Auditoría de acciones de un dispositivo cliente remoto
La aplicación permite la auditoría de las acciones del administrador en dispositivos cliente remotos que ejecutan Windows. Durante la auditoría, la aplicación guarda en el dispositivo información sobre los archivos que el administrador ha abierto o modificado. La auditoría de las acciones del administrador puede realizarse cuando se cumplen estas condiciones:
La licencia de Administración de vulnerabilidades y parches está en uso.
El administrador dispone del derecho para iniciar el acceso compartido al escritorio del dispositivo remoto.
Para habilitar la auditoría de acciones en un dispositivo cliente remoto:
En el árbol de consola, seleccione el grupo de administración para el que debe configurar la auditoría de acciones del administrador.
En el espacio de trabajo del grupo, seleccione la tabla Directivas.
Seleccione una directiva del Agente de red de Kaspersky Security Center y, a continuación, seleccione Propiedades en el menú contextual de la directiva.
En la ventana de propiedades de la directiva, seleccione la ficha Uso compartido del escritorio de Windows.
Selecciona la casilla de verificación Activar auditorías.
En las listas Máscaras de los archivos que se deben supervisar cuando se leen y Máscaras de archivos que supervisar cuando se modifiquen, añada máscaras de archivos en las que la aplicación debe supervisar las acciones durante la auditoría.
De forma predeterminada, la aplicación supervisa acciones en archivos con extensiones txt, rtf, doc, xls, docx, xlsx, odt y pdf.
Haga clic en el botón Aceptar para guardar los cambios y cerrar la ventana de propiedades de la directiva.
De este modo, queda configurada la auditoría de las acciones del administrador en el dispositivo remoto del usuario con acceso a escritorio compartido.
Las acciones del administrador en el dispositivo remoto se registran:
En el registro de eventos del dispositivo remoto.
En un archivo con extensión syslog ubicado en la carpeta de instalación del Agente de red en el dispositivo remoto (p. ej., C:\ProgramData\KasperskyLab\adminkit\1103\logs).
En la base de datos de eventos de Kaspersky Security Center.