Para detectar de forma oportuna los intentos de acceso no autorizado en dispositivos finales (así mismo, los realizados con éxito) y tomar medidas correspondientes, se recomienda usar la auditoria de seguridad.
Para realizarlo:
Entre en el Panel de control → Administración → Directiva de seguridad local → Configuración de la directiva de auditoria avanzada → Acceso a objetos → → Auditoria de sistema de archivos. Active la auditoria del sistema de archivos para éxito y rechazo.
Luego active la auditoria para la carpeta necesaria:
abra las propiedades de la carpeta de acceso compartido → pestaña Seguridad → Extra → pestaña Auditoria → Modificar → Añadir;
indique a los usuarios para los cuales es necesario llevar la auditoria. Establezca Todo, nivel de aplicación – Para esta carpeta y sus subcarpetas y archivos;
indique las acciones cuya auditoria se realizará: Creación de archivos/escritura extra de datos, Creación de carpetas/escritura extra de datos, Eliminación de subcarpetas y archivos y simplemente Eliminación. Para todas las acciones seleccione la auditoria para el éxito y el rechazo.
Luego en el registro de eventos de seguridad aparecerán los eventos de acceso a archivos y carpetas.
Si en el sistema con auditoria ya configurada el antivirus responde a algún cambio en el sistema de archivos, sin falta recuerde la hora de esta respuesta para compararla con los eventos en el registro de seguridad.
Para consultar los códigos de eventos de seguridad, consulte el sitio web oficial de Microsoft.
