معرفی :
حسابرسی یا Auditing فایل سرور در تمامی شبکه های بزرگ و Enterprise از اهمیت ویژه ای برخوردار است.
برای درک اهمیت این موضوع به سناریویی که در ادامه بیان می کنیم توجه کنید :
فرض کنید بر روی فایل سرور شما یک فایل word که حاوی اطلاعات مهمی است، خواسته یا ناخواسته پاک شده است.
اکنون هیج یوزری مسئولیت پاک کردن آن را بر عهده نمی گیرد .
در این زمان کارفرما یا مدیر عامل از شما به عنوان ادمین شبکه انتظار پیدا کردن فرد خطاکار را دارد.
برای این کار نرم افزار های Third Party زیادی وجود دارد اما ما در این مقاله از گروپ پالیسی ویندوز استفاده می کنیم.
راه اندازی :
ابتدا وارد کنسول گروپ پالیسی می شویم. (دستور gpedit.msc برای شبکه ی workgroup و دستور gpmc.msc برای شبکه ی دامین می باشد).
وارد مسیر زیر می شویم :
“Computer Configuration” → “Windows Settings” → “Security Settings” → “Local Policies” → “Audit Policy”
بر روی گزینه ”Audit object access” کلیک می کنیم.
در این جا می توانیم یک شرط اعمال کنیم.
به این حالت که اگر تلاش یوزر به صورت success یا failure باشد، لاگ ثبت شود.
برای این که تغییرات همان لحظه اعمال شوند از دستور Gpupdate /force استفاده می کنیم.
حال به سراغ فایل سرور رفته و روی داکیومنت یا فولدری که میخواهیم عمل Auditing بر روی آن انجام شود کلیک راست می کنیم.
وارد تب Security شده و بر روی گزینه ی Advance کلیک می کنیم.
بر روی گزینه ی Auditing و سپس Add کلیک می کنیم.
سپس باید یوزر یا گروه هایی که می خواهیم این پالیسی رویشان اعمال گردد را مشخص می کنیم.
می توانیم شرایطی مانند read write modify که می خواهیم در صورت اعمال شدن، لاگ ثبت شود را مشخص کنیم.
برای مشاهده ی لاگ های ثبت شده به Event Viewer رفته و وارد مسیر
windows logs > security می شویم.
بر روی گزینه ی Security کلیک راست کرده و گزینه ی Filter Curent Log را انتخاب می کنیم.
با آیدی های ۴۶۵۶ و ۴۶۶۳ می توانیم لاگ های ثبت شده را مشاهده کنیم.
حال به راحتی تمامی اطلاعات مورد نیاز در دسترس ما قرار دارد.
گیک گپ ، اجتماعی برای گیک ها
آریا غلاملو
برای نوشتن دیدگاه باید وارد بشوید.