Home / Tips & Trick / Trouble Shooting / Windows Networking / Windows Server

Audit File Sharing Windows

By Virtual IT.me Post a Comment

 

File sharing pada windows banyak diterapkan pada jaringan komputer untuk berbagi data diantara pengguna dalam jaringan tersebut. Namun terkadang data yang di-sharing tersebut bisa saja terhapus secara tidak sengaja oleh seseorang dan kita tidak mengetahui siapa orang yang menghapus data itu. Karena alasan tertentu, sebagai seorang IT kita terkadang diminta untuk memeriksa kapan data dihapus, dari komputer mana data dihapus, dan siapa yang menghapus data tersebut bukan. Hal ini bukan karena penting tidak nya data yang terhapus namun untuk mengingatkan agar orang tersebut lebih berhati-hati dengan data-data yang disharing sehingga tidak terluang kembali dikemudian hari.

Oleh karena itu, pada tutorial kali ini kita akan membahas bagaimana cara melalukan tracking data yang terlah terhapus, siapa yang menghapus, kapan dan dari mana data tersebut terhapus menggunakan File and Folder Auditing dan Event Viewer yang ada pada Windows Server. Untuk mempermudah proses pengujian pada tutorial ini, kita memiliki sebuah server dengan sistem operasi Windows Server 2008 R2 yang akan menjalankan fungsi file server dan server ini juga akan berfungsi untuk menjalankan active directory user and computer,  dan rerdapat beberapa komputer klien yang akan mengakses file yang disharing pada file server. Dan pada tutorial ini, kita tidak akan membahas bagaimana cara melalukan file sharing pada sebuah server dan memunculkan file tersebut pada komputer klien, silahkan anda membaca tutorial mengenai file sharing ini pada link berikut.

Aktifkan File And Folder Audit Windows

Langkah pertama yang harus dilakukan adalah mengaktifkan file and folder auditing pada windows server melalui Start Menu → Administrative Tools → Group Policy Management.

Aktifkan File and Folder auditing
Aktifkan File and Folder auditing

Setelah group policy management terbuka, maka silahkan buka Group Policy Object seperti tampak pada gambar dibawah ini.

Group Policy Object Windows
Group Policy Object Windows

Seperti tampak pada gambar diatas, terdapat 2 buah group policy object, klik kanan pada Default Domain Policy → Edit

Edit Default Domain Policy
Edit Default Domain Policy

Jika tidak mau mengedit group policy yang sudah ada, kita bisa saja membuat group policy baru kemudian di link kan dengan domain yang sudah kita miliki. Setelah itu, akan ditampilkan menu Group Policy Management Editor dan masuk ke Computer Configuration → Polices → Windows Setting →  Security Setting → Local Polices → Audit Policy, setelah itu pada sebelah kanan double klik pada Audit Object Access.

Menu Audit Object Access
Menu Audit Object Access

Setelah itu, maka berikan tanda centang pada bagian Define these policy setting, Success, dan Failure kemudian klik Ok, seperti pada gambar dibawah ini.

Security Policy Setting
Security Policy Setting

Sampai tahapan ini, silahkan ditutup group policy management editor serta Group Policy Management-nya.

Aktifkan Audit Pada Folder/File

Langkah berikutnya adalah melakukan konfigurasi audit pada file ataupun folder yang akan dimonitoring. Sebagai contoh, pada file server terdapat folder yang bernama Labkomputer dan didalam folder tersebut terdapat 3 folder lagi yang bernama HRD, IT, dan Public. Kita menginginkan supaya ketiga folder tersebut dapat dimonitoring ada tidaknya file yang dihapus oleh para user. Oleh karena itu, kita cukup aktifkan fungsi audit ini pada parent folder nya yaitu pada folder Labkomputer, klik kanan dan pilih properties, kemudian klik tab menu Security

Folder Security
Folder Security

Selanjutnya, klik tombol Advanced → tab menu Auditing → Edit

Edit Auditing Folder
Edit Auditing Folder

 Selanjutnya, akan ditampilkan menu baru seperti tampak pada gambar dibawah, dimana pada menu ini akan ditampilkan nama object yang akan dimonitoring (diaudit), perhatikan pada garis kotak merah pada gambar dibawah ini.

Advance Folder Setting
Advance Folder Setting

Dari menu diatas, klik tombol Add, kemudian tentukanlah siapa saja user yang akan dimonitoring pemakaiannya terhadap isi folder labkomputer tersebut. Apabila kita menginginkan untuk memonitoring aktifitas semua user yang ada pada domain controller, maka ketikkan Domain User dan klik tombol Ok

Advance Folder Setting
Advance Folder Setting

Setelah itu, akan ditampilkan menu auditing entry, dan silahkan centang pada bagian Delete, Delete Subfolder and Files pada keterangan Successful kemudian klik tombol OK.

Auditing Entry Folder
Auditing Entry Folder

Pengujian Penghapusan Data dari Komputer Klien

Sekarang mari kita uji coba dengan menghapus sebuah file dari salah satu komputer klien, perhatikan gambar dibawah ini.

Pengujian audit folder pada komputer klien
Pengujian audit folder pada komputer klien

Dari gambar diatas, terlihat bahwa seorang user atas nama Ahmad Dani memiliki akses mapping drive untuk membuka folder Public pada file server. Didalam mapping drive ini terdapat beberapa file, dan salah satu file yang akan kita coba hapus adalah file gambar “Jellyfish.jpg” seperti pada gambar dibawah ini.

Menghapus File
Menghapus File

Setelah gambar tersebut terhapus, maka langkah selanjutnya adalah melihat event viewer pada komputer File Server.

Melihat Log pada Event Viewer Server

Untuk membuka event viewer dapat dilakukan melalui Start → Administrative Tools → Event Viewer.

Event Viewer Windows
Event Viewer Windows

Setelah event viewer terbuka, selanjutnya silahkan buka Windows Log → Security.

Event Viewer Windows
Event Viewer Windows

Dari gambar diatas, ditampilkan semua log yang tercatat pada server, termasuk log hapus file yang dilakukan dikomputer klien pun tercatat disini. Untuk mempercepat pencarian log, maka silahkan lakukan filter dan pada bagian Event ID ketikkan 4660,4663, 5140.

Event ID
Event ID

Setelah melakukan filter maka daftar log yang akan ditampilkan akan tampak seperti pada gambar dibawah ini.

Filter log files
Filter log files

Langkah pertama, dari daftar log yang ditampilkan silahan buka log dengan ID 4660. Dimana pada log 4660 ini akan menginformasikan bahwa telah terjadi delete pada sebuah objek, beserta ID Windows yang melakukan penghapusan pada objek tersebut.

Event ID 4660
Event ID 4660

Setelah mengetahui bahwa ada objek yang dihapus, maka langkah selanjutnya silahkan lihat pada log dengan ID 4663 untuk mengetahui objek apa yang dihapus.

Event ID 4663
Event ID 4663

Dari gambar diatas, kita bisa melihat bahwa objek yang terhapus tersebut adalah sebuah gambar dengan nama JellyFish.jpg, dimana log dengan ID 4663 ini memiliki catatan waktu (Logged), serta Security ID yang sama dengan log ID 4660. Adapun jika kita ingin mengetahui komputer mana yang digunakan untuk menghapus file foto tersebut maka dapat dilihat pada log ID 5140.

Evnt ID 5140
Evnt ID 5140

Nah, demikian yang bisa kita sampaikan pada tutorial kali ini, terimakasih sudah berkunjung dan semoga bermanfaat.

Post a Comment for "Audit File Sharing Windows"