Windows Auditing

Kurumsal bir windows altyapısının olduğu platformlarda “audit” ayaları yapılandırılırken, “Advantage Auditing” ayarları kullanılarak, belirli yönergelere göre konfigrasyonlar yapılmalıdır. Konfigürasyonların yönetimini merkezi olarak DC üzerinden “Group Policy Management” üzerinden tanımlanması gerekmektedir. İlgili Windows sisteminin altyapısında bulunan “Organizational Unit” ler üzerinde tanımlı şekilde, “Server” ve “Client” host’lara özgü “audit” yapılandırması yapılması gerekmektedir.

Aşağıda örnekte; ClientOU’ya özgü “AuditForClient” , Sunucular için ise “AuditForServer” audit politikaları aktif edilmiştir. Bu auditing düzeni GPO Management paneli üzerinde ilgili sistemin yapısına göre yapılandırılması gerekmektedir.

alt text

Aşağıdaki görsel, Audit Policy’ler aktif edilirken “enable” edilmesi gereken audit görseli paylaşılmıştır. Bu policy default’ta enable olarak konfigüre edilmesi gerekmektedir.

alt text

Policy ayarları aktif ederken “Advanced auidt policy” üzerinden alt kategorileri tek tek belirleyerek aktif etmemiz gerekmektedir. “Audit Policy” üzerinden yapılacak düzenlemeler tüm “subcategory” içeriklerini aktif etmektedir. Bu durum gereksiz event oluşumuna sebep olmaktadır.

Yapılacak değişikliklerden sonra:
1- gpupdate /force
2- auditpol /get /category:*
Komutları ile audit işlemlerinin sağlıklı olup olmadığı kontrol edilmelidir.

Window Server Audit Yapılandırma
Sırası ile audit tarafında yapılması önerilen düzenlemeler ekran görüntülerinde paylaşılmıştır. Değişiklik yapılan audit’ler özet olarak aşağıda mevcuttur.

alt text

Yapılan değişikliklerin detayları:

Account Management Audit Yapılandırması

alt text

Detailed Tracing Audit Yapılandırması

alt text

Logon/Logoff Audit Yapılandırması

alt text

Policy Change Audit Yapılandırması

alt text

System Audit Yapılandırması

alt text

Object Access Audit Yapılandırması

alt text

Önerilen File System Audit yapılandırması:

alt text

Windows Auditing & Client

Windows ClientOU host’ları için aktif edilmesi önerilen audit detayları sırası ile paylaşılmıştır.

alt text

alt text

alt text

Local Security Policy Düzenlemeleri

Windows “Local Security Policy” üzerinden audit yapılandırması önerilmemektedir. Eğer sadece birkaç windows üzerinde “audit” yapılması planlanıyorsa kullanılabilir. Yapılacak değişiliklerden sonra ilgili windows sunucularda audit’lerin son durumunu takip etmek için:
auditpol /get /category:* –> Komutu ile enable olan audit’leri tam olarak analiz edebiliriz.

Arayüzden yapılan “policy” düzenlemeleri nadiren windows üzerinde yanıltıcı olmaktadır. Eğer tutarsızlıklar var ve bunları düzeltmek istiyorsak, aşağıdaki şekilde audit’leri kontrol edebilir, açıp kapama işlemleri yapılabilir. “enable” veya “disable” ile durumu kontrol edebiliriz. Genellikle kapalı olduğu halde log üreten audit ayarlarının açık olduğunu tespit ettikten sonra bunları aşağıdaki şekilde “disable” edebiliriz. Bu yapılandırma sadece yerel Windows sunucuları üzerinde yapılacaksa uygulanmalıdır. Aksi takdir de hem merkezi hem local audit’ler aktifleştirilirse audit’ler birbirilerini ezebilir, planan yapıda sorunlar olabilir.

Auditpol /set /category:”Logon/Logoff” /Success:enable /failure:disable
Auditpol /set /category:”Account Management” /Success:enable /failure:disable


Abone ol
Bildir
guest
0 Yorum
Satır İçi Geri Bildirimler
Tüm yorumları görüntüle