|

Windows ile Dosya Değişikliklerini Görme (Windows File Monitoring)


Ali Can Gönüllü tarafından 2022-02-15 11:23:02 tarihinde yazıldı. Tahmini okunma süresi 2 dakika, 26 saniye.


Çalışmalarım için bağış yapmak isterseniz Patreon hesabımdan bağışta bulunabilirsiniz.

Blog adresinde yazılanlar sadece eğitim amacıyla deneysel olarak hazırlanmıştır. Konu içerisinde geçen yöntemleri kendi oluşturduğunuz test ortamında denemenizi tavsiye ederiz.
Herhangi bir tarih, yer ve/veya mekanda oluşacak zararlardan alicangonullu.org, alicangonullu.org yöneticisi ve/veya konu yazarı mesul değildir.

Merhabalar

Windows serimize devam ediyoruz. Önceki seride sizlere USB ve Powershell scripti engelleme konularından bahsetmiştim. Bu yazımda sizlere Windows File Monitoring sisteminden bahsedeceğim. Bu sistem dosyaların okunma, değiştirilme, silinme ve kopyalanma işlemlerini takip eder ardından bunları loglar ve kaydeder. Öncelikle bu sistemi açmak için Ctrl+R tuş kombinasyonuyla Çalıştır'ı açarak gpedit.msc yazıyoruz.

Eğer bilgisayarınızda gpedit.msc aktif değilse şu komutları gpedit.cmd adlı bir dosyaya yazın ve yönetici olarak çalıştırın

@echo off
pushd "%~dp0"
dir /b %SystemRoot%\servicing\Packages\Microsoft-Windows-GroupPolicy-ClientExtensions-Package~3*.mum >List.txt
dir /b %SystemRoot%\servicing\Packages\Microsoft-Windows-GroupPolicy-ClientTools-Package~3*.mum >>List.txt
for /f %%i in ('findstr /i . List.txt 2^>nul') do dism /online /norestart /add-package:"%SystemRoot%\servicing\Packages\%%i"
pause

Ardından Bilgisayar Yapılandırması > Windows Ayarları > Güvenlik Ayarları > Gelişmiş Denetim İlkesi Yapılandırması > Nesne Erişimi kısmına giriyoruz.

Burada Dosya Sistemini denetle seçeneğine çift tıklıyoruz.

Burada Başarı ve Hata seçeneklerini seçiyoruz ardından Uygula diyoruz.

Sonrasında Bilgisayar Yapılandırması > Windows Ayarları > Güvenlik Ayarları > Yerel İlkeler > Denetim İlkeleri kısmından Nesne Erişimi kısmına geliyoruz ve burada da aynı işlemleri yapıyoruz

Ardından cmd.exe'yi yönetici olarak çalıştırıyoruz ve gpupdate /force komutunu giriyoruz.

Buradan sonra PowerShell'i yönetici olarak başlatıp şu komutları giriyoruz

New-Item -Path "c:\" -Name "logfiles" -ItemType "directory"

$Path = “c:\logfiles”

$AuditChangesRules = New-Object System.Security.AccessControl.FileSystemAuditRule(‘Everyone’, ‘Delete,DeleteSubdirectoriesAndFiles’, ‘none’, ‘none’, ‘Success’)

$Acl = Get-Acl -Path $Path

$Acl.AddAuditRule($AuditChangesRules)

Set-Acl -Path $Path -AclObject $Acl

Bu işlemlerin ardından takip etmek istediğimiz klasöre sağ tıklayıp Güvenlik sekmesinden Gelişmiş butonuna basıyoruz. Burada şuna benzer bir menü gördükten sonra üst kısmından Denetim seçeneğini seçiyoruz.

 

Burada Ekle diyoruz ve Sorumlu seçiyoruz

Sorumluları seçtikten sonra Tür : Tümü, Uygulandığı bölge : Bu klasörler ve alt klasörler ve Yetki ise Tam Denetim olacak ve ardından Tamam diyeceksiniz

Bu işlemlerin ardından verileri toplamaya bilgisayarınız başlıyor. Bu verileri görmek için Ctrl+R kombinasyonuyla eventvwr.msc komutunu çalıştırıyoruz.

Burada Windows Günlükleri -> Güvenlik bölümü içerisinde 4663 kodlu güvenlik bölmesinde logları görebilirsiniz.

Okuduğunuz için teşekkürler!