چه کسانی ، چه زمانی از کجا به کدام فایل های شما کنجکاو بوده اند؟
برای Event های مهم، Action تعریف کنید!
درود به همه شما همراهان همیشگی هیوا
در این آموزش می خواهیم شما را با یک روش فوق محرمانه آشنا کنیم تا به کمک آن بتوانید به این موضوع پی ببرید که:
" چه کسانی ، چه زمانی از کجا به کدام فایل های شما کنجکاو بوده اند؟ "
پس از خواندن این مقاله دیگر به راحتی می توانید به موارد زیر پی ببرید:
همه افرادی که به منابع Share شده شما متصل می شوند را شناسایی کنید؟
همه فایل هایی که مورد بازدید و دستکاری مجرم قرار گرفته را شناسایی کنید؟
همه فایل هایی که مجرم نتوانسته آن ها را دستکاری کند را شناسایی کنید؟
سطح دسترسی های مجرم را شناسایی کنید؟
و اگر کمی بیشتر اهل کارآگاه بازی باشید در اینصورت Computer Name، MAC Address، پورت های باز کامپیوتر او را هم شناسایی کنید و ....
فرض کنید من در کامپیوترم فولدرهایی را به اشتراک گذاشته ام . برخی از آن ها را هم به صورت مخفی Share کردم. به دلیل مهم بودن فایل های به اشتراک گذاشته شده مهم است که بدانم چه کسانی ، چه زمانی و از کجا به این فایل ها دسترسی داشته اند.
برای پی بردن به این موضوع ما به یک Policy نیاز داریم. یک Policy فوق محرمانه که در کامپیوترمان و در Group Policy وجود دارد که در آنجا خاک می خورد. Policyمحرمانه ای که فقط افراد حرفه ای آن را می شناسند و از آن بهره می برند. این Policy فوق محرمانه "Audit Detailed File Share " نام دارد.
Audit Detailed File Share Policy را بیشتر بشناسید...
این Policy به شما اجازه می دهد تا بتوانید تلاش هایی را که برای دسترسی به منابع Share شده شما صورت می گیرد، ثبت کنید. این Policy یعنی Detailed File Share هر بار که کسی بخواهد به فایل یا فولدری از منابع Share شده شما دسترسی داشته باشد، یک Event را ثبت می کند. برخلاف Policy مشابه آن یعنی File Share (و نه Detailed File Share ) که فقط یک Event را برای تمام Connection های برقرار شده به منابع Share شده ثبت می کند، Detailed File Share به ازای هر فایل و فولدری که مورد دسترسی قرار می گیرد، یک Event ثبت می کند که شامل اطلاعات کاملی در مورد سطح دسترسی ها و ضوابط دسترسی (Allow Access) یا عدم دسترسی (Deny Access)خواهد بود. در صورتی که Detailed File Share Policy را فعال کنید، در این صورت هرگاه کسی بخواهد به فایل و فولدری از منابع Share دسترسی پیدا کند، یک Audit Eventدر کامپیوتر شما ثبت می شود. به این نکته توجه کنید که می توانید این Policy را طوری پیکربندی کنید که حتی اگر کاربر نتواند به فایل Share شده دسترسی داشته باشد، باز هم این Audit Event ایجاد شود و خبر ناکام بودن دسترسی را به شما بدهد.
به این نکته توجه کنید که اگر این Policy را بر روی Domain Controller فعال کنید به دلیل دسترسی های فراوان کلاینت ها به SYSVOL که به طور پیشفرض Share هست، تعداد Log های زیادی ثبت خواهد شد که فضای زیادی را شغال خواهد کرد.
Detailed File Share کجاست و چطور آن را فعال کنیم؟
برای فعال کردن Detailed File Share باید ابتدا وارد Group Policy شوید. چطوری؟
روش حرفه ای ها برای ورود به Group Policy :
- دکمه های Win+R را فشار دهید.
- عبارت gpedit.msc را تایپ و Enter کنید.
روش معمولی برای ورود به Group Policy :
در منوی Start عبارت Group Policy را جستجو کنید و بر روی Edit group policy کلیک کنید تا کنسول Group Policy باز شود.
یافتن Detailed File Share :
وارد شاخه زیر از Group Policy شوید:
Computer Configuration >> Windows Settings >> Security Settings
Advanced Audit Policy Configuration <<
System Audit Policies-Local Group Policy Object <<
Object Access <<
Audit Detailed File Share <<
>> در بیابان گر به شوق کعبه خواهی زد قدم
>> سرزنش ها گر کند خوار مغیلان غم مخور
فعال کردن و پیکربندی Detailed File Share Policy :
بر روی Audit Detailed File Share کلیک کنید
در تب Policy گزینه Configure the following audit events را تیک بزیند.
Success :
با فعال کردن این گزینه تمام دسترسی های موفقیت آمیز به منابع Share شده ثبت خواهند شد.
Failure :
با فعال کردن این گزینه تمام دسترسی هایی که به منابع Share ناکام بوده اند ثبت خواهند شد.
پس از OK کردن، این Policy فوق محرمانه از این پس در حالت آماده باش خواهد بود.
سناریو :
شما یک لپ تاپ دارید که در آن فایل هایی را Share کرده اید. بعضی از آن ها کاری هستند مثلا فولدر Share شده با نام MyWork Files بعضی از آن ها فایل های شخصی هستند مثلا پوشه Personal و بعضی دیگر فایل های محرمانه که آن ها را به صورت مخفی Share کرده اید و فقط افراد خاصی از Share بودن آن ها باخبرند مثل پوشهSecret. اکنون با لپ تاپتان وارد یک مکان عمومی ( مانند کتاب خانه یا کافی نت یا سایت دانشگاه ) شده اید و در کنجی نشسته اید. از آنجایی که در هرجایی ( به ویژه مکان های عمومی ) افراد کنجکاو وجود دارند، پس حتما از سر کنجکاوی، شما را که در کنجی نشسته اید مورد کنجکاوی خود قرار داده اند و احتمالا تلاش می کنند به کامپیوتر شما متصل شوند و به منابع Share شما فقط نگاهی بیندازند( همینجوری جهت کنجکاوی (فقط)).
حالا وقت آن است که ببینید...
چه کسانی ، چه زمانی از کجا به کدام فایل های شما کنجکاو بوده اند؟ به چه فایل هایی دسترسی داشته اند؟ به چه فایل هایی دسترسی نداشتند؟ سطح دسترسی آن ها چقدر بوده است.
برای این کار باید وارد Event Viewer شوید و Event هایی را که توسط Detailed File Share به ثبت رسیده اند، بررسی نمایید.
1- ابتدا به صورت زیر وارد Event Viewer می شویم:
در منوی Start عبارت Event Viewer را تایپ کنید و بر روی گزینه ای با نام Event Viewer یا View event logs کلیک کنید.
2- در پنجره باز شده در منوی سمت چپ بر روی Security کلیک کنید.
در سمت راست به دنبال Event هایی با Event ID برابر با 5145 و Task Category برابر با Detailed File Share بگردید. همانطور که در تصویر بالا می بینید Event هایی با کیورد Audit Success هستند که به این معنی هستند که کاربر با موفقیت کار خود را بر روی منابع Share انجام داده است و آن هایی که با کیورد Audit Failure هستند به معنی ناکامی کاربر در کار با منابع Share است. البته باید به این نکته توجه کنید که کارهایی که کاربر می تواند با منابع Share انجام دهد چیزی خارج از محدودهPermission های تعریف شده برای او نیست. پس زمانی که فرد کنجکاو کاری را انجام می دهد که Permission آن را دارد به ازای آن یک Audit Success ثبت می شود و اگر کار را انجام دهد که Permission آن را ندارد به ازای آن یک Audit Failure ثبت می شود.
مثال:
فرد کنجکاو 1- وارد منابع Share کامپیوتر شما می شود و 2- وارد پوشه Personal می شود و بعد 3- بر روی فایل Hiva-Documents.docx کلیک می کند و بعد 4- می خواهد آن را پاک کند در این صورت :
1-
2-
3-
4-
حداقل اطلاعاتی که از Log های بالا به دست می آوریم به قرار زیر است:
کاربر از کامپیوتری با IP 172.16.0.100 و در تاریخ 10 / 2 / 2015و در زمان 6:36:40وارد منابع Share کامپیوتر ما شده است.
او برای ورود به کامپیوتر شما از نام کاربری Residentimi که از کاربران کامپیوتر شماست استفاده کرده است.
او 2 دقیقه و 41 ثانیه بعد وارد پوشه Personal شما شده است.
و 4 دقیقه و 51 ثانیه بعد بر روی فایل Hiva-Documents.docx کلیک کرده است.
و 2 دقیقه و 9 ثانیه بعد می خواهد آن را پاک کند اما نمی تواند.
Permission کاربر برای پوشه Personal در سطح Read بوده است به همین دلیل در پاک کردن فایل ناکام بوده است.
برای این که اطلاعات بیشتری از این فرد کنجکاو به دست آورید کار های زیر را انجام دهید:
برای یافتن نام کامپیوتر او از فرمان زیر کمک بگیرید:
Ping -a 172.16.0.100
و برای یافتن آدرس سخت افزاری او فرمان زیر را وارد کنید:
Nbtstat –A 172.16.0.100
و بقیه ماجرا به عهده شم پلیسی و کارآگاهی شما...
*********
برای Event های مهم، Action تعریف کنید!
سلام به همه شما همراهان همیشگی هیوا
در این نوشته می خواهیم روشی را به شما آموزش دهیم تا به کمک آن بتوانید Event های حساس کامپیوترتان را مدیریت کنید. این Event ها همان هایی هستند که درEvent Viewer ویندوز ثبت می شوند و بیشتر از نوع Critical، Error یا Warning هستند و یا مربوط به Event های Security هستند.
تعریف Action برای Event یعنی چه؟
یعنی اگر Event یا رویدادی به وقوع پیوست آنگاه کارهای زیر انجام شود.
برای هر Event چه Action هایی می توان تعریف کرد؟
برای هر Event می توان 3 نوع Action تعریف کرد:
Start a program :
اجرای یک برنامه یا سکریپت در صورت بروز Event
Send an e-mail :
فرستادن Email به مسئول مربوطه در صورت بروز Event
این قابلیت در ویندوز 8 حذف شده است. برای استفاده از آن باید از خط فرمان استفاده کنید و یا با ترفند هایی آن را برگردانید.
Display a message :
نمایش یک پیام در صورت بروز Event
این قابلیت در ویندوز 8 حذف شده است. برای استفاده از آن باید از خط فرمان استفاده کنید و یا با ترفند هایی آن را برگردانید.
چرا باید برای Event ها Action تعریف کنیم؟
همانطور که می دانید ویندوز روزانه تعداد زیادی Event را به ثبت می رساند که شامل مواردی مانند: نصب یا حذف نرم افزارها، آپدیت ها، Crash کردن نرم افزار ها، Log onو Log off کردن User ها، Start یا Stop شدن Service ها و مواردی از این دست می باشد. در مورد Event ها چند نکته قابل توجه وجود دارد:
1- برای اطلاع از Event های ثبت شده مجبوریم که به Event Viewer سر بزنیم.
2- ممکن است در یک روز تعداد بسیار زیادی Event نه چندان مهم ثبت شود و Event های مهم در لابه لای آن ها گم شوند.
3- ممکن Event مهمی رخ دهد که نیازمند واکنش سریع نسبت به آن باشد.
با توجه به موارد بالا نیاز داریم که برای Event ها Action تعریف کنیم.
چگونه برای Event ها Action تعریف کنیم؟
سناریو:
من می خواهم هرگاه کسی به منابع Share شده من دسترسی پیدا کرد، در خط فرمان، پیامی با متن زیر برای من نمایش داده شود:
! Hiva! Unauthorized Access to your Shared Resources
سپس کامپیوتر پس از 10 دقیقه Restart شود.
برای انجام این کار، کارهای زیر را باید انجام دهیم:
1 – برای وقتی که کسی به منابع Share وصل می شود در ویندوز Event ثبت شود، باید یک Policy محرمانه را در ویندوز فعال کنیم که آموزش آن از لینک زیر قابل دسترسی است.
فعال کردن Policy محرمانه
2 – وارد Event Viewer شوید.
3 – در Event Viewer وارد مسیر زیر شوید:
Windows Logs > Security
4 – بر روی Log با مشخصات زیر راست کلیک کنید و گزینه Attach a Task To this Log را انتخاب کنید.
Keyword: Audit Success
Source: Microsoft windows security
Event ID: 5145
Task Category: Detailed File Share
5 - در این مرحله یک نام برای این Task تعریف کنید.
6 – در بخش بعد به شما نشان می دهد که برای چه نوع Event ای درحال تعریف Action هستید.
همان طور که می بینید این بخش Disable و غیر قابل تغییر است.
7 – در مرحله بعد بر روی Start a program کلیک کنید.
8 – در این قسمت شما باید یک برنامه و یا اسکریپت را انتخاب کنید تا وقتی که Event مربوطه رخ داد، آن گاه این برنامه یا اسکریپت اجرا شود. از آنجایی که ما می خواهیم "CMD یک پیام به ما نشان دهد و کامپیوتر را 10 دقیقه بعد ریستارت کند" باید یک Batch File بسازیم. پس کارهای زیر را انجام می دهیم :
الف) Notepad را باز کنید و متن زیر را در آن بنویسید:
echo Hiva! Unauthorized Access to Your Shared Resourcess
shutdown /r /t 600
pause
ب) سپس آن را با نام دلخواه و با پسوند .batذخیره کنید.
ج) خب در این قسمت Batch فایلی که ساختیم را به عنوان program/script انتخاب می کنیم.
9 - و سپس Next و Finish.
پس از Finish پیامی مشابه زیر به شما نمایش می دهد. آن را OK کنید.
10 – حالا باید منتظر طعمه بمانید!
بلافاصله پس از اینکه طعمه به منابع شما متصل شد و Event ثبت شد، این اسکریپت اجرا می شود.
نکته:برای غیر فعال کردن این Task عبارت Schedule را در Start جستجو کنید و وارد Task Scheduler شود.
در آنجا Task ای که ایجاد کرده بودید را حذف یا Disable کنید (تصویر زیر)
|