Server 2012 R2 Audit Policy Nedir Ve Nasıl Kullanılır ?

Günümüzde meydana gelen güvenlik sorunlarını analiz etmek için log dosyalarına bakarız. İyi yapılandırılmış log dosyalarında güvenlik zafiyetlerini, uygulama hataları, işletim sistemi hataları vb. görebiliriz. Auditing güvenlik açısından önem teşkil etmektedir ağ kaynaklarının kötüye kullanımını engellemek, kullanıcılar kaç defa logon oldukları vb bilgiler audit policy ile event viewer ekranında görülebilir. Konuyla bağlantılı olduğu için öncelikle event log ve event viewer ekranın nasıl kullanacağı hakkında bilgi vereceğim.

* Event Viewer ve Nedir?

Windows Server 2012 R2 olay günlükleri(Event Log) ile işletim sistemimizin üzerinde çalışmakta olan uygulamalara ve rollere yönelik günlükleri takip edebilme olanağına sahibiz. Hem grafik ara yüzden hem de komut satırında yönetebiliriz. Event Log 5 Bölümden oluşmaktadır.

Bölümler ;

• 

(Resim-1)

1.Server Roles;

Sunucu üzerinde kurulan rollerin info,warning gibi uyarıların loglarını bu bölümde görebiliriz.

2.Windows Logs;

Bu bölümde Windows ait olay günlükleri yer almaktadır. 5 bölümden oluşmaktadır.

Bölümler;

• 

(Resim-2)

*Application;

Sunucumuzda kurulu ve çalışan uygulamalar ve programlara ait olan event log burada tutulmaktadır. Örnek ise Sql,exel gibi uygulamalar

*Security;

Kullanıcıların oturum açma/kapatma , kaynak kullanımı ,yapılan auditing ayarlarının event logları burada tutulmaktadır.

*Setup;

Sunucumuzda uygulama kurulumları ile ilgili eventler burada tutulmaktadır.

*System;

Sunucu üzerinde sistemsel olaylara yönelik bilgiler burada tutulmaktadır.

*Forwarded Events;

Uzak bilgisayarlara ait olan eventler burada tutulmaktadır.

3.Applications and Services Log;

İşletim sistemi üzerinde hizmet veren uygulamalar ve hizmetlere yönelik event loglarının tutulduğu bölümdür.

4.Microsoft;

İşletim sistemimiz de hizmet veren diğer bileşenlere ait event logs tutulduğu bölümdür.

5.Subscriptions;

Uzakta hizmet veren bir ya da birden fazla bilgisayarın events logs kendi sunucumuza depolamamız sağlamaktadır.

Windows event log dan bahsettikten sonra GPO üzerinde auditing policy aktif edilir ise Account logon ,account managment ,logon events gibi policy’ler event log düşmektedir. İsterseniz yeni bir policy oluşturup yapabilirsiniz ya da default policy düzenleyerek de aktif edebilirsiniz. Lab ortamında olduğum için  default policy kullanacağım.   Öncelikle Group Policy managment üzerinden Computer configuration\Windows Settings\Security Settings\Local Policies\Audit Policy ekranına geliyoruz.

• 

(Resim-3)

Resim 3 de bulunan ekranda Audit policy temel kategorileri şunlardır;

Audit Account logon events;

Kullanıcıların oturumlarını açma olaylarının izlenmesini sağlar.

Audit Account Management;

Kullanıcılar üzerinde yapılan yönetim işlemlerinin yönetilmesini sağlar.

Audit Directory Service Access;

Dizin hizmeti erişimini izler.

Audit Logon Events;

Kullanıcıların oturum açma olaylarını izler.

Audit Object Access;

Kullanıcıların nesnelere erişimini izler.

Audit Policy Change;

Policy de yapılan değişlikleri denetlemek için kullanılır.

Audit Privilege Use;

Bir kullanıcı hakları kullanıldığında izlenilmesi sağlanır.

Audit Process Tracking;

Denetim sürecisinin izlenilmesini sağlar.

Audit System Events;

Sistem olaylarının tamamını denetler. Sistem saati değiştirilmesi vb.

Bu makalede örnek olarak Kullanıcıların başarılı veya başarısız logon olma işlemi yapılacaktır.

• 

(Resim – 4)

Audit Policy üzerinden Audit Logon Events sağ tık properties diyoruz.Daha sonra Define the policy settings tabın altında bulunan  Success ve failure seçiliyor.

• 

(Resim – 5)

GPO işlemleri tamamladıktan sonra Event Viewer ekranını açıyoruz. Windows Logs\Security altına geliyoruz. Resim 5 deki görselde anlık olarak logon ve log off event görebiliyoruz.