Para aplicar directivas de auditoría a archivos y carpetas individuales en el equipo, configure el tipo de permiso para que registre los intentos de acceso correctos o incorrectos en el registro de seguridad.

Administradores locales es la pertenencia al grupo mínima necesaria para completar este procedimiento. Revise los detalles en la sección "Consideraciones adicionales" de este tema.

Para aplicar o modificar la configuración de directiva de auditoría de un archivo o carpeta local
  1. Abra el Explorador de Windows.

  2. Haga clic con el botón secundario en el archivo o carpeta que desee auditar, haga clic en Propiedades y, a continuación, en la ficha Seguridad.

  3. Haga clic en Editar y, a continuación, haga clic en Opciones avanzadas.

    Nota

    Si no inició sesión como miembro del grupo Administradores en este equipo, debe proporcionar las credenciales administrativas para continuar.

  4. En el cuadro de diálogo Configuración de seguridad avanzada para <objeto>, haga clic en la ficha Auditoría.

  5. Realice uno de los siguientes pasos:

    • Para configurar la auditoría para un usuario o grupo nuevo, haga clic en Agregar. En Escriba el nombre del objeto a seleccionar, escriba el nombre del usuario o grupo que desee y, a continuación, haga clic en Aceptar.

    • Para quitar la auditoría para un grupo o usuario existente, haga clic en su nombre, en Quitar, en Aceptar y, a continuación, omita el resto de este procedimiento.

    • Para ver o cambiar la auditoría de un grupo o usuario existente, haga clic en su nombre y, a continuación, haga clic en Editar.

  6. En el cuadro Aplicar en, haga clic en la ubicación donde desee que se realice la auditoría.

  7. En el cuadro Acceso, indique las acciones que desea auditar; para ello, active las casillas adecuadas:

    • Para auditar los eventos correctos, active la casilla Correcto.

    • Para dejar de auditar los eventos correctos, desactive la casilla Correcto.

    • Para auditar los eventos erróneos, active la casilla Incorrecto.

    • Para dejar de auditar los eventos erróneos, desactive la casilla Incorrecto.

    • Para dejar de auditar todos los eventos, haga clic en Borrar todo.

  8. Si desea evitar que los archivos y las subcarpetas siguientes del objeto original hereden estas entradas de auditoría, active la casilla Aplicar estos valores de auditoría sólo a los objetos y/o contenedores dentro de este contenedor.

Importante

Antes de configurar la auditoría de archivos y carpetas, debe habilitar la auditoría de acceso a objetos; para ello, defina la configuración de directiva de auditoría para la categoría de eventos de acceso a objetos. Si no habilita la auditoría de acceso a objetos, aparecerá un mensaje de error al configurar la auditoría para archivos y carpetas, y no se auditará ningún archivo ni carpeta.

Consideraciones adicionales

  • Debe haber iniciado sesión como miembro del grupo Administradores o debe tener concedido el derecho para Administrar registro de auditoría y seguridad en Directiva de grupo para realizar este procedimiento.

  • Para abrir el Explorador de Windows, haga clic en Inicio, seleccione Todos los programas, haga clic en Accesorios y, a continuación, haga clic en Explorador de Windows.

  • Después de habilitar la auditoría de acceso a objetos, consulte el registro de seguridad en el visor de eventos para revisar el resultado de los cambios.

  • Sólo puede configurar la auditoría de archivos y carpetas en unidades NTFS.

  • Si observa una de las situaciones siguientes, se ha heredado la auditoría de la carpeta principal:

    • En el cuadro de diálogo Entrada de auditoría para <archivo o carpeta>, en el cuadro Acceso, las casillas no están disponibles.

    • En el cuadro de diálogo Configuración de seguridad avanzada para <archivo o carpeta>, el botón Quitar no está disponible.

  • Debido a que el registro de seguridad tiene un límite de tamaño, seleccione cuidadosamente los archivos y carpetas que se auditarán. Considere también la cantidad de espacio en disco que desea dedicar al registro de seguridad. El tamaño máximo del registro de seguridad se define en el visor de eventos.

Referencias adicionales


Tabla de contenido