Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Bu makale, Windows denetim ilkesi ayarlarını ve Microsoft'un hem iş istasyonları hem de sunucular için temel ve gelişmiş önerilerini kapsar. Yöneticilerin kuruluş gereksinimlerine göre uygun denetim ilkelerini seçmesine yardımcı olmak için rehberlik sağlar.
Burada gösterilen Güvenlik Uyumluluk Yöneticisi (SCM) temel önerilerinin yanı sıra sistem güvenliğinin aşılmasına yardımcı olmak için önerilen ayarlar, yalnızca yöneticiler için bir başlangıç temeli kılavuzu olarak tasarlanmıştır. Her kuruluşun karşılaştığı tehditler, kabul edilebilir risk toleransları ve etkinleştirmesi gereken denetim ilkesi kategorileri veya alt kategorileri ile ilgili kendi kararlarını vermesi gerekir. Yerinde düşünceli bir denetim ilkesi olmayan yöneticilerin burada önerilen ayarlarla başlamaları ve ardından üretim ortamlarında uygulamadan önce değiştirmeleri ve test etmeleri önerilir.
Öneriler, Microsoft'un ortalama güvenlik gereksinimlerine sahip ve yüksek düzeyde işletimsel işlevsellik gerektiren bilgisayarlar olarak tanımladığı kurumsal sınıf bilgisayarlara yöneliktir. Daha yüksek güvenlik gereksinimlerine ihtiyaç duyan varlıklar daha agresif denetim ilkelerini dikkate almalıdır.
Aşağıdaki temel denetim ilkesi ayarları, belirlenen saldırganlar veya kötü amaçlı yazılımlar tarafından etkin ve başarılı bir saldırı altında olduğu bilinmeyen normal güvenlik bilgisayarları için önerilir.
İşletim sistemine göre Önerilen Sistem Denetim İlkesi
Bu bölüm, hem istemci hem de sunucu için Windows işletim sistemi (OS) için geçerli olan denetim ayarı önerilerini listeleyen tablolar içerir.
Sistem Denetim İlkesi tablo göstergesi
| Notation | Recommendation |
|---|---|
| Yes | Genel senaryolarda etkinleştir |
| No | Genel senaryolarda etkinleştirmeyin |
| If | Belirli bir senaryo için gerekirse veya makinede denetimin istendiği bir rol veya özellik yüklüyse etkinleştirin |
| DC | Etki alanı denetleyicilerinde etkinleştirme |
| [Blank] | No recommendation |
Bu tablolar Windows varsayılan ayarını, temel önerileri ve çalıştırdığınız işletim sistemi platformu için daha güçlü öneriler içerir.
| Denetim İlkesi Kategorisi veya Alt Kategorisi | Windows DefaultSuccess | Failure |
Baseline RecommendationSuccess | Failure |
Stronger RecommendationSuccess | Failure |
|---|---|---|---|
| Account Logon | |||
| Kimlik Bilgisi Doğrulamayı Denetleme | No | No |
Yes | No |
Yes | Yes |
| Kerberos Kimlik Doğrulaması Hizmetini Denetleme | Yes | Yes |
||
| Kerberos Hizmet Bileti İşlemlerini Denetleme | Yes | Yes |
||
| Diğer Hesap Oturum Açma Olaylarını Denetleme | Yes | Yes |
| Denetim İlkesi Kategorisi veya Alt Kategorisi | Windows DefaultSuccess | Failure |
Baseline RecommendationSuccess | Failure |
Stronger RecommendationSuccess | Failure |
|---|---|---|---|
| Account Management | |||
| Uygulama Grubu Yönetimini Denetleme | |||
| Bilgisayar Hesabı Yönetimini Denetleme | Yes | No |
Yes | Yes |
|
| Dağıtım Grubu Yönetimini Denetleme | |||
| Diğer Hesap Yönetimi Olaylarını Denetleme | Yes | No |
Yes | Yes |
|
| Güvenlik Grubu Yönetimini Denetleme | Yes | No |
Yes | Yes |
|
| Kullanıcı Hesabı Yönetimini Denetleme | Yes | No |
Yes | No |
Yes | Yes |
| Denetim İlkesi Kategorisi veya Alt Kategorisi | Windows DefaultSuccess | Failure |
Baseline RecommendationSuccess | Failure |
Stronger RecommendationSuccess | Failure |
|---|---|---|---|
| Detailed Tracking | |||
| DPAPI Etkinliğini Denetleme | Yes | Yes |
||
| İşlem Oluşturmayı Denetleme | Yes | No |
Yes | Yes |
|
| İşlem Sonlandırmayı Denetle | |||
| RPC Olaylarını Denetleme |
| Denetim İlkesi Kategorisi veya Alt Kategorisi | Windows DefaultSuccess | Failure |
Baseline RecommendationSuccess | Failure |
Stronger RecommendationSuccess | Failure |
|---|---|---|---|
| DS Access | |||
| Ayrıntılı Dizin Hizmeti Çoğaltma Denetimi | |||
| Dizin Hizmeti Erişimini Denetleme | |||
| Dizin Hizmeti Değişikliklerini Denetleme | |||
| Dizin Hizmeti Çoğaltmasını Denetleme |
| Denetim İlkesi Kategorisi veya Alt Kategorisi | Windows DefaultSuccess | Failure |
Baseline RecommendationSuccess | Failure |
Stronger RecommendationSuccess | Failure |
|---|---|---|---|
| Oturum Açma ve Kapatma | |||
| Hesap Kilitlemeyi Denetleme | Yes | No |
Yes | No |
|
| Kullanıcı/Cihaz Taleplerini Denetleme | |||
| IPsec Genişletilmiş Modunu Denetleme | |||
| IPsec Ana Modunu Denetleme | IF | IF |
||
| IPsec Hızlı Modunu Denetleme | |||
| Audit Logoff | Yes | No |
Yes | No |
Yes | No |
| Audit Logon 1 | Yes | Yes |
Yes | Yes |
Yes | Yes |
| Ağ İlkesi Sunucusunu Denetleme | Yes | Yes |
||
| Diğer Oturum Açma/Kapatma Olaylarını Denetleme | |||
| Özel Oturum Açmayı Denetleme | Yes | No |
Yes | No |
Yes | Yes |
1 Beginning with Windows 10 version 1809, Audit Logon is enabled by default for both Success and Failure. Windows'un önceki sürümlerinde varsayılan olarak yalnızca Başarı etkindir.
| Denetim İlkesi Kategorisi veya Alt Kategorisi | Windows DefaultSuccess | Failure |
Baseline RecommendationSuccess | Failure |
Stronger RecommendationSuccess | Failure |
|---|---|---|---|
| Object Access | |||
| Denetim Uygulaması Oluşturuldu | |||
| Sertifikasyon Hizmetlerini Denetleme | |||
| Ayrıntılı Dosya Paylaşımını Denetleme | |||
| Dosya Paylaşımını Denetleme | |||
| Denetim Dosyası Sistemi | |||
| Filtre Platformu Bağlantısını Denetle | |||
| Denetim Filtreleme Platformu Paket Düşürme | |||
| Denetim Tutamağının Manipülasyonu | |||
| Denetim Çekirdeği Nesnesi | |||
| Diğer Nesne Erişim Olaylarını Denetleme | |||
| Audit Registry | |||
| Çıkarılabilir Depolama Birimini Denetleme | |||
| Audit SAM | |||
| Merkezi Erişim Politikası Aşamasını Denetleme |
| Denetim İlkesi Kategorisi veya Alt Kategorisi | Windows DefaultSuccess | Failure |
Baseline RecommendationSuccess | Failure |
Stronger RecommendationSuccess | Failure |
|---|---|---|---|
| Policy Change | |||
| Denetim Denetim İlkesi Değişikliği | Yes | No |
Yes | Yes |
Yes | Yes |
| Kimlik Doğrulama İlkesi Değişikliğini Denetleme | Yes | No |
Yes | No |
Yes | Yes |
| Yetkilendirme İlkesi Değişikliğini Denetleme | |||
| Filtre Platformu İlkesi Değişikliğini Denetleme | |||
| MPSSVC Kural Düzeyi İlke Değişikliğini Denetleme | Yes |
||
| Diğer İlke Değişikliği Olaylarını Denetleme |
| Denetim İlkesi Kategorisi veya Alt Kategorisi | Windows DefaultSuccess | Failure |
Baseline RecommendationSuccess | Failure |
Stronger RecommendationSuccess | Failure |
|---|---|---|---|
| Privilege Use | |||
| Hassas Olmayan Ayrıcalık Kullanımını Denetleme | |||
| Diğer Ayrıcalık Kullanım Olaylarını Denetleme | |||
| Hassas Ayrıcalık Kullanımını Denetleme |
| Denetim İlkesi Kategorisi veya Alt Kategorisi | Windows DefaultSuccess | Failure |
Baseline RecommendationSuccess | Failure |
Stronger RecommendationSuccess | Failure |
|---|---|---|---|
| System | |||
| IPsec Sürücüsünü Denetleme | Yes | Yes |
Yes | Yes |
|
| Diğer Sistem Olaylarını Denetleme | Yes | Yes |
||
| Güvenlik Durumu Değişikliğini Denetleme | Yes | No |
Yes | Yes |
Yes | Yes |
| Güvenlik Sistemi Uzantısını Denetleme | Yes | Yes |
Yes | Yes |
|
| Sistem Bütünlüğünü Denetleme | Yes | Yes |
Yes | Yes |
Yes | Yes |
| Denetim İlkesi Kategorisi veya Alt Kategorisi | Windows DefaultSuccess | Failure |
Baseline RecommendationSuccess | Failure |
Stronger RecommendationSuccess | Failure |
|---|---|---|---|
| Genel Nesne Erişimi Denetimi | |||
| IPsec Sürücüsünü Denetleme | |||
| Diğer Sistem Olaylarını Denetleme | |||
| Güvenlik Durumu Değişikliğini Denetleme | |||
| Güvenlik Sistemi Uzantısını Denetleme | |||
| Sistem Bütünlüğünü Denetleme |
İş istasyonlarında ve sunucularda Denetim İlkesi ayarlama
Etkin olay günlüğü yönetimi hem iş istasyonlarının hem de sunucuların izlenmesini gerektirir. Kötü amaçlı etkinliklerin ilk işaretleri genellikle iş istasyonlarında göründüğünden, yalnızca sunuculara veya etki alanı denetleyicilerine (DC) odaklanmak yaygın bir gözetimdir. İzleme stratejinize iş istasyonları ekleyerek, kritik erken risk göstergelerine erişim elde edebilirsiniz.
Üretim ortamında herhangi bir denetim ilkesini dağıtmadan önce, yöneticilerin kuruluş güvenliği ve işletim gereksinimlerini karşıladığından emin olmak için ilkeyi dikkatle gözden geçirmesi, test etmesi ve doğrulaması gerekir.
İzlenecek olaylar
Güvenlik uyarısı oluşturmak için mükemmel bir olay kimliği aşağıdaki öznitelikleri içermelidir:
Yinelenme olasılığının yüksek olması yetkisiz etkinliği gösterir
Düşük hatalı pozitif sayısı
Oluşum bir araştırma/adli tıp yanıtına neden olmalıdır
İki tür olay izlenmeli ve uyarılmalıdır:
Bir oluşumun yetkisiz veya şüpheli etkinliğin güçlü bir göstergesi olduğu olaylar.
Beklenen ve kabul edilen bir temelin üzerinde olay birikimi.
İlk olaya örnek olarak:
Etki Alanı Yöneticilerinin DC olmayan bilgisayarlarda oturum açması yasaksa, bir Etki Alanı Yöneticisi üyesinin son kullanıcı iş istasyonunda oturum açmasının tek bir örneği bir uyarı oluşturup araştırılmalıdır. Bu tür bir uyarı, Özel Oturum Açma Denetimi olayı 4964 (Özel gruplar yeni bir oturum açmaya atandı) kullanılarak kolayca oluşturulur. Tek örnekli uyarıların diğer örnekleri şunlardır:
If Server A should never connect to Server B, alert when they connect to each other.
Standart bir kullanıcı hesabının beklenmedik şekilde ayrıcalıklı veya hassas bir güvenlik grubuna eklenip eklenmediğini uyarın.
Fabrika konumu A'daki çalışanlar hiçbir zaman gece çalışmazsa, bir kullanıcı geceleri oturum açtığında uyarı verin.
Dc'de yetkisiz bir hizmet yüklüyse uyarır.
Normal bir son kullanıcının, bunu yapmak için net bir nedeni olmayan bir SQL Server'da doğrudan oturum açmayı deneyip denemediğini araştırın.
Etki Alanı Yöneticisi grubunuzda üye yoksa ve birisi kendisini oraya eklemişse hemen kontrol edin.
İkinci olaya örnek olarak:
Çok sayıda başarısız oturum açma girişimi parola tahmin saldırısına işaret edebilir. Bunu algılamak için, kuruluşların öncelikle ortamlarında normal başarısız oturum açma oranını belirlemesi gerekir. Ardından, bu temel aşıldığında uyarılar tetiklenebilir.
Risk belirtilerini izlerken eklemeniz gereken olayların kapsamlı bir listesi için bkz. Ek L: İzlenecek Olaylar.
İzlenecek Active Directory nesneleri ve öznitelikleri
Aşağıda, Active Directory Etki Alanı Hizmetleri yüklemenizi tehlikeye atma girişimlerini algılamanıza yardımcı olması için izlemeniz gereken hesaplar, gruplar ve öznitelikler yer alır.
Virüsten koruma ve kötü amaçlı yazılımdan koruma yazılımını devre dışı bırakmaya veya kaldırmaya yönelik sistemler (el ile devre dışı bırakıldığında korumayı otomatik olarak yeniden başlatın)
Yetkisiz değişiklikler yapan yönetici hesapları
Ayrıcalıklı hesaplar kullanılarak gerçekleştirilen etkinlikler (şüpheli etkinlikler tamamlandığında veya ayrılan süre dolduğunda hesabı otomatik olarak kaldır)
AD DS'de ayrıcalıklı ve VIP hesapları. Hesap sekmesinde özniteliklerde yapılan değişiklikleri izleyin, örneğin:
cn
name
sAMAccountName
userPrincipalName
userAccountControl
Hesapları izlemeye ek olarak, hesapları değiştirebilecek kişileri mümkün olduğunca küçük bir yönetici kullanıcı kümesiyle kısıtlayın. İzlenecek önerilen olayların listesi, kritiklik derecelendirmeleri ve olay iletisi özeti için Ek L: İzlenecek Olaylar bölümüne bakın.
Sunucuları iş yüklerinin sınıflandırmasına göre gruplandırın; bu sayede en yakından izlenen ve en sıkı yapılandırılan sunucuları hızla tanımlamanıza olanak tanır
Aşağıdaki AD DS gruplarının özelliklerinde ve üyeliğinde yapılan değişiklikler:
Administrators
Domain Admins
Enterprise Admins
Schema Admins
Hesapları etkinleştirmek için devre dışı bırakılmış ayrıcalıklı hesaplar (Active Directory'deki yerleşik Yönetici hesapları ve üye sistemleri gibi)
Hesaba yapılan tüm yazmaları kaydetmek için yönetici hesapları
Sunucunun saldırı yüzeyini azaltmak için hizmet, kayıt defteri, denetim ve güvenlik duvarı ayarlarını yapılandırmak için yerleşik Güvenlik Yapılandırma Sihirbazı. Atlama sunucularını yönetim ana bilgisayar stratejinizin bir parçası olarak uygularsanız bu sihirbazı kullanın.
AD DS'yi izlemek için ek bilgiler
AD DS'yi izleme hakkında ek bilgi için aşağıdaki bağlantıları gözden geçirin:
Güvenlik olayı kimliği önerilen kritik düzeyleri
Tüm Olay Kimliği önerilerine aşağıdaki gibi bir kritiklik derecelendirmesi eşlik eder:
| Rating | Description |
|---|---|
| High | Yüksek önem derecesine sahip olan olay ID'lerine her zaman derhal uyarı verilerek araştırılmalıdır. |
| Medium | Orta düzeyde kritiklik derecelendirmesi olan bir Olay Kimliği kötü amaçlı etkinliği gösterebilir, ancak buna başka bir anormallik eşlik etmelidir. Bir örnek, belirli bir zaman aralığında gerçekleşen olağan dışı bir sayı, beklenmeyen oluşumlar veya bir bilgisayarda normalde olayı günlüğe kaydetmesi beklenmeyecek oluşumlar içerebilir. Orta düzeyde kritik öneme sahip bir olay da ölçüm olarak toplanabilir ve zaman içinde karşılaştırılabilir. |
| Low | Ayrıca düşük öneme sahip olaylara sahip Olay Kimliği, orta veya yüksek öneme sahip olaylarla bağıntılı olmadığı sürece dikkati toplamamalı veya uyarılara neden olmamalıdır. |
Bu öneriler, bir yönetici için temel kılavuz sağlamaya yöneliktir. Bir üretim ortamında uygulamadan önce tüm öneriler kapsamlı bir şekilde gözden geçirilmelidir.