Group Policyשרתים וטרמינלים

ניטור מחיקות בשרת

הנהלת האתר לא תישא באחריות לכל נזק שייגרם מעבודה לפי מדריך זה. המשתמש נושא באחריות הבלעדית לכל שינוי ועבודה שבוצעה. אין לראות בדברים משום המלצה.

אין יותר מתסכל מלפתוח את התיקיה שלכם בשרת הקבצים, רק כדי לגלות שכל מה שהיה שם נעלם. רגע לפני שמבצעים אסקלציה יש מספר דברים שצריך לבדוק בצד הלקוח ובצד השרת. להלן כיצד

בדיקות מקדימות

ראשית יש לבדוק לפי הרשימה הבאה מה אנחנו מפספסים:

  1. שינוי מיקום- רוב הפעמים משתמשים גוררים בטעות את התיקיות לתיקיה אחרת. חיפוש פשוט יניב את התוצאות הברוכות.
  2. הרשאות תיקיה (Security)- גם מסוג הדברים הנפוצים. שווה לבדוק אלו הרשאות באמת מקבל המשתמש בEffective permission (יובא מטה)
  3. הרשאות שיתוף (Sharing)- בדומה לקודם, אם כי לא נפוץ במיוחד. שווה בדיקה.
  4. שם התיקיה שונה- לעיתים שמות תיקיה משתנים, הדבר מתרחש גם בכל הקשור לשמות קבצים. אם לא מוצאים תיקיה מסוימת ניתן לחפש שמות קבצים שזוכרים לאחרונה שעבדנו עליהם.
  5. אם לאחר כל זאת אין מוצא- השלב הבא הוא ניטור מחיקות על התיקיה בשרת.
  6. לפעול לפי המדריך מטה לחסימת הרשאות מחיקה לעובדים.

שימו לב: השלבים המובאים מטה צריכים להישקל כדבר בסיסי בשרתים. על אף הלוגים הלא קטנים.

יצירת ניטור מחיקות בשרת

ראשית ניגש לשרת שלנו. במקרה זה שרת Server 2012R2.

נלחץ על כפתור ההתחל (חלונות) במקלדת:

שרת Windows Server 2012R2 בגרסת טרמינל

כעת נלחץ על Administrative Tools

Group Policy Management

בחלון הבא נרחיב את הרובריקה Domains:

פתיחת רובריקת Domains

לאחר מכן להרחיב את שם השרת שלנו, קליק ימני על קיצור הדרך של Default Domain Policy, ו-Edit

הרחבת רובריקת שם דומיין, וקליק ימני על Default Domain Policy, ו-Edit

בחלון הבא יש להרחיב וללחוץ בהתאמה על:

Computer Configuration – > Windows Settings -> Security Settings -> Audit Policy

ולהקליק פעמיים על Audit object access

בחלון שנפתח יש לסמן לפי הסימונים מטה ולחיצה על OK לאישור:

סימון כל הסימונים ולחיצה על OK

יש לסגור את חלון הGPM, ולפתוח חלון cmd ע”י לחיצה על כפתור התחל (חלונות) במקלדת + האות R. בחלון שנפתח יש לרשום cmd:

cmd

בחלון שנפתח יש לרשום: gpupdate /force

ואנטר. יש לחזור על הפקודה פעם נוספת. במידה והכרחי יש לבצע אתחול לשרת פעמיים.

הגדרת הרשאות לתיקיה

ניגש כעת לתיקיה (אנחנו בחרנו למשל בתיקיית BI_DB בכונן C) ובאמצעות קליק ימני על התיקיה ו-Properties נגדיר עליה הרשאות לכדלהלן:

קליק ימני על התיקיה ו-Properties

ראשית ניצור הרשאות קריאה וכתיבה לקובץ. מופיע תחת הטאב Security ואז על Advanced:

בחלון שקפץ נוסיף את המשתמשים/קבוצות הרצויות ונכניס הרשאות קריאה וכתיבה.

את ההרשאות התקפות נוכל לראות דרך לחיצה על טאב Effective Permission, לחיצה על Select a user והקלדת שם המשתמש ו-OK:

כאן יופיעו כל ההרשאות התקפות לאותו משתמש

הגדרות הניטור עצמו

לאחר מכן ניגש להגדרת הניטור עצמו. נלחץ על Auditing ואז על Add:

Auditing
Auditing -> Add

לחץ על Select a principal

בחלון הבא יש לכתוב את המשתמשים או הקבוצות שעליהם ברצונכם לבצע ניטור. לדוגמה Everyone ואז לחיצה על OK

כאן יש להוריד את הסימון מ-Read ולאחר מכן, בצד ימין ללחוץ על Show basic permissions

כאן יש לסמן את כל מה שקשור ל-Delete

לחיצה על Show basic permissions ואז סימון כל הקשור ל-Delete

נלחץ OK. זהו. יצרנו ניטור בהצלחה.

Auditing done

לאחר מכן ניצור קובץ בתוך התיקיה שלנו ונמחק אותו.

צפיה בLog של הניטור

כעת נחזור שנית אל תיקיית Administratoive Tools ונקליק על Event Viewer

Event Viewer

בחלון הבא נפתח את:

Windows logs-> Security

כאן נוכל לראות למעשה את כל הפריטים הקשורים לSuccess ו-Failure

אם נרצה להיות ספציפיים לגבי קובץ מסוים נוכל להקליק קליק ימני על Security ואז על Find:

Security -> Find
כאן רשמו את שם הקובץ + סיומת הקובץ
להלן התוצאה
זהירות! עלול לקחת זמן רב לשרת למצוא את הנתון המבוקש.

לחלופין ניתן להשתמש בכלי ייעודי חינמי לתקופה קצרה.

הכלי נקרא ManageEngine ADAudit Plus וניתן להורדה מכאן

תמונה של הכלי לאחר אקטוב Audit בשרת:

ManageEngine ADAudit Plus

Admin

איש סיסטם ואבטחת מידע. אוהב בירה מסוג Corona, וויסקי Crown Royal, גיימר בדם, ובעל חוש הומור.

מאמרים קשורים

Leave a Reply

Your email address will not be published. Required fields are marked *

אתה תאהב גם את זה
Close
Back to top button