21 Şubat 2016

Windows Log Konfigürasyonu

Meydana gelen güvenlik problemlerini analiz edebilmek için log dosyaları analiz edilir,ancak şu unutulmamalıdır ki sağlıklı bir sonuç alabilmek için en başta log konfigürasyonlarının doğru yapılmış olması gerekir. Tüm eylemlerin logunu tutmak ciddi büyüklükte veri birikmesine sebep olurken aynı zamanda yönetmesi zorlaşır ve ekstra maliyet getirir. Bu yüzden başlangıçta hangi olaylar hakkında log dosyasında kayıt tutulacağı iyi planlanmalı ve belirlenen seçenekler için gerekli ayarlar yapılmalıdır.


Windows Auditing ve Önerilen Politika Seçenekleri

Windows, sistemde gerçekleşen bir çok farklı eylemleri event log sistemde tutmaktadır.. Event Viewer (Olay Görüntüleyici) kullanılarak loglar incelenebilir. Windows Active Directory yapısı default olarak güvenlikle ilişkili olayların loglarını yeterli seviyede tutmaz bu yüzden event log servisi tarafından hangi olaylar hakkında log tutulacağı önceden planlanmalıdır. Bir Windows sistemde audit policy güvenlik loglarında hangi tip bilgilerin bulunacağını belirlemek için kullanılır. Audit kelimesi denetleme gözlemleme manalarına gelmektedir. Local Audit Policy veya ilgili Group Policy kullanılarak hangi eventlerde log kaydı alınacağını belirleyebiliriz. Örneğin Windows Server 2008 üzerinde bir domain üzerinde Audit Policy yönetimi, Group Policy Manager kullanılarak: Default Domain Policy üzerine sağ tıklanıp Edit seçeneğine tıklanır, Computer Configuration->Policies->Windows Settings->Security Settings->Local Policies->Audit Policy yolu kullanılarak sağlanabilir.Ayrıca Domain üzerine sağ tıklanıp Create a new GPO in this domain seçeneği ile yeni bir group policy oluşturulabilmektedir.

Log Politikaları ve Önerilen Ayarlar


Account Logon Events: İşletim sistemi tarafından her bir hesap giriş bilgilerinin onaylanması durumunda kayıt almayı sağlar. Success&Failure aktif edilmelidir.Bu girdiyle ilişkili yapılan potansiyel saldırılar: Brute Force,Random password hack, Stolen password break-in

Account Management: Hesap yönetimi ile ilgili işlemlerin kayıtlarının alınmasını sağlar. Örneğin bir kullanıcı hesap veya grubunun oluşturulması,değiştirilmesi,silinmesi veya yeni parola atanması. Success&Failure aktif edilmelidir. Potansiyel Saldırılar: Misuse of privileges

Directory Service Access: Active Directory objeleri üzerinde yapılan değişikliklerin kayıtlarının tutulmasının sağlar.Active Directory objeleri ağdaki diğer cihazlar,kullanıcılar,sunucular, domainler,site'lardan oluşur.Kayıtlar sadece System Access Control List(SACL) tarafından belirtilen objeler için oluşturulur. Failure aktif edilmeli. Bu eventler sadece Domain controller'da mevcuttur.

Logon Events: Bilgisayara erişmeye çalışan her kullanıcı için logon ve logoff olma durumlarında kayıt tutulmasını sağlar.Success&Failure aktif edilmelidir.Potansiyel Saldırılar: Brute Force,Random password hack, Stolen password break-in

Object Access: Active Directory'e ait olmayan her objeye erişimin kayıtlarının tutulmasını sağlar.Kayıtlar sadece System Access Control List(SACL) tarafından belirtilen objeler için oluşturulur. Success/Failure aktif edilmeli. Dosya işlemleriyle alakalı logların tutulması için aktifleştirilmelidir. Potansiyel Saldırılar: Hassas dosya veya yazıcılara yapılabilecek yetkisiz erişimler

Policy Change: User rights assingment policy, audit policy,account policy yada trust policy'nin değiştirilmeye çalışılması durumunda kayıt alır. Success aktif edilmelidir.

Privilige Use: Bir kullanıcı hakları kullanıldığında kayıt tutar. Success aktif edilmelidir.Potansiyel saldırı: misuse of privileges

Process Tracking: Process'lerle alakalı event'ler hakkında kayıt tutulmasını sağlar. Örneğin Process oluşturma, sonlandırma, inderect object access vb. Success/Failure aktif edilmeli. Çalıştırılan programların(exe, dll) kontrolü için kullanılır. Çok fazla miktarda girdi oluşturacağı için yalnızca sistem logları aktif olarak gözlemleniyorsa çalıştırılması tavsiye edilmektedir. Potansiyel Saldırılar: Virüs ve zararlı dosya yayılması

System Events: Sistem saatinin değiştirilmesi,güvenlik sisteminin başlatılması veya sonlandırılması, kayıt alınan dosyada kayıt sistemindeki bir hata sebebiyle kayıplar olması gibi sistem event'leri hakkında kayıt alınmasını sağlar.Success aktif edilmelidir.
* Audit policy üzerinde aktif edilebilecek bu özellikler Success,Failure, yada her ikisi durumları seçilebilir. Örneğin Logon Events için başarılı veya başarısız olan giriş denemelerinin kayıtları açılabilir.

Dosya İşlemlerinin Gözlemlenmesi

Yapılan dosya işlemleri hakkında loglama yapmak için öncelikle object access seçeneği için Success ve Failure seçenekleri işaretlenmiş olmalıdır. Daha sonra üzerinde işlem yapıldığında loglama yapılmak istenen dosya,dizin veya yazıcılar belirtilmelidir. Bunun için dosya konumu açılıp sağ tıklanarak Properties->Security->Advanced->Auditing yolu izlenir ve Add seçeneği seçilerek takip edilmesi istenilen objeler (kullanıcı,grup yada bilgisayarlar) yazılarak OK butonuna tıklandığında okuma,yazma,silme gibi hangi işlemlerde kayıt alınacağı seçilerek sonlandırılır.



Artık o dosya üzerinde seçtiğimiz objelerin (kullanıcı veya bilgisayarların) işlem yapması durumunda log kayıtları alınacaktır.Yapılan etkinleştirmelerden sonra tutulan bazı loglar aşağıdaki gibi görüntülenebilir:




Advanced Security Audit Policy Settings

Log kaydı alınması istenen olaylar için daha geniş ve detaylı olay tanımları Advanced Security Audit Policy üzerinde mevcuttur ve bu ayarlar ile leri düzey güvenlik politikaları oluşturulabilir. Local Audit Policy veya Group Policy Manager üzerinde Computer Configurations->Policies->Windows Settings-> Security Settings-> Advanced Audit Policy Configuration->Audit Policies yolu izlenerek erişilebilir.





Her politika için sunulan kategoride daha spesifik ve daha iyi tanımlanmış olay seçenekleri sunulmuştur. Örneğin Logon/Logoff politikasi içerisinde Account Lockout seçeneği ile kilitlenmiş bir hesapla yapılan giriş denemeleri kayıt altına alınabilmektedir.

Windows tarafından default sunulan ayaralar, temel seviye güvenlik için önerilen politika ve üst düzey güvenlik için önerilen politika seçenekleri aşağıdaki gibidir.



Simge
Öneri
YES
Aktif et
NO
Aktif etme
IF
İhtiyaç duyulan bir senaryoda aktif edilmeli
DC
Domain Controller'da aktif et
[Boş]
Öneri yok



Audit Policy Category or Subcategory
Windows Default
Baseline Recommendation
Stronger Recommendation
Success
Failure
Success
Failure
Success
Failure
Account Logon
Audit Credential Validation
NO
NO
YES
NO
YES
YES
Audit Kerberos Authentication Service




YES
YES
Audit Kerberos Service Ticket Operations




YES
YES
Audit Other Account Logon Events




YES
YES
Account Management
Audit Application Group Management






Audit Computer Account Management


YES
NO
YES
YES
Audit Distribution Group Management






Audit Other Account Management Events


YES
NO
YES
YES
Audit Security Group Management


YES
NO
YES
YES
Audit User Account Management
YES
NO
YES
NO
YES
YES
Detailed Tracking
Audit DPAPI Activity




YES
YES
Audit Process Creation


YES
NO
YES
YES
Audit Process Termination






Audit RPC Events






DS Access
Audit Detailed Directory Service Replication






Audit Directory Service Access






Audit Directory Service Changes






Audit Directory Service Replication






Logon and Logoff
Audit Account Lockout
YES
NO


YES
NO
Audit User/Device Claims






Audit IPsec Extended Mode






Audit IPsec Main Mode




IF
IF
Audit IPsec Quick Mode






Audit Logoff
YES
NO
YES
NO
YES
NO
Audit Logon
YES
NO
YES
NO
YES
YES
Audit Network Policy Server
YES
YES




Audit Other Logon/Logoff Events




YES
YES
Audit Special Logon
YES
NO
YES
NO
YES
YES
Object Access
Audit Application Generated






Audit Certification Services






Audit Detailed File Share






Audit File Share






Audit File System






Audit Filtering Platform Connection






Audit Filtering Platform Packet Drop






Audit Handle Manipulation






Audit Kernel Object






Audit Other Object Access Events






Audit Registry






Audit Removable Storage






Audit SAM






Audit Central Access Policy Staging






Policy Change
Audit Audit Policy Change
YES
NO
YES
YES
YES
YES
Audit Authentication Policy Change
YES
NO
YES
NO
YES
YES
Audit Authorization Policy Change






Audit Filtering Platform Policy Change






Audit MPSSVC Rule-Level Policy Change




YES

Audit Other Policy Change Events






Privilege Use
Audit Non Sensitive Privilege Use






Audit Other Privilege Use Events






Audit Sensitive Privilege Use






System
Audit IPsec Driver


YES
YES
YES
YES
Audit Other System Events
YES
YES




Audit Security State Change
YES
NO
YES
YES
YES
YES
Audit Security System Extension


YES
YES
YES
YES
Audit System Integrity
YES
YES
YES
YES
YES
YES
Global Object Access Auditing
Audit IPsec Driver






Audit Other System Events






Audit Security State Change






Audit Security System Extension






Audit System Integrity


Referanslar

Bu makale İstanbul Teknik Üniversitesi Bilgisayar Mühendisliği Bölümü öğrencisi stajyerimiz Cemal Türkoğlu tarafından geliştirilmiştir.