|

Windows ile Dosya Değişikliklerini Görme (Windows File Monitoring)


alicangonullu tarafından 2022-02-15 11:23:02 tarihinde yazıldı. Tahmini okunma süresi 2 dakika, 26 saniye. 182 kere görüntülendi.



Disclaimer

The information provided in this blog post is intended for educational and informational purposes only. It is not intended to encourage or promote any illegal or unethical activities, including hacking, cyberattacks, or any form of unauthorized access to computer systems, networks, or data.

Yasal Uyarı
Bu blog yazısında sağlanan bilgiler yalnızca eğitim ve bilgilendirme amaçlıdır. Bilgisayar korsanlığı, siber saldırılar veya bilgisayar sistemlerine, ağlara veya verilere herhangi bir şekilde yetkisiz erişim de dahil olmak üzere herhangi bir yasa dışı veya etik olmayan faaliyeti teşvik etme veya reklamlama amacı taşımaz.
Yasal bilgiler için yasal sayfasını inceleyebilirsiniz .

Merhabalar

Windows serimize devam ediyoruz. Önceki seride sizlere USB ve Powershell scripti engelleme konularından bahsetmiştim. Bu yazımda sizlere Windows File Monitoring sisteminden bahsedeceğim. Bu sistem dosyaların okunma, değiştirilme, silinme ve kopyalanma işlemlerini takip eder ardından bunları loglar ve kaydeder. Öncelikle bu sistemi açmak için Ctrl+R tuş kombinasyonuyla Çalıştır'ı açarak gpedit.msc yazıyoruz.

Eğer bilgisayarınızda gpedit.msc aktif değilse şu komutları gpedit.cmd adlı bir dosyaya yazın ve yönetici olarak çalıştırın

@echo off
pushd "%~dp0"
dir /b %SystemRoot%\servicing\Packages\Microsoft-Windows-GroupPolicy-ClientExtensions-Package~3*.mum >List.txt
dir /b %SystemRoot%\servicing\Packages\Microsoft-Windows-GroupPolicy-ClientTools-Package~3*.mum >>List.txt
for /f %%i in ('findstr /i . List.txt 2^>nul') do dism /online /norestart /add-package:"%SystemRoot%\servicing\Packages\%%i"
pause

Ardından Bilgisayar Yapılandırması > Windows Ayarları > Güvenlik Ayarları > Gelişmiş Denetim İlkesi Yapılandırması > Nesne Erişimi kısmına giriyoruz.

Burada Dosya Sistemini denetle seçeneğine çift tıklıyoruz.

Burada Başarı ve Hata seçeneklerini seçiyoruz ardından Uygula diyoruz.

Sonrasında Bilgisayar Yapılandırması > Windows Ayarları > Güvenlik Ayarları > Yerel İlkeler > Denetim İlkeleri kısmından Nesne Erişimi kısmına geliyoruz ve burada da aynı işlemleri yapıyoruz

Ardından cmd.exe'yi yönetici olarak çalıştırıyoruz ve gpupdate /force komutunu giriyoruz.

Buradan sonra PowerShell'i yönetici olarak başlatıp şu komutları giriyoruz

New-Item -Path "c:\" -Name "logfiles" -ItemType "directory"

$Path = “c:\logfiles”

$AuditChangesRules = New-Object System.Security.AccessControl.FileSystemAuditRule(‘Everyone’, ‘Delete,DeleteSubdirectoriesAndFiles’, ‘none’, ‘none’, ‘Success’)

$Acl = Get-Acl -Path $Path

$Acl.AddAuditRule($AuditChangesRules)

Set-Acl -Path $Path -AclObject $Acl

Bu işlemlerin ardından takip etmek istediğimiz klasöre sağ tıklayıp Güvenlik sekmesinden Gelişmiş butonuna basıyoruz. Burada şuna benzer bir menü gördükten sonra üst kısmından Denetim seçeneğini seçiyoruz.

 

Burada Ekle diyoruz ve Sorumlu seçiyoruz

Sorumluları seçtikten sonra Tür : Tümü, Uygulandığı bölge : Bu klasörler ve alt klasörler ve Yetki ise Tam Denetim olacak ve ardından Tamam diyeceksiniz

Bu işlemlerin ardından verileri toplamaya bilgisayarınız başlıyor. Bu verileri görmek için Ctrl+R kombinasyonuyla eventvwr.msc komutunu çalıştırıyoruz.

Burada Windows Günlükleri -> Güvenlik bölümü içerisinde 4663 kodlu güvenlik bölmesinde logları görebilirsiniz.

Okuduğunuz için teşekkürler!