Windows Server 2019 Üzerinde File Audit

By | Eylül 10, 2020

Bu makalemizde Windows Server üzerinde file audit olayını ele alacağız. Şunu belirtmekte yarar var ki, bu işi yapan ve hakkını vererek yapan birçok yazılım var. Bir file server üzerinde oluşan olayları (Silme, Okuma, Oluşturma) 3.parti yazılımlar ile takip edebilir, raporlayabilir, alarmlar üretebiliriz. Ancak bu işi Windows Server üzerinden yapabilir miyiz derseniz uğraştırıcı bir şekilde bu olayları tabip edebiliriz. Biz şimdi bu özelliği ele alıyor olacağız.

Elimizde üzerinde Domain Controller mimarisi kurulu olan bir Windows Server 2019 işletim sistemimiz var.

ekran görüntüsü içeren bir resim

Açıklama otomatik olarak oluşturuldu

Active Directory yapımız üzerinde Test amaçlı olarak kullanacağımız bir konteyner ve içerisinde kullanıcı ve bilgisayar öğesi mevcut durumda.

ekran görüntüsü içeren bir resim

Açıklama otomatik olarak oluşturuldu

Group Policy konsolumuzda TEST konteynerine bağlı bir policy ilkemiz yok.

ekran görüntüsü içeren bir resim

Açıklama otomatik olarak oluşturuldu

Öncelikle File Audit özelliğini gpo üzerinden açmamız gerekmekte. Ben Deafult Domain policy üzerinde fazla ayar yapmaktan kaçınıyorum. Bu nedenle var olan policy yapısına dokunmadan Test işlemleri yapacağımız, konteyner üzerinde sağ tıklayarak “Create GPO in this domain, and Link it here…” açılır menüsüne tıklayarak yeni bir policy oluşturacağım.

ekran görüntüsü içeren bir resim

Açıklama otomatik olarak oluşturuldu

Oluşturacağımız Policy ilkesine bir isim verip OK ile onaylayalım.

ekran görüntüsü içeren bir resim

Açıklama otomatik olarak oluşturuldu

Oluşturduğumuz File_Audit_Policy isimli ilke üzerinde sağ tıklayarak Edit açılır menüsüne tıklayalım.

ekran görüntüsü içeren bir resim

Açıklama otomatik olarak oluşturuldu

Açılan konsolda Computer Configuration->Policies->Windows Settings->Security Settings->Local Policies->Audit Policy ekranını açalım. Audit object Access kuralını açalım.

Define these policy settings özelliğini aktif ederek Success ve Failure durumlarında loglamayı açmak için işaretleyelim ve OK ile bu ekrandan çıkalım.

Normalde kısa süre içerisinde ayarlar etkin olacaktır ancak gpupdate /force komutu ile policy ayarının etkin olmasını sağlayalım. Aslında bu komutun policy ilkesi alacak bilgisayar ve kullanıcılar üzerinde çalıştırılması daha önemlidir.

Şimdi bu GPO ayarından sonra bir ortak klasör oluşturalım, paylaşıma açalım, audit ayarını aktive edelim ve logları izleyecek duruma gelelim. Bizim elimizde sunucumuz üzerindeki bir alanda HAVUZ-ORTAK isimli bir klasörümüz var.

Klasörümüz paylaşıma açık durumda.

Klasörümüzde Everyone okuma ve yazma açık durumda. Biz test ortamındayız, normalde güvenlik sıkılaştırması gereği yeteri kadar yetki verilmesi gerektiğinden dolayı bu alanlarda sadece işlem yapacak kişi ve bilgisayarlara yetki verilmesi gerekmekte.

Security tabında yine izinleri görebiliyoruz. Audit ayarlarını yapabilmek için Advanced butonuna tıklayalım.

ekran görüntüsü içeren bir resim

Açıklama otomatik olarak oluşturuldu

Açılan ekranda Auditing tabına tıklayalım. Burada Change veya Add butonuna tıklayarak paylaşım üzerinde audit yapılacak olan kişi veya grupları belirlememiz gerekmekte.

Açılan ekranımızda Select principal linkine tıklayalım.

İlgili kişi veya grupları seçebiliriz. Biz test ortamında olduğumuz için Everyone grubunu seçerek tüm erişim sağlayanların audit logunu alalım.

Bu ekranımızda Type kısmında tüm olayların loğunu almak istediğimizi belirtelim. Applies to kısmında klasör ve içindeki alt klasör ve dosyaların logunu almak istediğimizi belirtelim. Logu alınacak olan aksiyon türlerini Basic permissions alanından seçelim. Özelleştirilmiş ayarlar yapmak için Show advanced permissions linkine tıklayalım.

ekran görüntüsü içeren bir resim

Açıklama otomatik olarak oluşturuldu

Açılan ekranımızda loglama konusunda detay seçimler yapabiliriz. Biz burada sadece silme ve okuma yapanların loglanmasını sağlayacak olduğumuz için aşağıdaki seçimi yapıyorum. Siz yapınızdaki duruma göre gerekli farklı aksiyonların loglanması için gerekli seçimleri yapabilirsiniz.

Evet ilgili grubumuz eklendi. OK ile bu ekrandan çıkalım.

HAVUZ-ORTAK klasörü içerisinde klasörlerimiz ve dosyalarımız var. Ben test etmek açısından bir klasörü sileceğim. Silme işlemi için policy uyguladığımız client bilgisayarını kullanıyorum.

Klasörü siliyorum.

ekran görüntüsü içeren bir resim

Açıklama otomatik olarak oluşturuldu

Klasörümüz silindi.

ekran görüntüsü içeren bir resim

Açıklama otomatik olarak oluşturuldu

Şimdi Havuz-Ortak paylaşımının olduğu sunucumuz üzerinde Event Viewer konsolumuzu açalım. Audit Logları Windows Logs->Security kabına düşmektedir. Öncelikle son logları görebilmek için Refresh butonuna tıklayalım. Sonrasında aradığımız log kaydını rahat bulabilmek için Find butonuna tıklayalım.

ekran görüntüsü içeren bir resim

Açıklama otomatik olarak oluşturuldu

İşlemler Havuz-Ortak üzerinde olduğu için arama alanına Havuz-Ortak yazıp Find Next ile aratalım.

ekran görüntüsü içeren bir resim

Açıklama otomatik olarak oluşturuldu

Aramalarda bu klasörde meydana gelen bizim belirlediğimiz Audit Aksiyonları ortaya çıktı. RIZAS kullanıcısı tarafından TEST isimli klasörün Havuz-Ortak paylaşım alanından silindiğini görebiliyoruz.

ekran görüntüsü içeren bir resim

Açıklama otomatik olarak oluşturuldu
ekran görüntüsü içeren bir resim

Açıklama otomatik olarak oluşturuldu

Umarım yararlı olmuştur. Bir başka makalede görüşmek dileğiyle.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir