• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
Audit Policy
 

Audit Policy

on

  • 1,406 views

 

Statistics

Views

Total Views
1,406
Views on SlideShare
1,405
Embed Views
1

Actions

Likes
0
Downloads
22
Comments
0

1 Embed 1

http://facebook.slideshare.com 1

Accessibility

Categories

Upload Details

Uploaded via as Microsoft Word

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Audit Policy Audit Policy Document Transcript

    • Event Viewer-Security ve Audit Windows Server 2003, kullanıcı hesaplarından, uygulamalarından ve sistem işlemlerinden dolayı oluşan olayları(Events) bir Log dosyasına kaydeder. Windows Server 2003, bu olayları Event Viewer programından takip etmemizi sağlar. Event Viewer, Administrative Tools içinde bulunan bir seçenektir. Event Viewer içinde değişik olayları tutmak için birçok Log yer alır. Güvenlik konfigürasyonları ve denetim(Audit) kayıtları, Security Log’unda tutulur. Sistem düzeyinde oluşan bilgiler System Log’unda, uygulamalar tarafından oluşan bilgiler ise Application Log’unda tutulur. Tüm kullanıcılar, Application ve System Log’larına ulaşabilirler. Ancak Security Log’unu sadece Administrators grubunun üyeleri görüntüleyebilir. Windows Server 2003 Log’ları System Log:Windows Server 2003 sistem bileşenleri tarafından sebep olunan hatalar, bu Log’a kaydedilir. Örneğin, bir Network kartının tanınmaması, bir Servisin çalışmaması gibi temel hatalar bu Log’a kaydedilir. Application Log:Uygulamalar tarafından neden olunan hatalar bu logda tutulur. Örneğin, bir programın bir dosyaya yazamaması durumunda oluşan hata bu loga yazılır. Security Log:Sistem kaynaklarının kullanımından oluşan hatalar bu loga yazılır. Event Viewer; Windows içinde sisrem ve uygulamalarla ilgili Log’ları tutan vir programdır. Application, Security, System ve Directory servisi ile ilgili Log’ları ayrı olarak tutar.
    • Windows Server 2003, Security Log’unda aşağıdaki olaylarla ilgili aktivitelerin Log’larının tutulmasınıa olanak sağlar: • Sistemin başlatılması. • Sistemin kapatılması. • Sisteme yapılan başarılı ya da başarısız giriş(log on) işlemleri. • Bilinmeyen kullanıcıların adları ve parolaları. • Account yönetimi ile ilgili işlemler. • Password süresinin aşılması. • Bir dosyanın açılması. • İzin düzenlemeleri. • Domain düzenlemeleri. • Kullanıcı bilgilerinin düzenlenmesi. • Grup üyeliklerinin düzenlenmesi. System ve Application Event Tipleri İnformation:Başarılı olaran yüklenmiş uygulama, sürücü veya servis hakkında bilgi verir. Warning:Şu an sorun yok! Ancak ileride sorun yaratabilecek olaylar hakkında bilgi verir. Error:Uygulama, sürücü veya servisin açılış sırasında bir problemle karşılaştığını bildiren Loglardır.
    • Security Event Tipleri Success:Başarılı bir şekilde istenilen işlem gerçekleştirilmiş. Failure:Başarısız olarak gerçekleşmiş. Log Dosyasının Boyutlarını Ayarlamak 1)Event Viewer açılır.
    • 2)Boyutları ayarlanacak tip üzerinde sağ tuşa basılarak Properties seçeneğine tıklanır. 3)Log size kısmından dosyanın maksimum boyutu belirlenir. Eğer bu sınır doldu ise ne yapılacağı aşağıdaki When maximum log size is reached seçeneklerinden belirlenir. Overwrite events as needed:Log dosyası dolarsa o zaman üstüne yaz. Overwrite events older than:Log dosyası dolarsa 7 günden eski Log’ların üzerine yaz. İstenirse bu süre değiştirilebilir.
    • Do not overwrite events:Kesinlikle Log’ların üzerine yazma. Eğer bu seçilirse manuel olarak silmediğimiz sürece eklenen Log’lar hiçbir zaman kaybolmaz. Logların Filtrelenmesi Çok fazla Log dosyası olunca bu Logları analiz etmek zorlaşır. Bunun için de filtreleme uygulanması gerekir. 1)Event Viewer açılır. 2)Filtreleme yapılacak tip üzerinde sağ tuşa basılarak Properties seçeneğine gelinir. 3)Filter tab sekmesine geçilir. Events types kısmından sadece hangi event tipleri görülmek isteniyor ise o tiplerin başındaki kutucukların doldurulması gerekir. Orta kısımda bulunan Event source, Category, Event ID, User ve Computer bölümünde filtrelemede kullanılmak istenen kriterler girilir.
    • En alttaki From kısmından bu Logların başlangıç tarihi ve To kısmından ise bitiş tarihi seçilerek belli aralıktaki Log’ların görülmesi sağlanır. 4)Ok butonuna bastığınız zaman listede sadece belirlediğiniz kriterlere uyan Loglar listelenir. 5)Tekrar tüm Log’ları görmek için Restore Defaults butonuna basmak yeterlidir. Log’ların Kaydedilmesi ve Silinmesi
    • 1)Kaydedilecek tip üzerinde sağ tuşa basılarak Save Log File As seçeneğine tıklanır. 2)Bir tip içindeki Log’ları silmek için tip üzerinde sağ tuşa basılarak Clear All Events seçeneğine tıklanır. 3)Daha önce kaydedilmiş bir Log bilgisini çağırmak için Open Log File seçeneğinden yararlanılır. Security Policy Policy’lerin amacı; sistemde sizin belirlediğiniz olaylarda izleme yapmak ve kısıtlamalar koymaktır. Security Policies uygulamanın iki yolu vardır. • Local Security Policy:Sadece uygulanan bilgisayara etki eder. • Group Policy:Domain içindeki birden fazla bilgisayara etki eder. Local Security Policy
    • 1)Administrative Tools içinden Local Security Policy seçilir. Veya a) Start/Run kısmına mmc yazılır.
    • b) Gelen ekranda File menüsünden Add/Remove Snap-in seçilir.
    • c) Add butonuna basılarak gelen listeden Group Policy Object Editor seçilip Add butonuna basılır. Sonra Finish, Close ve Ok butonuna basılır.
    • d) Son görüntü aşağıdaki gibi olur. Bu görüntüyü File menüsünden Save ile kaydederek devamlı oluşturmaktan kurtulabilirsiniz. 2) Policy Açıklama Account policies Şifre ve kullanıcı kısıtlamaları. Local policies Auditing, kullanıcı hakları ve güvenlik seçenekleri. Public key policies Sertifikalarla ilgili ayarlar yapılır.
    • IPSec Network üzerindeki IP Security ayarları yapılır. Evetn log Application, System ve Security Log’larının ayarları yapılır. Restricted groups Security grupları için üye belirlenir. System services Bilgisayar üzerinde çalışan servislerin güvenlik ve başlangıç ayarları yapılır. Registry Registry üzerindeki güvenlik ayarları yapılır. File system Özel dosya yolları üzerindeki güvenlik ayarları yapılır. Örnek1: Örneğimizde Users grubuna dahil kullanıcıların bilgisayara Log On olmasını engelleyelim. Her yeni oluşturacağınız kullanıcının Users grubuna otomatik olarak üye olduğunu unutmayınız. 1)“Gargamel” isimli bir kullanıcı oluşturalım. 2)Bu kullanıcı ile bilgisayara log on olalım. Hiçbir problem olmadan bu kullanıcı ile başarılı log on olduğumuzu görüyoruz. 3)Tekrar Administrator ile sisteme log on olalım. 4)Local Security Settings’i açalım ve Local Policies seçeneği altında bulunan User Rigts Assignment seçeneğini seçelim. 5)Ekranın sağ kısmında bulunan Log On Locally seçeneğine iki kez tıklayalım.
    • 6)Gelen ekranda, bilgisayara lokal olarak log on olabilecek grup ve kullanıcıların Default listesi vardır. Biz Users grubu üyelerinin log on olmasını istemediğimiz için bu grubu seçerek Remove butonuna basıyoruz ve OK butonu ile onaylayarak çıkıyoruz. 7)“Gargamel” isimli kullanıcı ile log on olmayı deneyelim. Bunun gerçekleşmediğini göreceğiz. 8)Tekrar Administrator kullanıcısı ile log on olarak Local Security Policy seçeneğini açıp silmiş olduğumuz Users grbunu Add User or Group butonunu kullanarak ekleyiniz ve OK butonu ile onaylayınız. Örnek2: Bu örneğimizde farklı bir senaryo uygulayalım. Kullanıcı log on olurken sisteme son log on kullanıcının adı, username kısmında yazmasın. Kullanıcı log on olduktan sonra “Hoş geldin” mesajı ile karşılaşsın. Şifre değiştirirken en az 5 karakterlik bir şifre kullanmak zorunda kalsın. 1)Local Security Policy açılır.
    • 2)Son log on olan kullanıcının adının görünmemesi için Local Policies/Security Options seçeneğinden Interactive logon:Do not display last user name seçeneği üzerine iki kez tıklayarak gelen ekrandan Enable seçeneğini seçelim.
    • 3)Mesaj çıkması için aynı yerden Interactive Logon:Message text for users attempting to log on kısmına iki kez tıklanarak gelen ekrana istenilen mesaj yazılır. 4)5 karakterlik şifre zorunluluğu için Account Policies/Password Policy kısmının Minimum password length seçeneğine tıklanarak şifrede kullanılacak karakter sayısı girilir.
    • 5)Sisteme bir kullanıcı ile log on olarak yapılan değişiklikleri gözlemleyelim. Auditing Auditing’in amaçları:User hareketlerini ve işletim sistemi aktivitelerini izlemektir. Bu izleme success(başarılı) ve failure(başarısız) olmak üzere iki şekilde yapılacağı gibi aynı anda her ikisi de izlenebilir. Auditing seçenekleri: Event Açıklama Account Logon Bir kullanıcının Domain’e logon olduğu zamanki bilgilerini tutar. Account Management Kullanıcı ve grup oluşturma, değiştirme, silme bilgileri ile şifre değişikliği bilgilerini tutar. Directory Service Access Active Directory objelerini açan kullanıcının bilgilerini tutar. Active Directory objeleri de bu iş için yapılandırılmalıdır. Logon succes failer Lokal bilgisayara logon-logoff olan kullanıcı bilgileri ile Network bağlantısı yapan ve iptal eden kullanıcı bilgilerini tutar. Object Access delete folder file Kullanıcıların işlem yaptıkları dosya, klasör ve yazıcı bilgilerini tutar. write data Yöneticinin mutlaka bu objeler üzerine ayarlama yapması gerekir. Policy Changes Policy’de yapılan değişikliklerin izlenmesini sağlar. Privlege Use Kullanıcının sistemde yaptığı olayları tutar. Örneğin sistem saatini değiştirme ve take ownership gibi sahiplik alma. Process Tracking Kullanıcıların çalıştırdıkları program bilgilerini tutar. System Kullanıcıların bilgisayarı Restart ve Shutdown etme bilgilerini tutar. Audit nasıl uygulanır?
    • 1)Administrative Tools/Local Security Settings/Local Policies kısmından Audit Policy seçilir.
    • 2)İstenilen Policy üzerine çift tıklanarak Success ve/veya Failure kutucukları doldurulur. 3)Audit Policy yapılandırmak için Administrators grubunun üyesi olmanız gerekir. 4)Ntfs sistemlerde Audit yapabilirsiniz. 5)Tüm bu işlemlerin sonuçları Event Viewer içindeki Security kısmında görüntülenir. Örnek: 1)“Casus” isimli bir klasör oluşturup içine “matahari.txt” dosyasını koyalım. 2)“Holmes” isimli bir kullanıcı oluşturunuz. 3)Local Security Settings/Local Policies kısmından Audit kısmına geçip aşağıdaki işlemleri yapınız. a) Account management Failure
    • b) Logon events Success, Failure c) Object Access Success, Failure 4)“Casus” klasöründe sağ tuşa basarak, Properties seçeneğine tıklayalım. Security tab sekmesine geçelim ve Advanced butonuna tıklayalım. Gelen dialog kutusunda Auditing tab sekmesine geçelim ve burada Add butonuna basarak “Holmes” isimli kullanıcıyı ekleyelim. Gelen listede tüm kutuları dolduralım ve Ok
    • butonlarını kullanarak işlemleri onaylayıp çıkalım. 5)“Holmes” isimli kullanıcı ile ilk önce yanlış log on olmaya çalışalım. Örneğin yanlış şifre girelim ve daha sonra doğru şifre ile log on olalım. 6)Kullanıcı oluşturmaya çalışınız. 7)“Casus” klasörünü açıp, içinde birkaç klasör oluşturunuz. “matahari.txt” dosyası içinde değişiklik yapınız. Sonra bu dosyayı ve oluşturduğunuz klasörü siliniz. 8)Administratör isimli kullanıcı ile log on olarak Event Viewer’ın Security kısmından sonuçları izleyebilirsiniz. 9)Security Log’lar aşağıdaki format ile Export edilebilir. Böylelikle uzun Log bilgilerini kaydederek, sonradan inceleme fırsatı bulabilirsiniz. • Event log files(.evt)(default)
    • • Comma delimited(.csv) • Text file(.txt) Kaydetme işlemini Security klasörü üzerinde sağ tuşa basılaran Save Log File As seçeneğine tıklanır.