• Ana Sayfa
  • Windows 10
  • System Admin
  • Network
  • Exchange
    • Outlook
Cuma, Şubat 3, 2023
  • Login
  • Ana Sayfa
  • Windows 10
  • System Admin
  • Network
  • Exchange
    • Outlook
No Result
View All Result
Önder Online
  • Ana Sayfa
  • Windows 10
  • System Admin
  • Network
  • Exchange
    • Outlook
No Result
View All Result
Önder Online
No Result
View All Result
Home System Admin

Windows Server’da Bir Dosyayı Kimin Sildiğini Group Polcy ile Nasıl Tespit Ederim?

ondermonder by ondermonder
Kasım 21, 2020
in System Admin
0 0
0
Windows Server’da Bir Dosyayı Kimin Sildiğini Group Polcy ile Nasıl Tespit Ederim?
0
SHARES
1.4k
VIEWS
Share on FacebookShare on Twitter

Belirli bir dosyayı oluşturan, silen veya değiştiren belirli bir kullanıcıyı tanımlamak için dosya sistemi nesne erişim olay denetimini kullanabilirsiniz. Bu makalede, Windows Server 2016’da paylaşılan bir ağ klasöründeki dosyalar için olay denetimini nasıl yapılandıracağınızı göstereceğiz. Denetimi yapılandırdıktan sonra, dosyadaki belirli bir dosyayı silen kullanıcıyı bulmak için Olay Görüntüleyicisi’ndeki bilgileri kullanabilirsiniz.

READ ALSO

Ntdsutil ile etki Alanı Denetleyicisini Adım Adım Kaldırma

Active Directoryde şifreyi kim sıfırladı?

 

Paylaşılan bir ağ klasöründen bir dosyayı sildiğinizde, kullanıcının geri dönüşüm kutusuna gönderilmek yerine hemen silinir. Paylaşım klasöründe açılan dosyaların listesi buradan görebilirsinizç

 

Windows’ta Dosya ve Klasör Erişimi Denetim Politikası Nasıl Etkinleştirilir?

Varsayılan olarak, Windows Server’da Dosya Sistemi Nesne Erişimi denetimi etkin değildir. Grup İlkesini kullanarak denetim ayarlarını etkinleştirebilir ve yapılandırabilirsiniz. Birden fazla sunucu veya bilgisayarda denetim ilkelerini etkinleştirmeniz gerekiyorsa, etki alanı GPO’larını kullanabilirsiniz ( gpmc.mscmmc konsolu kullanılarak yapılandırılabilir ). Denetlemeyi yalnızca bir sunucuda yapılandırmak istiyorsanız, Yerel Grup İlkesi Düzenleyicisi’ni kullanabilirsiniz.

  1. Yerel Grup İlkesi Düzenleyicisi konsolunu açın – gpedit.msc;
  2. Gelişmiş denetim politikalarının bulunduğu GPO bölümüne gidin: Windows Ayarları -> Güvenlik Ayarları -> Gelişmiş Denetim İlkesi Yapılandırması -> Nesne Erişimi;
  3. Dosya Sistemini Denetle ilkesini açın ve dosya sistemi nesnelerine yalnızca başarılı erişim olaylarını günlüğe kaydetmek istediğinizi belirtin ( Aşağıdaki denetim olaylarını yapılandırın -> Başarılı );
  4. Komutunu kullanarak yerel Grup İlkesi ayarlarını Değişiklikleri kaydet ve güncelleyin: gpupdate /force.

Paylaşılan Klasörde Dosya Silinmiş Denetim Ayarlarını Yapılandırma

Şimdi erişimi izlemek istediğiniz paylaşım ağ klasörünün özelliklerinde denetimi yapılandırmanız gerekir. Dosya Gezgini’ni çalıştırın ve klasör özelliklerini açın. Git Güvenlik sekmesine. -> Gelişmiş düğmesini -> Denetim sekmesi.

” Yönetici olmalısınız veya bu nesnenin denetim özelliklerini görüntülemek için uygun yetkilere sahip olmalısınız ” mesajı görüntülenirse, Devam düğmesine tıklayın

Ardından, denetim olaylarını yakalamak istediğiniz kullanıcı veya grubu belirtmek için Ekle düğmesine tıklayın . Tüm kullanıcılar için erişim olaylarını izlemek istiyorsanız, Everyone grubunu belirtin

Ardından, nesneye erişmek için hangi izinlerin günlüğe kaydedileceğini belirtmeniz gerekir. Olay Günlüğü’ne yalnızca dosya silme olaylarını kaydetmek için Gelişmiş izinleri göster düğmesine tıklayın. Olay listesinde, denetimi yalnızca klasör ve dosya silme olayları için bırakın – Alt klasörleri ve dosyaları Silin .

İşlem günlüklerini aşağıdaki powershell ile yolu belirtiyoruz

$Path = “c:\Public”
$AuditChangesRules = New-Object System.Security.AccessControl.FileSystemAuditRule(‘Everyone’, ‘Delete,DeleteSubdirectoriesAndFiles’, ‘none’, ‘none’, ‘Success’)
$Acl = Get-Acl -Path $Path
$Acl.AddAuditRule($AuditChangesRules)
Set-Acl -Path $Path -AclObject $Acl

Artık, kullanıcı paylaşılan ağ klasöründeki herhangi bir dosyayı veya klasörü silerse, Dosya Sistemi -> Denetim Başarılı dosya silme olayı , Microsoft Windows güvenlik denetimi kaynağından Olay Kimliği 4663 ile Güvenlik günlüğünde görünür .

Aç Olay Görüntüleyici mmc konsolu ( eventvwr.msc,) genişletmek , Windows Günlükleri’ni -> Güvenlik bölümü. EventID 4663 ile olay günlüğü filtresini etkinleştirin.

Olay Görüntüleyicide kalan olaylardan herhangi birini açın. Gördüğünüz gibi silinen dosyanın adı, dosyayı silen kullanıcının hesabı ve işlem adı hakkında bilgiler içermektedir.

Bir nesneye erişilmeye çalışıldı.

Konu:
Güvenlik Kimliği: DESKTOP-4OERLHI\onder monder
Hesap Adı: onder monder
Hesap Etki Alanı: DESKTOP-4OERLHI
Oturum Açma Kimliği: 0x2FE223D

Nesne:
Nesne Sunucusu: Security
Nesne Türü: File
Nesne Adı: C:\test_klasor\Yeni Metin Belgesi.txt
Tanıtıcı Kimliği: 0x4a04
Kaynak Öznitelikleri: S:AI

İşlem Bilgileri:
İşlem Kimliği: 0xd60
İşlem Adı: C:\Windows\explorer.exe

Erişim İsteği Bilgileri:
Erişimler: DELETE

Erişim Maskesi: 0x10000

Dosya erişim denetimi politikasını etkinleştirdikten sonra, Güvenlik günlüğünde şunları bulabilirsiniz:

  • Dosyayı paylaşılan ağ klasöründen kimin sildiği ve ne zaman olduğu;
  • Dosyayı silmek için hangi uygulama (işlem) kullanıldı;
  • Geri yüklenecek yedeklemenin tarihi nedir.

Silme işlemini buradan MYSQL / MSSQL e kayıt altına alarak kontrolü daha kolay hale getirebilirsiniz.

 

Tags: Deleted folderFile Deleted Auditsilinen dosya

Related Posts

Ntdsutil ile etki Alanı Denetleyicisini Adım Adım Kaldırma
System Admin

Ntdsutil ile etki Alanı Denetleyicisini Adım Adım Kaldırma

Nisan 14, 2022
Active Directoryde şifreyi kim sıfırladı?
System Admin

Active Directoryde şifreyi kim sıfırladı?

Nisan 14, 2022
Etki Alanına Katıldıktan Sonra Masaüstü Simgeleri Etkinleştirilemiyor
System Admin

Etki Alanına Katıldıktan Sonra Masaüstü Simgeleri Etkinleştirilemiyor

Nisan 14, 2022
Windows Arama
System Admin

Windows Arama

Nisan 14, 2022
System Admin

How to Add Active Directory Schema Snap-In

Kasım 11, 2021
Changed Block Tracking – Patch Release ESXi600-201511001 (2137545)
System Admin

Changed Block Tracking – Patch Release ESXi600-201511001 (2137545)

Nisan 7, 2021
Next Post
Silinen dosyaları SQL Veritabanına (MySQL / MSSQL) Kayıt Altına Alın

Silinen dosyaları SQL Veritabanına (MySQL / MSSQL) Kayıt Altına Alın

Dostlar




  • Buy JNews
  • Landing Page
  • Documentation
  • Support Forum

© 2020 Önder AKÖZ

No Result
View All Result
  • Ana Sayfa
  • Network
  • System Admin
  • Windows 10
  • Exchange
    • Outlook

© 2020 Önder AKÖZ

Welcome Back!

Login to your account below

Forgotten Password?

Create New Account!

Fill the forms below to register

*By registering into our website, you agree to the Terms & Conditions and Privacy Policy.
All fields are required. Log In

Retrieve your password

Please enter your username or email address to reset your password.

Log In
This website uses cookies. By continuing to use this website you are giving consent to cookies being used. Visit our Privacy and Cookie Policy.