Este tutorial le mostrará cómo auditar quién eliminó un archivo en una computadora que ejecuta Windows.

Nuestro tutorial le enseñará todos los pasos necesarios para habilitar la función de auditoría de objetos en una computadora con Windows 2012.

• El controlador de dominio ejecuta Windows 2012 R2.

• Las computadoras del dominio ejecutan Windows 7 y Windows 10.

Lista de Hardware:

La siguiente sección presenta la lista de equipos utilizados para crear este tutorial de Windows.

Todas las piezas de hardware mencionadas anteriormente se pueden encontrar en el sitio web de Amazon.

Windows Playlist:

En esta página, ofrecemos acceso rápido a una lista de videos relacionados con Windows.

No olvides suscribirte a nuestro canal de youtube llamado FKIT.

Tutoriales Relacionados con Windows:

En esta página, ofrecemos acceso rápido a una lista de tutoriales relacionados con Windows.

Tutorial - Configurar el Objeto GPO de Auditoría

Primero, debemos habilitar la función de auditoría de objetos para todo el dominio.

Las siguientes tareas se ejecutaron en un controlador de dominio que ejecuta Windows 2012 R2 con Active Directory.

Haga clic en el menú Inicio, ubique y abra la herramienta de administración de directivas de grupo.

En la pantalla Administración de directivas de grupo, ubique la carpeta denominada Objetos de directiva de grupo.

Haga clic con el botón derecho en el objeto de directiva de grupo denominado Directiva de dominio predeterminada y seleccione la opción Editar.

Default Domain Policy

En la pantalla del editor de políticas de grupo, se presentarán las configuraciones de usuario y las configuraciones de computadora.

Cambiaremos solo las configuraciones de la computadora.

No necesitamos cambiar ninguna configuración de usuario.

En la pantalla del editor de políticas de grupo, expanda la carpeta Configuración del equipo y localice el siguiente elemento.

• Configuración del equipo> Políticas> Configuración de Windows> Configuración de seguridad> Políticas locales> Política de auditoría

GPO Audit Policy

A la derecha, se presentará la lista de opciones de configuración disponibles.

Windows 2012 audit deleted objects

Haga doble clic en el elemento de configuración denominado: Auditar objeto de acceso.

Habilitar las siguientes configuraciones de seguridad:

• Definir esta configuración de política
• el éxito
• fracaso

Audit Object Access Properties

Para finalizar la creación de la política de grupo, debe cerrar la ventana del editor de políticas de grupo.

Solo cuando cierre la ventana de la política de grupo, el sistema guardará su configuración.

Tutorial - Habilitar el Objeto GPO de Auditoría

Ahora, necesitamos habilitar la función de auditoría de objetos en los archivos y carpetas deseados.

En nuestro ejemplo, vamos a habilitar la auditoría de objetos en una carpeta llamada TECHEXPERT.

Primero, crea una carpeta llamada TECHEXPERT.

Segundo, haga clic derecho en la carpeta y seleccione la opción Propiedades.

Windows Object Audit folder

En la pantalla Propiedades, acceda a la pestaña Seguridad y haga clic en el botón Avanzado.

Windows audit deleted files- Security advanced

En la pantalla Configuración de seguridad avanzada, acceda a la pestaña Auditoría y haga clic en el botón Agregar.

Windows object add auditing

En la nueva pantalla, haga clic en Seleccionar una opción principal.

Auditing entry file object

Ingrese el grupo llamado Todos y haga clic en el botón Aceptar.

Add group everyone

Realice la siguiente configuración:

• Tipo - Todos

• Se aplica a: esta carpeta, subcarpetas y archivos

Audit deleted files windows

En el área Permisos avanzados, haga clic en la opción Mostrar permisos avanzados.

Windows Audit object basic permissions

En el área Permisos avanzados, habilite solo las siguientes opciones:

• Eliminar subcarpetas y archivos.
• Borrar.

Windows audit deleted file and folders

Haga clic en el botón Aceptar para cerrar la ventana.

Haga clic en el botón Aceptar.

Haga clic en el botón Aceptar.

Reinicie la computadora para habilitar la política de grupo de auditoría de objetos.

En nuestro ejemplo, habilitamos la auditoría de objetos en una carpeta llamada TECHEXPERT.

Ha finalizado la configuración de auditoría de objeto requerida.

Tutorial - ¿Quién borró mi archivo?

Has terminado la creación del GPO.

Sin embargo, aún debe aprender a descubrir quién eliminó sus archivos.

En nuestro ejemplo, le mostraremos todos los pasos necesarios para detectar quién eliminó sus archivos.

Primero, vamos a crear un archivo de texto llamado TEST.TXT dentro de la carpeta TECHEXPERT.

Windows audit deleted file

Ahora, borre el archivo TEST.TXT.

Abra la aplicación Visor de eventos de Windows.

En la pantalla del Visor de eventos, expanda los Registros de Windows y seleccione la opción Seguridad.

Event Viewer

Haga clic derecho en el registro de seguridad y seleccione la opción Buscar.

Ingrese el nombre del archivo eliminado y haga clic en el botón Buscar.

Windows log find deleted files

Encontrará un ID de visor de eventos 4663 con los detalles del archivo eliminado.

Windows who deleted my file

En nuestro ejemplo, detectamos que el administrador eliminó el archivo TEST.TXT.