Windows Server'da Dosya İşlemlerini İzleme ve Güvenlik Rehberi

Windows Server ortamında dosya işlemlerinin (silme, değiştirme, erişim vb.) izlenmesi, sistem güvenliği ve denetim süreçleri açısından kritik öneme sahiptir. Bu rehberde, sistem yöneticilerinin dosya işlemlerini nasıl etkin şekilde izleyebileceğini, hangi araçları kullanabileceğini ve log analizlerini nasıl gerçekleştirebileceğini adım adım ele alıyoruz.

1. Event Viewer Yapılandırması

Event Viewer'ı Etkin Kullanma

Event Viewer, Windows Server'da dosya erişim ve değişikliklerini izlemek için kullanılan en temel araçlardan biridir. Özellikle aşağıdaki Event ID değerleri, dosya aktivitelerini yakından takip etmek için kritik öneme sahiptir:

• 4663: Nesneye erişim denemeleri
• 4660: Nesne silme işlemleri
• 4656: Nesneye erişim talepleri
• 4658: Nesneye erişim kapatma işlemleri
• 4664: Nesne bağlantıları oluşturma

Event Viewer'da Log Arama

1. Server Manager > Tools > Event Viewer yolunu izleyin.
2. Windows Logs > Security sekmesine gidin.
3. Sağ panelden Filter Current Log seçeneğini tıklayın.
4. Yukarıdaki Event ID’leri girerek logları filtreleyin.

2. Audit Policy Yapılandırması

Group Policy Üzerinden Audit Ayarları

1. Group Policy Management Console’u açın.
2. Default Domain Policy üzerine sağ tıklayın ve düzenleyin.
3. Computer Configuration > Policies > Windows Settings > Security Settings > Advanced Audit Policy Configuration yolunu izleyin.
4. Aşağıdaki politikaları etkinleştirin:

• Object Access > Audit File System
• Object Access > Audit File Share
• Object Access > Audit Handle Manipulation

PowerShell ile Audit Policy Yapılandırma

# Tüm dosya sistemi erişimlerini izleme
auditpol /set /category:"Object Access" /success:enable /failure:enable

# Belirli bir kategoriyi sorgulama
auditpol /get /category:"Object Access"

3. File Server Resource Manager (FSRM) Kullanımı

FSRM Kurulumu

Install-WindowsFeature FS-Resource-Manager -IncludeManagementTools

File Screening ve Storage Reports

• File Screening Management: Belirli dosya türlerini engelleyebilir ve bu eylemleri loglayabilirsiniz.
• Storage Reports Management: Disk kullanım analizi, büyük dosya raporları ve kopya dosya tespiti yapılabilir.

4. PowerShell ile Log Analizi

Dosya aktivitelerini analiz etmek için PowerShell komutları oldukça etkilidir. Örneğin, son 24 saatte gerçekleşen silme işlemlerini listelemek veya belirli bir kullanıcıya ait aktiviteleri görmek mümkündür:

# Son 24 saatteki silme işlemlerini getir
Get-WinEvent -FilterHashtable @{ LogName='Security'; ID=4663; StartTime=(Get-Date).AddDays(-1) } |
Where-Object {$_.Message -like "*Delete*"} |
Format-Table TimeCreated,ID,Message -Wrap

# Belirli bir kullanıcının işlemlerini izleme
Get-WinEvent -FilterHashtable @{ LogName='Security'; ID=4663,4660 } |
Where-Object {$_.Message -like "*UserName*"} |
Select-Object TimeCreated,ID,Message

5. Shadow Copy Yapılandırması

Shadow Copy Etkinleştirme

# Shadow Copy depolama alanı oluşturma
vssadmin add shadowstorage /for=C: /on=C: /maxsize=10GB

# Günlük Shadow Copy zamanlaması
schtasks /create /tn "Daily Shadow Copy" /tr "wmic shadowcopy call create Volume='C:\'" /sc daily /st 00:00

Shadow Copy Durumunu İzleme

# Mevcut Shadow Copy'leri listele
vssadmin list shadows

# Shadow Copy depolama alanı kullanımını görüntüle
vssadmin list shadowstorage

Örnek çıktı:

Used Shadow Copy Storage space: 0 bytes (0%)
Allocated Shadow Copy Storage space: 0 bytes (0%)
Maximum Shadow Copy Storage space: 19.9 GB (9%)

6. İyi Uygulama Önerileri

• Log Rotasyonu: Logları düzenli arşivleyin, sıkıştırın veya farklı bir diske taşıyın. Disk alanı yönetimini ihmal etmeyin.
• Alarm Mekanizması: Kritik dosya işlemleri için e-posta bildirimleri veya otomatik uyarı sistemleri oluşturun.
• Periyodik Raporlama: Haftalık veya aylık dosya işlem raporlarıyla kullanıcı aktivitelerini izleyin, anormal davranışları tespit edin.

Sonuç

Windows Server'da dosya işlemlerinin izlenmesi, güvenlik ve denetim politikalarının merkezinde yer alır. Event Viewer, Audit Policy, FSRM ve PowerShell araçlarını bir arada kullanarak sisteminizdeki dosya erişimlerini detaylı şekilde takip edebilir, güvenlik ihlallerini erken aşamada tespit edebilirsiniz.

Düzenli denetim, log analizi ve otomatik bildirim sistemleriyle kurumsal verilerinizi koruyabilir, yasal gereklilikleri eksiksiz yerine getirebilirsiniz.