Belirli bir dosyayı oluşturan, silen veya değiştiren belirli bir kullanıcıyı tanımlamak için dosya sistemi nesne erişim olay denetimini kullanabilirsiniz. Bu makalede, Windows Server 2016’da paylaşılan bir ağ klasöründeki dosyalar için olay denetimini nasıl yapılandıracağınızı göstereceğiz. Denetimi yapılandırdıktan sonra, dosyadaki belirli bir dosyayı silen kullanıcıyı bulmak için Olay Görüntüleyicisi’ndeki bilgileri kullanabilirsiniz.
Paylaşılan bir ağ klasöründen bir dosyayı sildiğinizde, kullanıcının geri dönüşüm kutusuna gönderilmek yerine hemen silinir. Paylaşım klasöründe açılan dosyaların listesi buradan görebilirsinizç
Windows’ta Dosya ve Klasör Erişimi Denetim Politikası Nasıl Etkinleştirilir?
Varsayılan olarak, Windows Server’da Dosya Sistemi Nesne Erişimi denetimi etkin değildir. Grup İlkesini kullanarak denetim ayarlarını etkinleştirebilir ve yapılandırabilirsiniz. Birden fazla sunucu veya bilgisayarda denetim ilkelerini etkinleştirmeniz gerekiyorsa, etki alanı GPO’larını kullanabilirsiniz ( gpmc.mscmmc konsolu kullanılarak yapılandırılabilir ). Denetlemeyi yalnızca bir sunucuda yapılandırmak istiyorsanız, Yerel Grup İlkesi Düzenleyicisi’ni kullanabilirsiniz.
- Yerel Grup İlkesi Düzenleyicisi konsolunu açın –
gpedit.msc; - Gelişmiş denetim politikalarının bulunduğu GPO bölümüne gidin: Windows Ayarları -> Güvenlik Ayarları -> Gelişmiş Denetim İlkesi Yapılandırması -> Nesne Erişimi;
- Dosya Sistemini Denetle ilkesini açın ve dosya sistemi nesnelerine yalnızca başarılı erişim olaylarını günlüğe kaydetmek istediğinizi belirtin ( Aşağıdaki denetim olaylarını yapılandırın -> Başarılı );
- Komutunu kullanarak yerel Grup İlkesi ayarlarını Değişiklikleri kaydet ve güncelleyin: gpupdate /force.
Paylaşılan Klasörde Dosya Silinmiş Denetim Ayarlarını Yapılandırma
Şimdi erişimi izlemek istediğiniz paylaşım ağ klasörünün özelliklerinde denetimi yapılandırmanız gerekir. Dosya Gezgini’ni çalıştırın ve klasör özelliklerini açın. Git Güvenlik sekmesine. -> Gelişmiş düğmesini -> Denetim sekmesi.
” Yönetici olmalısınız veya bu nesnenin denetim özelliklerini görüntülemek için uygun yetkilere sahip olmalısınız ” mesajı görüntülenirse, Devam düğmesine tıklayın
Ardından, denetim olaylarını yakalamak istediğiniz kullanıcı veya grubu belirtmek için Ekle düğmesine tıklayın . Tüm kullanıcılar için erişim olaylarını izlemek istiyorsanız, Everyone grubunu belirtin
Ardından, nesneye erişmek için hangi izinlerin günlüğe kaydedileceğini belirtmeniz gerekir. Olay Günlüğü’ne yalnızca dosya silme olaylarını kaydetmek için Gelişmiş izinleri göster düğmesine tıklayın. Olay listesinde, denetimi yalnızca klasör ve dosya silme olayları için bırakın – Alt klasörleri ve dosyaları Silin .
İşlem günlüklerini aşağıdaki powershell ile yolu belirtiyoruz
$Path = “c:\Public”
$AuditChangesRules = New-Object System.Security.AccessControl.FileSystemAuditRule(‘Everyone’, ‘Delete,DeleteSubdirectoriesAndFiles’, ‘none’, ‘none’, ‘Success’)
$Acl = Get-Acl -Path $Path
$Acl.AddAuditRule($AuditChangesRules)
Set-Acl -Path $Path -AclObject $Acl
Artık, kullanıcı paylaşılan ağ klasöründeki herhangi bir dosyayı veya klasörü silerse, Dosya Sistemi -> Denetim Başarılı dosya silme olayı , Microsoft Windows güvenlik denetimi kaynağından Olay Kimliği 4663 ile Güvenlik günlüğünde görünür .
Aç Olay Görüntüleyici mmc konsolu ( eventvwr.msc,) genişletmek , Windows Günlükleri’ni -> Güvenlik bölümü. EventID 4663 ile olay günlüğü filtresini etkinleştirin.
Olay Görüntüleyicide kalan olaylardan herhangi birini açın. Gördüğünüz gibi silinen dosyanın adı, dosyayı silen kullanıcının hesabı ve işlem adı hakkında bilgiler içermektedir.
Bir nesneye erişilmeye çalışıldı.
Konu:
Güvenlik Kimliği: DESKTOP-4OERLHI\onder monder
Hesap Adı: onder monder
Hesap Etki Alanı: DESKTOP-4OERLHI
Oturum Açma Kimliği: 0x2FE223D
Nesne:
Nesne Sunucusu: Security
Nesne Türü: File
Nesne Adı: C:\test_klasor\Yeni Metin Belgesi.txt
Tanıtıcı Kimliği: 0x4a04
Kaynak Öznitelikleri: S:AI
İşlem Bilgileri:
İşlem Kimliği: 0xd60
İşlem Adı: C:\Windows\explorer.exe
Erişim İsteği Bilgileri:
Erişimler: DELETE
Erişim Maskesi: 0x10000
Dosya erişim denetimi politikasını etkinleştirdikten sonra, Güvenlik günlüğünde şunları bulabilirsiniz:
- Dosyayı paylaşılan ağ klasöründen kimin sildiği ve ne zaman olduğu;
- Dosyayı silmek için hangi uygulama (işlem) kullanıldı;
- Geri yüklenecek yedeklemenin tarihi nedir.
Silme işlemini buradan MYSQL / MSSQL e kayıt altına alarak kontrolü daha kolay hale getirebilirsiniz.
