File Server Üzerinde Auditing – Object Access Loglarının Açılması

Windows File Server üzerinde Object Access (nesne erişimi) lerinin açılması

Auditing : Group Policy veya local security policies üzerinden  yapılan ayarlarla sunucuya detaylı log ürettirilebilir. (Logon / Logoff, regedit erişimleri, sistem dosyalarına yapılan erişimler, file server dosya erişimleri…)

 

File Server Domain ortamındaysa :

  • Domain Controller üzerinde Active Directory açılır. (dsa.msc) Firmanın uygun gördüğü bir OU (organizational unit) oluşturulur.

  • DC üzerinde Group Policy Management Editor açılır. (gpmc.msc)
    İlk adımda oluşturduğumuz OU bulunur ve sağ klik create new gpo (grup policy objesi).

GPO ismi verilir. OK tıklayarak oluşturulur.

Sağ klik edit edilir.

Server 2003 te Advanced Auditing olmadığı için server 2003 makinesinde bu işlemler yukarıdaki Audit Policy bölümünden yapılıyor. DC server 2008 ise Advanced Auditingden yapılabilir.

  • Yukarıdaki resimde bulunan ayarları yaptıktan sonra File Server OU su için oluşturduğumuz Group Policy birinci önceliğe sahip olsun diye policy e sağ klik enforced diyoruz.

(Group Policy ler firewall kurallarının mantığı ile çalışır. Domaindeki bir makine için security policyleri hariç hiyerarşik olarak önce default domain policy uygulanır. Ancak kendi oluşturduğumuz policyi enforced yaparsak önce bizim policy işler.)

  • Active Directory de Computers içerisinden FILESERVER makinemizi bulup File Server OU su içine taşıyoruz. Bu sayede File Server OU su için yazdığımız policy, FILESERVER makinesi üzerinde çalışacak.

DC üzerinde yaptığımız bu işlemlerden sonra FILESERVER makinesi üzerinde örneğin
paylaşımda bulunan C:\Paylaşım klasörü içerisine girip boş biryerde sağ klik / properties / security / advanced / auditing / edit / diyoruz.

Include inheritible…  : Yukarıdaki klasörlerden (üst dizinlerden) dosya permissionlarını miras al kutucuğunu boşaltıyoruz.
Replace all existing : Bu klasör altındaki tüm dosya ve klasörlere bu auditing işlemlerini uygula kutucuğunu işaretliyoruz. Sonra Add butonuna tıklıyoruz.

Kimleri audit etmek (dosya erişimlerini denetlemek) istiyorsak onları ekliyoruz. Domain ortamında tüm kullanıcılar authenticatied users grubuna üye olduğu için bu grubu seçmemiz yeterli.

Son olarak authentied users ın yaptığı hangi işlemleri denetlemek istiyorsak bunu seçiyoruz.
Burada herşeyi seçersek çok fazla miktarda log ürer. Yalnızca Delete leri seçmek yeterlidir.

Bu durumda kullanıcı hangi dosya veya klasörü nezaman silmiş buna ait loglar düşmektedir.

 

SERVER 2008 USER DELETED AN OBJECT EVENT ID 4660 – 4663 (file system) :  An attempt was made to access an object.    Subject:   Security ID:  S-1-5-21-2417968438-1181558129-4275480988-29766   Account Name:  erhan Account Domain:  COMPANY.LOCAL Logon ID:  0x1b5d0c7e7    Object:   Object Server: Security   Object Type: File   Object Name: E:\WindowsImageBackup\New Microsoft Office Excel Worksheet.xlsx   Handle ID: 0xbec    Process Information:   Process ID: 0x183c   Process Name: C:\Windows\explorer.exe    Access Request Information:   Accesses: DELETE         Access Mask: 0x10000

 

SERVER 2003 USER DELETED AN OBJECT EVENT ID 560 : Açık Nesne:     Nesne Sunucusu: Security     Nesne Türü: File     Nesne Adı: F:\MUDURLUKLER\258 HESABI ARALIK.xlsx     İşleç Kimliği: 18332     İşlem Kimliği: {3,2196084931}     İşleme Kimliği: 4     Yansıma Dosyası Adı:      Birincil Kullanıcı Adı: STORAGE$     Birincil Etki Alanı: COMPANY.LOCAL     Birincil Oturum Açma Kimliği: (0x0,0x3E7)     İstemci Kullanıcı Adı: i.hakki     İstemci Etki Alanı: IOI     İstemci Oturum Açma Kimliği: (0x3,0x82E4EAF0)     Erişim: DELETE      READ_CONTROL      ReadData (veya ListDirectory)      WriteData (veya AddFile)      AppendData (veya AddSubdirectory veya CreatePipeInstance)      ReadEA      WriteEA      ReadAttributes      WriteAttributes           Ayrıcalık: –     Sınırlı Sid Sayımı: 0     Erişim Maskesi: 0x3019F   

 

About Emre BAŞTUĞ

Emre BAŞTUĞ