ניטור מחיקות בשרת


אין יותר מתסכל מלפתוח את התיקיה שלכם בשרת הקבצים, רק כדי לגלות שכל מה שהיה שם נעלם. רגע לפני שמבצעים אסקלציה יש מספר דברים שצריך לבדוק בצד הלקוח ובצד השרת. להלן כיצד

בדיקות מקדימות

ראשית יש לבדוק לפי הרשימה הבאה מה אנחנו מפספסים:

  1. שינוי מיקום- רוב הפעמים משתמשים גוררים בטעות את התיקיות לתיקיה אחרת. חיפוש פשוט יניב את התוצאות הברוכות.
  2. הרשאות תיקיה (Security)- גם מסוג הדברים הנפוצים. שווה לבדוק אלו הרשאות באמת מקבל המשתמש בEffective permission (יובא מטה)
  3. הרשאות שיתוף (Sharing)- בדומה לקודם, אם כי לא נפוץ במיוחד. שווה בדיקה.
  4. שם התיקיה שונה- לעיתים שמות תיקיה משתנים, הדבר מתרחש גם בכל הקשור לשמות קבצים. אם לא מוצאים תיקיה מסוימת ניתן לחפש שמות קבצים שזוכרים לאחרונה שעבדנו עליהם.
  5. אם לאחר כל זאת אין מוצא- השלב הבא הוא ניטור מחיקות על התיקיה בשרת.
  6. חדש: מדריך חסימת הרשאות מחיקה לעובדים.

שימו לב: השלבים המובאים מטה צריכים להישקל כדבר בסיסי בשרתים. על אף הלוגים הלא קטנים.

יצירת ניטור מחיקות בשרת

ראשית ניגש לשרת שלנו. במקרה זה Server 2012R2.

נלחץ על כפתור ההתחל (חלונות) במקלדת:

שרת Windows Server 2012R2 בגרסת טרמינל

כעת נלחץ על Administrative Tools

Group Policy Management

בחלון הבא נרחיב את הרובריקה Domains:

פתיחת רובריקת Domains

לאחר מכן להרחיב את שם השרת שלנו, קליק ימני על קיצור הדרך של Default Domain Policy, ו-Edit

הרחבת רובריקת שם דומיין, וקליק ימני על Default Domain Policy, ו-Edit

בחלון הבא יש להרחיב וללחוץ בהתאמה על:

Computer Configuration – > Windows Settings -> Security Settings -> Audit Policy

ולהקליק פעמיים על Audit object access

בחלון שנפתח יש לסמן לפי הסימונים מטה ולחיצה על OK לאישור:

סימון כל הסימונים ולחיצה על OK

יש לסגור את חלון הGPM, ולפתוח חלון cmd ע"י לחיצה על כפתור התחל (חלונות) במקלדת + האות R. בחלון שנפתח יש לרשום cmd:

cmd

בחלון שנפתח יש לרשום:

CMD
gpupdate /force

ואנטר. יש לחזור על הפקודה פעם נוספת. במידה והכרחי יש לבצע אתחול לשרת פעמיים.

הגדרת הרשאות לתיקיה

ניגש כעת לתיקיה (אנחנו בחרנו למשל בתיקיית BI_DB בכונן C) ובאמצעות קליק ימני על התיקיה ו-Properties נגדיר עליה הרשאות לכדלהלן:

קליק ימני על התיקיה ו-Properties

ראשית ניצור הרשאות קריאה וכתיבה לקובץ. מופיע תחת הטאב Security ואז על Advanced:

בחלון שקפץ נוסיף את המשתמשים/קבוצות הרצויות ונכניס הרשאות קריאה וכתיבה.

את ההרשאות התקפות נוכל לראות דרך לחיצה על טאב Effective Permission, לחיצה על Select a user והקלדת שם המשתמש ו-OK:

כאן יופיעו כל ההרשאות התקפות לאותו משתמש

הגדרות הניטור עצמו

לאחר מכן ניגש להגדרת הניטור עצמו. נלחץ על Auditing ואז על Add:

Auditing
Auditing -> Add

לחץ על Select a principal

בחלון הבא יש לכתוב את המשתמשים או הקבוצות שעליהם ברצונכם לבצע ניטור. לדוגמה Everyone ואז לחיצה על OK

כאן יש להוריד את הסימון מ-Read ולאחר מכן, בצד ימין ללחוץ על Show basic permissions

כאן יש לסמן את כל מה שקשור ל-Delete

לחיצה על Show basic permissions ואז סימון כל הקשור ל-Delete

נלחץ OK. זהו. יצרנו ניטור בהצלחה.

Auditing done

לאחר מכן ניצור קובץ בתוך התיקיה שלנו ונמחק אותו.

צפיה בLog של הניטור

כעת נחזור שנית אל תיקיית Administratoive Tools ונקליק על Event Viewer

Event Viewer

בחלון הבא נפתח את:

Windows logs-> Security

כאן נוכל לראות למעשה את כל הפריטים הקשורים לSuccess ו-Failure

אם נרצה להיות ספציפיים לגבי קובץ מסוים נוכל להקליק קליק ימני על Security ואז על Find:

Security -> Find
כאן רשמו את שם הקובץ + סיומת הקובץ
להלן התוצאה

זהירות: עלול לקחת זמן רב לשרת למצוא את הנתון המבוקש.


Like it? Share with your friends!

0
he_IL
en_US he_IL

Send this to a friend