Birisi Bilgisayarınızdaki Bir Klasöre Eriştiğinde Nasıl İzlenir

Windows'ta(Windows) , birinin belirli bir klasörün içindeki bir şeyi ne zaman görüntülediğini, düzenlediğini veya sildiğini izlemenize olanak tanıyan güzel bir küçük özellik vardır . Bu nedenle, kimin eriştiğini bilmek istediğiniz bir klasör veya dosya(folder or file) varsa, bu, üçüncü taraf yazılımı kullanmak zorunda kalmadan yerleşik yöntemdir.

Bu özellik aslında , şirket ağındaki bilgisayarları sunucular aracılığıyla yöneten çoğu BT Uzmanı(IT Professionals) tarafından kullanılan Grup İlkesi adlı bir ( Group Policy)Windows güvenlik(Windows security)  özelliğinin bir parçasıdır, ancak herhangi bir sunucu olmadan bir PC'de yerel olarak da kullanılabilir. Grup İlkesi(Group Policy) kullanmanın tek dezavantajı , Windows'un(Windows) daha düşük sürümlerinde mevcut olmamasıdır . Windows 7 için (Windows 7)Windows 7 Professional veya üzeri bir sürüme sahip olmanız gerekir . Windows 8(Windows 8) için Pro veya Enterprise'a(Enterprise) ihtiyacınız var .

Grup İlkesi(Group Policy) terimi , temel olarak, bir grafik kullanıcı arabirimi(user interface) aracılığıyla kontrol edilebilen bir dizi kayıt defteri ayarını ifade eder . Çeşitli ayarları etkinleştirir veya devre dışı bırakırsınız ve bu düzenlemeler daha sonra Windows kayıt defterinde(Windows registry) güncellenir .

Windows XP'de(Windows XP) , ilke düzenleyiciye(policy editor) gitmek için Başlat'a(Start) ve ardından Çalıştır'a(Run) tıklayın . Metin kutusuna, aşağıda gösterildiği gibi tırnak işaretleri olmadan “ gpedit.msc ” yazın:(gpedit.msc)

gpedit'i çalıştır

Windows 7'de(Windows 7) , Başlat düğmesine(Start button and type) tıklayıp Başlat Menüsünün(Start Menu) altındaki arama kutusuna(search box) gpedit.msc yazmanız( gpedit.msc) yeterlidir . Windows 8'de(Windows 8) , Başlangıç ​​Ekranına(Start Screen) gidin ve yazmaya başlayın veya fare imlecinizi(mouse cursor) ekranın en üstüne veya sağ altına getirerek Charms çubuğunu açın ve Ara'yı tıklayın(Search) . Ardından gpedit yazın(gpedit) . Şimdi aşağıdaki resme benzer bir şey görmelisiniz:

grup ilkesi düzenleyicisi

İki ana ilke kategorisi vardır: Kullanıcı(User) ve Bilgisayar(Computer) . Tahmin edebileceğiniz gibi, kullanıcı politikaları her kullanıcı için ayarları kontrol ederken, bilgisayar ayarları sistem çapında ayarlar olacak ve tüm kullanıcıları etkileyecektir. Bizim durumumuzda, ayarımızın tüm kullanıcılar için olmasını isteyeceğiz, bu nedenle Bilgisayar Yapılandırması(Computer Configuration) bölümünü genişleteceğiz.

Windows Ayarları(Windows Settings) ->  Security Settings -> Local Policies -> Audit Policy genişletmeye devam edin . Bu, öncelikle bir klasörü denetlemeye odaklandığından, diğer ayarların çoğunu burada açıklamayacağım. Şimdi sağ tarafta(hand side) bir dizi ilke ve bunların geçerli ayarlarını göreceksiniz . Denetim ilkesi , (Audit policy)işletim sisteminin(operating system) yapılandırılıp yapılandırılmadığını ve değişiklikleri izlemeye hazır olup olmadığını denetleyen şeydir .

denetim nesnesi erişimi

Şimdi Denetim Nesnesi Erişimi(Audit Object Access ) ayarını üzerine çift tıklayarak ve hem Başarılı(Success) hem de Başarısız'ı(Failure) seçerek kontrol edin . Tamam'ı tıklayın(Click OK) ve şimdi Windows'a değişiklikleri izlemeye hazır olmasını istediğimizi söyleyen ilk bölümü bitirdik. Şimdi bir sonraki adım, TAM OLARAK(EXACTLY) neyi izlemek istediğimizi söylemek . Grup İlkesi konsolunu(Group Policy console) şimdi kapatabilirsiniz .

Şimdi Windows Gezgini'ni(Windows Explorer) kullanarak izlemek istediğiniz klasöre gidin . Explorer'da(Explorer) , klasöre(folder and click) sağ tıklayın ve Özellikler'e tıklayın(Properties) . Güvenlik Sekmesine( Security Tab) tıklayın ve buna benzer bir şey görürsünüz:

gezgin güvenlik sekmesi

Şimdi Gelişmiş(Advanced) düğmesine tıklayın ve Denetim(Auditing) sekmesine tıklayın. Burası, bu klasör için neyi izlemek istediğimizi gerçekten yapılandıracağımız yerdir.

denetim sekmesi pencereleri

Devam edin ve Ekle(Add) düğmesini tıklayın. Bir Kullanıcı veya Grup(User or Group) seçmenizi isteyen bir iletişim kutusu açılacaktır . Kutuya “ userskelimesini yazın ve (word “)Check Names 'i tıklayın . COMPUTERNAME\Users biçimindeki yerel kullanıcılar grubunun adıyla otomatik olarak güncellenir .

kullanıcı grubu izinleri

Tamam'ı tıklayın ve şimdi “ (Click OK)X için Denetim Girişi(Audit Entry for X) “ adlı başka bir iletişim kutusu göreceksiniz . Yapmak istediğimiz şeyin gerçek özü bu. Bu klasör için ne izlemek istediğinizi seçeceğiniz yer burasıdır. Yeni dosya/klasör silme veya oluşturma gibi hangi tür etkinlikleri izlemek istediğinizi tek tek seçebilirsiniz. İşleri kolaylaştırmak için, altındaki diğer tüm seçenekleri otomatik olarak seçecek olan Tam Denetim öğesini seçmenizi öneririm. (Full Control)Bunu Başarı(Success) ve Başarısızlık(Failure) için yapın . Bu şekilde o klasöre veya içindeki dosyalara ne yapılırsa yapılsın kaydınız olacaktır.

denetim izinleri gezgini

Şimdi Tamam'ı tıklayın ve çoklu iletişim kutusu(dialog box) kümesinden çıkmak için tekrar Tamam'ı ve bir kez daha Tamam'ı tıklayın . Ve şimdi bir klasörde denetimi başarıyla yapılandırdınız! Olaylara nasıl bakıyorsunuz diye sorabilirsiniz.

Etkinlikleri görüntülemek için Denetim Masası'na(Control Panel and click) gitmeniz ve Yönetimsel Araçlar'a(Administrative Tools) tıklamanız gerekir . Ardından Olay Görüntüleyiciyi(Event Viewer) açın . Güvenlik(Security) bölümüne tıklayın ve sağ tarafta(hand side) geniş bir olay listesi göreceksiniz :

olay görüntüleyici güvenliği

Devam edip bir dosya oluşturursanız veya klasörü açıp Olay Görüntüleyici'deki (Event Viewer)Yenile düğmesini(Refresh button) ( iki yeşil oklu düğme) tıklarsanız, Dosya Sistemi( File System) kategorisinde bir sürü olay görürsünüz . Bunlar, denetlediğiniz klasörler/dosyalar üzerindeki tüm silme, oluşturma, okuma, yazma işlemleriyle ilgilidir. Windows 7'de(Windows 7) artık her şey Dosya Sistemi görev(File System task) kategorisi altında görünüyor , bu yüzden ne olduğunu görmek için her birine tıklayıp kaydırmanız gerekecek.

Bu kadar çok olaya bakmayı kolaylaştırmak için bir filtre koyabilir ve sadece önemli şeyleri görebilirsiniz. Üstteki Görünüm menüsüne (View)tıklayın(Click) ve Filtre'ye(Filter) tıklayın . Filtre(Filter) seçeneği yoksa , soldaki sayfada Güvenlik günlüğüne(Security log) sağ tıklayın ve Geçerli Günlüğü Filtrele öğesini(Filter Current Log) seçin . Olay Kimliği kutusuna (Event ID box)4656 numarasını yazın . Bu, belirli bir kullanıcının bir Dosya Sistemi (File System ) eylemi gerçekleştirmesiyle ilişkili olaydır ve binlerce girişe bakmanıza gerek kalmadan size ilgili bilgileri verecektir.

filtre günlüğü

Bir etkinlik hakkında daha fazla bilgi almak istiyorsanız, görüntülemek için üzerine çift tıklamanız yeterlidir.

olay kimliği silme

Bu, yukarıdaki ekrandaki bilgilerdir:

Bir nesne için bir tanıtıcı istendi.(A handle to an object was requested.)

Konu: (Subject:)
Security ID: Aseem-Lenovo\Aseem
Hesap Adı: Aseem ( Account Name: Aseem)
Hesabı Etki Alanı: Aseem-Lenovo ( Account Domain: Aseem-Lenovo)
Oturum Açma Kimliği: 0x175a1( Logon ID: 0x175a1)

Nesne: (Object:)
Nesne Sunucusu: Güvenlik ( Object Server: Security)
Nesne Türü: Dosya ( Object Type: File)
Object Name: C:\Users\Aseem\Desktop\Tufu\New Text Document.txt
Handle ID: 0x16a0

İşlem Bilgileri: (Process Information:)
İşlem Kimliği: 0x820 ( Process ID: 0x820)
Process Name: C:\Windows\explorer.exe

Erişim Talebi Bilgileri: (Access Request Information:)
İşlem Kimliği: {00000000-0000-0000-0000-000000000000} ( Transaction ID: {00000000-0000-0000-0000-000000000000})
Erişimler: DELETE ( Accesses: DELETE)
SYNCHRONIZE
ReadAttributes

Yukarıdaki örnekte, üzerinde çalışılan dosya masaüstümdeki Tufu klasöründeki (Tufu folder)New Text Document.txt idi ve istediğim erişimler DELETE ve ardından SYNCHRONIZE idi . Burada yaptığım şey dosyayı silmekti. İşte başka bir örnek:

Nesne Türü: Dosya ( Object Type: File)
Object Name: C:\Users\Aseem\Desktop\Tufu\Address Labels.docx
Tutamaç Kimliği: 0x178( Handle ID: 0x178)

İşlem Bilgileri: (Process Information:)
İşlem Kimliği: 0x1008 ( Process ID: 0x1008)
Process Name: C:\Program Files (x86)\Microsoft Office\Office14\WINWORD.EXE

Erişim Talebi Bilgileri: (Access Request Information:)
İşlem Kimliği: {00000000-0000-0000-0000-000000000000} ( Transaction ID: {00000000-0000-0000-0000-000000000000})
Erişimler: READ_CONTROL ( Accesses: READ_CONTROL)
SYNCHRONIZE ReadData ( ( SYNCHRONIZE)
veya ListDirectory) WriteData (veya AddFile ( ReadData (or ListDirectory))
) ( WriteData (or AddFile))
AppendData (veya AddSubdirectory veya CreatePipeInstance) ( AppendData (or AddSubdirectory or CreatePipeInstance))
ReadEA
WriteEA
ReadAttributes
WriteAttributes

Erişim Nedenleri: READ_CONTROL: Sahiplik Tarafından Verildi ( Access Reasons: READ_CONTROL: Granted by Ownership)
SYNCHRONIZE: Tarafından Verildi D:(A;ID;FA;;S-1-5-21-597862309-2018615179-2090787082-1000)( SYNCHRONIZE: Granted by D:(A;ID;FA;;;S-1-5-21-597862309-2018615179-2090787082-1000))

Bunu okurken , WINWORD.EXE programını(WINWORD.EXE program) kullanarak Address Labels.docx'e(Address Labels.docx) eriştiğimi ve erişimlerimin READ_CONTROL içerdiğini ve erişim nedenlerimin de READ_CONTROL olduğunu görebilirsiniz(READ_CONTROL) . Genellikle daha fazla erişim görürsünüz, ancak genellikle ana erişim türü olduğu için ilkine odaklanın. Bu durumda, dosyayı Word(Word) kullanarak açtım . Neler olup bittiğini anlamak için biraz test etmek ve olayları okumak(testing and reading) gerekiyor, ancak bir kez indirdiğinizde, çok güvenilir bir sistem. Olay Görüntüleyicide(Event Viewer) neyin göründüğünü görmek için dosyalar içeren bir test klasörü(test folder) oluşturmanızı ve çeşitli eylemler gerçekleştirmenizi öneririm .

Hepsi bukadar! Bir klasöre erişimi veya değişiklikleri(access or changes) izlemenin hızlı ve ücretsiz bir yolu !



About the author

10 yılı aşkın deneyime sahip bir iOS geliştiricisiyim. iPhone ve iPad için uygulama geliştirme konusunda uzmanım. Kullanıcı akışları oluşturma, Özel Geliştirme Kitleri (CDK'ler) oluşturma ve çeşitli uygulama geliştirme çerçeveleriyle çalışma deneyimim var. Önceki çalışmamda, bir ürün yönetim aracı ve bir uygulama gönderme aracı içeren Apple'ın App Store'unu yönetmeye yardımcı olacak araçlar da geliştirdim.



Related posts