lo registre
si borran algun archivo tambien
si mueven archivos
si imprimen
bueno, ya saben, todo lo que se haga en esa PC
si no puede hacerlo el W2K hay algun programa que si lo haga?
gracias

P.D.: si lo hace el W2K pueden explicarme con detalles como activarlo?