Windows Small Business Server 2008 Yedekleme Yönetimi ve Disaster Recovery Su...
Audit Policy
1. Event Viewer-Security ve Audit
Windows Server 2003, kullanıcı hesaplarından, uygulamalarından ve sistem işlemlerinden dolayı oluşan
olayları(Events) bir Log dosyasına kaydeder.
Windows Server 2003, bu olayları Event Viewer programından takip etmemizi sağlar. Event Viewer,
Administrative Tools içinde bulunan bir seçenektir.
Event Viewer içinde değişik olayları tutmak için birçok Log yer alır. Güvenlik konfigürasyonları ve
denetim(Audit) kayıtları, Security Log’unda tutulur. Sistem düzeyinde oluşan bilgiler System Log’unda,
uygulamalar tarafından oluşan bilgiler ise Application Log’unda tutulur.
Tüm kullanıcılar, Application ve System Log’larına ulaşabilirler. Ancak Security Log’unu sadece
Administrators grubunun üyeleri görüntüleyebilir.
Windows Server 2003 Log’ları
System Log:Windows Server 2003 sistem bileşenleri tarafından sebep olunan hatalar, bu Log’a
kaydedilir. Örneğin, bir Network kartının tanınmaması, bir Servisin çalışmaması gibi temel hatalar bu
Log’a kaydedilir.
Application Log:Uygulamalar tarafından neden olunan hatalar bu logda tutulur. Örneğin, bir programın
bir dosyaya yazamaması durumunda oluşan hata bu loga yazılır.
Security Log:Sistem kaynaklarının kullanımından oluşan hatalar bu loga yazılır.
Event Viewer; Windows içinde sisrem ve uygulamalarla ilgili Log’ları tutan vir programdır. Application,
Security, System ve Directory servisi ile ilgili Log’ları ayrı olarak tutar.
2. Windows Server 2003, Security Log’unda aşağıdaki olaylarla ilgili aktivitelerin Log’larının tutulmasınıa
olanak sağlar:
• Sistemin başlatılması.
• Sistemin kapatılması.
• Sisteme yapılan başarılı ya da başarısız giriş(log on) işlemleri.
• Bilinmeyen kullanıcıların adları ve parolaları.
• Account yönetimi ile ilgili işlemler.
• Password süresinin aşılması.
• Bir dosyanın açılması.
• İzin düzenlemeleri.
• Domain düzenlemeleri.
• Kullanıcı bilgilerinin düzenlenmesi.
• Grup üyeliklerinin düzenlenmesi.
System ve Application Event Tipleri
İnformation:Başarılı olaran yüklenmiş uygulama, sürücü veya servis hakkında bilgi verir.
Warning:Şu an sorun yok! Ancak ileride sorun yaratabilecek olaylar hakkında bilgi verir.
Error:Uygulama, sürücü veya servisin açılış sırasında bir problemle karşılaştığını bildiren Loglardır.
3. Security Event Tipleri
Success:Başarılı bir şekilde istenilen işlem gerçekleştirilmiş.
Failure:Başarısız olarak gerçekleşmiş.
Log Dosyasının Boyutlarını Ayarlamak
1)Event Viewer açılır.
4. 2)Boyutları ayarlanacak tip üzerinde sağ tuşa basılarak Properties seçeneğine tıklanır.
3)Log size kısmından dosyanın maksimum boyutu belirlenir. Eğer bu sınır doldu ise ne yapılacağı
aşağıdaki When maximum log size is reached seçeneklerinden belirlenir.
Overwrite events as needed:Log dosyası dolarsa o zaman üstüne yaz.
Overwrite events older than:Log dosyası dolarsa 7 günden eski Log’ların üzerine yaz. İstenirse bu süre
değiştirilebilir.
5. Do not overwrite events:Kesinlikle Log’ların üzerine yazma. Eğer bu seçilirse manuel olarak silmediğimiz
sürece eklenen Log’lar hiçbir zaman kaybolmaz.
Logların Filtrelenmesi
Çok fazla Log dosyası olunca bu Logları analiz etmek zorlaşır. Bunun için de filtreleme uygulanması
gerekir.
1)Event Viewer açılır.
2)Filtreleme yapılacak tip üzerinde sağ tuşa basılarak Properties seçeneğine gelinir.
3)Filter tab sekmesine geçilir. Events types kısmından sadece hangi event tipleri görülmek isteniyor ise o
tiplerin başındaki kutucukların doldurulması gerekir.
Orta kısımda bulunan Event source, Category, Event ID, User ve Computer bölümünde filtrelemede
kullanılmak istenen kriterler girilir.
6. En alttaki From kısmından bu Logların başlangıç tarihi ve To kısmından ise bitiş tarihi seçilerek belli
aralıktaki Log’ların görülmesi sağlanır.
4)Ok butonuna bastığınız zaman listede sadece belirlediğiniz kriterlere uyan Loglar listelenir.
5)Tekrar tüm Log’ları görmek için Restore Defaults butonuna basmak yeterlidir.
Log’ların Kaydedilmesi ve Silinmesi
7. 1)Kaydedilecek tip üzerinde sağ tuşa basılarak Save Log File As seçeneğine tıklanır.
2)Bir tip içindeki Log’ları silmek için tip üzerinde sağ tuşa basılarak Clear All Events seçeneğine tıklanır.
3)Daha önce kaydedilmiş bir Log bilgisini çağırmak için Open Log File seçeneğinden yararlanılır.
Security Policy
Policy’lerin amacı; sistemde sizin belirlediğiniz olaylarda izleme yapmak ve kısıtlamalar koymaktır.
Security Policies uygulamanın iki yolu vardır.
• Local Security Policy:Sadece uygulanan bilgisayara etki eder.
• Group Policy:Domain içindeki birden fazla bilgisayara etki eder.
Local Security Policy
10. c) Add butonuna basılarak gelen listeden Group Policy Object Editor seçilip Add butonuna basılır.
Sonra Finish, Close ve Ok butonuna basılır.
11. d) Son görüntü aşağıdaki gibi olur. Bu görüntüyü File menüsünden Save ile kaydederek devamlı
oluşturmaktan kurtulabilirsiniz.
2)
Policy Açıklama
Account policies Şifre ve kullanıcı kısıtlamaları.
Local policies Auditing, kullanıcı hakları ve güvenlik seçenekleri.
Public key policies Sertifikalarla ilgili ayarlar yapılır.
12. IPSec Network üzerindeki IP Security ayarları yapılır.
Evetn log Application, System ve Security Log’larının ayarları
yapılır.
Restricted groups Security grupları için üye belirlenir.
System services Bilgisayar üzerinde çalışan servislerin güvenlik ve
başlangıç ayarları yapılır.
Registry Registry üzerindeki güvenlik ayarları yapılır.
File system Özel dosya yolları üzerindeki güvenlik ayarları
yapılır.
Örnek1:
Örneğimizde Users grubuna dahil kullanıcıların bilgisayara Log On olmasını engelleyelim. Her yeni
oluşturacağınız kullanıcının Users grubuna otomatik olarak üye olduğunu unutmayınız.
1)“Gargamel” isimli bir kullanıcı oluşturalım.
2)Bu kullanıcı ile bilgisayara log on olalım. Hiçbir problem olmadan bu kullanıcı ile başarılı log on
olduğumuzu görüyoruz.
3)Tekrar Administrator ile sisteme log on olalım.
4)Local Security Settings’i açalım ve Local Policies seçeneği altında bulunan User Rigts Assignment
seçeneğini seçelim.
5)Ekranın sağ kısmında bulunan Log On Locally seçeneğine iki kez tıklayalım.
13. 6)Gelen ekranda, bilgisayara lokal olarak log on olabilecek grup ve kullanıcıların Default listesi vardır. Biz
Users grubu üyelerinin log on olmasını istemediğimiz için bu grubu seçerek Remove butonuna basıyoruz
ve OK butonu ile onaylayarak çıkıyoruz.
7)“Gargamel” isimli kullanıcı ile log on olmayı deneyelim. Bunun gerçekleşmediğini göreceğiz.
8)Tekrar Administrator kullanıcısı ile log on olarak Local Security Policy seçeneğini açıp silmiş olduğumuz
Users grbunu Add User or Group butonunu kullanarak ekleyiniz ve OK butonu ile onaylayınız.
Örnek2:
Bu örneğimizde farklı bir senaryo uygulayalım. Kullanıcı log on olurken sisteme son log on kullanıcının
adı, username kısmında yazmasın. Kullanıcı log on olduktan sonra “Hoş geldin” mesajı ile karşılaşsın.
Şifre değiştirirken en az 5 karakterlik bir şifre kullanmak zorunda kalsın.
1)Local Security Policy açılır.
14. 2)Son log on olan kullanıcının adının görünmemesi için Local Policies/Security Options seçeneğinden
Interactive logon:Do not display last user name seçeneği üzerine iki kez tıklayarak gelen ekrandan Enable
seçeneğini seçelim.
15.
16.
17. 3)Mesaj çıkması için aynı yerden Interactive Logon:Message text for users attempting to log on kısmına
iki kez tıklanarak gelen ekrana istenilen mesaj yazılır.
4)5 karakterlik şifre zorunluluğu için Account Policies/Password Policy kısmının Minimum password
length seçeneğine tıklanarak şifrede kullanılacak karakter sayısı girilir.
18.
19. 5)Sisteme bir kullanıcı ile log on olarak yapılan değişiklikleri gözlemleyelim.
Auditing
Auditing’in amaçları:User hareketlerini ve işletim sistemi aktivitelerini izlemektir. Bu izleme
success(başarılı) ve failure(başarısız) olmak üzere iki şekilde yapılacağı gibi aynı anda her ikisi de
izlenebilir.
Auditing seçenekleri:
Event Açıklama
Account Logon Bir kullanıcının Domain’e logon olduğu zamanki bilgilerini tutar.
Account Management Kullanıcı ve grup oluşturma, değiştirme, silme bilgileri ile şifre
değişikliği bilgilerini tutar.
Directory Service Access Active Directory objelerini açan kullanıcının bilgilerini tutar. Active
Directory objeleri de bu iş için yapılandırılmalıdır.
Logon succes failer Lokal bilgisayara logon-logoff olan kullanıcı bilgileri ile Network
bağlantısı yapan ve iptal eden kullanıcı bilgilerini tutar.
Object Access delete folder file Kullanıcıların işlem yaptıkları dosya, klasör ve yazıcı bilgilerini tutar.
write data Yöneticinin mutlaka bu objeler üzerine ayarlama yapması gerekir.
Policy Changes Policy’de yapılan değişikliklerin izlenmesini sağlar.
Privlege Use Kullanıcının sistemde yaptığı olayları tutar. Örneğin sistem saatini
değiştirme ve take ownership gibi sahiplik alma.
Process Tracking Kullanıcıların çalıştırdıkları program bilgilerini tutar.
System Kullanıcıların bilgisayarı Restart ve Shutdown etme bilgilerini tutar.
Audit nasıl uygulanır?
21. 2)İstenilen Policy üzerine çift tıklanarak Success ve/veya Failure kutucukları doldurulur.
3)Audit Policy yapılandırmak için Administrators grubunun üyesi olmanız gerekir.
4)Ntfs sistemlerde Audit yapabilirsiniz.
5)Tüm bu işlemlerin sonuçları Event Viewer içindeki Security kısmında görüntülenir.
Örnek:
1)“Casus” isimli bir klasör oluşturup içine “matahari.txt” dosyasını koyalım.
2)“Holmes” isimli bir kullanıcı oluşturunuz.
3)Local Security Settings/Local Policies kısmından Audit kısmına geçip aşağıdaki işlemleri yapınız.
a) Account management Failure
22. b) Logon events Success, Failure
c) Object Access Success, Failure
4)“Casus” klasöründe sağ tuşa basarak, Properties seçeneğine tıklayalım. Security tab sekmesine geçelim
ve Advanced butonuna tıklayalım. Gelen dialog kutusunda Auditing tab sekmesine geçelim ve burada
Add butonuna basarak “Holmes” isimli kullanıcıyı ekleyelim. Gelen listede tüm kutuları dolduralım ve Ok
23. butonlarını kullanarak işlemleri onaylayıp çıkalım.
5)“Holmes” isimli kullanıcı ile ilk önce yanlış log on olmaya çalışalım. Örneğin yanlış şifre girelim ve daha
sonra doğru şifre ile log on olalım.
6)Kullanıcı oluşturmaya çalışınız.
7)“Casus” klasörünü açıp, içinde birkaç klasör oluşturunuz. “matahari.txt” dosyası içinde değişiklik
yapınız. Sonra bu dosyayı ve oluşturduğunuz klasörü siliniz.
8)Administratör isimli kullanıcı ile log on olarak Event Viewer’ın Security kısmından sonuçları
izleyebilirsiniz.
9)Security Log’lar aşağıdaki format ile Export edilebilir. Böylelikle uzun Log bilgilerini kaydederek,
sonradan inceleme fırsatı bulabilirsiniz.
• Event log files(.evt)(default)
24. • Comma delimited(.csv)
• Text file(.txt)
Kaydetme işlemini Security klasörü üzerinde sağ tuşa basılaran Save Log File As seçeneğine tıklanır.