¿Como puedo saber si un usuario se copia archivos a su equipo local?

Gil Romero, Jose Antonio 0 Puntos de reputación
2024-03-27T10:58:20.43+00:00

Hola,

Tengo un file server montado en una máquina windows 2019 server. Me gustaría saber si hay alguna forma de poder saber si un usuario se ha copiado o se ha movido una gran cantidad de datos del servidor a su máquina local.

Actualmente en el visor de eventos puedo ver quien ha accedido, o borrado un archivo, pero no encuentro como puedo ver lo que se han copiado a su entorno local.

Gracias.

Windows Server
Windows Server
Familia de sistemas operativos de servidor de Microsoft que admiten administración de nivel empresarial, almacenamiento de datos, aplicaciones y comunicaciones.
87 preguntas
0 comentarios No hay comentarios
{count} votos

1 respuesta

Ordenar por: Muy útil
  1. Wesley Li 4275 Puntos de reputación
    2024-03-28T13:30:06.78+00:00

    Hola

    Para monitorear las actividades de copia de archivos en su Windows Server, puede seguir estos pasos:

    Configure la política de auditoría “Auditar acceso a objetos”:

    Abra la consola de administración de políticas de grupo (puede ejecutar gpmc.msc).

    Cree un nuevo GPO y vincúlelo al dominio que contiene el servidor de archivos o edite un GPO existente vinculado al dominio correspondiente.

    Navegue hasta Configuración de la computadora ➔ Configuración de Windows ➔ Configuración de seguridad ➔ Políticas locales ➔ Política de auditoría.

    Haga doble clic en Auditar acceso a objetos y seleccione las casillas de verificación Éxito y Fallo.

    Habilite la auditoría de archivos y carpetas:

    Localice el archivo o carpeta específica que desea rastrear.

    Haga clic derecho sobre él y elija Propiedades.

    Vaya a la pestaña Seguridad y haga clic en Avanzado.

    En Configuración de seguridad avanzada, navegue hasta la pestaña Auditoría.

    Haga clic en Agregar para crear una nueva entrada de auditoría.

    Especifique los usuarios cuyo acceso desea auditar (puede utilizar "Todos" para todos los usuarios).

    Elija los tipos de permisos que desea auditar (por ejemplo, leer, escribir, eliminar).

    Guarde los cambios.

    Ver registros de auditoría en el Visor de eventos:

    Cada vez que un usuario acceda al archivo o carpeta seleccionado, se registrará un registro de eventos en el Visor de eventos.

    Abra el Visor de eventos y vaya a Registros de Windows ➔ Seguridad.

    Filtre los registros utilizando los ID de evento 4656 y 4663, que indican el acceso a archivos/carpetas.

    Verá detalles como el nombre de la cuenta del usuario y la hora de acceso.

    Recuerde revisar periódicamente los registros de auditoría para realizar un seguimiento de cualquier actividad de copia de archivos sospechosas. Además, considere utilizar herramientas de terceros como Lepide File Server Auditor o ADAudit Plus para un monitoreo más completo.