Jika kita ingin menerapkan Security Audit, agar kita bisa melihat siapa saja yang telah melakukan penghapusan file atau folder pada sebuah file sharing maka kita dapat menerapkan langkah - langkah dibawah ini :
#Arahkan ke File Share, klik kanan dan pilih "Properties" Pilih tab "Security" → tombol "Advanced" → tab "Auditing" → Klik tombol "Add":
#Arahkan ke File Share, klik kanan dan pilih "Properties" Pilih tab "Security" → tombol "Advanced" → tab "Auditing" → Klik tombol "Add":
##Pilih Principal: "Everyone"; Pilih Type: "All"; Pilih Applies to: "This folder, subfolders and files"; Pilih "Advanced Permissions" berikut ini: "Delete subfolders and files" and "Delete".
#Jalankan gpedit.msc, create and edit new GPO → Computer Configuration → Policies → Windows Settings → Security Settings → Go to Local Policies → Audit Policy:###Audit object access → Define → Success and Failures.
#Pilih "Advanced Audit Policy Configuration" → Audit Policies → Object Access:
#Audit File System → Define → Success and Failures
#Audit Handle Manipulation → Define → Success and Failures.
#Kaitkan GPO baru ke File Share dan lakukan /force update
#Buka Event viewer dan temukan tab Security log untuk melakukan pencarian ID 4656 event dengan kategori "File System" atau "Removable Storage" dan dengan string "Accesses: DELETE". "Subject: Security ID".
Dengan menggunakan pencarian diatas, hasilnya akan menampilkan siapa saja yang telah melakukan penghapusan file pada folder.
Demikianlah catatan singkat saya tentang cara melalukan Security Audit (deleted) pada share folder di windows server.
Dengan menggunakan pencarian diatas, hasilnya akan menampilkan siapa saja yang telah melakukan penghapusan file pada folder.
Demikianlah catatan singkat saya tentang cara melalukan Security Audit (deleted) pada share folder di windows server.
Tidak ada komentar:
Posting Komentar