Sobre Auditoria. Urgente por favor

08/02/2005 - 10:59 por t | Informe spam
Ya he comentado esta pregunta anteriormente, pero necesito soporte:

Me han eliminado una carpeta sobre la que se estaba haciendo
auditoria,"Elimnar carpetas y subcarpetas", y audite acceso a objetos, pero
en el eventvwr, donde pone quien ha eliminado esa carpeta o esos archivos??.

Os dejo post anterior


En 2003 usa gpupdate, aunque a estas horas ya se debería haber actualizado
la política sin necesidad de forzarla.

Saludos

José Antonio Quílez
Sevilla - España
http://msmvps.com/quilez/

"jaime" <jaime@hotmail.com> escribió en el mensaje
news:uFu4eB6CFHA.4052@TK2MSFTNGP15.phx.gbl...

En windows 2003 no me funciona secedit /refreshpolicy

"José Antonio Quílez [MS MVP]" <jquilezl.mvp@mvps.org> escribió en el
mensaje news:O$YTqBuCFHA.464@TK2MSFTNGP15.phx.gbl...

¿La auditoría la tenías habilitada de antes o lo has hecho tras mi


mensaje? Lo digo porque la aplicación de las

directivas no es inmediata, sino que se hace al iniciar el equipo o


periódicamente, por lo que borrar el archivo tras

establecer la auditoría probablemente no aparezca en el visor de sucesos.
Una forma de forzar la aplicación de directivas es ejecutar en W2000


"secedit /refreshpolicy", o en XP un "gpupdate".


Saludos

José Antonio Quílez
Sevilla - España

"jaime" <jaime@hotmail.com> escribió en el mensaje


news:%23OoHertCFHA.2180@TK2MSFTNGP12.phx.gbl...

> Eso lo entiendo Jose, pero he eliminado ese fichero y no pone por


ningun

> lado que ha sido eliminado. La auditoria estaba ya puesta segun me has
> dicho.
>
>
> "José Antonio Quílez [MS MVP]" <jquilezl.mvp@mvps.org> escribió en el
> mensaje news:uNq$titCFHA.2032@tk2msftngp13.phx.gbl...
>> En Administración del equipo - Visor de sucesos - seguridad. Pero sólo


te

> mostrará los eventos a partir de que hayas
>> definido lo que te he puesto en el mensaje anterior; lo anterior no te
> aparecerá.
>>
>> Saludos
>>
>> José Antonio Quílez
>> Sevilla - España
>>
>> "jaime" <jaime@hotmail.com> escribió en el mensaje
> news:Ok7dLQtCFHA.464@TK2MSFTNGP15.phx.gbl...
>> > Donde pone que he eliminado ese archivo ??
>> >
>> >
>> > Tipo de suceso: Aciertos
>> > Origen del suceso: Security
>> > Categoría del suceso: Acceso de objetos
>> > Id. suceso: 560
>> > Fecha: 04/02/2005
>> > Hora: 17:06:46
>> > Usuario: USER
>> > Equipo: SERVER
>> > Descripción:
>> > Objeto abierto:
>> > Servidor de objetos: Security
>> > Tipo de objeto: File
>> > Nombre de objeto: E:\Datos\Administracion\jaime.xls
>> > Id. del identificador: 4896
>> > Id. de operación: {0,15289317}
>> > Id. de proceso: 4
>> > Nombre de proceso:
>> > Nombre de usuario principal: SERVER$
>> > Dominio principal: DOMAIN
>> > Id. de inicio de sesión principal: (0x0,0x3E7)
>> > Nombre de usuario del cliente: USERS
>> > Dominio de cliente: DOMAIN
>> > Id. de inicio de sesión del cliente: (0x0,0xDBE389)
>> > Accesos ReadData (o ListDirectory)
>> >
>> > Privilegios -
>> > Cuenta de Id de seguridad restringida: 0
>> > Máscara de acceso: 0x1
>> >
>> >
>> > Para obtener más información, vea el Centro de ayuda y soporte


técnico

> en
>> > http://go.microsoft.com/fwlink/events.asp.
>> >
>> >
>> >
>> > "José Antonio Quílez [MS MVP]" <jquilezl.mvp@mvps.org> escribió en
>> > el
>> > mensaje news:u$RI70sCFHA.3376@TK2MSFTNGP12.phx.gbl...
>> >> Debes habilitar la auditoría de acceso a objetos mediante políticas


de

>> > seguridad, y después en la raiz del disco o de la
>> >> estructura de carpetas que quieres controlar editas la seguridad,
> opciones
>> > avanzadas, y en Auditoría añades el grupo de
>> >> usuarios que quieres auditar (o todos) y una vez agregado


seleccionas

> que
>> > le audite "eliminar subcarpetas y archivos".
>> >> Los resultados los verás en el visor de sucesos - seguridad.
>> >>
>> >> Saludos
>> >>
>> >> José Antonio Quílez
>> >> Sevilla - España
>> >>
>> >> "jaime" <jaime@hotmail.com> escribió en el mensaje
>> > news:e4TlmUsCFHA.3256@tk2msftngp13.phx.gbl...
>> >> > Cual es el suceso que se crea en el visor de la eliminacion de
>> >> > una
>> > carpeta
>> >> > que ha sido eliminada?.Existe auditoria.
>> >> >
>> >> >
>> >>
>> >>
>> >
>> >
>>
>>
>
>






Preguntas similare

Leer las respuestas

#1 Tomas Hidalgo
08/02/2005 - 22:20 | Informe spam
Estos son los eventos de acceso a objectos. Busca en tu visor de sucesos si
aparece alguno de ellos, porejemplo el 564


560 Access was granted to an already existing object.
562 A handle
handle
In the user interface, an interface added to an object that
facilitates moving, sizing, reshaping, or other functions pertaining to an
object. In programming, a pointer to a pointer, that is, a token that lets a
program access an identified resource.
to an object was closed.
563 An attempt was made to open an object with the intent to delete
it.
Note: This is used by file systems when the FILE_DELETE_ON_CLOSE flag
is specified in Createfile().
564 A protected object was deleted.
565 Access was granted to an already existing object type.
567 A permission associated with a handle was used.
Note: A handle is created with certain granted permissions (Read,
Write, and so on). When the handle is used, up to one audit is generated for
each of the permissions that was used.
568 An attempt was made to create a hard link to a file that is being
audited.
569 The resource manager in Authorization Manager attempted to create
a client context.
570 A client attempted to access an object. Note: An event will be
generated for every attempted operation on the object.
571 The client context was deleted by the Authorization Manager
application.
572 The administrator manager initialized the application.
772 The certificate manager denied a pending certificate request.
773 Certificate Services received a resubmitted certificate request.
774 Certificate Services revoked a certificate.
775 Certificate Services received a request to publish the certificate
revocation list (CRL).
776 Certificate Services published the certificate revocation list
(CRL).
777 A certificate request extension was made.
778 One or more certificate request attributes changed.
779 Certificate Services received a request to shutdown.
780 Certificate Services backup started.
781 Certificate Services backup completed.
782 Certificate Services restore started.
783 Certificate Services restore completed.
784 Certificate Services started.
785 Certificate Services stopped.
786 The security permissions for Certificate Services changed.
787 Certificate Services retrieved an archived key.
788 Certificate Services imported a certificate into its database.
789 The audit filter for Certificate Services changed.
790 Certificate Services received a certificate request.
791 Certificate Services approved a certificate request and issued a
certificate.
792 Certificate Services denied a certificate request.
793 Certificate Services set the status of a certificate request to
pending.
794 The certificate manager settings for Certificate Services changed.
795 A configuration entry changed in Certificate Services.
796 A property of Certificate Services changed.
797 Certificate Services archived a key.
798 Certificate Services imported and archived a key.
799 Certificate Services published the CA certificate to Active
Directory.
800 One or more rows have been deleted from the certificate database.
801 Role separation enabled.




"t" escribió en el mensaje
news:%
Ya he comentado esta pregunta anteriormente, pero necesito soporte:

Me han eliminado una carpeta sobre la que se estaba haciendo
auditoria,"Elimnar carpetas y subcarpetas", y audite acceso a objetos,
pero en el eventvwr, donde pone quien ha eliminado esa carpeta o esos
archivos??.

Os dejo post anterior


En 2003 usa gpupdate, aunque a estas horas ya se debería haber actualizado
la política sin necesidad de forzarla.

Saludos

José Antonio Quílez
Sevilla - España
http://msmvps.com/quilez/

"jaime" escribió en el mensaje
news:
En windows 2003 no me funciona secedit /refreshpolicy

"José Antonio Quílez [MS MVP]" escribió en el
mensaje news:O$
¿La auditoría la tenías habilitada de antes o lo has hecho tras mi


mensaje? Lo digo porque la aplicación de las
directivas no es inmediata, sino que se hace al iniciar el equipo o


periódicamente, por lo que borrar el archivo tras
establecer la auditoría probablemente no aparezca en el visor de
sucesos.
Una forma de forzar la aplicación de directivas es ejecutar en W2000


"secedit /refreshpolicy", o en XP un "gpupdate".

Saludos

José Antonio Quílez
Sevilla - España

"jaime" escribió en el mensaje


news:%
> Eso lo entiendo Jose, pero he eliminado ese fichero y no pone por


ningun
> lado que ha sido eliminado. La auditoria estaba ya puesta segun me has
> dicho.
>
>
> "José Antonio Quílez [MS MVP]" escribió en el
> mensaje news:uNq$
>> En Administración del equipo - Visor de sucesos - seguridad. Pero
>> sólo


te
> mostrará los eventos a partir de que hayas
>> definido lo que te he puesto en el mensaje anterior; lo anterior no
>> te
> aparecerá.
>>
>> Saludos
>>
>> José Antonio Quílez
>> Sevilla - España
>>
>> "jaime" escribió en el mensaje
> news:
>> > Donde pone que he eliminado ese archivo ??
>> >
>> >
>> > Tipo de suceso: Aciertos
>> > Origen del suceso: Security
>> > Categoría del suceso: Acceso de objetos
>> > Id. suceso: 560
>> > Fecha: 04/02/2005
>> > Hora: 17:06:46
>> > Usuario: USER
>> > Equipo: SERVER
>> > Descripción:
>> > Objeto abierto:
>> > Servidor de objetos: Security
>> > Tipo de objeto: File
>> > Nombre de objeto: E:\Datos\Administracion\jaime.xls
>> > Id. del identificador: 4896
>> > Id. de operación: {0,15289317}
>> > Id. de proceso: 4
>> > Nombre de proceso:
>> > Nombre de usuario principal: SERVER$
>> > Dominio principal: DOMAIN
>> > Id. de inicio de sesión principal: (0x0,0x3E7)
>> > Nombre de usuario del cliente: USERS
>> > Dominio de cliente: DOMAIN
>> > Id. de inicio de sesión del cliente: (0x0,0xDBE389)
>> > Accesos ReadData (o ListDirectory)
>> >
>> > Privilegios -
>> > Cuenta de Id de seguridad restringida: 0
>> > Máscara de acceso: 0x1
>> >
>> >
>> > Para obtener más información, vea el Centro de ayuda y soporte


técnico
> en
>> > http://go.microsoft.com/fwlink/events.asp.
>> >
>> >
>> >
>> > "José Antonio Quílez [MS MVP]" escribió en
>> > el
>> > mensaje news:u$
>> >> Debes habilitar la auditoría de acceso a objetos mediante
>> >> políticas


de
>> > seguridad, y después en la raiz del disco o de la
>> >> estructura de carpetas que quieres controlar editas la seguridad,
> opciones
>> > avanzadas, y en Auditoría añades el grupo de
>> >> usuarios que quieres auditar (o todos) y una vez agregado


seleccionas
> que
>> > le audite "eliminar subcarpetas y archivos".
>> >> Los resultados los verás en el visor de sucesos - seguridad.
>> >>
>> >> Saludos
>> >>
>> >> José Antonio Quílez
>> >> Sevilla - España
>> >>
>> >> "jaime" escribió en el mensaje
>> > news:
>> >> > Cual es el suceso que se crea en el visor de la eliminacion de
>> >> > una
>> > carpeta
>> >> > que ha sido eliminada?.Existe auditoria.
>> >> >
>> >> >
>> >>
>> >>
>> >
>> >
>>
>>
>
>











email Siga el debate Respuesta Responder a este mensaje
Ads by Google
Help Hacer una preguntaRespuesta Tengo una respuesta
Search Busqueda sugerida