He recibido muchas consultas preguntando si se puede tener un registro del acceso a objetos, o como habilitar la auditoria de acceso a objetos.  Habilitando la auditoria tendremos un registro donde nos indica que accion se realizo, quien la realizo, si pudo o no realizarla y a que hora ocurrio el evento.

Con estos datos podemos mantener un registro que nos permitira hacer un seguimiento de la seguridad de nuestra red. Por ejemplo, si un usuario intenta iniciar sesión en el dominio utilizando una cuenta de usuario y un password incorrecto, el suceso se graba en los logs de seguridad de nuestro controlador de dominio, no en el equipo donde se intentó iniciar sesión. Obviamente esto ocurre porque se esta validando contra un controlador de dominio, que es el equipo que denego esa validacion.

Para habilitar esta opcion, debemos editar las politicas de nuestro dominio, para ello ejecutamos la consola Group Policy Object Editor, y expandemos el arbol de la siguiente manera: Default Domain Policy, computer Configuration, Windows Settings, Security Settings, Local Policy, Audit Policy. En el panel de la derecha podemos observar que el componente Audit object access no esta habilitado, hacemos un doble clic en el y seleccionamos Success y Failure como podemos ver en el siguiente ScreenShoot.

Cerramos todas las ventanas que abrimos, es recomendable forzar a que la politica se aplique mediante el siguiente comando: gpupdate /force y listo, ya se esta auditando los eventos.

Generalmente esta auditoria se complementa con la auditoria de otros eventos, como ser los eventos de logeo a un equipo o dominio, los accesos al Directory Service, etc. Les recomiendo como lectura adicional el siguiente articulo HOW TO: Audit Active Directory Objects in Windows Server 2003

Espero que les sea de utilidad. Saludos, Roberto Di’Lello.