PDA

توجه ! این یک نسخه آرشیو شده میباشد و در این حالت شما عکسی را مشاهده نمیکنید برای مشاهده کامل متن و عکسها بر روی لینک مقابل کلیک کنید : چه کسانی ، چه زمانی از کجا به کدام فایل های شما کنجکاو بوده اند؟



twinkle
08-28-2016, 07:05 AM
چه کسانی ، چه زمانی از کجا به کدام فایل های شما کنجکاو بوده اند؟

(روشی فوق محرمانه)


[Only registered and activated users can see links]

درود به همه شما همراهان همیشگی هیوا
در این آموزش می خواهیم شما را با یک روش فوق محرمانه آشنا کنیم تا به کمک آن بتوانید به این موضوع پی ببرید که:

" چه کسانی ، چه زمانی از کجا به کدام فایل های شما کنجکاو بوده اند؟ "

پس از خواندن این مقاله دیگر به راحتی می توانید به موارد زیر پی ببرید:
همه افرادی که به منابع Share شده شما متصل می شوند را شناسایی کنید؟
همه فایل هایی که مورد بازدید و دستکاری مجرم قرار گرفته را شناسایی کنید؟
همه فایل هایی که مجرم نتوانسته آن ها را دستکاری کند را شناسایی کنید؟
سطح دسترسی های مجرم را شناسایی کنید؟
و اگر کمی بیشتر اهل کارآگاه بازی باشید در اینصورت Computer Name، MAC Address، پورت های باز کامپیوتر او را هم شناسایی کنید و ....

فرض کنید من در کامپیوترم فولدرهایی را به اشتراک گذاشته ام . برخی از آن ها را هم به صورت مخفی Share کردم. به دلیل مهم بودن فایل های به اشتراک گذاشته شده مهم است که بدانم چه کسانی ، چه زمانی و از کجا به این فایل ها دسترسی داشته اند.

برای پی بردن به این موضوع ما به یک Policy نیاز داریم. یک Policy فوق محرمانه که در کامپیوترمان و در Group Policy وجود دارد که در آنجا خاک می خورد. Policy محرمانه ای که فقط افراد حرفه ای آن را می شناسند و از آن بهره می برند. این Policy فوق محرمانه "Audit Detailed File Share " نام دارد.

Audit Detailed File Share Policy را بیشتر بشناسید...

این Policy به شما اجازه می دهد تا بتوانید تلاش هایی را که برای دسترسی به منابع Share شده شما صورت می گیرد، ثبت کنید. این Policy یعنی Detailed File Share هر بار که کسی بخواهد به فایل یا فولدری از منابع Share شده شما دسترسی داشته باشد، یک Event را ثبت می کند. برخلاف Policy مشابه آن یعنی File Share (و نه Detailed File Share ) که فقط یک Event را برای تمام Connection های برقرار شده به منابع Share شده ثبت می کند، Detailed File Share به ازای هر فایل و فولدری که مورد دسترسی قرار می گیرد، یک Event ثبت می کند که شامل اطلاعات کاملی در مورد سطح دسترسی ها و ضوابط دسترسی (Allow Access) یا عدم دسترسی (Deny Access) خواهد بود. در صورتی که Detailed File Share Policy را فعال کنید، در این صورت هرگاه کسی بخواهد به فایل و فولدری از منابع Share دسترسی پیدا کند، یک Audit Event در کامپیوتر شما ثبت می شود. به این نکته توجه کنید که می توانید این Policy را طوری پیکربندی کنید که حتی اگر کاربر نتواند به فایل Share شده دسترسی داشته باشد، باز هم این Audit Event ایجاد شود و خبر ناکام بودن دسترسی را به شما بدهد.

به این نکته توجه کنید که اگر این Policy را بر روی Domain Controller فعال کنید به دلیل دسترسی های فراوان کلاینت ها به SYSVOL که به طور پیشفرض Share هست، تعداد Log های زیادی ثبت خواهد شد که فضای زیادی را شغال خواهد کرد.

Detailed File Share کجاست و چطور آن را فعال کنیم؟

برای فعال کردن Detailed File Share باید ابتدا وارد Group Policy شوید. چطوری؟

روش حرفه ای ها برای ورود به Group Policy :



دکمه های Win+R را فشار دهید.
عبارت gpedit.msc را تایپ و Enter کنید.


[Only registered and activated users can see links]

روش معمولی برای ورود به Group Policy :
در منوی Start عبارت Group Policy را جستجو کنید و بر روی Edit group policy کلیک کنید تا کنسول Group Policy باز شود.

یافتن Detailed File Share :

وارد شاخه زیر از Group Policy شوید:

Computer Configuration >> Windows Settings >> Security Settings
Advanced Audit Policy Configuration <<

System Audit Policies-Local Group Policy Object <<

Object Access <<

Audit Detailed File Share <<

>> در بیابان گر به شوق کعبه خواهی زد قدم
>> سرزنش ها گر کند خوار مغیلان غم مخور


[Only registered and activated users can see links]


فعال کردن و پیکربندی Detailed File Share Policy :

بر روی Audit Detailed File Share کلیک کنید
در تب Policy گزینه Configure the following audit events را تیک بزیند.

Success :
با فعال کردن این گزینه تمام دسترسی های موفقیت آمیز به منابع Share شده ثبت خواهند شد.

Failure :
با فعال کردن این گزینه تمام دسترسی هایی که به منابع Share ناکام بوده اند ثبت خواهند شد.

[Only registered and activated users can see links]

پس از OK کردن، این Policy فوق محرمانه از این پس در حالت آماده باش خواهد بود.

سناریو :
شما یک لپ تاپ دارید که در آن فایل هایی را Share کرده اید. بعضی از آن ها کاری هستند مثلا فولدر Share شده با نام MyWork Files بعضی از آن ها فایل های شخصی هستند مثلا پوشه Personal و بعضی دیگر فایل های محرمانه که آن ها را به صورت مخفی ([Only registered and activated users can see links])Share ([Only registered and activated users can see links]) کرده اید ([Only registered and activated users can see links]) و فقط افراد خاصی از Share بودن آن ها باخبرند مثل پوشه Secret. اکنون با لپ تاپتان وارد یک مکان عمومی ( مانند کتاب خانه یا کافی نت یا سایت دانشگاه ) شده اید و در کنجی نشسته اید. از آنجایی که در هرجایی ( به ویژه مکان های عمومی ) افراد کنجکاو وجود دارند، پس حتما از سر کنجکاوی، شما را که در کنجی نشسته اید مورد کنجکاوی خود قرار داده اند و احتمالا تلاش می کنند به کامپیوتر شما متصل شوند و به منابع Share شما فقط نگاهی بیندازند( همینجوری جهت کنجکاوی (فقط)).

حالا وقت آن است که ببینید...

چه کسانی ، چه زمانی از کجا به کدام فایل های شما کنجکاو بوده اند؟ به چه فایل هایی دسترسی داشته اند؟ به چه فایل هایی دسترسی نداشتند؟ سطح دسترسی آن ها چقدر بوده است.

برای این کار باید وارد Event Viewer شوید و Event هایی را که توسط Detailed File Share به ثبت رسیده اند، بررسی نمایید.

1- ابتدا به صورت زیر وارد Event Viewer می شویم:

در منوی Start عبارت Event Viewer را تایپ کنید و بر روی گزینه ای با نام Event Viewer یا View event logs کلیک کنید.

2- در پنجره باز شده در منوی سمت چپ بر روی Security کلیک کنید.

[Only registered and activated users can see links]


در سمت راست به دنبال Event هایی با Event ID برابر با 5145 و Task Category برابر با Detailed File Share بگردید. همانطور که در تصویر بالا می بینید Event هایی با کیورد Audit Success هستند که به این معنی هستند که کاربر با موفقیت کار خود را بر روی منابع Share انجام داده است و آن هایی که با کیورد Audit Failure هستند به معنی ناکامی کاربر در کار با منابع Share است. البته باید به این نکته توجه کنید که کارهایی که کاربر می تواند با منابع Share انجام دهد چیزی خارج از محدوده Permission های تعریف شده برای او نیست. پس زمانی که فرد کنجکاو کاری را انجام می دهد که Permission آن را دارد به ازای آن یک Audit Success ثبت می شود و اگر کار را انجام دهد که Permission آن را ندارد به ازای آن یک Audit Failure ثبت می شود.

منبع :سایت هیوا شبکه