قابلیت Policy Audit File share

فهرست مطالب

برای همه ی کاربران پیش آمده که فایل یا فولدرهایی را share کنند و در بسیاری از آنها نیز فایل هایی وجود داشته که نمیخواستند به جز آن افرادی که قصد ارسال به آنها داشته اند کس دیگری از محتوای این فایل ها مطلع شود.اما معمولا افراد کنجکاوی وجود دارند که سعی در سرک کشی به منابع share شما آن هم بدون اطلاع دارند.

گروه فنی رایانه کمک در این مطلب آموزش میدهد که از این پس بدانید که چه کسانی سعی به دسترسی به فایل های share شده ی مخفی شما داشته اند و حتی بتوانید به مک آدرس آنها دست پیدا کنید.

در همه ی سیستم ها یک Policy به نام Audit Detailed File Share وجود دارد که اگر شما بتوانید کار با آن را بیاموزید از این پس میتوانید بدانید چه کسانی میخواستند به فولدرهای share شده ی شما دست پیدا کنند و حتی زمان این کار و نام کامپیوتر آن ها را به راحتی میتوانید بفهمید.

Policy Audit File Share زمانی که هر کس اقدام به دسترسی منابع share شما میکند یک Event ثبت میکند. مشابه این Policy را میتوان به File Share اشاره داشت اما این قابلیت فقط یک Event برای تمام Connection هایی که به share متصل شده اند را ثبت میکند اما Policy Audit File Share برای تلاش به دسترسی به هر فایل یک Event ثبت خواهد کرد.

Audit File Share درصورت فعال بودن میتواند اطلاعات کاملی از تلاش برای دسترسی به این منابع را در اختیار قرار دهد و حتی شما میتوانید آن را به گونه ای تنظیم کنید که در صورت عدم موفقیت و یا حتی موفقیت آن کاربر برای دسترسی به این منابع نیز یک Event به ثبت برسد.

Audit File Share را چگونه باید فعال کرد

برای فعال کردن این قابلیت شما ابتدا باید به بخش Group Policy وارد شوید که برای این کار شما دو روش دارید:

1)کلید های Win و R را به صورت همزمان فشار دهید. در صغحه نمایش داده شده عبارت gpedit.msc را تایپ کنید و اینتر را بزنید.

قابلیت policy audit file share|رایانه کمک-1

یا میتوانید به منوی Start وارد شوید و در آنجا گزینه ی Group Policy را که یافتید به روی Edit Group Policy کلیک نمایید و به این صورت به Group Policy وارد شوید.

2) برای رسیدن به Audit Detailed File share باید مسیر را به ترتیب ادامه دهید:

ComputerConfiguration>>WindowsSetting>>Security Setting>>Advanced Audit Policy Configuration

>>System Audit Policies – Local Group Policy Object>>Object Access>>Audit Detailed File Share

قابلیت policy audit file share|رایانه کمک-2

3)حالا به روی گزینه ی Audit Detailed File share کلیک کنید با وارد شدن به پنجره ی جدید به تب Policy بروید.

ابتدا تیک گزینه ی Configuration the following audit events را فعال نمایید که به این صورت میتوانید دو گزینه ی دیگر را نیز تیک بزنید:

گزینه ی Success:

با فعال کردن این گزینه تمامی دسترسی های موفقیت آمیز به منابع share شما ثبت خواهد شد.

گزینه ی Failure:

با فعال کردن این گزینه تمامی دسترسی هایی که به منابع share شما ناکام بوده ثبت و یک Event برای آن نیز ثبت میشود.

قابلیت policy audit file share|رایانه کمک-3

بعد از اینکه موارد را با تیک زدن فعال نمودید OK را بزنید که از این پس بتوانید Event هارا مشاهده نمایید.

آموزش دسترسی به Event ها و بررسی آن

برای این که بدانید که چه کسانی به منابع share شما دسترسی داشته اند و موفق شده اند و یا نتوانسته اند موفق شوند باید مراحل زیر را انجام دهید:

1)ابتدا به منوی Start بروید و عبارت Event Viewer را تایپ کنید به شما گزینه به نام Event Viewer یا View event logs نسان داده خواهد شد به روی آن کلیک کنید.

2)پنجره ای مانند تصویر زیر برای شما نمایش داده خواهد شد در قسمت سمت چپ این پنجره گزینه Security را انتخاب نمایید.

قابلیت policy audit file share|رایانه کمک-4

3) همانطور که در تصویر بالا مشخص است Event های نمایش داده شده به دو صورت موجودند.

گروه اول که با آیکون کلید و نام Event Success مشخص هستند آن دسته از تلاش های موفق برای دسترسی به منابع share هستند.

گروه دوم که با آیکون قفل و نام Event Failure مشخص شده اند آن دسته از تلاش های ناموفق برای دسترسی به منابع share شما هستند.

نکته: میزان دسترسی هر کاربر تعریف شده به وسیله ی Permission و محدوده ی ان است و اگر هر کاربری بخواهد کاری خارج از محدوده خود انجام دهد باز یک Event برای او ثبت خواهد شد. و اگر کار انجام شده در محدوده ی او باشد یک Audit Success و اگر تلاش او برای دست یابی به فعالیتی خارج از محدوده یا Permission او یاشد یک Audit Failure برایش ثبت خواهد شد.

5) به روی آن Event که به اطلاعاتش نیاز دارید کلیک کنید و اطلاعات کامل فعالیت کاربر به صورت کامل برای شما شرح داده خواهد شد.

در اینجا یک مثال برای Event کاربری که خارج از محدوده خود تلاش کرده نمایش داده خواهد شد.

الف)همانطور که در تصویر مشخص است کاربری با نام کاربری Residentimi و دارای IP:172.16.0.100 در تاریخ 10/2/2015 و ساعت 6:36:40 ثانیه وارد منابع Share شده است.

قابلیت policy audit file share|رایانه کمک-5

ب)این کاربر در ساعت 6:39:19PM وارد پوشه ای به نام Personal شده است.

قابلیت policy audit file share|رایانه کمک-6

ج) در ساعت 6:44:10PM به روی فایلی با نام Documents.docx کلیک کرده است.

قابلیت policy audit file share|رایانه کمک-7

د)این کاربر در ساعت 6:46:19PM این کاربر سعی داشته که فایل را حذف یا Delete کند اما قادر به انجام این کار نشده دلیل آن هم این است که Permission یا همان محدوده دسترسی کاربر مورد نظر Read بوده است که در این محدوده نمیتوان هیچ فایل یا فولدری را اضافه و حذف نمود.

قابلیت policy audit file share|رایانه کمک-8

نکته: اگر شما به این نیاز دارید که اطلاعات بیشتری از این فرد بدست بیاورید مانند نام کامپیوتر او و یا مک آدرس سخت افزاری او میتوانید به صورت زیر انجام دهید:

یافتن نام کامپیوتر با دادن فرمان زیر:

Ping -a 172.16.0.100

آدرس سخت افزاری با دادن فرمان زیر:

Nbtstat –A172.16.0.100

در اینجا مشخص شد که مک آدرس های سخت افزاری تا چه حد مهم هستند و در بحث امنیتی بسیار حائز اهمیت. در مقاله ای برای حل مشکلات کامپیوتر به نام مک آدرس ها و راههای بدست آوردن آن بصورت جامع راجع به MAC Address ها و شیوه ی بدست آوردنشان صحبت کردیم که پیشنهاد میشود حتما به مطالعه ی آن بپردازید.

رایانه کمک

کارشناسان رایانه کمک میتواند شما را در حل مشکلات کامپیوتری و تلفن همراه یاری کنند