Birisi Bilgisayarınızdaki Bir Klasöre Eriştiğinde Nasıl İzlenir
Windows'ta(Windows) , birinin belirli bir klasörün içindeki bir şeyi ne zaman görüntülediğini, düzenlediğini veya sildiğini izlemenize olanak tanıyan güzel bir küçük özellik vardır . Bu nedenle, kimin eriştiğini bilmek istediğiniz bir klasör veya dosya(folder or file) varsa, bu, üçüncü taraf yazılımı kullanmak zorunda kalmadan yerleşik yöntemdir.
Bu özellik aslında , şirket ağındaki bilgisayarları sunucular aracılığıyla yöneten çoğu BT Uzmanı(IT Professionals) tarafından kullanılan Grup İlkesi adlı bir ( Group Policy)Windows güvenlik(Windows security) özelliğinin bir parçasıdır, ancak herhangi bir sunucu olmadan bir PC'de yerel olarak da kullanılabilir. Grup İlkesi(Group Policy) kullanmanın tek dezavantajı , Windows'un(Windows) daha düşük sürümlerinde mevcut olmamasıdır . Windows 7 için (Windows 7)Windows 7 Professional veya üzeri bir sürüme sahip olmanız gerekir . Windows 8(Windows 8) için Pro veya Enterprise'a(Enterprise) ihtiyacınız var .
Grup İlkesi(Group Policy) terimi , temel olarak, bir grafik kullanıcı arabirimi(user interface) aracılığıyla kontrol edilebilen bir dizi kayıt defteri ayarını ifade eder . Çeşitli ayarları etkinleştirir veya devre dışı bırakırsınız ve bu düzenlemeler daha sonra Windows kayıt defterinde(Windows registry) güncellenir .
Windows XP'de(Windows XP) , ilke düzenleyiciye(policy editor) gitmek için Başlat'a(Start) ve ardından Çalıştır'a(Run) tıklayın . Metin kutusuna, aşağıda gösterildiği gibi tırnak işaretleri olmadan “ gpedit.msc ” yazın:(gpedit.msc)
Windows 7'de(Windows 7) , Başlat düğmesine(Start button and type) tıklayıp Başlat Menüsünün(Start Menu) altındaki arama kutusuna(search box) gpedit.msc yazmanız( gpedit.msc) yeterlidir . Windows 8'de(Windows 8) , Başlangıç Ekranına(Start Screen) gidin ve yazmaya başlayın veya fare imlecinizi(mouse cursor) ekranın en üstüne veya sağ altına getirerek Charms çubuğunu açın ve Ara'yı tıklayın(Search) . Ardından gpedit yazın(gpedit) . Şimdi aşağıdaki resme benzer bir şey görmelisiniz:
İki ana ilke kategorisi vardır: Kullanıcı(User) ve Bilgisayar(Computer) . Tahmin edebileceğiniz gibi, kullanıcı politikaları her kullanıcı için ayarları kontrol ederken, bilgisayar ayarları sistem çapında ayarlar olacak ve tüm kullanıcıları etkileyecektir. Bizim durumumuzda, ayarımızın tüm kullanıcılar için olmasını isteyeceğiz, bu nedenle Bilgisayar Yapılandırması(Computer Configuration) bölümünü genişleteceğiz.
Windows Ayarları(Windows Settings) -> Security Settings -> Local Policies -> Audit Policy genişletmeye devam edin . Bu, öncelikle bir klasörü denetlemeye odaklandığından, diğer ayarların çoğunu burada açıklamayacağım. Şimdi sağ tarafta(hand side) bir dizi ilke ve bunların geçerli ayarlarını göreceksiniz . Denetim ilkesi , (Audit policy)işletim sisteminin(operating system) yapılandırılıp yapılandırılmadığını ve değişiklikleri izlemeye hazır olup olmadığını denetleyen şeydir .
Şimdi Denetim Nesnesi Erişimi(Audit Object Access ) ayarını üzerine çift tıklayarak ve hem Başarılı(Success) hem de Başarısız'ı(Failure) seçerek kontrol edin . Tamam'ı tıklayın(Click OK) ve şimdi Windows'a değişiklikleri izlemeye hazır olmasını istediğimizi söyleyen ilk bölümü bitirdik. Şimdi bir sonraki adım, TAM OLARAK(EXACTLY) neyi izlemek istediğimizi söylemek . Grup İlkesi konsolunu(Group Policy console) şimdi kapatabilirsiniz .
Şimdi Windows Gezgini'ni(Windows Explorer) kullanarak izlemek istediğiniz klasöre gidin . Explorer'da(Explorer) , klasöre(folder and click) sağ tıklayın ve Özellikler'e tıklayın(Properties) . Güvenlik Sekmesine( Security Tab) tıklayın ve buna benzer bir şey görürsünüz:
Şimdi Gelişmiş(Advanced) düğmesine tıklayın ve Denetim(Auditing) sekmesine tıklayın. Burası, bu klasör için neyi izlemek istediğimizi gerçekten yapılandıracağımız yerdir.
Devam edin ve Ekle(Add) düğmesini tıklayın. Bir Kullanıcı veya Grup(User or Group) seçmenizi isteyen bir iletişim kutusu açılacaktır . Kutuya “ users ” kelimesini yazın ve (word “)Check Names 'i tıklayın . COMPUTERNAME\Users biçimindeki yerel kullanıcılar grubunun adıyla otomatik olarak güncellenir .
Tamam'ı tıklayın ve şimdi “ (Click OK)X için Denetim Girişi(Audit Entry for X) “ adlı başka bir iletişim kutusu göreceksiniz . Yapmak istediğimiz şeyin gerçek özü bu. Bu klasör için ne izlemek istediğinizi seçeceğiniz yer burasıdır. Yeni dosya/klasör silme veya oluşturma gibi hangi tür etkinlikleri izlemek istediğinizi tek tek seçebilirsiniz. İşleri kolaylaştırmak için, altındaki diğer tüm seçenekleri otomatik olarak seçecek olan Tam Denetim öğesini seçmenizi öneririm. (Full Control)Bunu Başarı(Success) ve Başarısızlık(Failure) için yapın . Bu şekilde o klasöre veya içindeki dosyalara ne yapılırsa yapılsın kaydınız olacaktır.
Şimdi Tamam'ı tıklayın ve çoklu iletişim kutusu(dialog box) kümesinden çıkmak için tekrar Tamam'ı ve bir kez daha Tamam'ı tıklayın . Ve şimdi bir klasörde denetimi başarıyla yapılandırdınız! Olaylara nasıl bakıyorsunuz diye sorabilirsiniz.
Etkinlikleri görüntülemek için Denetim Masası'na(Control Panel and click) gitmeniz ve Yönetimsel Araçlar'a(Administrative Tools) tıklamanız gerekir . Ardından Olay Görüntüleyiciyi(Event Viewer) açın . Güvenlik(Security) bölümüne tıklayın ve sağ tarafta(hand side) geniş bir olay listesi göreceksiniz :
Devam edip bir dosya oluşturursanız veya klasörü açıp Olay Görüntüleyici'deki (Event Viewer)Yenile düğmesini(Refresh button) ( iki yeşil oklu düğme) tıklarsanız, Dosya Sistemi( File System) kategorisinde bir sürü olay görürsünüz . Bunlar, denetlediğiniz klasörler/dosyalar üzerindeki tüm silme, oluşturma, okuma, yazma işlemleriyle ilgilidir. Windows 7'de(Windows 7) artık her şey Dosya Sistemi görev(File System task) kategorisi altında görünüyor , bu yüzden ne olduğunu görmek için her birine tıklayıp kaydırmanız gerekecek.
Bu kadar çok olaya bakmayı kolaylaştırmak için bir filtre koyabilir ve sadece önemli şeyleri görebilirsiniz. Üstteki Görünüm menüsüne (View)tıklayın(Click) ve Filtre'ye(Filter) tıklayın . Filtre(Filter) seçeneği yoksa , soldaki sayfada Güvenlik günlüğüne(Security log) sağ tıklayın ve Geçerli Günlüğü Filtrele öğesini(Filter Current Log) seçin . Olay Kimliği kutusuna (Event ID box)4656 numarasını yazın . Bu, belirli bir kullanıcının bir Dosya Sistemi (File System ) eylemi gerçekleştirmesiyle ilişkili olaydır ve binlerce girişe bakmanıza gerek kalmadan size ilgili bilgileri verecektir.
Bir etkinlik hakkında daha fazla bilgi almak istiyorsanız, görüntülemek için üzerine çift tıklamanız yeterlidir.
Bu, yukarıdaki ekrandaki bilgilerdir:
Bir nesne için bir tanıtıcı istendi.(A handle to an object was requested.)
Konu: (Subject:)
Security ID: Aseem-Lenovo\Aseem
Hesap Adı: Aseem ( Account Name: Aseem)
Hesabı Etki Alanı: Aseem-Lenovo ( Account Domain: Aseem-Lenovo)
Oturum Açma Kimliği: 0x175a1( Logon ID: 0x175a1)
Nesne: (Object:)
Nesne Sunucusu: Güvenlik ( Object Server: Security)
Nesne Türü: Dosya ( Object Type: File)
Object Name: C:\Users\Aseem\Desktop\Tufu\New Text Document.txt
Handle ID: 0x16a0
İşlem Bilgileri: (Process Information:)
İşlem Kimliği: 0x820 ( Process ID: 0x820)
Process Name: C:\Windows\explorer.exe
Erişim Talebi Bilgileri: (Access Request Information:)
İşlem Kimliği: {00000000-0000-0000-0000-000000000000} ( Transaction ID: {00000000-0000-0000-0000-000000000000})
Erişimler: DELETE ( Accesses: DELETE)
SYNCHRONIZE
ReadAttributes
Yukarıdaki örnekte, üzerinde çalışılan dosya masaüstümdeki Tufu klasöründeki (Tufu folder)New Text Document.txt idi ve istediğim erişimler DELETE ve ardından SYNCHRONIZE idi . Burada yaptığım şey dosyayı silmekti. İşte başka bir örnek:
Nesne Türü: Dosya ( Object Type: File)
Object Name: C:\Users\Aseem\Desktop\Tufu\Address Labels.docx
Tutamaç Kimliği: 0x178( Handle ID: 0x178)
İşlem Bilgileri: (Process Information:)
İşlem Kimliği: 0x1008 ( Process ID: 0x1008)
Process Name: C:\Program Files (x86)\Microsoft Office\Office14\WINWORD.EXE
Erişim Talebi Bilgileri: (Access Request Information:)
İşlem Kimliği: {00000000-0000-0000-0000-000000000000} ( Transaction ID: {00000000-0000-0000-0000-000000000000})
Erişimler: READ_CONTROL ( Accesses: READ_CONTROL)
SYNCHRONIZE ReadData ( ( SYNCHRONIZE)
veya ListDirectory) WriteData (veya AddFile ( ReadData (or ListDirectory))
) ( WriteData (or AddFile))
AppendData (veya AddSubdirectory veya CreatePipeInstance) ( AppendData (or AddSubdirectory or CreatePipeInstance))
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Erişim Nedenleri: READ_CONTROL: Sahiplik Tarafından Verildi ( Access Reasons: READ_CONTROL: Granted by Ownership)
SYNCHRONIZE: Tarafından Verildi D:(A;ID;FA;;S-1-5-21-597862309-2018615179-2090787082-1000)( SYNCHRONIZE: Granted by D:(A;ID;FA;;;S-1-5-21-597862309-2018615179-2090787082-1000))
Bunu okurken , WINWORD.EXE programını(WINWORD.EXE program) kullanarak Address Labels.docx'e(Address Labels.docx) eriştiğimi ve erişimlerimin READ_CONTROL içerdiğini ve erişim nedenlerimin de READ_CONTROL olduğunu görebilirsiniz(READ_CONTROL) . Genellikle daha fazla erişim görürsünüz, ancak genellikle ana erişim türü olduğu için ilkine odaklanın. Bu durumda, dosyayı Word(Word) kullanarak açtım . Neler olup bittiğini anlamak için biraz test etmek ve olayları okumak(testing and reading) gerekiyor, ancak bir kez indirdiğinizde, çok güvenilir bir sistem. Olay Görüntüleyicide(Event Viewer) neyin göründüğünü görmek için dosyalar içeren bir test klasörü(test folder) oluşturmanızı ve çeşitli eylemler gerçekleştirmenizi öneririm .
Hepsi bukadar! Bir klasöre erişimi veya değişiklikleri(access or changes) izlemenin hızlı ve ücretsiz bir yolu !
Related posts
Windows XP'de Güvenli ve Kilitli Klasör Nasıl Oluşturulur
Windows XP, 7, 8'de Masaüstü Simge Düzeninizi Nasıl Kaydedebilirsiniz?
Windows XP'de "Eksik veya bozuk NTFS.sys" Hatası Nasıl Onarılır
Windows XP veya Windows Server 2003 Bilgisayarına Uzaktan Erişim
Sürücü Kurulumunu Kullanarak Windows XP'den Bir Ağ Yazıcısı Kurun
Windows XP'de VHD Dosyası Ekleme
Windows'ta Dosya ve Klasör İzinleri Nasıl Ayarlanır
Resimler için Windows Gezgini Varsayılan Küçük Resim Boyutu Nasıl Artırılır
Bilgisayarınızdaki, Telefonunuzdaki veya Ağınızdaki Herhangi Bir Web Sitesini Nasıl Engellersiniz?
Windows XP'de Başlangıca Program Nasıl Eklenir
Windows XP, Vista, 7/8/10'da Eski DOS Oyunlarını ve Programlarını Çalıştırın
Windows'ta DEP'yi (Veri Yürütme Engellemesi) Yapılandırma veya Kapatma
Your Computer hızını artırmak için 15 ipucu
Yazıcı Ekleme Sihirbazını Kullanarak Windows XP'den Bir Ağ Yazıcısı Kurun
Ownership File or Folder Windows 11/10'te Nasıl Değiştirilir?
Windows'ta Denetim Masası - Klasik Windows XP görünümüne nasıl geçilir
Windows XP Kablosuz Ağ Bağlantısı Sorunlarını Giderin
msvcr120.dll Bilgisayarınızda Eksik mi? Düzeltmenin 8 Yolu
Windows 10'deki Perflogs klasörü nedir
Windows Kolay Aktarım kullanarak Windows XP, Vista, 7 veya 8'den Windows 10'a Dosya Aktarın