SlideShare ist ein Scribd-Unternehmen logo

Audit Policy

Als DOC, PDF herunterladen
L
logyonetimi
1 von 24
Event Viewer-Security ve Audit Windows Server 2003, kullanıcı hesaplarından, uygulamalarından ve sistem işlemlerinden dolayı oluşan olayları(Events) bir Log dosyasına kaydeder. Windows Server 2003, bu olayları Event Viewer programından takip etmemizi sağlar. Event Viewer, Administrative Tools içinde bulunan bir seçenektir. Event Viewer içinde değişik olayları tutmak için birçok Log yer alır. Güvenlik konfigürasyonları ve denetim(Audit) kayıtları, Security Log’unda tutulur. Sistem düzeyinde oluşan bilgiler System Log’unda, uygulamalar tarafından oluşan bilgiler ise Application Log’unda tutulur. Tüm kullanıcılar, Application ve System Log’larına ulaşabilirler. Ancak Security Log’unu sadece Administrators grubunun üyeleri görüntüleyebilir. Windows Server 2003 Log’ları System Log:Windows Server 2003 sistem bileşenleri tarafından sebep olunan hatalar, bu Log’a kaydedilir. Örneğin, bir Network kartının tanınmaması, bir Servisin çalışmaması gibi temel hatalar bu Log’a kaydedilir. Application Log:Uygulamalar tarafından neden olunan hatalar bu logda tutulur. Örneğin, bir programın bir dosyaya yazamaması durumunda oluşan hata bu loga yazılır. Security Log:Sistem kaynaklarının kullanımından oluşan hatalar bu loga yazılır. Event Viewer; Windows içinde sisrem ve uygulamalarla ilgili Log’ları tutan vir programdır. Application, Security, System ve Directory servisi ile ilgili Log’ları ayrı olarak tutar.
Windows Server 2003, Security Log’unda aşağıdaki olaylarla ilgili aktivitelerin Log’larının tutulmasınıa olanak sağlar: • Sistemin başlatılması. • Sistemin kapatılması. • Sisteme yapılan başarılı ya da başarısız giriş(log on) işlemleri. • Bilinmeyen kullanıcıların adları ve parolaları. • Account yönetimi ile ilgili işlemler. • Password süresinin aşılması. • Bir dosyanın açılması. • İzin düzenlemeleri. • Domain düzenlemeleri. • Kullanıcı bilgilerinin düzenlenmesi. • Grup üyeliklerinin düzenlenmesi. System ve Application Event Tipleri İnformation:Başarılı olaran yüklenmiş uygulama, sürücü veya servis hakkında bilgi verir. Warning:Şu an sorun yok! Ancak ileride sorun yaratabilecek olaylar hakkında bilgi verir. Error:Uygulama, sürücü veya servisin açılış sırasında bir problemle karşılaştığını bildiren Loglardır.
Security Event Tipleri Success:Başarılı bir şekilde istenilen işlem gerçekleştirilmiş. Failure:Başarısız olarak gerçekleşmiş. Log Dosyasının Boyutlarını Ayarlamak 1)Event Viewer açılır.
2)Boyutları ayarlanacak tip üzerinde sağ tuşa basılarak Properties seçeneğine tıklanır. 3)Log size kısmından dosyanın maksimum boyutu belirlenir. Eğer bu sınır doldu ise ne yapılacağı aşağıdaki When maximum log size is reached seçeneklerinden belirlenir. Overwrite events as needed:Log dosyası dolarsa o zaman üstüne yaz. Overwrite events older than:Log dosyası dolarsa 7 günden eski Log’ların üzerine yaz. İstenirse bu süre değiştirilebilir.
Do not overwrite events:Kesinlikle Log’ların üzerine yazma. Eğer bu seçilirse manuel olarak silmediğimiz sürece eklenen Log’lar hiçbir zaman kaybolmaz. Logların Filtrelenmesi Çok fazla Log dosyası olunca bu Logları analiz etmek zorlaşır. Bunun için de filtreleme uygulanması gerekir. 1)Event Viewer açılır. 2)Filtreleme yapılacak tip üzerinde sağ tuşa basılarak Properties seçeneğine gelinir. 3)Filter tab sekmesine geçilir. Events types kısmından sadece hangi event tipleri görülmek isteniyor ise o tiplerin başındaki kutucukların doldurulması gerekir. Orta kısımda bulunan Event source, Category, Event ID, User ve Computer bölümünde filtrelemede kullanılmak istenen kriterler girilir.
En alttaki From kısmından bu Logların başlangıç tarihi ve To kısmından ise bitiş tarihi seçilerek belli aralıktaki Log’ların görülmesi sağlanır. 4)Ok butonuna bastığınız zaman listede sadece belirlediğiniz kriterlere uyan Loglar listelenir. 5)Tekrar tüm Log’ları görmek için Restore Defaults butonuna basmak yeterlidir. Log’ların Kaydedilmesi ve Silinmesi
1)Kaydedilecek tip üzerinde sağ tuşa basılarak Save Log File As seçeneğine tıklanır. 2)Bir tip içindeki Log’ları silmek için tip üzerinde sağ tuşa basılarak Clear All Events seçeneğine tıklanır. 3)Daha önce kaydedilmiş bir Log bilgisini çağırmak için Open Log File seçeneğinden yararlanılır. Security Policy Policy’lerin amacı; sistemde sizin belirlediğiniz olaylarda izleme yapmak ve kısıtlamalar koymaktır. Security Policies uygulamanın iki yolu vardır. • Local Security Policy:Sadece uygulanan bilgisayara etki eder. • Group Policy:Domain içindeki birden fazla bilgisayara etki eder. Local Security Policy
1)Administrative Tools içinden Local Security Policy seçilir. Veya a) Start/Run kısmına mmc yazılır.
b) Gelen ekranda File menüsünden Add/Remove Snap-in seçilir.
c) Add butonuna basılarak gelen listeden Group Policy Object Editor seçilip Add butonuna basılır. Sonra Finish, Close ve Ok butonuna basılır.
d) Son görüntü aşağıdaki gibi olur. Bu görüntüyü File menüsünden Save ile kaydederek devamlı oluşturmaktan kurtulabilirsiniz. 2) Policy Açıklama Account policies Şifre ve kullanıcı kısıtlamaları. Local policies Auditing, kullanıcı hakları ve güvenlik seçenekleri. Public key policies Sertifikalarla ilgili ayarlar yapılır.
IPSec Network üzerindeki IP Security ayarları yapılır. Evetn log Application, System ve Security Log’larının ayarları yapılır. Restricted groups Security grupları için üye belirlenir. System services Bilgisayar üzerinde çalışan servislerin güvenlik ve başlangıç ayarları yapılır. Registry Registry üzerindeki güvenlik ayarları yapılır. File system Özel dosya yolları üzerindeki güvenlik ayarları yapılır. Örnek1: Örneğimizde Users grubuna dahil kullanıcıların bilgisayara Log On olmasını engelleyelim. Her yeni oluşturacağınız kullanıcının Users grubuna otomatik olarak üye olduğunu unutmayınız. 1)“Gargamel” isimli bir kullanıcı oluşturalım. 2)Bu kullanıcı ile bilgisayara log on olalım. Hiçbir problem olmadan bu kullanıcı ile başarılı log on olduğumuzu görüyoruz. 3)Tekrar Administrator ile sisteme log on olalım. 4)Local Security Settings’i açalım ve Local Policies seçeneği altında bulunan User Rigts Assignment seçeneğini seçelim. 5)Ekranın sağ kısmında bulunan Log On Locally seçeneğine iki kez tıklayalım.
6)Gelen ekranda, bilgisayara lokal olarak log on olabilecek grup ve kullanıcıların Default listesi vardır. Biz Users grubu üyelerinin log on olmasını istemediğimiz için bu grubu seçerek Remove butonuna basıyoruz ve OK butonu ile onaylayarak çıkıyoruz. 7)“Gargamel” isimli kullanıcı ile log on olmayı deneyelim. Bunun gerçekleşmediğini göreceğiz. 8)Tekrar Administrator kullanıcısı ile log on olarak Local Security Policy seçeneğini açıp silmiş olduğumuz Users grbunu Add User or Group butonunu kullanarak ekleyiniz ve OK butonu ile onaylayınız. Örnek2: Bu örneğimizde farklı bir senaryo uygulayalım. Kullanıcı log on olurken sisteme son log on kullanıcının adı, username kısmında yazmasın. Kullanıcı log on olduktan sonra “Hoş geldin” mesajı ile karşılaşsın. Şifre değiştirirken en az 5 karakterlik bir şifre kullanmak zorunda kalsın. 1)Local Security Policy açılır.
2)Son log on olan kullanıcının adının görünmemesi için Local Policies/Security Options seçeneğinden Interactive logon:Do not display last user name seçeneği üzerine iki kez tıklayarak gelen ekrandan Enable seçeneğini seçelim.
3)Mesaj çıkması için aynı yerden Interactive Logon:Message text for users attempting to log on kısmına iki kez tıklanarak gelen ekrana istenilen mesaj yazılır. 4)5 karakterlik şifre zorunluluğu için Account Policies/Password Policy kısmının Minimum password length seçeneğine tıklanarak şifrede kullanılacak karakter sayısı girilir.
5)Sisteme bir kullanıcı ile log on olarak yapılan değişiklikleri gözlemleyelim. Auditing Auditing’in amaçları:User hareketlerini ve işletim sistemi aktivitelerini izlemektir. Bu izleme success(başarılı) ve failure(başarısız) olmak üzere iki şekilde yapılacağı gibi aynı anda her ikisi de izlenebilir. Auditing seçenekleri: Event Açıklama Account Logon Bir kullanıcının Domain’e logon olduğu zamanki bilgilerini tutar. Account Management Kullanıcı ve grup oluşturma, değiştirme, silme bilgileri ile şifre değişikliği bilgilerini tutar. Directory Service Access Active Directory objelerini açan kullanıcının bilgilerini tutar. Active Directory objeleri de bu iş için yapılandırılmalıdır. Logon succes failer Lokal bilgisayara logon-logoff olan kullanıcı bilgileri ile Network bağlantısı yapan ve iptal eden kullanıcı bilgilerini tutar. Object Access delete folder file Kullanıcıların işlem yaptıkları dosya, klasör ve yazıcı bilgilerini tutar. write data Yöneticinin mutlaka bu objeler üzerine ayarlama yapması gerekir. Policy Changes Policy’de yapılan değişikliklerin izlenmesini sağlar. Privlege Use Kullanıcının sistemde yaptığı olayları tutar. Örneğin sistem saatini değiştirme ve take ownership gibi sahiplik alma. Process Tracking Kullanıcıların çalıştırdıkları program bilgilerini tutar. System Kullanıcıların bilgisayarı Restart ve Shutdown etme bilgilerini tutar. Audit nasıl uygulanır?
1)Administrative Tools/Local Security Settings/Local Policies kısmından Audit Policy seçilir.
2)İstenilen Policy üzerine çift tıklanarak Success ve/veya Failure kutucukları doldurulur. 3)Audit Policy yapılandırmak için Administrators grubunun üyesi olmanız gerekir. 4)Ntfs sistemlerde Audit yapabilirsiniz. 5)Tüm bu işlemlerin sonuçları Event Viewer içindeki Security kısmında görüntülenir. Örnek: 1)“Casus” isimli bir klasör oluşturup içine “matahari.txt” dosyasını koyalım. 2)“Holmes” isimli bir kullanıcı oluşturunuz. 3)Local Security Settings/Local Policies kısmından Audit kısmına geçip aşağıdaki işlemleri yapınız. a) Account management Failure
b) Logon events Success, Failure c) Object Access Success, Failure 4)“Casus” klasöründe sağ tuşa basarak, Properties seçeneğine tıklayalım. Security tab sekmesine geçelim ve Advanced butonuna tıklayalım. Gelen dialog kutusunda Auditing tab sekmesine geçelim ve burada Add butonuna basarak “Holmes” isimli kullanıcıyı ekleyelim. Gelen listede tüm kutuları dolduralım ve Ok
butonlarını kullanarak işlemleri onaylayıp çıkalım. 5)“Holmes” isimli kullanıcı ile ilk önce yanlış log on olmaya çalışalım. Örneğin yanlış şifre girelim ve daha sonra doğru şifre ile log on olalım. 6)Kullanıcı oluşturmaya çalışınız. 7)“Casus” klasörünü açıp, içinde birkaç klasör oluşturunuz. “matahari.txt” dosyası içinde değişiklik yapınız. Sonra bu dosyayı ve oluşturduğunuz klasörü siliniz. 8)Administratör isimli kullanıcı ile log on olarak Event Viewer’ın Security kısmından sonuçları izleyebilirsiniz. 9)Security Log’lar aşağıdaki format ile Export edilebilir. Böylelikle uzun Log bilgilerini kaydederek, sonradan inceleme fırsatı bulabilirsiniz. • Event log files(.evt)(default)
• Comma delimited(.csv) • Text file(.txt) Kaydetme işlemini Security klasörü üzerinde sağ tuşa basılaran Save Log File As seçeneğine tıklanır.

Empfohlen

Log yönetimi ve siem
Log yönetimi ve siemLog yönetimi ve siem
Log yönetimi ve siemErtugrul Akbas
 
Log yonetimi tecrubeleri
Log yonetimi tecrubeleriLog yonetimi tecrubeleri
Log yonetimi tecrubeleriErtugrul Akbas
 
Infraskope Security Event Manager
Infraskope Security Event ManagerInfraskope Security Event Manager
Infraskope Security Event Managerlogyonetimi
 
Mart
MartMart
MartBttBLog
 
Bilgi Güvenliği ve Log Yönetimi Sistemlerinin Analizi
Bilgi Güvenliği ve Log Yönetimi Sistemlerinin AnaliziBilgi Güvenliği ve Log Yönetimi Sistemlerinin Analizi
Bilgi Güvenliği ve Log Yönetimi Sistemlerinin AnaliziErtugrul Akbas
 
Işl sist gelişmişözellikleri
Işl sist gelişmişözellikleriIşl sist gelişmişözellikleri
Işl sist gelişmişözelliklerimsbasarici
 
Windows 7'de Applocker ve Denetim Donanımları
Windows 7'de Applocker ve Denetim DonanımlarıWindows 7'de Applocker ve Denetim Donanımları
Windows 7'de Applocker ve Denetim Donanımlarıwindowsblogu
 
Sysmon ile Log Toplama
Sysmon ile Log ToplamaSysmon ile Log Toplama
Sysmon ile Log ToplamaPRISMA CSI
 

Empfohlen

Log yönetimi ve siem
Log yönetimi ve siemLog yönetimi ve siem
Log yönetimi ve siemErtugrul Akbas
 
Log yonetimi tecrubeleri
Log yonetimi tecrubeleriLog yonetimi tecrubeleri
Log yonetimi tecrubeleriErtugrul Akbas
 
Infraskope Security Event Manager
Infraskope Security Event ManagerInfraskope Security Event Manager
Infraskope Security Event Managerlogyonetimi
 
Mart
MartMart
MartBttBLog
 
Bilgi Güvenliği ve Log Yönetimi Sistemlerinin Analizi
Bilgi Güvenliği ve Log Yönetimi Sistemlerinin AnaliziBilgi Güvenliği ve Log Yönetimi Sistemlerinin Analizi
Bilgi Güvenliği ve Log Yönetimi Sistemlerinin AnaliziErtugrul Akbas
 
Işl sist gelişmişözellikleri
Işl sist gelişmişözellikleriIşl sist gelişmişözellikleri
Işl sist gelişmişözelliklerimsbasarici
 
Windows 7'de Applocker ve Denetim Donanımları
Windows 7'de Applocker ve Denetim DonanımlarıWindows 7'de Applocker ve Denetim Donanımları
Windows 7'de Applocker ve Denetim Donanımlarıwindowsblogu
 
Sysmon ile Log Toplama
Sysmon ile Log ToplamaSysmon ile Log Toplama
Sysmon ile Log ToplamaPRISMA CSI
 
Bitdefender gravityzone yapılandırma_tekvizyon
Bitdefender gravityzone yapılandırma_tekvizyonBitdefender gravityzone yapılandırma_tekvizyon
Bitdefender gravityzone yapılandırma_tekvizyonTekvizyonTeknolojiHi
 
SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMI
SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMISINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMI
SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMIErtugrul Akbas
 
öLçekleme sunum
öLçekleme sunumöLçekleme sunum
öLçekleme sunumTahsin Yüksel
 
Tekvizyon bitdefender-gravityzone bulut-panel-yapılandırma
Tekvizyon bitdefender-gravityzone bulut-panel-yapılandırmaTekvizyon bitdefender-gravityzone bulut-panel-yapılandırma
Tekvizyon bitdefender-gravityzone bulut-panel-yapılandırmaTekvizyon Pc Teknoloji Hizmetleri
 
SIEM Başarıya Giden Yol
SIEM Başarıya Giden YolSIEM Başarıya Giden Yol
SIEM Başarıya Giden YolKurtuluş Karasu
 
ANET SURELOG INTERNATIONAL EDITION SIEM ÜRÜNÜNÜN KORELASYON İLE İLGİLİ ÜSTÜNL...
ANET SURELOG INTERNATIONAL EDITION SIEM ÜRÜNÜNÜN KORELASYON İLE İLGİLİ ÜSTÜNL...ANET SURELOG INTERNATIONAL EDITION SIEM ÜRÜNÜNÜN KORELASYON İLE İLGİLİ ÜSTÜNL...
ANET SURELOG INTERNATIONAL EDITION SIEM ÜRÜNÜNÜN KORELASYON İLE İLGİLİ ÜSTÜNL...Ertugrul Akbas
 
Log yönetimi ve 5651
Log yönetimi ve 5651Log yönetimi ve 5651
Log yönetimi ve 5651logyonetimi
 
Log yönetimi ve 5651
Log yönetimi ve 5651Log yönetimi ve 5651
Log yönetimi ve 5651Osman do?n
 
Yazilim mi̇mari̇leri̇(aoy)
Yazilim mi̇mari̇leri̇(aoy)Yazilim mi̇mari̇leri̇(aoy)
Yazilim mi̇mari̇leri̇(aoy)Ahmet Yanik
 
Log yonetimi
Log yonetimiLog yonetimi
Log yonetimiErtugrul Akbas
 
Log Yönetimi ve Saldırı Analizi Eğitimi -1
Log Yönetimi ve Saldırı Analizi Eğitimi -1Log Yönetimi ve Saldırı Analizi Eğitimi -1
Log Yönetimi ve Saldırı Analizi Eğitimi -1BGA Cyber Security
 
Hacklenmiş Web Sunucu Analizi
Hacklenmiş Web Sunucu AnaliziHacklenmiş Web Sunucu Analizi
Hacklenmiş Web Sunucu AnaliziBGA Cyber Security
 
Log yönetimi ve siem projelerindeki en önemli kriter EPS değerleri
Log yönetimi ve siem projelerindeki en önemli kriter EPS değerleriLog yönetimi ve siem projelerindeki en önemli kriter EPS değerleri
Log yönetimi ve siem projelerindeki en önemli kriter EPS değerleriErtugrul Akbas
 
KORELASYON GÖSTERMELİK DEĞİLDİR
KORELASYON GÖSTERMELİK DEĞİLDİRKORELASYON GÖSTERMELİK DEĞİLDİR
KORELASYON GÖSTERMELİK DEĞİLDİRErtugrul Akbas
 
Siber tehdit avcılığı 1
Siber tehdit avcılığı 1Siber tehdit avcılığı 1
Siber tehdit avcılığı 1Kurtuluş Karasu
 
Bilgi sis..
Bilgi sis..Bilgi sis..
Bilgi sis..Emrah Gürcan
 
Zararlı Yazılım Analizi Eğitimi Lab Kitabı
Zararlı Yazılım Analizi Eğitimi Lab KitabıZararlı Yazılım Analizi Eğitimi Lab Kitabı
Zararlı Yazılım Analizi Eğitimi Lab KitabıBGA Cyber Security
 
Windows İşletim Sistemi Yetki Yükseltme Çalışmaları
Windows İşletim Sistemi Yetki Yükseltme ÇalışmalarıWindows İşletim Sistemi Yetki Yükseltme Çalışmaları
Windows İşletim Sistemi Yetki Yükseltme ÇalışmalarıBGA Cyber Security
 
Windows Small Business Server 2008 Yedekleme Yönetimi ve Disaster Recovery Su...
Windows Small Business Server 2008 Yedekleme Yönetimi ve Disaster Recovery Su...Windows Small Business Server 2008 Yedekleme Yönetimi ve Disaster Recovery Su...
Windows Small Business Server 2008 Yedekleme Yönetimi ve Disaster Recovery Su...Mustafa
 
Windows Small Business Server 2008 Yedekleme Yönetimi ve Disaster Recovery Su...
Windows Small Business Server 2008 Yedekleme Yönetimi ve Disaster Recovery Su...Windows Small Business Server 2008 Yedekleme Yönetimi ve Disaster Recovery Su...
Windows Small Business Server 2008 Yedekleme Yönetimi ve Disaster Recovery Su...sbs2008
 

Weitere ähnliche Inhalte

Ähnlich wie Audit Policy

Bitdefender gravityzone yapılandırma_tekvizyon
Bitdefender gravityzone yapılandırma_tekvizyonBitdefender gravityzone yapılandırma_tekvizyon
Bitdefender gravityzone yapılandırma_tekvizyonTekvizyonTeknolojiHi
 
SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMI
SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMISINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMI
SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMIErtugrul Akbas
 
Tekvizyon bitdefender-gravityzone bulut-panel-yapılandırma
Tekvizyon bitdefender-gravityzone bulut-panel-yapılandırmaTekvizyon bitdefender-gravityzone bulut-panel-yapılandırma
Tekvizyon bitdefender-gravityzone bulut-panel-yapılandırmaTekvizyon Pc Teknoloji Hizmetleri
 
ANET SURELOG INTERNATIONAL EDITION SIEM ÜRÜNÜNÜN KORELASYON İLE İLGİLİ ÜSTÜNL...
ANET SURELOG INTERNATIONAL EDITION SIEM ÜRÜNÜNÜN KORELASYON İLE İLGİLİ ÜSTÜNL...ANET SURELOG INTERNATIONAL EDITION SIEM ÜRÜNÜNÜN KORELASYON İLE İLGİLİ ÜSTÜNL...
ANET SURELOG INTERNATIONAL EDITION SIEM ÜRÜNÜNÜN KORELASYON İLE İLGİLİ ÜSTÜNL...Ertugrul Akbas
 
Log yönetimi ve 5651
Log yönetimi ve 5651Log yönetimi ve 5651
Log yönetimi ve 5651logyonetimi
 
Log yönetimi ve 5651
Log yönetimi ve 5651Log yönetimi ve 5651
Log yönetimi ve 5651Osman do?n
 
Yazilim mi̇mari̇leri̇(aoy)
Yazilim mi̇mari̇leri̇(aoy)Yazilim mi̇mari̇leri̇(aoy)
Yazilim mi̇mari̇leri̇(aoy)Ahmet Yanik
 
Log Yönetimi ve Saldırı Analizi Eğitimi -1
Log Yönetimi ve Saldırı Analizi Eğitimi -1Log Yönetimi ve Saldırı Analizi Eğitimi -1
Log Yönetimi ve Saldırı Analizi Eğitimi -1BGA Cyber Security
 
Hacklenmiş Web Sunucu Analizi
Hacklenmiş Web Sunucu AnaliziHacklenmiş Web Sunucu Analizi
Hacklenmiş Web Sunucu AnaliziBGA Cyber Security
 
Log yönetimi ve siem projelerindeki en önemli kriter EPS değerleri
Log yönetimi ve siem projelerindeki en önemli kriter EPS değerleriLog yönetimi ve siem projelerindeki en önemli kriter EPS değerleri
Log yönetimi ve siem projelerindeki en önemli kriter EPS değerleriErtugrul Akbas
 
KORELASYON GÖSTERMELİK DEĞİLDİR
KORELASYON GÖSTERMELİK DEĞİLDİRKORELASYON GÖSTERMELİK DEĞİLDİR
KORELASYON GÖSTERMELİK DEĞİLDİRErtugrul Akbas
 
Siber tehdit avcılığı 1
Siber tehdit avcılığı 1Siber tehdit avcılığı 1
Siber tehdit avcılığı 1Kurtuluş Karasu
 
Zararlı Yazılım Analizi Eğitimi Lab Kitabı
Zararlı Yazılım Analizi Eğitimi Lab KitabıZararlı Yazılım Analizi Eğitimi Lab Kitabı
Zararlı Yazılım Analizi Eğitimi Lab KitabıBGA Cyber Security
 
Windows İşletim Sistemi Yetki Yükseltme Çalışmaları
Windows İşletim Sistemi Yetki Yükseltme ÇalışmalarıWindows İşletim Sistemi Yetki Yükseltme Çalışmaları
Windows İşletim Sistemi Yetki Yükseltme ÇalışmalarıBGA Cyber Security
 
Windows Small Business Server 2008 Yedekleme Yönetimi ve Disaster Recovery Su...
Windows Small Business Server 2008 Yedekleme Yönetimi ve Disaster Recovery Su...Windows Small Business Server 2008 Yedekleme Yönetimi ve Disaster Recovery Su...
Windows Small Business Server 2008 Yedekleme Yönetimi ve Disaster Recovery Su...Mustafa
 
Windows Small Business Server 2008 Yedekleme Yönetimi ve Disaster Recovery Su...
Windows Small Business Server 2008 Yedekleme Yönetimi ve Disaster Recovery Su...Windows Small Business Server 2008 Yedekleme Yönetimi ve Disaster Recovery Su...
Windows Small Business Server 2008 Yedekleme Yönetimi ve Disaster Recovery Su...sbs2008
 

Ähnlich wie Audit Policy (20)

Bitdefender gravityzone yapılandırma_tekvizyon
Bitdefender gravityzone yapılandırma_tekvizyonBitdefender gravityzone yapılandırma_tekvizyon
Bitdefender gravityzone yapılandırma_tekvizyon
 
SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMI
SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMISINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMI
SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMI
 
öLçekleme sunum
öLçekleme sunumöLçekleme sunum
öLçekleme sunum
 
Tekvizyon bitdefender-gravityzone bulut-panel-yapılandırma
Tekvizyon bitdefender-gravityzone bulut-panel-yapılandırmaTekvizyon bitdefender-gravityzone bulut-panel-yapılandırma
Tekvizyon bitdefender-gravityzone bulut-panel-yapılandırma
 
SIEM Başarıya Giden Yol
SIEM Başarıya Giden YolSIEM Başarıya Giden Yol
SIEM Başarıya Giden Yol
 
ANET SURELOG INTERNATIONAL EDITION SIEM ÜRÜNÜNÜN KORELASYON İLE İLGİLİ ÜSTÜNL...
ANET SURELOG INTERNATIONAL EDITION SIEM ÜRÜNÜNÜN KORELASYON İLE İLGİLİ ÜSTÜNL...ANET SURELOG INTERNATIONAL EDITION SIEM ÜRÜNÜNÜN KORELASYON İLE İLGİLİ ÜSTÜNL...
ANET SURELOG INTERNATIONAL EDITION SIEM ÜRÜNÜNÜN KORELASYON İLE İLGİLİ ÜSTÜNL...
 
Log yönetimi ve 5651
Log yönetimi ve 5651Log yönetimi ve 5651
Log yönetimi ve 5651
 
Log yönetimi ve 5651
Log yönetimi ve 5651Log yönetimi ve 5651
Log yönetimi ve 5651
 
Yazilim mi̇mari̇leri̇(aoy)
Yazilim mi̇mari̇leri̇(aoy)Yazilim mi̇mari̇leri̇(aoy)
Yazilim mi̇mari̇leri̇(aoy)
 
Log yonetimi
Log yonetimiLog yonetimi
Log yonetimi
 
Log Yönetimi ve Saldırı Analizi Eğitimi -1
Log Yönetimi ve Saldırı Analizi Eğitimi -1Log Yönetimi ve Saldırı Analizi Eğitimi -1
Log Yönetimi ve Saldırı Analizi Eğitimi -1
 
Hacklenmiş Web Sunucu Analizi
Hacklenmiş Web Sunucu AnaliziHacklenmiş Web Sunucu Analizi
Hacklenmiş Web Sunucu Analizi
 
Log yönetimi ve siem projelerindeki en önemli kriter EPS değerleri
Log yönetimi ve siem projelerindeki en önemli kriter EPS değerleriLog yönetimi ve siem projelerindeki en önemli kriter EPS değerleri
Log yönetimi ve siem projelerindeki en önemli kriter EPS değerleri
 
KORELASYON GÖSTERMELİK DEĞİLDİR
KORELASYON GÖSTERMELİK DEĞİLDİRKORELASYON GÖSTERMELİK DEĞİLDİR
KORELASYON GÖSTERMELİK DEĞİLDİR
 
Siber tehdit avcılığı 1
Siber tehdit avcılığı 1Siber tehdit avcılığı 1
Siber tehdit avcılığı 1
 
Bilgi sis..
Bilgi sis..Bilgi sis..
Bilgi sis..
 
Zararlı Yazılım Analizi Eğitimi Lab Kitabı
Zararlı Yazılım Analizi Eğitimi Lab KitabıZararlı Yazılım Analizi Eğitimi Lab Kitabı
Zararlı Yazılım Analizi Eğitimi Lab Kitabı
 
Windows İşletim Sistemi Yetki Yükseltme Çalışmaları
Windows İşletim Sistemi Yetki Yükseltme ÇalışmalarıWindows İşletim Sistemi Yetki Yükseltme Çalışmaları
Windows İşletim Sistemi Yetki Yükseltme Çalışmaları
 
Windows Small Business Server 2008 Yedekleme Yönetimi ve Disaster Recovery Su...
Windows Small Business Server 2008 Yedekleme Yönetimi ve Disaster Recovery Su...Windows Small Business Server 2008 Yedekleme Yönetimi ve Disaster Recovery Su...
Windows Small Business Server 2008 Yedekleme Yönetimi ve Disaster Recovery Su...
 
Windows Small Business Server 2008 Yedekleme Yönetimi ve Disaster Recovery Su...
Windows Small Business Server 2008 Yedekleme Yönetimi ve Disaster Recovery Su...Windows Small Business Server 2008 Yedekleme Yönetimi ve Disaster Recovery Su...
Windows Small Business Server 2008 Yedekleme Yönetimi ve Disaster Recovery Su...
 

Audit Policy

  • 1. Event Viewer-Security ve Audit Windows Server 2003, kullanıcı hesaplarından, uygulamalarından ve sistem işlemlerinden dolayı oluşan olayları(Events) bir Log dosyasına kaydeder. Windows Server 2003, bu olayları Event Viewer programından takip etmemizi sağlar. Event Viewer, Administrative Tools içinde bulunan bir seçenektir. Event Viewer içinde değişik olayları tutmak için birçok Log yer alır. Güvenlik konfigürasyonları ve denetim(Audit) kayıtları, Security Log’unda tutulur. Sistem düzeyinde oluşan bilgiler System Log’unda, uygulamalar tarafından oluşan bilgiler ise Application Log’unda tutulur. Tüm kullanıcılar, Application ve System Log’larına ulaşabilirler. Ancak Security Log’unu sadece Administrators grubunun üyeleri görüntüleyebilir. Windows Server 2003 Log’ları System Log:Windows Server 2003 sistem bileşenleri tarafından sebep olunan hatalar, bu Log’a kaydedilir. Örneğin, bir Network kartının tanınmaması, bir Servisin çalışmaması gibi temel hatalar bu Log’a kaydedilir. Application Log:Uygulamalar tarafından neden olunan hatalar bu logda tutulur. Örneğin, bir programın bir dosyaya yazamaması durumunda oluşan hata bu loga yazılır. Security Log:Sistem kaynaklarının kullanımından oluşan hatalar bu loga yazılır. Event Viewer; Windows içinde sisrem ve uygulamalarla ilgili Log’ları tutan vir programdır. Application, Security, System ve Directory servisi ile ilgili Log’ları ayrı olarak tutar.
  • 2. Windows Server 2003, Security Log’unda aşağıdaki olaylarla ilgili aktivitelerin Log’larının tutulmasınıa olanak sağlar: • Sistemin başlatılması. • Sistemin kapatılması. • Sisteme yapılan başarılı ya da başarısız giriş(log on) işlemleri. • Bilinmeyen kullanıcıların adları ve parolaları. • Account yönetimi ile ilgili işlemler. • Password süresinin aşılması. • Bir dosyanın açılması. • İzin düzenlemeleri. • Domain düzenlemeleri. • Kullanıcı bilgilerinin düzenlenmesi. • Grup üyeliklerinin düzenlenmesi. System ve Application Event Tipleri İnformation:Başarılı olaran yüklenmiş uygulama, sürücü veya servis hakkında bilgi verir. Warning:Şu an sorun yok! Ancak ileride sorun yaratabilecek olaylar hakkında bilgi verir. Error:Uygulama, sürücü veya servisin açılış sırasında bir problemle karşılaştığını bildiren Loglardır.
  • 3. Security Event Tipleri Success:Başarılı bir şekilde istenilen işlem gerçekleştirilmiş. Failure:Başarısız olarak gerçekleşmiş. Log Dosyasının Boyutlarını Ayarlamak 1)Event Viewer açılır.
  • 4. 2)Boyutları ayarlanacak tip üzerinde sağ tuşa basılarak Properties seçeneğine tıklanır. 3)Log size kısmından dosyanın maksimum boyutu belirlenir. Eğer bu sınır doldu ise ne yapılacağı aşağıdaki When maximum log size is reached seçeneklerinden belirlenir. Overwrite events as needed:Log dosyası dolarsa o zaman üstüne yaz. Overwrite events older than:Log dosyası dolarsa 7 günden eski Log’ların üzerine yaz. İstenirse bu süre değiştirilebilir.
  • 5. Do not overwrite events:Kesinlikle Log’ların üzerine yazma. Eğer bu seçilirse manuel olarak silmediğimiz sürece eklenen Log’lar hiçbir zaman kaybolmaz. Logların Filtrelenmesi Çok fazla Log dosyası olunca bu Logları analiz etmek zorlaşır. Bunun için de filtreleme uygulanması gerekir. 1)Event Viewer açılır. 2)Filtreleme yapılacak tip üzerinde sağ tuşa basılarak Properties seçeneğine gelinir. 3)Filter tab sekmesine geçilir. Events types kısmından sadece hangi event tipleri görülmek isteniyor ise o tiplerin başındaki kutucukların doldurulması gerekir. Orta kısımda bulunan Event source, Category, Event ID, User ve Computer bölümünde filtrelemede kullanılmak istenen kriterler girilir.
  • 6. En alttaki From kısmından bu Logların başlangıç tarihi ve To kısmından ise bitiş tarihi seçilerek belli aralıktaki Log’ların görülmesi sağlanır. 4)Ok butonuna bastığınız zaman listede sadece belirlediğiniz kriterlere uyan Loglar listelenir. 5)Tekrar tüm Log’ları görmek için Restore Defaults butonuna basmak yeterlidir. Log’ların Kaydedilmesi ve Silinmesi
  • 7. 1)Kaydedilecek tip üzerinde sağ tuşa basılarak Save Log File As seçeneğine tıklanır. 2)Bir tip içindeki Log’ları silmek için tip üzerinde sağ tuşa basılarak Clear All Events seçeneğine tıklanır. 3)Daha önce kaydedilmiş bir Log bilgisini çağırmak için Open Log File seçeneğinden yararlanılır. Security Policy Policy’lerin amacı; sistemde sizin belirlediğiniz olaylarda izleme yapmak ve kısıtlamalar koymaktır. Security Policies uygulamanın iki yolu vardır. • Local Security Policy:Sadece uygulanan bilgisayara etki eder. • Group Policy:Domain içindeki birden fazla bilgisayara etki eder. Local Security Policy
  • 8. 1)Administrative Tools içinden Local Security Policy seçilir. Veya a) Start/Run kısmına mmc yazılır.
  • 9. b) Gelen ekranda File menüsünden Add/Remove Snap-in seçilir.
  • 10. c) Add butonuna basılarak gelen listeden Group Policy Object Editor seçilip Add butonuna basılır. Sonra Finish, Close ve Ok butonuna basılır.
  • 11. d) Son görüntü aşağıdaki gibi olur. Bu görüntüyü File menüsünden Save ile kaydederek devamlı oluşturmaktan kurtulabilirsiniz. 2) Policy Açıklama Account policies Şifre ve kullanıcı kısıtlamaları. Local policies Auditing, kullanıcı hakları ve güvenlik seçenekleri. Public key policies Sertifikalarla ilgili ayarlar yapılır.
  • 12. IPSec Network üzerindeki IP Security ayarları yapılır. Evetn log Application, System ve Security Log’larının ayarları yapılır. Restricted groups Security grupları için üye belirlenir. System services Bilgisayar üzerinde çalışan servislerin güvenlik ve başlangıç ayarları yapılır. Registry Registry üzerindeki güvenlik ayarları yapılır. File system Özel dosya yolları üzerindeki güvenlik ayarları yapılır. Örnek1: Örneğimizde Users grubuna dahil kullanıcıların bilgisayara Log On olmasını engelleyelim. Her yeni oluşturacağınız kullanıcının Users grubuna otomatik olarak üye olduğunu unutmayınız. 1)“Gargamel” isimli bir kullanıcı oluşturalım. 2)Bu kullanıcı ile bilgisayara log on olalım. Hiçbir problem olmadan bu kullanıcı ile başarılı log on olduğumuzu görüyoruz. 3)Tekrar Administrator ile sisteme log on olalım. 4)Local Security Settings’i açalım ve Local Policies seçeneği altında bulunan User Rigts Assignment seçeneğini seçelim. 5)Ekranın sağ kısmında bulunan Log On Locally seçeneğine iki kez tıklayalım.
  • 13. 6)Gelen ekranda, bilgisayara lokal olarak log on olabilecek grup ve kullanıcıların Default listesi vardır. Biz Users grubu üyelerinin log on olmasını istemediğimiz için bu grubu seçerek Remove butonuna basıyoruz ve OK butonu ile onaylayarak çıkıyoruz. 7)“Gargamel” isimli kullanıcı ile log on olmayı deneyelim. Bunun gerçekleşmediğini göreceğiz. 8)Tekrar Administrator kullanıcısı ile log on olarak Local Security Policy seçeneğini açıp silmiş olduğumuz Users grbunu Add User or Group butonunu kullanarak ekleyiniz ve OK butonu ile onaylayınız. Örnek2: Bu örneğimizde farklı bir senaryo uygulayalım. Kullanıcı log on olurken sisteme son log on kullanıcının adı, username kısmında yazmasın. Kullanıcı log on olduktan sonra “Hoş geldin” mesajı ile karşılaşsın. Şifre değiştirirken en az 5 karakterlik bir şifre kullanmak zorunda kalsın. 1)Local Security Policy açılır.
  • 14. 2)Son log on olan kullanıcının adının görünmemesi için Local Policies/Security Options seçeneğinden Interactive logon:Do not display last user name seçeneği üzerine iki kez tıklayarak gelen ekrandan Enable seçeneğini seçelim.
  • 15.
  • 16.
  • 17. 3)Mesaj çıkması için aynı yerden Interactive Logon:Message text for users attempting to log on kısmına iki kez tıklanarak gelen ekrana istenilen mesaj yazılır. 4)5 karakterlik şifre zorunluluğu için Account Policies/Password Policy kısmının Minimum password length seçeneğine tıklanarak şifrede kullanılacak karakter sayısı girilir.
  • 18.
  • 19. 5)Sisteme bir kullanıcı ile log on olarak yapılan değişiklikleri gözlemleyelim. Auditing Auditing’in amaçları:User hareketlerini ve işletim sistemi aktivitelerini izlemektir. Bu izleme success(başarılı) ve failure(başarısız) olmak üzere iki şekilde yapılacağı gibi aynı anda her ikisi de izlenebilir. Auditing seçenekleri: Event Açıklama Account Logon Bir kullanıcının Domain’e logon olduğu zamanki bilgilerini tutar. Account Management Kullanıcı ve grup oluşturma, değiştirme, silme bilgileri ile şifre değişikliği bilgilerini tutar. Directory Service Access Active Directory objelerini açan kullanıcının bilgilerini tutar. Active Directory objeleri de bu iş için yapılandırılmalıdır. Logon succes failer Lokal bilgisayara logon-logoff olan kullanıcı bilgileri ile Network bağlantısı yapan ve iptal eden kullanıcı bilgilerini tutar. Object Access delete folder file Kullanıcıların işlem yaptıkları dosya, klasör ve yazıcı bilgilerini tutar. write data Yöneticinin mutlaka bu objeler üzerine ayarlama yapması gerekir. Policy Changes Policy’de yapılan değişikliklerin izlenmesini sağlar. Privlege Use Kullanıcının sistemde yaptığı olayları tutar. Örneğin sistem saatini değiştirme ve take ownership gibi sahiplik alma. Process Tracking Kullanıcıların çalıştırdıkları program bilgilerini tutar. System Kullanıcıların bilgisayarı Restart ve Shutdown etme bilgilerini tutar. Audit nasıl uygulanır?
  • 20. 1)Administrative Tools/Local Security Settings/Local Policies kısmından Audit Policy seçilir.
  • 21. 2)İstenilen Policy üzerine çift tıklanarak Success ve/veya Failure kutucukları doldurulur. 3)Audit Policy yapılandırmak için Administrators grubunun üyesi olmanız gerekir. 4)Ntfs sistemlerde Audit yapabilirsiniz. 5)Tüm bu işlemlerin sonuçları Event Viewer içindeki Security kısmında görüntülenir. Örnek: 1)“Casus” isimli bir klasör oluşturup içine “matahari.txt” dosyasını koyalım. 2)“Holmes” isimli bir kullanıcı oluşturunuz. 3)Local Security Settings/Local Policies kısmından Audit kısmına geçip aşağıdaki işlemleri yapınız. a) Account management Failure
  • 22. b) Logon events Success, Failure c) Object Access Success, Failure 4)“Casus” klasöründe sağ tuşa basarak, Properties seçeneğine tıklayalım. Security tab sekmesine geçelim ve Advanced butonuna tıklayalım. Gelen dialog kutusunda Auditing tab sekmesine geçelim ve burada Add butonuna basarak “Holmes” isimli kullanıcıyı ekleyelim. Gelen listede tüm kutuları dolduralım ve Ok
  • 23. butonlarını kullanarak işlemleri onaylayıp çıkalım. 5)“Holmes” isimli kullanıcı ile ilk önce yanlış log on olmaya çalışalım. Örneğin yanlış şifre girelim ve daha sonra doğru şifre ile log on olalım. 6)Kullanıcı oluşturmaya çalışınız. 7)“Casus” klasörünü açıp, içinde birkaç klasör oluşturunuz. “matahari.txt” dosyası içinde değişiklik yapınız. Sonra bu dosyayı ve oluşturduğunuz klasörü siliniz. 8)Administratör isimli kullanıcı ile log on olarak Event Viewer’ın Security kısmından sonuçları izleyebilirsiniz. 9)Security Log’lar aşağıdaki format ile Export edilebilir. Böylelikle uzun Log bilgilerini kaydederek, sonradan inceleme fırsatı bulabilirsiniz. • Event log files(.evt)(default)
  • 24. Comma delimited(.csv) • Text file(.txt) Kaydetme işlemini Security klasörü üzerinde sağ tuşa basılaran Save Log File As seçeneğine tıklanır.