System Access Control List (SACL) ise korunabilen bir nesneye erişme girişiminde bulunan tüm girişimlerin kayıt bilgisinin tutulmasında kullanılır. Her bir ACE nesnesi burada erişilmeye çalışılan nesne için hangi kullanıcı veya grubun hangi erişim türü için (başarılı – başarısız) güvenlik kayıt bilgileri (security event log) ekranına kayıt girileceğini tanımlamada kullanılır. SACL ile başarılı, başarısız ya da her iki durum için de kayıt bilgisi üretilmesi sağlanabilir.
Bu uygulamada C dizini gibi kritik sayılabilecek bir dizinde oluşturulan dosyanın oluşması olayının güvenlik kayıtlarına eklenmesi sağlanacaktır. Bu işlem 2 adımda incelenebilir:
- İlke ayarının gerçekleştirilmesi
- SACL tanımının gerçekleştirilmesi
- Günlük kayıtlarının incelenmesi
1) İlke Ayarının Gerçekleştirilmesi
Varsayılan durumda C:\ dizini altında bir klasör oluşturma/silme/erişme gibi olayların kaydı tutulmaz. Bu kayıtların tutulması için yerel veya grup ilkelerinden nesne erişimlerinin kaydedilmesi gerektiğine dair bir ayar gerçekleştirilmelidir.
Run > gpedit.msc > Local Computer Policy > Computer Configuration > Windows Settings > Security Setting > Local Policies > Audit Policy > Audit object access: Success & Failure

Eğer bu işlem grup ilkeleri üzerinden gerçekleştirilmiş ise, grup ilkelerinin güncellenmesi sağlanmalıdır.
gpupdate /force
2) SACL Tanımının Gerçekleştirilmesi
İlke tanımından sonra, erişim kontrol listesine yeni bir kayıt girilmelidir. Bunun öncesinde, C dizininde “Denetlenecek Klasör” adında bir klasör oluşturulur. Bu klasör içerisinde “Dosya Oluşturma.txt” adlı bir dosya oluşturulur. Sonrasında SACL tanımı yapılır.
C:\Denetlenecek Klasör > Properties > Security Sekmesi > Advanced > Auditing

Yukarıdaki ekranda Edit butonuna basılarak Everyone için denetim kayıtları açılır. Bu amaçla, Add butonuna basıldıktan sonra gelen ekranda “Everyone” yazılır ve “Check Names” butonu ile kullanıcı seçimi gerçekleştirilir.

Yukarıdaki ekran görüntüsünde OK butonuna basıldığında, aşağıdaki gibi bir ekran ile karşılaşılır. Gelen ekran görüntüsünde sadece oluşturma ve silme işlemleri için denetim kayıtları açılır.

Son durumda Everyone kullanıcısı için denetimin açıldığı görülmektedir.

3) Günlük kayıtlarının incelenmesi
Yukarıdaki adımlardan sonra “Denetimli Klasör” içerisindeki bir dosya silindiğinde veya içerisinde bir dosya oluşturulduğunda güvenlik kayıtlarına bu değişiklik düşecektir.
Bu amaçla, “Dosya Oluşturma.txt” dosyası silinir.

Gerçekleştirilen değişimin kaydını izlemek için Event Viewer açılır.

Event Viewer üzerinde ID’si 4656 olan bir kayıt düştüğü gözlenmektedir.

Kaynak:
https://www.bilgiguvenligi.gov.tr/microsoft-sistemleri-guvenligi-dokumanlari/index.php