Auditoría de archivos con LepideAuditor

Expuesta la necesidad de auditar archivos en nuestras empresas, es el turno de ver de cerca la solución para servidor de archivos que nos proporciona el fabricante Lepide. Si bien dispone de un amplio abanico de soluciones de auditoría (Active Directory, Exchange, SQL, SharePoint, visor de eventos, etc…), en esta entrada se despliega la auditoría para servidores de archivos llamada LepideAuditor que puede auditar servidor de archivos Windows y el servicio de archivos de cabinas NetApp.

LepideAuditor es una solución simple y fácil de utilizar, que hace su trabajo sin complicaciones dando visibilidad de las modificaciones a los sistemas de archivos según las reglas definidas por nosotros.

Podeis descargar una versión de prueba desde su web: http://www.lepide.com/file-server-audit

La aplicación se divide en cuatro componentes: Consola de configuración, Consola de informes, base de datos y agentes. La Consola de configuración y de Informe se instalan en el equipo o equipos de los que necesitamos generar los informes y gestionar la configuración. La base de datos va aparte y se puede utilizar un Microsoft SQL Express 2005 o superior, pero lo más recomendable es hacerlo con un Microsoft SQL Server, a partir de la versión 2000 de SQL Server. Los agentes se distribuyen en los propios servidores de archivos, sin necesidad de instalar nada más que un servicio de forma remota para llevar a cabo las auditorías.

Instalación

La consola de gestión, se puede instalar en cualquier equipo desde Windows Server 2000 o superior, o bien en clientes Windows XP o superiores. Una vez descargado el archivo de instalación, hacer doble clic en el archivo para instalarlo.

Nos da la bienvenida al instalador, hacer clic en el botón Siguiente.

Aceptar los términos de licencia y hacer clic en el botón Siguiente.

Ubicación de la aplicación, indicar el lugar que se crea oportuno y hacer clic en el botón Siguiente.

Nombre para el grupo de programas del menú Inicio, se puede dejar por defecto. Hacer clic en el botón Siguiente.

Tareas adicionales para crear iconos, también se puede dejar tal cual, hacer clic en el botón Siguiente.

Resumen de la instalación, hacer clic en el botón Install.

El sistema copia y hace las modificaciones necesarias para instalar la aplicación hasta finalizar, así de rápido y sencillo. Hacer clic en el botón Finish para lanzar la consola de configuración.

Se acaba de instalar el producto y se ha iniciado la consola de configuración. Lo primero que nos encontramos es un resumen de los servidores de archivos que se están auditando por LepideAuditor. Es lo primero que se tiene que hacer, dar de alta al menos un servidor de archivos para auditar. Para la consola de configuración se crean las reglas y políticas de auditoría; así como la configuración de los mensajes de alertas y copias de seguridad de la aplicación.

Configurar un servidor de archivos Windows para auditar con LepideAuditor

Desde la consola de configuración de LepideAuditor, en la parte principal, hacer clic en el botón agregar servidor de archivos, donde se pide si es un servidor Windows o una cabina NetApp. Hacer clic en Servidor de archivos Windows.

Indicar la dirección del servidor de archivos Windows, se puede hacer por nombre FQDN o por IP, así como el dominio al que pertenece y un usuario administrador para poder hacer cambios. Hacer clic en el botón Siguiente cuando todo esté correcto.

Indicar el servidor de bases de datos SQL Server, un usuario para autenticarse en la base de datos y la base de datos donde almacenar los registros. El usuario de acceso a la base de datos es mejor que sea de autenticación SQL Server (no de Windows) y tener asignada por defecto la base de datos de auditoría. Si no, el agente no registra los datos en la base de datos y por lo tanto no se pueden consultar los registros, si lo hace localmente a la espera de poder volcar todos los registros, por lo que no se pierde la auditoría. Si es la primera vez que instalamos el programa, lo adecuado será crear una de nueva, sino, se selecciona la base de datos que corresponda. En este apartado también nos da la posibilidad de descargar una versión SQL Express y instalarla en caso de que no dispongamos de un servidor SQL Server a mano. Si utilizáis la versión Express, recordad el límite de los 10 GB para base de datos y el uso de un único procesador para SQL Server 2014 y 2016. Hacer clic en Siguiente para continuar.

Se procede a instalar el agente en el servidor de archivos Windows. Comprobar que la instalación sea correcta y hacer clic en el botón Finalizar.

Como que se ha añadido un nuevo servidor, se nos pide para aplicar las reglas de auditoría. Hacer clic en el botón Si para crear o seleccionar la regla a aplicar.

Dejar marcada la opción Crear una nueva regla. Indicar un nombre identificativo para la regla. Seleccionar el servidor de archivos donde aplicar la regla. Hacer clic en el botón Siguiente.

Política de Auditoría a aplicar:

• Auditar todos los eventos, solo en los recursos compartidos, ¿crear una nueva política? La aplicación es muy flexible en este aspecto.
• Política de usuarios individuales
• Política de grupo

Seleccionar: Seleccionar política > Crear nueva política.

Automáticamente se inicia el cuadro de diálogo para crear una nueva política de auditoría con una serie de objetos que se pueden auditar: Carpetas, máscaras de archivos, procesos, eventos, tiempo.

Pongamos por ejemplo que queremos auditar un servidor de archivos que contiene una carpeta empresa con subcarpetas para los diferentes departamentos. Seleccionando el objeto Carpeta y hacer clic en el botón Agregar. Se nos permite especificar la carpeta raíz a partir de la cual haremos la auditoría.

¿Y si sólo se quieren auditar los archivos Word de esta carpeta? En Objetos seleccionar máscara de archivos y hacer clic en Agregar. Se nos permite añadir los tipos de archivos que se quieren auditar, por ejemplo, *.docx. Pero, además, que sólo lo haga en un período de tiempo concreto, que lo haga durante los fines de semana. Seleccionar el objeto Tiempo y hacer clic en el botón Agregar. Indicar la franja horaria y los días a llevar a cabo la auditoría.

En este aspecto la aplicación es muy flexible y se adapta bien a la mayoría de necesidades. Hacer clic en el botón OK para crear la política.

Volviendo a la pregunta de política a utilizar, seleccionar la que se acaba de crear. Hacer clic en el botón Siguiente.

¿Auditaremos todos los usuarios o unos usuarios o grupo de usuarios en concreto, o todos menos unos en concreto? Configurar como se crea conveniente a las necesidades.

Por ejemplo, se puede auditar para todos, menos para los Administradores del dominio (aunque no sea nada correcto). En Audit User, seleccionar Excluir los usuarios seleccionados. Hacer clic en el botón Agregar Grupo.

Hacer clic en el botón Crear un nuevo grupo de usuarios en la lista. Introducir el nombre del grupo y añadir los usuarios, grupos o Unidades Organizativas que corresponda. Dejar marcada la opción de política Audit All.

Marcar el checkbox del grupo que se acaba de crear y hacer clic en el botón OK.

Hacer clic en el botón Siguiente para continuar.

Configuración del servicio de alertas cuando pase alguna cosa (se define en la Consulta) concreta sobre esta política: envía un correo electrónico, una notificación por red (poco recomendable) o un SMS. Personalmente, prefiero el correo electrónico.

Recordar al configurar el servidor de correo, tenemos la oportunidad haciendo clic en el botón Server Settings y introducir los datos típicos.

Crear la consulta para los avisos de correo electrónico haciendo clic en la opción del desplegable Crear nueva consulta. Indicar el nombre de la consulta y las opciones de máscara de archivo, nombre del proceso, ubicación, nombre del evento (creación, borrar, mover, cambiar el nombre, copiar, etc…) que debe coincidir para generar la alerta.

Asignar la dirección de correo electrónico donde enviar las notificaciones y hacer clic en el botón Finalizar para crear la regla.

Notar que en la parte superior hay una advertencia que se tienen que actualizar los servidores con las reglas. Si, podemos hacer todas las modificaciones que queramos, pero no entran automáticamente en servicio. Cuando todas estén listas, se envía a todos los servidores a la vez.

Botón derecho sobre la barra y hacer clic en la opción Update Agent.

Seleccionar el/los servidores de archivos donde aplicar las modificaciones del agente y hacer clic en Siguiente.

¡Aplicadas correctamente las nuevas reglas, ya se han empezado a auditar los accesos! Hacer clic en el botón Finalizar.

Revisar o modificar la configuración

Desplazándonos por las diferentes opciones se pueden cambiar al vuelo las reglas y políticas establecidas. Recordar después de hacer todas las modificaciones pertinentes enviar los cambios a los agentes.

Audit Rules. Para las reglas de auditoría. Qué auditar, a quien, qué alertas se ejecutarán.

Audit Policies. Para las políticas de auditoría que se seleccionan para las reglas anteriores y definen qué y cómo auditar.

User Group. Grupos de usuarios de la aplicación donde se aplican las reglas.

Message Settings. Configuración del correo electrónico, notificaciones de red o SMS.

Alert Queries. Las consultas para asignar una alerta.

Backup & Restore. La gestión de las copias de seguridad de la propia aplicación.

En cuanto a configuración eso es todo, no es necesario nada más. Ahora sólo ¡toca probarlo y ver los informes de auditoría!

Consultando la Auditoría de archivos de LepideAuditor

Se puede acceder por el icono de la aplicación en concreto: Report Console o bien, desde la consola de configuración, hacer clic en el botón de la barra de herramientas de Report Console.

Al ser la primera vez se nos pide por la ubicación de la base de datos. Indicar los parámetros que corresponden y hacer clic en el botón OK.

Y aquí tenemos la potencia real de la aplicación, el resultado de una forma clara y que se puede filtrar según las necesidades. Saber el cuando, quien, que, como, desde donde.

Desde, la propia auditoría de la aplicación en Software Activity Reports > Activity Details con la respuesta al ¿Quien, Cuando, Qué?

En todos los informes de auditoría que están recogiendo de los servidores de archivos Windows y cabinas NetApp. En el ejemplo figura el acceso por parte del usuario secre a los documentos departamentales, siempre y cuando sean archivos Word.

Ya que la creación y modificación de archivos Excel, tal y como marca la política, no registra su actividad. En el ejemplo, se ha creado un archivo Excel que no aparece en el listado de auditoría.

Los filtros para saber qué ha pasado y cuando son muy intuitivos y fáciles de utilizar mediante el árbol de opciones de la izquierda. Que al seleccionarlos, se acaba de afinar con las opciones necesarias a fin de poder generar un informe para imprimir o guardar.

También se puede programar su envío por correo electrónico con diferentes formatos y periodicidad al responsable que corresponda.

En definitiva, la auditoría de archivos te permite tener visibilidad de lo que pasa por el sistema de archivos. De esta forma terminamos con las típicas respuestas de «ha desaparecido la carpeta de presupuestos» y que misteriosamente nadie lo ha hecho, ¿quien ha borrado el informe trimestral? nadie, naturalmente, etc…

LepideAuditor es una herramienta sencilla, pero a la vez muy potente que permite disponer de la total visibilidad de lo que pasa en el sistema de archivos, no sólo para saber quien accede a los archivos por cumplimiento de normas o leyes como la LOPD, sino también para saber las operaciones que se llevan a cabo y hacer las correcciones oportunas.

¿Te ha gustado el artículo? Lo puedes compartir en las redes sociales. También puedes dejar tu opinión, comentario o sugerencia. ¡Gracias!

Similar Posts by The Author:

• Microsoft SQL Server con SMB3
• Microsoft SQL Server amb SMB3
• Containers en Linux
• Containers amb Linux
• Migrar el servidor de archivos a Windows Server 2019
• Migrar el servidor de fitxers a Windows Server 2019
• Puerta enlace a Azure en el Windows Admin Center
• Porta enllaç a Azure en el Windows Admin Center
• Hola mundo! WordPress 5 y Gutenberg
• Hola món! WordPress 5 i Gutenberg