Upload File

audit policy

24
Event Viewer-Security ve Audit Windows Server 2003, kullanıcı hesaplarından, uygulamalarından ve sistem işlemlerinden dolayı oluşan olayları(Events) bir Log dosyasına kaydeder. Windows Server 2003, bu olayları Event Viewer programından takip etmemizi sağlar. Event Viewer, Administrative Tools içinde bulunan bir seçenektir. Event Viewer içinde değişik olayları tutmak için birçok Log yer alır. Güvenlik konfigürasyonları ve denetim(Audit) kayıtları, Security Log’unda tutulur. Sistem düzeyinde oluşan bilgiler System Log’unda, uygulamalar tarafından oluşan bilgiler ise Application Log’unda tutulur. Tüm kullanıcılar, Application ve System Log’larına ulaşabilirler. Ancak Security Log’unu sadece Administrators grubunun üyeleri görüntüleyebilir. Windows Server 2003 Log’ları System Log:Windows Server 2003 sistem bileşenleri tarafından sebep olunan hatalar, bu Log’a kaydedilir. Örneğin, bir Network kartının tanınmaması, bir Servisin çalışmaması gibi temel hatalar bu Log’a kaydedilir.

Upload: logyonetimi

Post on 20-Jun-2015

1.086 views

Category:

Documents


1 download

Report

Tags:

TRANSCRIPT

Page 1: Audit Policy

Event Viewer-Security ve Audit

Windows Server 2003, kullanıcı hesaplarından, uygulamalarından ve sistem işlemlerinden dolayı oluşan olayları(Events) bir Log dosyasına kaydeder.

Windows Server 2003, bu olayları Event Viewer programından takip etmemizi sağlar. Event Viewer, Administrative Tools içinde bulunan bir seçenektir.

Event Viewer içinde değişik olayları tutmak için birçok Log yer alır. Güvenlik konfigürasyonları ve denetim(Audit) kayıtları, Security Log’unda tutulur. Sistem düzeyinde oluşan bilgiler System Log’unda, uygulamalar tarafından oluşan bilgiler ise Application Log’unda tutulur.

Tüm kullanıcılar, Application ve System Log’larına ulaşabilirler. Ancak Security Log’unu sadece Administrators grubunun üyeleri görüntüleyebilir.

Windows Server 2003 Log’ları

System Log:Windows Server 2003 sistem bileşenleri tarafından sebep olunan hatalar, bu Log’a kaydedilir. Örneğin, bir Network kartının tanınmaması, bir Servisin çalışmaması gibi temel hatalar bu Log’a kaydedilir.

Application Log:Uygulamalar tarafından neden olunan hatalar bu logda tutulur. Örneğin, bir programın bir dosyaya yazamaması durumunda oluşan hata bu loga yazılır.

Security Log:Sistem kaynaklarının kullanımından oluşan hatalar bu loga yazılır.

Event Viewer; Windows içinde sisrem ve uygulamalarla ilgili Log’ları tutan vir programdır. Application, Security, System ve Directory servisi ile ilgili Log’ları ayrı olarak tutar.

Page 2: Audit Policy

Windows Server 2003, Security Log’unda aşağıdaki olaylarla ilgili aktivitelerin Log’larının tutulmasınıa olanak sağlar:

Sistemin başlatılması. Sistemin kapatılması. Sisteme yapılan başarılı ya da başarısız giriş(log on) işlemleri. Bilinmeyen kullanıcıların adları ve parolaları. Account yönetimi ile ilgili işlemler. Password süresinin aşılması. Bir dosyanın açılması. İzin düzenlemeleri. Domain düzenlemeleri. Kullanıcı bilgilerinin düzenlenmesi. Grup üyeliklerinin düzenlenmesi.

System ve Application Event Tipleri

İnformation:Başarılı olaran yüklenmiş uygulama, sürücü veya servis hakkında bilgi verir.

Warning:Şu an sorun yok! Ancak ileride sorun yaratabilecek olaylar hakkında bilgi verir.

Error:Uygulama, sürücü veya servisin açılış sırasında bir problemle karşılaştığını bildiren Loglardır.

Security Event Tipleri

Success:Başarılı bir şekilde istenilen işlem gerçekleştirilmiş.

Failure:Başarısız olarak gerçekleşmiş.

Page 3: Audit Policy

Log Dosyasının Boyutlarını Ayarlamak

1)Event Viewer açılır.

2)Boyutları ayarlanacak tip üzerinde sağ tuşa basılarak Properties seçeneğine tıklanır.

3)Log size kısmından dosyanın maksimum boyutu belirlenir. Eğer bu sınır doldu ise ne yapılacağı aşağıdaki When maximum log size is reached seçeneklerinden belirlenir.

Overwrite events as needed:Log dosyası dolarsa o zaman üstüne yaz.

Overwrite events older than:Log dosyası dolarsa 7 günden eski Log’ların üzerine yaz. İstenirse bu süre değiştirilebilir.

Page 4: Audit Policy

Do not overwrite events:Kesinlikle Log’ların üzerine yazma. Eğer bu seçilirse manuel olarak silmediğimiz sürece eklenen Log’lar hiçbir zaman kaybolmaz.

Logların Filtrelenmesi

Çok fazla Log dosyası olunca bu Logları analiz etmek zorlaşır. Bunun için de filtreleme uygulanması gerekir.

1)Event Viewer açılır.

2)Filtreleme yapılacak tip üzerinde sağ tuşa basılarak Properties seçeneğine gelinir.

3)Filter tab sekmesine geçilir. Events types kısmından sadece hangi event tipleri görülmek isteniyor ise o tiplerin başındaki kutucukların doldurulması gerekir.

Orta kısımda bulunan Event source, Category, Event ID, User ve Computer bölümünde filtrelemede kullanılmak istenen kriterler girilir.

En alttaki From kısmından bu Logların başlangıç tarihi ve To kısmından ise bitiş tarihi seçilerek belli aralıktaki Log’ların görülmesi sağlanır.

Page 5: Audit Policy

4)Ok butonuna bastığınız zaman listede sadece belirlediğiniz kriterlere uyan Loglar listelenir.

5)Tekrar tüm Log’ları görmek için Restore Defaults butonuna basmak yeterlidir.

Log’ların Kaydedilmesi ve Silinmesi

Page 6: Audit Policy

1)Kaydedilecek tip üzerinde sağ tuşa basılarak Save Log File As seçeneğine tıklanır.

2)Bir tip içindeki Log’ları silmek için tip üzerinde sağ tuşa basılarak Clear All Events seçeneğine tıklanır.

3)Daha önce kaydedilmiş bir Log bilgisini çağırmak için Open Log File seçeneğinden yararlanılır.

Security Policy

Policy’lerin amacı; sistemde sizin belirlediğiniz olaylarda izleme yapmak ve kısıtlamalar koymaktır.

Security Policies uygulamanın iki yolu vardır.

Local Security Policy:Sadece uygulanan bilgisayara etki eder. Group Policy:Domain içindeki birden fazla bilgisayara etki eder.

Local Security Policy

Page 7: Audit Policy

1)Administrative Tools içinden Local Security Policy seçilir.

Veya

a) Start/Run kısmına mmc yazılır.

Page 8: Audit Policy

b) Gelen ekranda File menüsünden Add/Remove Snap-in seçilir.

c) Add butonuna basılarak gelen listeden Group Policy Object Editor seçilip Add butonuna basılır. Sonra Finish, Close ve Ok butonuna basılır.

Page 9: Audit Policy

d) Son görüntü aşağıdaki gibi olur. Bu görüntüyü File menüsünden Save ile kaydederek devamlı oluşturmaktan kurtulabilirsiniz.

2)

Policy AçıklamaAccount policies Şifre ve kullanıcı kısıtlamaları.Local policies Auditing, kullanıcı hakları ve güvenlik seçenekleri.Public key policies Sertifikalarla ilgili ayarlar yapılır.IPSec Network üzerindeki IP Security ayarları yapılır.Evetn log Application, System ve Security Log’larının ayarları

yapılır.

Page 10: Audit Policy

Restricted groups Security grupları için üye belirlenir.System services Bilgisayar üzerinde çalışan servislerin güvenlik ve

başlangıç ayarları yapılır.Registry Registry üzerindeki güvenlik ayarları yapılır.File system Özel dosya yolları üzerindeki güvenlik ayarları

yapılır.

Örnek1:

Örneğimizde Users grubuna dahil kullanıcıların bilgisayara Log On olmasını engelleyelim. Her yeni oluşturacağınız kullanıcının Users grubuna otomatik olarak üye olduğunu unutmayınız.

1)“Gargamel” isimli bir kullanıcı oluşturalım.

2)Bu kullanıcı ile bilgisayara log on olalım. Hiçbir problem olmadan bu kullanıcı ile başarılı log on olduğumuzu görüyoruz.

3)Tekrar Administrator ile sisteme log on olalım.

4)Local Security Settings’i açalım ve Local Policies seçeneği altında bulunan User Rigts Assignment seçeneğini seçelim.

5)Ekranın sağ kısmında bulunan Log On Locally seçeneğine iki kez tıklayalım.

6)Gelen ekranda, bilgisayara lokal olarak log on olabilecek grup ve kullanıcıların Default listesi vardır. Biz Users grubu üyelerinin log on olmasını istemediğimiz için bu grubu seçerek Remove butonuna basıyoruz

Page 11: Audit Policy

ve OK butonu ile onaylayarak çıkıyoruz.

7)“Gargamel” isimli kullanıcı ile log on olmayı deneyelim. Bunun gerçekleşmediğini göreceğiz.

8)Tekrar Administrator kullanıcısı ile log on olarak Local Security Policy seçeneğini açıp silmiş olduğumuz Users grbunu Add User or Group butonunu kullanarak ekleyiniz ve OK butonu ile onaylayınız.

Örnek2:

Bu örneğimizde farklı bir senaryo uygulayalım. Kullanıcı log on olurken sisteme son log on kullanıcının adı, username kısmında yazmasın. Kullanıcı log on olduktan sonra “Hoş geldin” mesajı ile karşılaşsın. Şifre değiştirirken en az 5 karakterlik bir şifre kullanmak zorunda kalsın.

1)Local Security Policy açılır.

2)Son log on olan kullanıcının adının görünmemesi için Local Policies/Security Options seçeneğinden Interactive logon:Do not display last user name seçeneği üzerine iki kez tıklayarak gelen ekrandan Enable seçeneğini seçelim.

Page 12: Audit Policy
Page 13: Audit Policy

3)Mesaj çıkması için aynı yerden Interactive Logon:Message text for users attempting to log on kısmına iki kez tıklanarak gelen ekrana istenilen mesaj yazılır.

4)5 karakterlik şifre zorunluluğu için Account Policies/Password Policy kısmının Minimum password length seçeneğine tıklanarak şifrede kullanılacak karakter sayısı girilir.

Page 14: Audit Policy

5)Sisteme bir kullanıcı ile log on olarak yapılan değişiklikleri gözlemleyelim.

Page 15: Audit Policy

Auditing

Auditing’in amaçları:User hareketlerini ve işletim sistemi aktivitelerini izlemektir. Bu izleme success(başarılı) ve failure(başarısız) olmak üzere iki şekilde yapılacağı gibi aynı anda her ikisi de izlenebilir.

Auditing seçenekleri:

Event Açıklama

Account Logon Bir kullanıcının Domain’e logon olduğu zamanki bilgilerini tutar.

Account Management Kullanıcı ve grup oluşturma, değiştirme, silme bilgileri ile şifre değişikliği bilgilerini tutar.

Directory Service Access Active Directory objelerini açan kullanıcının bilgilerini tutar. Active Directory objeleri de bu iş için yapılandırılmalıdır.

Logon succes failer Lokal bilgisayara logon-logoff olan kullanıcı bilgileri ile Network bağlantısı yapan ve iptal eden kullanıcı bilgilerini tutar.

Object Access delete folder file write data

Kullanıcıların işlem yaptıkları dosya, klasör ve yazıcı bilgilerini tutar. Yöneticinin mutlaka bu objeler üzerine ayarlama yapması gerekir.

Policy Changes Policy’de yapılan değişikliklerin izlenmesini sağlar.

Privlege Use Kullanıcının sistemde yaptığı olayları tutar. Örneğin sistem saatini değiştirme ve take ownership gibi sahiplik alma.

Process Tracking Kullanıcıların çalıştırdıkları program bilgilerini tutar.

System Kullanıcıların bilgisayarı Restart ve Shutdown etme bilgilerini tutar.

Audit nasıl uygulanır?

Page 16: Audit Policy

1)Administrative Tools/Local Security Settings/Local Policies kısmından Audit Policy seçilir.

2)İstenilen Policy üzerine çift tıklanarak Success ve/veya Failure kutucukları doldurulur.

Page 17: Audit Policy

3)Audit Policy yapılandırmak için Administrators grubunun üyesi olmanız gerekir.

4)Ntfs sistemlerde Audit yapabilirsiniz.

5)Tüm bu işlemlerin sonuçları Event Viewer içindeki Security kısmında görüntülenir.

Örnek:

1)“Casus” isimli bir klasör oluşturup içine “matahari.txt” dosyasını koyalım.

2)“Holmes” isimli bir kullanıcı oluşturunuz.

3)Local Security Settings/Local Policies kısmından Audit kısmına geçip aşağıdaki işlemleri yapınız.

a) Account management Failure

b) Logon events Success, Failure

c) Object Access Success, Failure

4)“Casus” klasöründe sağ tuşa basarak, Properties seçeneğine tıklayalım. Security tab sekmesine geçelim ve Advanced butonuna tıklayalım. Gelen dialog kutusunda Auditing tab sekmesine geçelim ve burada Add butonuna basarak “Holmes” isimli kullanıcıyı ekleyelim. Gelen listede tüm kutuları dolduralım ve Ok

Page 18: Audit Policy

butonlarını kullanarak işlemleri onaylayıp çıkalım.

5)“Holmes” isimli kullanıcı ile ilk önce yanlış log on olmaya çalışalım. Örneğin yanlış şifre girelim ve daha sonra doğru şifre ile log on olalım.

6)Kullanıcı oluşturmaya çalışınız.

7)“Casus” klasörünü açıp, içinde birkaç klasör oluşturunuz. “matahari.txt” dosyası içinde değişiklik yapınız. Sonra bu dosyayı ve oluşturduğunuz klasörü siliniz.

8)Administratör isimli kullanıcı ile log on olarak Event Viewer’ın Security kısmından sonuçları izleyebilirsiniz.

9)Security Log’lar aşağıdaki format ile Export edilebilir. Böylelikle uzun Log bilgilerini kaydederek, sonradan inceleme fırsatı bulabilirsiniz.

Event log files(.evt)(default)

Comma delimited(.csv)

Text file(.txt)

Page 19: Audit Policy

Kaydetme işlemini Security klasörü üzerinde sağ tuşa basılaran Save Log File As seçeneğine tıklanır.


Summary of EPA’s Audit Policy · 3 EPA’s Audit Policy: Purpose and History The purpose of EPA’s Audit Policy is to encourage regulated entities to… voluntarily discover, disclose,

Windows Advanced Audit Policy Configuration · 3/2/2020  · Windows Advanced Audit Policy Configuration [Subtitle] 1. Account Logon 1.1 Audit Credential Validation (Enable/Enable)

Internal Audit Policy Manual-9.1

Developing a clinical audit policy - HQIP...audit policy and strategy • A clinical audit report template: To provide consistency in clinical audit reporting. The aim of this publication

BYPAD (Bicycle Policy Audit): cycling policy as a dynamic processECOMM Groningen, 12th May 2006 BYPAD (Bicycle Policy Audit): cycling policy as a dynamic

1 Chapter Overview Planning an Audit Policy Implementing an Audit Policy Using Event Viewer

PUBLISHER'S NOTE SUMMARIZING THE USEPA AUDIT POLICY

Create an Advanced Audit Policy

Clinical Audit Policy - UH Bristol NHS FT Audit Policy Document Data Subject: Clinical Audit Document Type: Policy Document Status: Approved Executive Lead: Medical Director Document

Steps to Conducting a Policy Library Audit

CIS Microsoft Windows 10 Enterprise (Release 1607) …...2.3.2.1 (L1) Ensure 'Audit: Force audit policy subcategory settings (Windows Vista or later) to override audit policy category

Policy Audit Topic: Environmental Remediation and Health

Self-Audit Policy

BYPAD (Bicycle Policy Audit): cycling policy as a dynamic process

Clinical Audit Policy Clinical Audit Policy Version 2 December 2016 SH NCP 6 Clinical Audit Policy Version: 2 Summary: The purpose of this policy is to develop and sustain a culture

AUDIT AND ASSURANCE SERVICES POLICY

Infection Prevention and Control: Audit Policy Prevention and Control Audit Policy EEAST_IPC Audit Policy_V1.2 Page 2 of 17 January 2015 Document Reference Relevant Trust objective:

Louisa County Food Policy Audit Final Report

Policy Audit Topic: Neighborhood, Community Development & Housing

Positive Behaviour Policy Contents Audit

RISK BASED INTERNAL AUDIT POLICY

AUDIT POLICY(giam.sat.thong.tin.nguoi.dung)

ACCOUNTING AND AUDIT POLICY

Audit and Assessment Policy & Guidance - Walmart

[MS-GPAC]: Group Policy: Audit Configuration …...The Group Policy: Audit Configuration Extension to the Group Policy: Core Protocol enables advanced audit policies to be distributed

Policy Audit Topic: Urban Agriculture + Food Security

Policy Audit Topic: Landscape, Ecology, Open Space

Purchase Policy Audit

ARIS WHAT‘S NEW? - info.softwareag.com€˜s New... · Stress Testing Policy Management Policy Mapping & Tracking Attestation Audit Management Auditor Audit Planning Audit Templates

IT Security & Audit Policy

GLOBAL INTERNAL AUDIT POLICY - MCB Bank

CLINICAL AUDIT POLICY - East Cheshire NHS Trust Audit... · Policy Title: Clinical Audit Policy Executive Summary: This document provides a framework for all clinical audit activity,

A POLICY AUDIT ON FERTILITY

Developing a meaningful Audit and Assurance Policy

Disability Policy Audit Research Final Report