Share via

Windows ve Auditing II

  • Article

Merhaba,

Windows ve Auditing ile ilgili genel bilgiler ve DNS kayitlarinin silinmesi takip edilmesi ile ilgili yazimdan sonra, inceleme yaparken isinize yarayacagini düsündügüm event ID’leri ile ilgili referanslari paylasmak istedim.

Özetle, Auditing için ilk olarak yapilmasi gereken Policy üzerinden veya Auditpol kullanarak Auditing’in etkinlestirilmesi gerekmektedir. Sonrasinda ise izlenecek olan her ne ise (file access, directory service access etc.) o object üzerinde System Access Control List (SACL) ayarlanmasi gerekmektedir.

Windows Server 2003 üzerinde Auditing sadece “genel” olarak açilabiliyordu. Bu durumda örnegin siz sadece computer hesaplari ile ilgili bir izleme yapmak istediyseniz de diger “Account Management” ile ilgili olaylari da takip etmek durumunda kaliyordunuz. EventViewer üzerinde veya SCOM ile filtreleyerek istediginizi alabiliyordunuz. Windows Server 2008 ve sonrasinda Auditpol kullanarak alt kategorilerde sadece istedigimiz olaylari izlememiz mümkün. Ayrica Event Forwarding/Collector özelligini kullanarak birkaç sunucudan aldiginiz eventleri bir baska sistem üzerinde toplayabilirsiniz.

image

  Auditpol /get /category:*

  Bu komut yardimiyla tüm genel ve alt kategorilerin bir listesini görebilirsiniz.

  Eger genel kategoride bir degisiklik yaparsaniz, tüm alt kategorilerde ayni sekilde degistirilecektir. Bu durumda alt kategorilerin kullanilmasinin bir anlami kalmayacaktir. Varsayilan olarak bu sekilde çalismaktadir. Bunu degistirmek için ise daha önce bahsettigimiz policy’nin degistirilmesi gerekmektedir:

Policies > Windows Settings > Security Settings >Local Policies >Security Options

 image

Artik alt kategorileri sadece Auditpol kullanarak etkinlestirmek zorunda degilsiniz!

Advanced Audit Policy Configuration ile birlikte bunu GPO üzerinden de yapmaniz mümkündür. Ancak dikkat etmeniz gereken bu ayarlarin kalici olacagidir. Yani policy devre disi birakildiginda dahi yerel ayarlar kalacaktir.

 

Windows Server 2008 ile birlikte Audit event ID’leri degismistir. Tüm event ID referanslarina asagidaki TechNet makalelerinden ulasabilirsiniz.

Description of security events in Windows Vista and in Windows Server 2008
https://support.microsoft.com/kb/947226

Description of security events in Windows 7 and in Windows Server 2008 R2
https://support.microsoft.com/kb/977519

IT Admin olarak en çok kullandigimiz iki policy herhalde “Account Management” ve “Directory Service Access” dir. Her iki policy’de default olarak etkindir. Ancak mutlaka hangi objenin ve hangi aksiyonlarin izlenmesi gerekiyorsa, SACL ayarlari yapilmalidir. Directory Service Access için Configuration, Schema ve Domain gibi bazi önemli objeler için SACL ayarlanmasi varsayilan olarak yapilmistir. Ancak siz sadece degisiklikleri izlemek isterseniz, Delete ve Write All Properties access entry’lerini eklemeniz yeterli olacaktir.

Event ID’ler bize KIM, HANGI obje üzerinde NEYI degistirdigini söyleyecektir.

image

Event açiklamalari size Account Name ile KIM, Object Distinguished Name ile HANGI obje ve Attribute + Operation bilgileri ile ise NEYI bilgisini verecektir.

Yukarida belirttigim makaleler ile daha birçok event için referans bulabilirsiniz. Burada amaciniz mümkün oldugu kadar aradiginiz, izlemek istediginiz objeleri, özellikleri azaltmanizdir. Aksi halde Security eventlerinin birbirinin üzerine yazilmasini engellemeli yani boyutunu arttirmalisiniz.

Misal Directory Service için alt kategorilerde sadece degisiklikleri izlemek isterseniz:

AUDITPOL /set /subcategory:"directory service changes" /success:enable /failure:enable

Daha fazlasi için…

Advanced Security Audit Policy Step-by-Step Guide
https://technet.microsoft.com/en-us/library/dd408940(WS.10).aspx

Okan ÇETINIM.