Audit Policy (Denetim Politikası)

Audit policy (denetim politikası), bilgisayar sistemlerinde güvenlik denetimlerini yönetmek için kullanılan bir mekanizmadır.

Audit Policy (Denetim Politikası)

Merhabalar. Bu yazımda sizlere Audit Policy hakkında bilgi vereceğim. Öncelikle genel bir bakış ile inceleyelim.

Audit Policy Nedir?

Audit policy (denetim politikası), bilgisayar sistemlerinde güvenlik denetimlerini yönetmek için kullanılan bir mekanizmadır. Biraz daha açıklayacak olursak bilgisayar sistemlerinde ve ağlarda meydana gelen olayların izlenmesi ve kaydedilmesi için belirlenen kurallar ve ayarlar bütünüdür. Bu politikalar, güvenlik olaylarını tespit etmek, izlemek ve incelemek için gereken verileri toplamak amacıyla kullanılır.

Audit Policy'nin Önemi

Audit policy, bir organizasyonun güvenlik politikasının önemli bir parçasıdır. Bu politikalar, sisteme kimlerin erişim sağladığını, hangi dosyaların değiştirildiğini, hangi ayarların yapıldığını ve daha birçok etkinliği izlemek için kullanılabilir. Örneğin bilgisayara kullanıcının kaç kere başarılı veya başarısız logon olma işlemi gerçekleştirdiğini bu girişime ne zaman saat kaçta bulunduğuna dair bilgileri Audit Policy ile elde edilebilir. Bu bilgiler, güvenlik olaylarını tespit etmek, kötü niyetli faaliyetleri önlemek ve meydana gelen olayları soruşturmak için kritik öneme sahiptir.

Audit Policy Nasıl Kurulur?

Kurumsal bir windows altyapısının olduğu platformlarda audit ayarları yapılandırılırken, “Advantage Auditing” ayarları kullanılarak, belirli yönergelere göre konfigrasyonlar yapılmalıdır. Konfigürasyonların yönetimini merkezi olarak DC üzerinden “Group Policy Management” üzerinden tanımlanması gerekmektedir. İlgili Windows sisteminin altyapısında bulunan “Organizational Unit” ler üzerinde tanımlı şekilde, “Server” ve “Client” host’lara özgü “audit” yapılandırması yapılması gerekmektedir. Yapılandırmaya geçecelim.

İlk olarak gpedit.msc komutunu çalıştırarak “Local Group Policy Editor” ü açıyoruz.

Burada “Computer Configuration” sekmesinin altındaki “Windows Settings” e tıklıyoruz.  Burada ise karşımıza gelen seçeneklerden “Local Policies” daha sonra ise “Audit Policy” e tıklıyoruz.

Buradaki seçenekleri incelemeden önce yapmamız gereken bir ayar var. Audit Policy’ler aktif edilirken “enable” edilmesi gereken policy gösterilmiştir. Bu policy default’ta enable olarak konfigüre edilmesi gerekmektedir.

Şimdi ise Audit Policy altındaki sekmeleri kısaca inceleyelim.

Audit Account logon events;

Kullanıcıların oturumlarını açma olaylarının izlenmesini sağlar.

Audit Account Management;

Kullanıcılar üzerinde yapılan yönetim işlemlerinin yönetilmesini sağlar.

Audit Directory Service Access;

Dizin hizmeti erişimini izler.

Audit Logon Events;

Kullanıcıların oturum açma olaylarını izler.

Audit Object Access;

Kullanıcıların nesnelere erişimini izler.

Audit Policy Change;

Policy’de yapılan değişlikleri denetlemek için kullanılır.

Audit Privilege Use;

Bir kullanıcı hakları kullanıldığında izlenilmesi sağlanır.

Audit Process Tracking;

İşlemleri izleme ve denetleme sürecidir.

Audit System Events;

Sistem olaylarının tamamını denetler. Sistem saati değiştirilmesi vb.

Örneğin kullanıcının başarılı veya başarısız olma işlemlerini incelemek istersek aşağıda görüldüğü üzere success ve failure seçeneklerinin seçilmesi gerekmektedir.

Policy ayarları aktif ederken “Advanced audit policy” üzerinden alt kategorileri tek tek belirleyerek aktif etmemiz gerekmektedir. “Audit Policy” üzerinden yapılacak düzenlemeler tüm “subcategory” içeriklerini aktif etmektedir. Bu durum gereksiz event oluşumuna sebep olmaktadır.

Yapılacak değişikliklerden sonra:

1- gpupdate /force

2- auditpol /get /category:*

Komutları ile audit işlemlerinin sağlıklı olup olmadığı kontrol edilmelidir.

Bu işlemlerden sonra Event viewer’ın Windows log\security tabından başarılı ve başarız logon işlemlerinin hangi tarihte saat kaçta gerçekleştiği görüntülenir.

 

 

Yukarıdaki örnekteki gibi diğer policylerin de yapılandırılması gerekmektedir. Aşağıda önerilen düzenlemeler gösterilmiştir.

 

 Umarım sizler için faydalı olmuştur. Teşekkür ederim.

KAYNAKÇA

https://www.serdarkurt.com.tr/windows-audit-yapilandirmasi-nasil-olmalidir/#google_vignette

https://www.omerkocyigit.com/audit-log-policy-nasil-konfigure-edilir/

https://www.cozumpark.com/server-2012-r2-audit-policy-nedir-ve-nasil-kullanilir/

Merhabalar ben İlayda. Adli Bilişim Mühendisliği 3. sınıf öğrencisiyim. Yaklaşık 3. senedir siber güvenlikle ilgilenmekteyim. Bu alanda kendimi geliştirmek için araştırmalar yapıyorum ve Sibermetin aracılığı ile edindiğim bilgileri sizlerle paylaşıyorum. Yazılarım hakkında bana sormak istediğiniz soruları sosyal medya hesaplarım aracılığı ile bana iletebilirsiniz. Keyifli okumalar dilerim :)