Windows Audit Yapılandırması Nasıl Olmalıdır?

Kurumsal bir windows altyapısının olduğu platformlarda audit ayarları yapılandırılırken, “Advantage Auditing” ayarları kullanılarak, belirli yönergelere göre konfigrasyonlar yapılmalıdır. Konfigürasyonların yönetimini merkezi olarak DC üzerinden “Group Policy Management” üzerinden tanımlanması gerekmektedir. İlgili Windows sisteminin altyapısında bulunan “Organizational Unit” ler üzerinde tanımlı şekilde, “Server” ve “Client” host’lara özgü “audit” yapılandırması yapılması gerekmektedir.

 

Yapılandırma

Aşağıda örnekte; ClientOU’ya özgü “AuditForClient” , Sunucular için ise “AuditForServer” audit politikaları aktif edilmiştir. Bu auditing düzeni GPO Management paneli üzerinde ilgili sistemin yapısına göre yapılandırılması gerekmektedir.

Windows Auditing 1

Windows Auditing 1

 

Aşağıdaki görsel, Audit Policy’ler aktif edilirken “enable” edilmesi gereken audit görseli paylaşılmıştır. Bu policy default’ta enable olarak konfigüre edilmesi gerekmektedir.

Windows Auditing 2

Windows Auditing 2

 

Policy ayarları aktif ederken “Advanced auidt policy” üzerinden alt kategorileri tek tek belirleyerek aktif etmemiz gerekmektedir. “Audit Policy” üzerinden yapılacak düzenlemeler tüm “subcategory” içeriklerini aktif etmektedir. Bu durum gereksiz event oluşumuna sebep olmaktadır.

Yapılacak değişikliklerden sonra:
1- gpupdate /force
2- auditpol /get /category:*
Komutları ile audit işlemlerinin sağlıklı olup olmadığı kontrol edilmelidir.

 

Window Server Audit Yapılandırma

Sırası ile audit tarafında yapılması önerilen düzenlemeler ekran görüntülerinde paylaşılmıştır. Değişiklik yapılan audit’ler özet olarak aşağıda mevcuttur.

Windows Auditing 3

Windows Auditing 3

 

Yapılan değişikliklerin detayları:

Account Management Audit Yapılandırması

Windows Auditing 4

Windows Auditing 4

 

Detailed Tracing Audit Yapılandırması

Windows Auditing 5

Windows Auditing 5

 

Logon/Logoff Audit Yapılandırması

Windows Auditing 6

Windows Auditing 6

 

Policy Change Audit Yapılandırması

Windows Auditing 7

Windows Auditing 7

 

System Audit Yapılandırması

Windows Auditing 8

Windows Auditing 8

 

Object Access Audit Yapılandırması

Windows Auditing 9

Windows Auditing 9

 

Önerilen File System Audit yapılandırması:

Windows Auditing 10

Windows Auditing 10

 

Windows Auditing & Client

Windows ClientOU host’ları için aktif edilmesi önerilen audit detayları sırası ile paylaşılmıştır.

Windows Auditing 11

Windows Auditing 11

Windows Auditing 12

Windows Auditing 12

Windows Auditing 13

Windows Auditing 13

 

Local Security Policy Düzenlemeleri

Windows “Local Security Policy” üzerinden audit yapılandırması önerilmemektedir. Eğer sadece birkaç windows üzerinde “audit” yapılması planlanıyorsa kullanılabilir. Yapılacak değişiliklerden sonra ilgili windows sunucularda audit’lerin son durumunu takip etmek için:
auditpol /get /category:* –> Komutu ile enable olan audit’leri tam olarak analiz edebiliriz.

Arayüzden yapılan “policy” düzenlemeleri nadiren windows üzerinde yanıltıcı olmaktadır. Eğer tutarsızlıklar var ve bunları düzeltmek istiyorsak, aşağıdaki şekilde audit’leri kontrol edebilir, açıp kapama işlemleri yapılabilir. “enable” veya “disable” ile durumu kontrol edebiliriz. Genellikle kapalı olduğu halde log üreten audit ayarlarının açık olduğunu tespit ettikten sonra bunları aşağıdaki şekilde “disable” edebiliriz. Bu yapılandırma sadece yerel Windows sunucuları üzerinde yapılacaksa uygulanmalıdır. Aksi takdirde hem merkezi hem local audit’ler aktifleştirilirse audit’ler birbirilerini ezebilir, planan yapıda sorunlar olabilir.

Auditpol /set /category:”Logon/Logoff” /Success:enable /failure:disable
Auditpol /set /category:”Account Management” /Success:enable /failure:disable

 

Windows Auditing


Abone ol
Bildir
guest
0 Yorum
Satır İçi Geri Bildirimler
Tüm yorumları görüntüle