Windows File / File Share Auditing İşlemleri

Windows'ta File / File Share auditing işlemleri için aşağıdaki adımlar takip edilmelidir.

- gpmc.msc komutu çalıştırılarak Group Policy Management açılır. Domain düğümü genişletilir ve sistemdeki File Server(lar) hangi OU içerisindeyse bulunur, ve sağ tıklanarak Create a GPO in this domain, and Link it here... seçeneği tıklanır.

 

- Yeni GPO ismi belirlenir ve kaydedilir.

 

- Yeni oluşturulan GPO sağ tıklanır ve editlenir.

 

- Computer Configuration>Policies>Windows Settings>Security Settings>Local Policies>Audit Policy altında Audit object access seçeneği açılır. 

 - Hem başarılı hem başarısız işlemlerin takip edilebilmesi için Success ve Failure olacak şekilde her 2 seçenek de etkinleştirilir.

 

- Windows Server 2008 R2 ve üzeri versiyonlarda bu işlemleri Advanced Audit Policy Configuration altında da konfigüre edebiliriz.

Computer Configuration>Polices>Windows Settings>Security Settings>Advanced Audit Policy Configuration altında Audit Detailed File Share, Audit File System ve Audit Handle Manipulation seçenekleri de Success ve Failure olarak etkinleştirilir.

NOT: Audit Handle Manipulation seçeneği etkinleştirildiğinde olaylar 4656 Event ID'siyle yazılacaktır, ve 4656 da kalabalık bir loglama seçeneği olacaktır. 4656 eventlerini görmek istemiyorsak bu seçeneği Not Configured olarak bırakabiliriz.

- Son olarak yapılan değişikliklerin kaydolması için gpupdate /force komutu çalıştırılır.

 

- Yukarıdaki ayarlarda tüm File Serverların bulunduğu OU içerisinde audit işlemini yapmış olduk, fakat bazı durumlarda yalnızca belli File Serverlar için bu ayarlar yapılmak istenebilir. Bunu Group Policy içerisinde Security Filtering seçeneğinde yapabiliriz.

Scope sekmesi açılır ve Security Filtering alanında Authenticated Users kaldırılır.

 - Add butonu tıklanır ve Object Types açılarak Computers olarak seçilir. Daha sonra hangi File Server (ya da bilgisayarlar) File System Audit kuralında uygulanacaksa seçilir.

 - Değişikliklerin kaydolması için gpupdate /force komutu çalıştırılır.

- Daha sonra hangi klasörlerde audit işlemleri yapılacaksa bu klasörlerde Auditing aktif edilir.

- Klasöre sağ tıklanır ve Properties açılır.

 

 - Security sekmesine gidilir ve Advanced seçeneği açılır.

 

- Auditing sekmesi açılır ve Edit butonu tıklanır.

 

- Add butonu tıklanır ve Object Name olarak (herkesin yaptığı değişikleri takip etmek için) Everyone seçilir. Burada hangi işlemlerin auditingi yapılacaksa seçilir (write, create, delete vs.) ve kaydedilerek çıkılır.

 

Bu şekilde auditing işlemini tamamlamış oluyoruz. Artık sunucumuz olayları event loglarında tutmaya hazır.

Başka sorularınız var mı? Bir talep gönder

Yorumlar