Windows File Server üzerinde Object Access (nesne erişimi) lerinin açılması
Auditing : Group Policy veya local security policies üzerinden yapılan ayarlarla sunucuya detaylı log ürettirilebilir. (Logon / Logoff, regedit erişimleri, sistem dosyalarına yapılan erişimler, file server dosya erişimleri…)
File Server Domain ortamındaysa :
- Domain Controller üzerinde Active Directory açılır. (dsa.msc) Firmanın uygun gördüğü bir OU (organizational unit) oluşturulur.
-
DC üzerinde Group Policy Management Editor açılır. (gpmc.msc)
İlk adımda oluşturduğumuz OU bulunur ve sağ klik create new gpo (grup policy objesi).
GPO ismi verilir. OK tıklayarak oluşturulur.
Sağ klik edit edilir.
Server 2003 te Advanced Auditing olmadığı için server 2003 makinesinde bu işlemler yukarıdaki Audit Policy bölümünden yapılıyor. DC server 2008 ise Advanced Auditingden yapılabilir.
- Yukarıdaki resimde bulunan ayarları yaptıktan sonra File Server OU su için oluşturduğumuz Group Policy birinci önceliğe sahip olsun diye policy e sağ klik enforced diyoruz.
(Group Policy ler firewall kurallarının mantığı ile çalışır. Domaindeki bir makine için security policyleri hariç hiyerarşik olarak önce default domain policy uygulanır. Ancak kendi oluşturduğumuz policyi enforced yaparsak önce bizim policy işler.)
- Active Directory de Computers içerisinden FILESERVER makinemizi bulup File Server OU su içine taşıyoruz. Bu sayede File Server OU su için yazdığımız policy, FILESERVER makinesi üzerinde çalışacak.
DC üzerinde yaptığımız bu işlemlerden sonra FILESERVER makinesi üzerinde örneğin
paylaşımda bulunan C:\Paylaşım klasörü içerisine girip boş biryerde sağ klik / properties / security / advanced / auditing / edit / diyoruz.
Include inheritible… : Yukarıdaki klasörlerden (üst dizinlerden) dosya permissionlarını miras al kutucuğunu boşaltıyoruz.
Replace all existing : Bu klasör altındaki tüm dosya ve klasörlere bu auditing işlemlerini uygula kutucuğunu işaretliyoruz. Sonra Add butonuna tıklıyoruz.
Kimleri audit etmek (dosya erişimlerini denetlemek) istiyorsak onları ekliyoruz. Domain ortamında tüm kullanıcılar authenticatied users grubuna üye olduğu için bu grubu seçmemiz yeterli.
Son olarak authentied users ın yaptığı hangi işlemleri denetlemek istiyorsak bunu seçiyoruz.
Burada herşeyi seçersek çok fazla miktarda log ürer. Yalnızca Delete leri seçmek yeterlidir.
Bu durumda kullanıcı hangi dosya veya klasörü nezaman silmiş buna ait loglar düşmektedir.
SERVER 2008 USER DELETED AN OBJECT EVENT ID 4660 – 4663 (file system) : An attempt was made to access an object. Subject: Security ID: S-1-5-21-2417968438-1181558129-4275480988-29766 Account Name: erhan Account Domain: COMPANY.LOCAL Logon ID: 0x1b5d0c7e7 Object: Object Server: Security Object Type: File Object Name: E:\WindowsImageBackup\New Microsoft Office Excel Worksheet.xlsx Handle ID: 0xbec Process Information: Process ID: 0x183c Process Name: C:\Windows\explorer.exe Access Request Information: Accesses: DELETE Access Mask: 0x10000
SERVER 2003 USER DELETED AN OBJECT EVENT ID 560 : Açık Nesne: Nesne Sunucusu: Security Nesne Türü: File Nesne Adı: F:\MUDURLUKLER\258 HESABI ARALIK.xlsx İşleç Kimliği: 18332 İşlem Kimliği: {3,2196084931} İşleme Kimliği: 4 Yansıma Dosyası Adı: Birincil Kullanıcı Adı: STORAGE$ Birincil Etki Alanı: COMPANY.LOCAL Birincil Oturum Açma Kimliği: (0x0,0x3E7) İstemci Kullanıcı Adı: i.hakki İstemci Etki Alanı: IOI İstemci Oturum Açma Kimliği: (0x3,0x82E4EAF0) Erişim: DELETE READ_CONTROL ReadData (veya ListDirectory) WriteData (veya AddFile) AppendData (veya AddSubdirectory veya CreatePipeInstance) ReadEA WriteEA ReadAttributes WriteAttributes Ayrıcalık: – Sınırlı Sid Sayımı: 0 Erişim Maskesi: 0x3019F