Windows Server’da bir dosyayı ya da klasörü kimin sildiğini tespit etme

Okuma süresi - 4 dk.


Şirket altyapısında çok sayıda dosya sunucusu varken, BT yöneticilerinin dosyaları ya da klasörleri kimin sildiğini bulmaları mümkün müdür? Evet. Bu, object access auditing etkinleştirerek ve ardından denetleme için belirli dosyaları ya da klasörleri yapılandırarak mümkündür. Yöneticiler daha sonra Windows güvenlik günlüklerine silme olaylarını kolayca not edebilir. Benzer şekilde, izin değişikliklerini de takip edebilirler

Belirli bir dosyayı oluşturan, silen veya değiştiren belirli bir kullanıcıyı bulabilmek için system object access event denetimini kullanabilirsiniz. Bu makalede, Windows Server 2016’da paylaşılan bir ağ klasöründeki dosyalar için olay denetimini nasıl yapılandıracağınızı göstereceğiz. Denetimi yapılandırdıktan sonra, klasördeki belirli bir dosyayı silen kullanıcıyı bulmak için Event Viewer’deki bilgileri kullanabilirsiniz.

Windows’ta Access Auditing Policy nasıl etkinleştirilir?

Varsayılan olarak, Windows Server‘da File System Object Access denetimi etkinleştirilmemiştir. Group policy kullanarak denetim ayarlarını etkinleştirebilir ve yapılandırabilirsiniz. Birden fazla sunucu veya bilgisayarda denetim ilkelerini etkinleştirmeniz gerekirse, etki alanı GPO’larını kullanabilirsiniz. Denetlemeyi yalnızca bir sunucuda yapılandırmak istiyorsanız, Local Group Policy Editor’u kullanabilirsiniz.

Local Group Policy konsolunu açın – gpedit.msc

Windows Settings → Security Settings → Advanced Audit Policy Configuration → Object Access

Audit File System ilkesini açın ve Configure the following audit events → Success seçeneğini işaretleyin.

Ayrıca, Windows Settings → Security Settings → Local Policy → Audit Policy altındaki Audit Object Access policy kullanarak local objects access denetimini etkinleştirebilirsiniz. Ancak, File System Audit policy kullanılması tercih edilir çünkü yalnızca NTFS erişim olaylarını izler.

gpupdate /force komutunu kullanarak Local Group Policy ayarlarını güncelleyi unutmayın.

Paylaşılan klasörlerde denetim ayarlarını yapılandırma

Şimdi erişimi izlemek istediğiniz ağ klasörünün özelliklerinde denetimi yapılandırmanız gerekir. klasör özelliklerini açın. Security → Advanced → Auditing sekmesine gidin.

“You must be an administrator or have been given the appropriate privileges to view the audit properties of this object” mesajı görüntülenirse, Continue düğmesine tıklayın.

Ardından, denetim olaylarını yakalamak istediğiniz kullanıcı veya grubu belirtmek için Add butonuna tıklayın. Tüm kullanıcılar için erişim olaylarını izlemek istiyorsanız, Everyone grubunu seçebilirsiniz.

Son olarak, objeye erişmek için hangi izinlerin günlüğe kaydedileceğini belirtmeniz gerekir. Event Log’a yalnızca dosya silme olaylarını kaydetmek için Show advanced permissions butonuna tıklayın. Delete subfolders and files ve Delete seçeneklerini işaretleyin.

İpucu → Windows nesneleri için denetim ilkesinin ekstra kaynak gerektirdiğini unutmayın. Dikkatlice kullanın, her zaman günlüğe kaydedilecek denetim nesnelerinin ve olayların sayısını en aza indirmeye çalışın.
$Path = “E:\Public”
$AuditChangesRules = New-Object System.Security.AccessControl.FileSystemAuditRule(‘Everyone’, ‘Delete,DeleteSubdirectoriesAndFiles’, ‘none’, ‘none’, ‘Success’)
$Acl = Get-Acl -Path $Path
$Acl.AddAuditRule($AuditChangesRules)
Set-Acl -Path $Path -AclObject $Acl

Artık, kullanıcı paylaşılan ağ klasöründeki herhangi bir dosyayı veya klasörü silerse, EventID 4663 ile Security bölümünde görebilirsiniz.

Silme işlemine ait olan log, silinen dosyanın adı, dosyayı silen kullanıcının hesabı ve işlem adı hakkında bilgiler içermektedir.

Dosya erişim denetimi politikasını etkinleştirdikten sonra, Security loglarında aşağıdaki bilgileri bulabilirsiniz.

  • Dosyayı paylaşım klasöründen kimin sildiği ve bu işlemin ne zaman olduğu
  • Dosyayı silmek için hangi uygulama ya da işlemin kullanıldığı
  • Geri yüklenecek yedeklemenin tarihi nedir?

Paylaşılan ağ klasörlerinde silinen dosyalar hakkındaki bilgileri denetlemek için bir fikir vermeye ve sistemin genel modelinin nasıl olması gerektiğini anlatmaya çalıştık. Bir sonraki yazımızda silinen dosyalar hakkındaki bilgileri SQL veritabanında depolamak için neler yapılması gerektiğine değineceğiz.