Selamlar Herkeze,
Her admine gelen bir soru vardır.. File server daki dosyayı kim silmiş? Bizlerde genelde bu durum ile ilgili logları açmadığımız için cevap olarak “Bilmem, kim silmiş?” diye cevap veririz.
Bu noktada sunucu sistemlerimiz üzrinde bulunan Folder Auditing özelliğini kullanmamız gerekir. Bu yazımda sizlere bu özelliğin nasıl açılacağını ve açtıktan sonra yağacak olan access log ların nasıl limitlendireceğinizi anlatmaya çalışacağım.
Öncelikle policy tarafında yapılan ayarlar aynen domain ortamında ki policy lerde birden çok makinaya/sunucuya aynı anda uygulanabilir.
İlk olarak gpedit.msc yi açmak gereklidir.
Ardından Bilgisayar Yapılandırılması–>Windows Ayarları–>Güvenlik Ayaları–>Yerel İlkeler–>Denetim İlkesi altında bulunan Nesne Erişimini Denetle Ayarı aktif (Başarılı ve Başarısız seçili olmalıdır.) edilir.
(Computer Configuration–>Windows Settings–>Security Settings–>Local Policies–Audit Policy–> Audit )
Ardından ise yapmanız gereken Bilgisayar Yapılandırılması–>Windows Ayarları–>Güvenlik Ayaları–>Gelişiş Denetim İlkesi Yapılandırılması –>Sistem Denetim İlkeleri –> Nesne Erişimi altındaki gerekli ayarları yapmaktır. Burada aslında nelerin loglanması ve loglanmamasını istediğinizi söylüyorsunuz. Herşeyi loglarsanız bu sefer geriye dönük log tutamazsınız. Daha doğrusu default halinde 1 günlük bile log tutamıyor 🙂 Aşağıdaki resimler benim tercih ettiğim bir konfigurasyon.. Siz kendinize göre değiştirebilirsiniz ama Tanıtıcı Değiştirmeyi Denetle (Audit Handle Manipulation) açık olmak zorunda.
(Computer Configuration–>Windows Settings–>Security Settings–> Advanced Audit Policy Configuration –> System Audit Policies)
Bu noktadaan sonra Başlat –> Cmd yazıp enter a basıyoruz ve yaptığımız policy ayarlarının geçerli olması için “gpupdate” komutunu çalıştırıyoruz.
Bu ayarda bittikten sonra geriye sadece hangi dizinde bunu kontrol edeceğinizi seçmeniz kaldı. Takip etmek istediğiniz dizin üzerine gelin ve sağ tuş ile özelliklere tıklayın. Güvenlik tabına gelin ve Gelişmişe tıklayın. Burada da Denetimler tabına gelin.
Burada Ekle tuşuna basarak klasör üzerinde hangi kullanıcıları yada grupların aktivitelerini takip etmek istiyorsanız onu seçin (everyone seçerseniz herkezi takip eder.) ve tamam deyin.
Bir pencere açılacak ve size hangi eylemler için takip edeyim diye soracaktır. Göreceğiniz üzere aslında sadece silme işlemlerini değil bunun yanında bir çok şeyi daha takip edebiliyoruz. Açılan pencerede “Alt Klasörleri ve Dosyaları Sil” ve “Sil” i işaretleyip tamam diyerek devam ediyoruz.
Artık bu klasörde gerçekleşecek silme olayları olay görüntüleyicisinde Güvenlik kısmına düşmeye başlayacaktır.
Olay görüntüleyicisinde 4663, 4624 ve 5140 olay id lerini filtreleyecek bir filtre oluşturup takip edebilirsiniz.
İyi günler dilerim…
Twitter
Facebook
LinkedIn
GooglePlus
Email