Windows Audit Yapılandırması Nasıl Olmalıdır?
Kurumsal bir windows altyapısının olduğu platformlarda audit ayarları yapılandırılırken, “Advantage Auditing” ayarları kullanılarak, belirli yönergelere göre konfigrasyonlar yapılmalıdır. Konfigürasyonların yönetimini merkezi olarak DC üzerinden “Group Policy Management” üzerinden tanımlanması gerekmektedir. İlgili Windows sisteminin altyapısında bulunan “Organizational Unit” ler üzerinde tanımlı şekilde, “Server” ve “Client” host’lara özgü “audit” yapılandırması yapılması gerekmektedir.
Yapılandırma
Aşağıda örnekte; ClientOU’ya özgü “AuditForClient” , Sunucular için ise “AuditForServer” audit politikaları aktif edilmiştir. Bu auditing düzeni GPO Management paneli üzerinde ilgili sistemin yapısına göre yapılandırılması gerekmektedir.
Aşağıdaki görsel, Audit Policy’ler aktif edilirken “enable” edilmesi gereken audit görseli paylaşılmıştır. Bu policy default’ta enable olarak konfigüre edilmesi gerekmektedir.
Policy ayarları aktif ederken “Advanced auidt policy” üzerinden alt kategorileri tek tek belirleyerek aktif etmemiz gerekmektedir. “Audit Policy” üzerinden yapılacak düzenlemeler tüm “subcategory” içeriklerini aktif etmektedir. Bu durum gereksiz event oluşumuna sebep olmaktadır.
Yapılacak değişikliklerden sonra:
1- gpupdate /force
2- auditpol /get /category:*
Komutları ile audit işlemlerinin sağlıklı olup olmadığı kontrol edilmelidir.
Window Server Audit Yapılandırma
Sırası ile audit tarafında yapılması önerilen düzenlemeler ekran görüntülerinde paylaşılmıştır. Değişiklik yapılan audit’ler özet olarak aşağıda mevcuttur.
Yapılan değişikliklerin detayları:
Account Management Audit Yapılandırması
Detailed Tracing Audit Yapılandırması
Logon/Logoff Audit Yapılandırması
Policy Change Audit Yapılandırması
System Audit Yapılandırması
Object Access Audit Yapılandırması
Önerilen File System Audit yapılandırması:
Windows Auditing & Client
Windows ClientOU host’ları için aktif edilmesi önerilen audit detayları sırası ile paylaşılmıştır.
Local Security Policy Düzenlemeleri
Windows “Local Security Policy” üzerinden audit yapılandırması önerilmemektedir. Eğer sadece birkaç windows üzerinde “audit” yapılması planlanıyorsa kullanılabilir. Yapılacak değişiliklerden sonra ilgili windows sunucularda audit’lerin son durumunu takip etmek için:
auditpol /get /category:* –> Komutu ile enable olan audit’leri tam olarak analiz edebiliriz.
Arayüzden yapılan “policy” düzenlemeleri nadiren windows üzerinde yanıltıcı olmaktadır. Eğer tutarsızlıklar var ve bunları düzeltmek istiyorsak, aşağıdaki şekilde audit’leri kontrol edebilir, açıp kapama işlemleri yapılabilir. “enable” veya “disable” ile durumu kontrol edebiliriz. Genellikle kapalı olduğu halde log üreten audit ayarlarının açık olduğunu tespit ettikten sonra bunları aşağıdaki şekilde “disable” edebiliriz. Bu yapılandırma sadece yerel Windows sunucuları üzerinde yapılacaksa uygulanmalıdır. Aksi takdirde hem merkezi hem local audit’ler aktifleştirilirse audit’ler birbirilerini ezebilir, planan yapıda sorunlar olabilir.
Auditpol /set /category:”Logon/Logoff” /Success:enable /failure:disable Auditpol /set /category:”Account Management” /Success:enable /failure:disable