Aracılığıyla paylaş

Active Directory'yi Güvenlik Ihlali Belirtilerine Karşı İzleme

Beşinci Yasa: Ebedi uyanıklık, güvenliğin bedelidir. - 10 Sabit Güvenlik Yönetimi Yasaları

Sağlam bir olay günlüğü izleme sistemi, herhangi bir güvenli Active Directory tasarımının çok önemli bir parçasıdır. Hedeflerin uygun olay günlüğü izleme ve uyarı vermesi durumunda birçok bilgisayar güvenliği açığı olayın erken dönemlerinde keşfedilebilir. Bağımsız raporlar bu sonucu uzun süredir desteklemektedir. Örneğin, 2009 Verizon Veri İhlali Raporu şunları belirtir:

"Olay izleme ve günlük analizinin bariz etkisizliği bir tür muamma olmaya devam ediyor. Tespit etme fırsatı var; Müfettişler, mağdurların yüzde 66'sının, bu tür kaynakları analiz etmede daha gayretli olsalardı, ihlali keşfetmek için günlüklerinde yeterli kanıt bulunduğunu belirtti."

Aktif olay günlüklerinin izlenmesindeki bu eksiklik, birçok şirketin güvenlik savunma planlarında tutarlı bir zayıflık olmaya devam ediyor. 2012 Verizon Veri İhlali raporu, ihlallerin yüzde 85'inin fark edilmesinin birkaç hafta sürmesine rağmen, mağdurların yüzde 84'ünün olay günlüklerinde ihlale dair kanıtları olduğunu buldu.

Windows Denetim İlkesi

Aşağıda, Microsoft'un resmi kurumsal destek blogunun bağlantıları yer almaktadır. Bu blogların içeriği, Active Directory altyapınızın güvenliğini artırmanıza yardımcı olmak için denetimle ilgili tavsiye, rehberlik ve öneriler sağlar ve bir denetim ilkesi tasarlarken değerli bir kaynaktır.

Aşağıdaki bağlantılar, Windows 8 ve Windows Server 2012'deki Windows denetimi geliştirmeleri ve Windows Server 2008'deki AD DS denetimi hakkında bilgi sağlar.

  • Güvenlik Denetimindeki Yenilikler - Windows 8 ve Windows Server 2012'deki yeni güvenlik denetimi özelliklerine genel bir bakış sağlar.
  • AD DS Denetimi Adım Adım Kılavuz - Windows Server 2008'deki yeni Active Directory Etki Alanı Hizmetleri (AD DS) denetim özelliğini açıklar. Ayrıca bu yeni özelliği uygulamak için yordamlar sağlar.

Windows Denetim Kategorileri

Windows Vista ve Windows Server 2008'den önce, Windows'un yalnızca dokuz olay günlüğü denetim ilkesi kategorisi vardı:

  • Hesap Oturum Açma Olayları
  • Account Management
  • Dizin Hizmeti Erişimi
  • Logon Events
  • Object Access
  • Policy Change
  • Privilege Use
  • Process Tracking
  • System Events

Bu dokuz geleneksel denetim kategorisi bir denetim politikası oluşturur. Her denetim ilkesi kategorisi Başarı, Başarısızlık veya Başarı ve Hata olayları için etkinleştirilebilir. Açıklamaları bir sonraki bölümde yer almaktadır.

Denetim İlkesi Kategori Açıklamaları

Denetim ilkesi kategorileri aşağıdaki olay günlüğü ileti türlerini etkinleştirir.

Hesap Oturum Açma Olaylarını Denetleme

Hesabı Denetle Oturum Açma Olayları, hesabı doğrulamak için başka bir bilgisayar kullanıldığında bir bilgisayarda oturum açan veya oturumu kapatan bir güvenlik sorumlusunun (örneğin, kullanıcı, bilgisayar veya hizmet hesabı) her örneğini raporlar. Hesap oturum açma olayları, bir etki alanı denetleyicisinde bir etki alanı güvenlik sorumlusu hesabının kimliği doğrulandığında oluşturulur. Yerel bilgisayardaki bir yerel kullanıcının kimlik doğrulaması, yerel güvenlik günlüğüne kaydedilen bir oturum açma olayı oluşturur. Hiçbir hesap oturum kapatma olayı günlüğe kaydedilmez.

Bu kategori çok fazla "gürültü" oluşturur, çünkü Windows normal iş akışı sırasında sürekli olarak yerel ve uzak bilgisayarlarda oturum açan ve kapatan hesaplara sahiptir. Bu rahatsızlığa rağmen, her güvenlik planı bu denetim kategorisinin başarısını ve başarısızlığını içermelidir.

Denetim Hesap Yönetimi

Bu denetim ayarı, kullanıcıların ve grupların yönetiminin izlenip izlenmeyeceğini belirler. Örneğin, bir kullanıcı veya bilgisayar hesabı, bir güvenlik grubu veya bir dağıtım grubu oluşturulduğunda, değiştirildiğinde veya silindiğinde kullanıcılar ve gruplar izlenmelidir. Bir kullanıcı veya bilgisayar hesabı yeniden adlandırıldığında, devre dışı bırakıldığında veya etkinleştirildiğinde ve bir kullanıcı veya bilgisayar parolası değiştirildiğinde de kullanıcılar ve gruplar izlenmelidir. Diğer gruplara eklenen veya diğer gruplardan kaldırılan kullanıcılar veya gruplar için bir etkinlik oluşturulabilir.

Dizin Hizmeti Erişimini Denetleme

Bu ilke ayarı, kendi belirtilen sistem erişim denetim listesine (SACL) sahip bir Active Directory nesnesine güvenlik sorumlusu erişiminin denetlenip denetlenmeyeceğini belirler. Genel olarak, bu kategori yalnızca etki alanı denetleyicilerinde etkinleştirilmelidir. Bu ayar etkinleştirilirse çok fazla "gürültü" oluşturur.

Oturum Açma Olaylarını Denetleme

Oturum açma olayları, yerel bir bilgisayarda yerel güvenlik sorumlusunun kimliği doğrulandığında oluşturulur. Oturum Açma Olayları, yerel bilgisayarda gerçekleşen etki alanı oturum açma işlemlerini kaydeder. Hesap oturum kapatma olayları oluşturulmaz. Etkinleştirildiğinde, Oturum Açma Olayları çok fazla "gürültü" oluşturur, ancak bu ilke yine de herhangi bir güvenlik denetim planında varsayılan olarak etkinleştirilmelidir.

Nesne Erişimini Denetleme

Nesne Erişimi, denetim etkinleştirilmiş sonradan tanımlanan nesnelere erişildiğinde (örneğin, Açıldı, Okundu, Yeniden Adlandırıldı, Silindi veya Kapatıldı) olaylar oluşturabilir. Ana denetim kategorisi etkinleştirildikten sonra, yöneticinin hangi nesnelerin denetimin etkinleştirileceğini tek tek tanımlaması gerekir. Birçok Windows sistem nesnesi denetim etkinleştirilmiş olarak gelir, bu nedenle bu kategorinin etkinleştirilmesi genellikle yönetici herhangi bir olay tanımlamadan önce olay oluşturmaya başlar.

Bu kategori çok "gürültülüdür" ve her nesne erişimi için beş ila 10 olay oluşturur. Nesne denetimine yeni başlayan yöneticilerin yararlı bilgiler edinmesi zor olabilir. Yalnızca gerektiğinde etkinleştirilmelidir.

Denetim İlkesi Değişikliği

Bu ilke ayarı, kullanıcı hakları atama ilkelerinde, Windows Güvenlik Duvarı ilkelerinde, Güven ilkelerinde veya denetim ilkesinde yapılan her değişiklik örneğinin denetlenip denetlenmeyeceğini belirler. Bu kategori tüm bilgisayarlarda etkinleştirilmelidir. Çok az "gürültü" üretir.

Denetim ayrıcalığı kullanımı

Windows'ta düzinelerce kullanıcı hakkı ve izni vardır (örneğin, Toplu İş Olarak Oturum Açma ve İşletim Sisteminin Bir Parçası Olarak Davranma). Bu ilke ayarı, bir güvenlik sorumlusunun her örneğinin bir kullanıcı hakkı veya ayrıcalığı kullanarak denetlenip denetlenmeyeceğini belirler. Bu kategorinin etkinleştirilmesi çok fazla "gürültüye" neden olur, ancak yükseltilmiş ayrıcalıklar kullanarak güvenlik sorumlusu hesaplarının izlenmesinde yardımcı olabilir.

Denetim Süreç Takibi

Bu ilke ayarı, program etkinleştirme, işlem çıkışı, yinelemeyi işleme ve dolaylı nesne erişimi gibi olaylar için ayrıntılı işlem izleme bilgilerinin denetlenip denetlenmeyeceğini belirler. Kötü amaçlı kullanıcıları ve kullandıkları programları izlemek için kullanışlıdır.

Enabling Audit Process Tracking generates a large number of events, so typically it's set to No Auditing. Ancak bu ayar, başlatılan işlemlerin ve başlatıldıkları zamanın ayrıntılı günlüğünden bir olay yanıtı sırasında büyük bir avantaj sağlayabilir. Etki alanı denetleyicileri ve diğer tek rollü altyapı sunucuları için bu kategori her zaman güvenli bir şekilde açılabilir. Tek rol sunucuları, görevlerinin normal seyri sırasında çok fazla işlem izleme trafiği oluşturmaz. Bu nedenle, meydana gelmeleri durumunda yetkisiz olayları yakalamak için etkinleştirilebilirler.

Sistem Olayları Denetimi

Sistem Olayları, bilgisayarı, sistem güvenliğini veya güvenlik günlüğünü etkileyen çeşitli olayları kaydeden neredeyse genel bir tümünü yakalama kategorisidir. Bilgisayar kapanmaları ve yeniden başlatmaları, güç kesintileri, sistem saati değişiklikleri, kimlik doğrulama paketi başlatmaları, denetim günlüğü temizlemeleri, kimliğe bürünme sorunları ve bir dizi başka genel olay içerir. Genel olarak, bu denetim kategorisinin etkinleştirilmesi çok fazla "gürültü" oluşturur, ancak etkinleştirilmemesini önermenin zor olduğu kadar çok yararlı olaylar oluşturur.

Gelişmiş Denetim Politikaları

Windows Vista ve Windows Server 2008 ile başlayarak, Microsoft her ana denetim kategorisi altında alt kategoriler oluşturarak olay günlüğü kategorisi seçimlerinin yapılma şeklini geliştirdi. Alt kategoriler, denetimin ana kategorileri kullanarak normalde olabileceğinden çok daha ayrıntılı olmasını sağlar. Alt kategorileri kullanarak, belirli bir ana kategorinin yalnızca bölümlerini etkinleştirebilir ve yararlı olmayan etkinlikler oluşturmayı atlayabilirsiniz. Her denetim ilkesi alt kategorisi Başarı, Başarısızlık veya Başarı ve Hata olayları için etkinleştirilebilir.

Kullanılabilir tüm denetim alt kategorilerini listelemek için, bir Grup İlkesi Nesnesi'ndeki Gelişmiş Denetim İlkesi kapsayıcısını gözden geçirin veya Windows Server 2012, Windows Server 2008 R2, Windows Server 2008, Windows 8, Windows 7 veya Windows Vista çalıştıran herhangi bir bilgisayarda aşağıdaki komutu yazın:

auditpol /list /subcategory:*

Windows Server 2012, Windows Server 2008 R2 veya Windows 2008 çalıştıran bir bilgisayarda şu anda yapılandırılmış denetim alt kategorilerinin listesini almak için aşağıdaki komutu yazın:

auditpol /get /category:*

Aşağıdaki ekran görüntüsünde, geçerli denetim ilkesini listeleyen bir auditpol.exe örneği gösterilmektedir.

Geçerli denetim ilkesini listeleyen bir auditpol.exe örneği gösteren ekran görüntüsü.

Note

Grup İlkesi, etkinleştirilmiş tüm denetim ilkelerinin durumunu her zaman doğru bir şekilde raporlamazken, auditpol.exe bildirir. Daha fazla ayrıntı için Windows 7 ve 2008 R2'de Etkili Denetim İlkesini Edinme bölümüne bakın.

Her ana kategorinin birden fazla alt kategorisi vardır. Aşağıda kategorilerin, alt kategorilerinin ve işlevlerinin açıklamalarının bir listesi bulunmaktadır.

Denetim Alt Kategorileri Açıklamaları

Denetim ilkesi alt kategorileri aşağıdaki olay günlüğü ileti türlerini etkinleştirir:

Account Logon

Credential Validation

Bu alt kategori, kullanıcı hesabı oturum açma isteği için gönderilen kimlik bilgileri üzerinde doğrulama testlerinin sonuçlarını raporlar. Bu olaylar, kimlik bilgileri için yetkili olan bilgisayarda gerçekleşir. Etki alanı hesapları için, etki alanı denetleyicisi yetkilidir; Yerel hesaplar için yerel bilgisayar yetkilidir.

Etki alanı ortamlarında, hesap oturum açma olaylarının çoğu, etki alanı hesapları için yetkili olan etki alanı denetleyicilerinin güvenlik günlüğüne kaydedilir. Ancak, yerel hesaplar oturum açmak için kullanıldığında bu olaylar kuruluştaki diğer bilgisayarlarda gerçekleşebilir.

Kerberos Hizmet Bileti İşlemleri

Bu alt kategori, etki alanı hesabı için yetkili olan etki alanı denetleyicisinde Kerberos bilet isteği işlemleri tarafından oluşturulan olayları bildirir.

Kerberos Kimlik Doğrulama Hizmeti

Bu alt kategori, Kerberos kimlik doğrulama hizmeti tarafından oluşturulan olayları bildirir. Bu olaylar, kimlik bilgileri için yetkili olan bilgisayarda gerçekleşir.

Diğer Hesap Oturum Açma Olayları

Bu alt kategori, kimlik bilgisi doğrulaması veya Kerberos biletleriyle ilgili olmayan bir kullanıcı hesabı oturum açma isteği için gönderilen kimlik bilgilerine yanıt olarak oluşan olayları bildirir. Bu olaylar, kimlik bilgileri için yetkili olan bilgisayarda gerçekleşir. Etki alanı hesapları için etki alanı denetleyicisi yetkilidir, ancak yerel hesaplar için yerel bilgisayar yetkilidir.

Etki alanı ortamlarında, hesap oturum açma olaylarının çoğu, etki alanı hesapları için yetkili olan etki alanı denetleyicilerinin güvenlik günlüğüne kaydedilir. Ancak, yerel hesaplar oturum açmak için kullanıldığında bu olaylar kuruluştaki diğer bilgisayarlarda gerçekleşebilir. Örnekler aşağıdakileri içerebilir:

  • Uzak Masaüstü Hizmetleri oturum bağlantılarının kesilmesi
  • Yeni Uzak Masaüstü Hizmetleri oturumları
  • İş istasyonunu kilitleme ve kilidini açma
  • Ekran koruyucuyu çağırma
  • Ekran koruyucuyu kapatma
  • Aynı bilgilere sahip bir Kerberos isteğinin iki kez alındığı bir Kerberos yeniden yürütme saldırısının algılanması
  • Bir kullanıcı veya bilgisayar hesabına verilmiş bir kablosuz ağa erişim
  • Bir kullanıcı veya bilgisayar hesabına verilmiş kablolu bir 802.1x ağına erişim

Account Management

Kullanıcı Hesabı Yönetimi

Bu alt kategori, aşağıdakiler gibi her bir kullanıcı hesabı yönetimi olayını bildirir:

  • Kullanıcı hesabı oluşturulan, değiştirilen veya silinen
  • Kullanıcı hesabı yeniden adlandırıldı, devre dışı bırakıldı veya etkinleştirildi
  • Parola ayarlandı veya değiştirildi

Bu denetim ilkesi ayarı etkinleştirilirse, yöneticiler kullanıcı hesaplarının kötü amaçlı, yanlışlıkla ve yetkilendirilmiş olarak oluşturulmasını algılamak için olayları izleyebilir.

Bilgisayar Hesap Yönetimi

Bu alt kategori, bir bilgisayar hesabının oluşturulması, değiştirilmesi, silinmesi, yeniden adlandırılması, devre dışı bırakılması veya etkinleştirilmesi gibi bilgisayar hesabı yönetiminin her olayını bildirir.

Güvenlik Grubu Yönetimi

Bu alt kategori, bir güvenlik grubunun oluşturulması, değiştirilmesi veya silinmesi ya da bir üyenin güvenlik grubuna eklenmesi veya güvenlik grubundan çıkarılması gibi güvenlik grubu yönetiminin her olayını raporlar. Bu denetim ilkesi ayarı etkinleştirilirse, yöneticiler güvenlik grubu hesaplarının kötü amaçlı, yanlışlıkla ve yetkilendirilmiş olarak oluşturulmasını algılamak için olayları izleyebilir.

Dağıtım Grubu Yönetimi

Bu alt kategori, bir dağıtım grubunun oluşturulması, değiştirilmesi veya silinmesi ya da bir üyenin dağıtım grubuna eklenmesi veya dağıtım grubundan çıkarılması gibi her dağıtım grubu yönetimi olayını raporlar. Bu denetim ilkesi ayarı etkinleştirilirse, yöneticiler grup hesaplarının kötü amaçlı, yanlışlıkla ve yetkilendirilmiş olarak oluşturulmasını algılamak için olayları izleyebilir.

Uygulama Grubu Yönetimi

Bu alt kategori, bir uygulama grubunun oluşturulması, değiştirilmesi veya silinmesi ya da bir üyenin bir uygulama grubuna eklenmesi veya bir uygulama grubundan çıkarılması gibi, bir bilgisayardaki uygulama grubu yönetiminin her olayını raporlar. Bu denetim ilkesi ayarı etkinleştirilirse, yöneticiler uygulama grubu hesaplarının kötü amaçlı, yanlışlıkla ve yetkilendirilmiş olarak oluşturulmasını algılamak için olayları izleyebilir.

Diğer Hesap Yönetimi Etkinlikleri

Bu alt kategori diğer hesap yönetimi olaylarını bildirir.

Detaylı Süreç Takibi

Ayrıntılı Süreç İzleme izleme, süreçlerin hem oluşturulmasını hem de sonlandırılmasını içerir.

Process Creation

Bu alt kategori, bir işlemin oluşturulmasını ve onu oluşturan kullanıcı veya programın adını bildirir.

Process Termination

Bu alt kategori, bir işlem sonlandırıldığında rapor verir.

DPAPI Activity

Bu alt kategori, veri koruma uygulama programlama arabirimine (DPAPI) yapılan çağrıları şifrelemeyi veya şifresini çözmeyi bildirir. DPAPI, depolanan parola ve anahtar bilgileri gibi gizli bilgileri korumak için kullanılır.

RPC Events

Bu alt kategori, uzaktan yordam çağrısı (RPC) bağlantı olaylarını bildirir.

Dizin Hizmeti Erişimi

Dizin Hizmeti Erişimi

Bu alt kategori, bir AD DS nesnesine erişildiğini bildirir. Yalnızca yapılandırılmış SACL'lere sahip nesneler, yalnızca SACL girişleriyle eşleşen bir şekilde erişildiklerinde denetim olaylarının oluşturulmasına neden olur. Bu olaylar, Windows Server'ın önceki sürümlerindeki dizin hizmeti erişim olaylarına benzer. Bu alt kategori yalnızca etki alanı denetleyicileri için geçerlidir.

Dizin Hizmeti Değişiklikleri

Bu alt kategori, AD DS'deki nesnelerde yapılan değişiklikleri bildirir. Bildirilen değişiklik türleri bir nesne üzerinde gerçekleştirilen oluşturma, değiştirme, taşıma ve geri alma işlemleridir. Dizin hizmeti değişiklik denetimi, uygun olduğunda, değiştirilen nesnelerin değiştirilen özelliklerinin eski ve yeni değerlerini gösterir. Yalnızca SACL'leri olan nesneler, yalnızca SACL girişleriyle eşleşen bir şekilde erişildiklerinde denetim olaylarının oluşturulmasına neden olur. Bazı nesneler ve özellikler, şemadaki nesne sınıfındaki ayarlar nedeniyle denetim olaylarının oluşturulmasına neden olmaz. Bu alt kategori yalnızca etki alanı denetleyicileri için geçerlidir.

Dizin Hizmeti Çoğaltma

Bu alt kategori, iki etki alanı denetleyicisi arasındaki çoğaltmanın ne zaman başladığını ve bittiğini bildirir.

Ayrıntılı Dizin Hizmeti Replikasyonu

Bu alt kategori, etki alanı denetleyicileri arasında çoğaltılan bilgiler hakkında ayrıntılı bilgi bildirir. Bu olaylar hacim olarak çok yüksek olabilir.

Logon/Logoff

Logon

Bu alt kategori, bir kullanıcı sistemde oturum açmayı denediğinde bildirir. Bu olaylar, erişilen bilgisayarda gerçekleşir. Etkileşimli oturum açmalar için, bu olayların oluşturulması kullanıcının oturum açtığı bilgisayarda gerçekleşir. Bir paylaşıma erişmek için ağ oturumu açılırsa, bu olaylar erişilen kaynağı barındıran bilgisayarda oluşturulur. If this setting is configured to No auditing, it's difficult or impossible to determine which user has accessed or attempted to access organization computers.

Ağ İlkesi Sunucusu

Bu alt kategori, RADIUS (IAS) ve Ağ Erişim Koruması (NAP) kullanıcı erişim istekleri tarafından oluşturulan olayları bildirir. These requests can be Grant, Deny, Discard, Quarantine, Lock, and Unlock. Bu ayarın denetlenmesi, NPS ve IAS sunucularında orta veya yüksek hacimli kayıtlara neden olur.

IPsec Ana Modu

Bu alt kategori, Ana Mod anlaşmaları sırasında Internet Anahtar Değişimi (IKE) protokolü ve Kimliği Doğrulanmış İnternet Protokolü (AuthIP) sonuçlarını bildirir.

IPsec Genişletilmiş Modu

Bu alt kategori, Genişletilmiş Mod anlaşmaları sırasında AuthIP'nin sonuçlarını bildirir.

Diğer Oturum Açma/Oturum Kapatma Olayları

Bu alt kategori, Uzak Masaüstü Hizmetleri oturumunun kesilmesi ve yeniden bağlanması, işlemleri farklı bir hesap altında çalıştırmak için RunAs kullanılması ve bir iş istasyonunun kilitlenmesi ve kilidinin açılması gibi oturum açma ve oturum kapatma ile ilgili diğer olayları bildirir.

Logoff

Bu alt kategori, bir kullanıcı sistem oturumunu kapattığında rapor verir. Bu olaylar, erişilen bilgisayarda gerçekleşir. Etkileşimli oturum açmalar için, bu olayların oluşturulması kullanıcının oturum açtığı bilgisayarda gerçekleşir. Bir paylaşıma erişmek için ağ oturumu açılırsa, bu olaylar erişilen kaynağı barındıran bilgisayarda oluşturulur. If this setting is configured to No auditing, it's difficult or impossible to determine which user has accessed or attempted to access organization computers.

Account Lockout

Bu alt kategori, çok sayıda başarısız oturum açma girişimi sonucunda bir kullanıcının hesabı kilitlendiğinde rapor verir.

IPsec Hızlı Modu

Bu alt kategori, Hızlı Mod anlaşmaları sırasında IKE protokolünün ve AuthIP'nin sonuçlarını bildirir.

Special Logon

Bu alt kategori, özel bir oturum açma kullanıldığında rapor verir. Özel oturum açma, yöneticiye eşdeğer ayrıcalıklara sahip olan ve bir işlemi daha yüksek bir düzeye yükseltmek için kullanılabilen bir oturum açmadır.

Policy Change

denetim ilkesi değişikliği

Bu alt kategori, SACL değişiklikleri de dahil olmak üzere denetim ilkesindeki değişiklikleri bildirir.

Kimlik Doğrulama İlkesi Değişikliği

Bu alt kategori, kimlik doğrulama ilkesindeki değişiklikleri bildirir.

Yetkilendirme Politikası Değişikliği

Bu alt kategori, izinler (DACL) değişiklikleri de dahil olmak üzere yetkilendirme ilkesindeki değişiklikleri bildirir.

MPSSVC Rule-Level İlkesi Değişikliği

Bu alt kategori, Microsoft Koruma Hizmeti (MPSSVC.exe) tarafından kullanılan ilke kurallarındaki değişiklikleri bildirir. Bu hizmet Windows Güvenlik Duvarı tarafından kullanılır.

Platform İlkesi Değişikliğini Filtreleme

Bu alt kategori, başlangıç filtreleri de dahil olmak üzere WFP'ye nesnelerin eklenmesini ve kaldırılmasını bildirir. Bu olaylar hacim olarak çok yüksek olabilir.

Diğer Politika Değişikliği Etkinlikleri

Bu alt kategori, Güvenilir Platform Modülü'nün (TPM) veya şifreleme sağlayıcılarının yapılandırması gibi diğer güvenlik ilkesi değişikliği türlerini bildirir.

Privilege Use

Ayrıcalık Kullanımı hem hassas hem de hassas olmayan ayrıcalıkları kapsar.

Hassas ayrıcalık kullanımı

Bu alt kategori, bir kullanıcı hesabı veya hizmeti hassas bir ayrıcalık kullandığında rapor verir. Hassas bir ayrıcalık aşağıdaki kullanıcı haklarını içerir:

  • İşletim sisteminin bir parçası olarak hareket et
  • Dosyaları ve dizinleri yedekleme
  • Bir belirteç nesnesi oluşturun, programlarda hata ayıklayın
  • Bilgisayar ve kullanıcı hesaplarının yetki devri için güvenilir olmasını etkinleştir
  • Güvenlik denetimleri oluşturun, kimlik doğrulamasından sonra bir istemcinin kimliğine bürünün
  • Aygıt sürücüleri yükle ve kaldır
  • Denetim ve güvenlik günlüğünü yönetme
  • Üretici yazılımı ortam değerlerini değiştir
  • İşlem düzeyi belirtecini değiştirin, dosyaları ve dizinleri geri yükleyin
  • Dosyaların veya diğer nesnelerin sahipliğini alın.

Bu alt kategorinin denetlenmesinde yüksek hacimli olaylar oluşturulur.

Hassas Olmayan Ayrıcalık Kullanımı

Bu alt kategori, bir kullanıcı hesabı veya hizmet hassas olmayan bir ayrıcalık kullandığında rapor verir. Hassas olmayan bir ayrıcalık aşağıdaki kullanıcı haklarını içerir:

  • Kimlik Bilgileri Yöneticisi'ne güvenilen arayan olarak eriş
  • Bu bilgisayara ağdan erişin
  • Etki alanına iş istasyonları ekleme
  • İşlem için bellek kotalarını ayarlama
  • Yerel olarak oturum açmayı kabul et
  • Uzak Masaüstü Hizmetleri üzerinden oturum açmaya izin ver
  • Çapraz geçiş denetimini atla
  • Sistem saatini değiştir
  • Sayfa dosyası oluştur
  • Genel nesneler oluştur
  • Kalıcı paylaşılan nesneler oluştur
  • Simgesel bağlantılar oluştur
  • Bu bilgisayara ağdan erişimi reddet
  • Toplu iş olarak oturum açmayı reddet
  • Hizmet olarak oturum açmayı reddet
  • Yerel olarak oturum açmayı reddet
  • Uzak Masaüstü Hizmetleri üzerinden oturum açmayı reddet
  • Uzak sistemden kapatmayı zorla
  • Bir işlemin çalışma kümesini artır
  • Zamanlama önceliğini artır
  • Sayfaları bellekte kilitle
  • Toplu iş olarak oturum aç
  • Hizmet olarak oturum aç
  • Nesne etiketini değiştir
  • Hacim bakım görevlerini gerçekleştir
  • Tek işlemi profilleştir
  • Sistem performansı profili oluştur
  • Bilgisayarı takma biriminden çıkar
  • Sistemi kapat
  • Dizin hizmeti verilerini senkronize edin.

Bu alt kategorinin denetlenmesi çok yüksek hacimli olaylar oluşturacaktır.

Diğer Ayrıcalık Kullanım Etkinlikleri

Bu güvenlik ilkesi ayarı şu anda kullanılmıyor.

Object Access

Nesne Erişimi kategorisi, Dosya Sistemi ve Kayıt Defteri alt kategorilerini içerir.

File System

Bu alt kategori, dosya sistemi nesnelerine ne zaman erişildiğini bildirir. Yalnızca SACL'leri olan dosya sistemi nesneleri, yalnızca SACL girişleriyle eşleşen bir şekilde erişildiklerinde denetim olaylarının oluşturulmasına neden olur. Kendi başına, bu ilke ayarı herhangi bir olayın denetlenmesine neden olmaz. Belirtilen bir sistem erişim denetim listesine (SACL) sahip bir dosya sistemi nesnesine erişen bir kullanıcının olayının denetlenip denetlenmeyeceğini belirler ve denetimin etkin bir şekilde gerçekleşmesini sağlar.

If the audit object access setting is configured to Success, an audit entry is generated each time that a user successfully accesses an object with a specified SACL. If this policy setting is configured to Failure, an audit entry is generated each time that a user fails in an attempt to access an object with a specified SACL.

Registry

Bu alt kategori, kayıt defteri nesnelerine ne zaman erişildiğini bildirir. Yalnızca SACL'leri olan kayıt defteri nesneleri, yalnızca SACL girişleriyle eşleşen bir şekilde erişildiklerinde denetim olaylarının oluşturulmasına neden olur. Kendi başına, bu ilke ayarı herhangi bir olayın denetlenmesine neden olmaz.

Kernel Object

Bu alt kategori, işlemler ve muteksler gibi çekirdek nesnelerine ne zaman erişildiğini bildirir. Yalnızca SACL'leri olan çekirdek nesneleri, yalnızca SACL girişleriyle eşleşen bir şekilde erişildiklerinde denetim olaylarının oluşturulmasına neden olur. Tipik olarak, çekirdek nesnelerine yalnızca AuditBaseObjects veya AuditBaseDirectories denetim seçenekleri etkinleştirilmişse SACL'ler verilir.

SAM

Bu alt kategori, yerel Güvenlik Hesapları Yöneticisi (SAM) kimlik doğrulama veritabanı nesnelerine ne zaman erişildiğini bildirir.

Certification Services

Bu alt kategori, Belgelendirme Hizmetleri işlemlerinin ne zaman gerçekleştirildiğini bildirir.

Application Generated

Bu alt kategori, uygulamalar Windows denetim uygulaması programlama arabirimlerini (API) kullanarak denetim olayları oluşturmaya çalıştığında rapor verir.

Handle Manipulation

Bu alt kategori, bir nesnenin tanıtıcısının ne zaman açıldığını veya kapatıldığını bildirir. Yalnızca SACL'leri olan nesneler bu olayların oluşturulmasına neden olur ve yalnızca denenen işleme işlemi SACL girişleriyle eşleşirse. İşleme Manipülasyonu olayları, yalnızca karşılık gelen nesne erişim alt kategorisinin etkinleştirildiği nesne türleri (örneğin, dosya sistemi veya kayıt defteri) için oluşturulur.

File Share

Bu alt kategori, bir dosya paylaşımına erişildiğinde rapor verir. Kendi başına, bu ilke ayarı herhangi bir olayın denetlenmesine neden olmaz. Belirtilen bir sistem erişim denetim listesine (SACL) sahip bir dosya paylaşım nesnesine erişen bir kullanıcının olayının denetlenip denetlenmeyeceğini belirler ve denetimin etkin bir şekilde gerçekleşmesini sağlar.

Filtreleme Platformu Paket Bırakma

Bu alt kategori, paketler Windows Filtre Platformu (WFP) tarafından bırakıldığında rapor verir. Bu olaylar hacim olarak çok yüksek olabilir.

Filtreleme Platformu Bağlantısı

Bu alt kategori, WFP tarafından bağlantılara ne zaman izin verildiğini veya engellendiğini bildirir. Bu olayların hacmi yüksek olabilir.

Diğer Nesne Erişim Olayları

Bu alt kategori, Görev Zamanlayıcı işleri ve COM+ nesneleri gibi nesne erişimiyle ilgili diğer olayları bildirir.

System

Güvenlik Durumu Değişikliği

Bu alt kategori, güvenlik alt sisteminin ne zaman başlatıldığı ve durdurulduğu gibi sistemin güvenlik durumundaki değişiklikleri bildirir.

Güvenlik Sistemi Uzantısı

Bu alt kategori, güvenlik alt sistemi tarafından kimlik doğrulama paketleri gibi uzantı kodunun yüklenmesini bildirir.

System Integrity

Bu alt kategori, güvenlik alt sisteminin bütünlüğünün ihlallerini bildirir.

IPsec Driver

Bu alt kategori, Internet Protokolü güvenliği (IPsec) sürücüsünün etkinlikleri hakkında rapor verir.

Diğer Sistem Olayları

Bu alt kategori, diğer sistem olaylarını raporlar.

Alt kategori açıklamaları hakkında daha fazla bilgi için Microsoft Güvenlik Uyumluluk Yöneticisi aracına bakın.

Her kuruluş, önceki kapsanan kategorileri ve alt kategorileri gözden geçirmeli ve ortamlarına en uygun olanları etkinleştirmelidir. Denetim ilkesinde yapılan değişiklikler her zaman bir üretim ortamında dağıtımdan önce test edilmelidir.

Windows Denetim İlkesini Yapılandırma

Windows denetim politikası, grup ilkeleri, auditpol.exe, API'ler veya kayıt defteri düzenlemeleri kullanılarak ayarlanabilir. Çoğu şirket için denetim ilkesini yapılandırmak için önerilen yöntemler şunlardır: Grup İlkesi veya auditpol.exe. Bir sistemin denetim ilkesini ayarlamak, yönetici düzeyinde hesap izinleri veya uygun temsilci izinleri gerektirir.

Note

Dosyalar, Active Directory nesneleri ve kayıt defteri anahtarları gibi tek tek kaynakların nesne erişimi denetim seçeneklerinin değiştirilmesine izin vermek için Denetim ve güvenlik günlüğü ayrıcalığını yönetme ayrıcalığı güvenlik sorumlularına (Yöneticiler varsayılan olarak bu ayrıcalığa sahiptir) verilmelidir.

Grup İlkesi Kullanarak Windows Denetim İlkesini Ayarlama

Grup ilkelerini kullanarak denetim ilkesini ayarlamak için, Bilgisayar Yapılandırması\Windows Ayarları\Güvenlik Ayarları\Yerel İlkeler\Denetim İlkesi altında bulunan uygun denetim kategorilerini yapılandırın (Yerel Grup İlkesi Düzenleyicisi'nden (gpedit.msc) bir örnek için aşağıdaki ekran görüntüsüne bakın). Each audit policy category can be enabled for Success, Failure, or Success and Failure events.

monitoring AD

Gelişmiş Denetim İlkesi, Active Directory veya yerel grup ilkeleri kullanılarak ayarlanabilir. Gelişmiş Denetim İlkesi'ni ayarlamak için, Bilgisayar Yapılandırması\Windows Ayarları\Güvenlik Ayarları\Gelişmiş Denetim İlkesi altında bulunan uygun alt kategorileri yapılandırın (Yerel Grup İlkesi Düzenleyicisi'nden (gpedit.msc) bir örnek için aşağıdaki ekran görüntüsüne bakın). Each audit policy subcategory can be enabled for Success, Failure, or Success and Failure events.

Yerel Grup İlkesi Düzenleyicisi'nden (gpedit.msc) bir örnek gösteren ekran görüntüsü.

Auditpol.exe kullanarak Windows denetim ilkesini ayarlama

Auditpol.exe (Windows denetim ilkesini ayarlamak için) Windows Server 2008 ve Windows Vista'da kullanıma sunulmuştur. Başlangıçta, Gelişmiş Denetim İlkesi'ni ayarlamak için yalnızca auditpol.exe kullanılabilir, ancak Grup İlkesi Windows Server 2012, Windows Server 2008 R2 veya Windows Server 2008, Windows 8 ve Windows 7'de kullanılabilir.

Auditpol.exe bir komut satırı yardımcı programıdır. Söz dizimi aşağıdaki gibidir:

auditpol /set /<Category|Subcategory>:<audit category> /<success|failure:> /<enable|disable>

Auditpol.exe sözdizimi örnekleri:

auditpol /set /subcategory:"user account management" /success:enable /failure:enable

auditpol /set /subcategory:"logon" /success:enable /failure:enable

auditpol /set /subcategory:"IPSEC Main Mode" /failure:enable

Note

Auditpol.exe, Gelişmiş Denetim İlkesi'ni yerel olarak ayarlar. Yerel ilke Active Directory veya yerel Grup İlkesi ile çakışıyorsa, Grup İlkesi ayarları genellikle auditpol.exe ayarlardan üstün olur. Birden çok grup veya yerel ilke çakışması olduğunda, yalnızca bir ilke geçerli olur (yani, değiştirin). Denetim ilkeleri birleştirilmez.

Scripting Auditpol

Microsoft provides a sample script for administrators who want to set Advanced Audit Policy by using a script instead of manually typing in each auditpol.exe command.

Note Group Policy does not always accurately report the status of all enabled auditing policies, whereas auditpol.exe does. Daha fazla ayrıntı için Windows 7 ve Windows 2008 R2'de Etkili Denetim İlkesini Edinme bölümüne bakın.

Diğer Auditpol Komutları

Auditpol.exe, yerel bir denetim ilkesini kaydetmek ve geri yüklemek ve denetimle ilgili diğer komutları görüntülemek için kullanılabilir. Here are the other auditpol commands.

auditpol /clear - Yerel denetim politikalarını temizlemek ve sıfırlamak için kullanılır

auditpol /backup /file:<filename> - Geçerli bir yerel denetim ilkesini ikili dosyaya yedeklemek için kullanılır

auditpol /restore /file:<filename> - Önceden kaydedilmiş bir denetim ilkesi dosyasını yerel bir denetim ilkesine aktarmak için kullanılır

auditpol /<get/set> /option:<CrashOnAuditFail> /<enable/disable> - Bu denetim ilkesi ayarı etkinleştirilirse, herhangi bir nedenle bir güvenlik denetimi günlüğe kaydedilemezse sistemin hemen durmasına (STOP: C0000244 {Denetim Başarısız} iletisiyle) neden olur. Genellikle, güvenlik denetim günlüğü dolu olduğunda ve güvenlik günlüğü için belirtilen bekletme yöntemi Olayların Üzerine Yazma veya Günlere Göre Olayların Üzerine Yaz olduğunda bir olay günlüğe kaydedilemez. Genellikle bu ilke yalnızca güvenlik günlüğünün günlüğe kaydedildiğine dair daha yüksek güvenceye ihtiyaç duyan ortamlarda etkinleştirilir. Etkinleştirilirse, yöneticilerin güvenlik günlüğü boyutunu yakından izlemesi ve günlükleri gerektiği gibi döndürmesi gerekir. Ayrıca, Denetle güvenlik seçeneği değiştirilerek Grup İlkesi ile de ayarlanabilir : Güvenlik denetimleri günlüğe kaydedilemiyorsa sistemi hemen kapat (varsayılan=devre dışı).

auditpol /<get/set> /option:<AuditBaseObjects> /<enable/disable> - Bu denetim ilkesi ayarı, genel sistem nesnelerinin erişiminin denetlenip denetlenmeyeceğini belirler. Bu ilke etkinleştirilirse, muteksler, olaylar, semaforlar ve DOS aygıtları gibi sistem nesnelerinin varsayılan sistem erişim denetim listesi (SACL) ile oluşturulmasına neden olur. Çoğu yönetici, küresel sistem nesnelerini denetlemenin çok "gürültülü" olduğunu düşünür ve bunu yalnızca kötü amaçlı bilgisayar korsanlığından şüphelenilirse etkinleştirir. Yalnızca adlandırılmış nesnelere SACL verilir. Denetim nesnesi erişim denetim ilkesi (veya Çekirdek Nesnesi denetim alt kategorisi) de etkinleştirilirse, bu sistem nesnelerine erişim denetlenir. Bu güvenlik ayarını yapılandırırken, Windows'u yeniden başlatana kadar değişiklik etkili olmaz. Bu ilke, Genel sistem nesnelerinin erişimini denetle (varsayılan=devre dışı) güvenlik seçeneği değiştirilerek Grup İlkesi ile de ayarlanabilir.

auditpol /<get/set> /option:<AuditBaseDirectories> /<enable/disable> - Bu denetim ilkesi ayarı, adlandırılmış çekirdek nesnelerine (muteksler ve semaforlar gibi) oluşturulduklarında SACL'ler verileceğini belirtir. AuditBaseDirectories kapsayıcı nesnelerini etkilerken, AuditBaseObjects diğer nesneleri içeremeyen nesneleri etkiler.

auditpol /<get/set> /option:<FullPrivilegeAuditing> /<enable/disable> - Bu denetim ilkesi ayarı, bir kullanıcı güvenlik belirtecine aşağıdaki ayrıcalıklardan biri veya daha fazlası atandığında istemcinin bir olay oluşturup oluşturmadığını belirtir:

  • AssignPrimaryTokenPrivilege
  • AuditPrivilege
  • BackupPrivilege
  • CreateTokenPrivilege
  • DebugPrivilege
  • EnableDelegationPrivilege
  • ImpersonatePrivilege
  • LoadDriverPrivilege
  • RestorePrivilege
  • SecurityPrivilege
  • SystemEnvironmentPrivilege
  • TakeOwnershipPrivilege
  • TcbPrivilege.

Bu seçenek etkinleştirilmezse (varsayılan=Devre Dışı), BackupPrivilege ve RestorePrivilege ayrıcalıkları kaydedilmez. Bu seçeneğin etkinleştirilmesi, yedekleme işlemi sırasında güvenlik günlüğünü son derece gürültülü (bazen saniyede yüzlerce olay) hale getirebilir. Bu ilke, Denetle: Yedekle ve Geri Yükle ayrıcalığının kullanımını denetle güvenlik seçeneği değiştirilerek Grup İlkesi ile de ayarlanabilir.

Note

Burada sağlanan bazı bilgiler Microsoft Denetim Seçeneği Türü'nden ve Microsoft SCM aracından alınmıştır.

Geleneksel Denetimi veya Gelişmiş Denetimi Zorunlu Kılma

Windows Server 2012, Windows Server 2008 R2, Windows Server 2008, Windows 8, Windows 7 ve Windows Vista'da, yöneticiler dokuz geleneksel kategoriyi etkinleştirmeyi veya alt kategorileri kullanmayı seçebilir. Bu, her Windows sisteminde yapılması gereken ikili bir seçimdir. Ana kategoriler etkinleştirilebilir veya alt kategoriler etkinleştirilebilir; İkisi birden olamaz.

Eski geleneksel kategori ilkesinin denetim ilkesi alt kategorilerinin üzerine yazmasını önlemek için, Bilgisayar Yapılandırması\Windows Ayarları\Güvenlik Ayarları\Yerel İlkeler\Güvenlik Seçenekleri altında bulunan denetim ilkesi kategori ayarları ilke ayarını geçersiz kılmak için Denetim ilkesi alt kategori ayarlarını zorla (Windows Vista veya üstü) etkinleştirmeniz gerekir.

Dokuz ana kategori yerine alt kategorilerin etkinleştirilmesini ve yapılandırılmasını öneririz. Bu, denetim ilkelerini destekleyen farklı alt kategorilerin yapılandırılmasının yanı sıra bir Grup İlkesi ayarının etkinleştirilmesini (alt kategorilerin denetim kategorilerini geçersiz kılmasına izin vermek için) gerektirir.

Denetim alt kategorileri, Grup İlkesi ve komut satırı programı da dahil olmak üzere çeşitli yöntemler kullanılarak yapılandırılabilir, auditpol.exe.

Next steps