Windows Auditing ve Önerilen Politika Seçenekleri
Windows, sistemde gerçekleşen bir çok farklı eylemleri event log sistemde tutmaktadır.. Event Viewer (Olay Görüntüleyici) kullanılarak loglar incelenebilir. Windows Active Directory yapısı default olarak güvenlikle ilişkili olayların loglarını yeterli seviyede tutmaz bu yüzden event log servisi tarafından hangi olaylar hakkında log tutulacağı önceden planlanmalıdır. Bir Windows sistemde audit policy güvenlik loglarında hangi tip bilgilerin bulunacağını belirlemek için kullanılır. Audit kelimesi denetleme gözlemleme manalarına gelmektedir. Local Audit Policy veya ilgili Group Policy kullanılarak hangi eventlerde log kaydı alınacağını belirleyebiliriz. Örneğin Windows Server 2008 üzerinde bir domain üzerinde Audit Policy yönetimi, Group Policy Manager kullanılarak: Default Domain Policy üzerine sağ tıklanıp Edit seçeneğine tıklanır, Computer Configuration->Policies->Windows Settings->Security Settings->Local Policies->Audit Policy yolu kullanılarak sağlanabilir.Ayrıca Domain üzerine sağ tıklanıp Create a new GPO in this domain seçeneği ile yeni bir group policy oluşturulabilmektedir.
Log Politikaları ve Önerilen Ayarlar
Account Logon Events: İşletim sistemi tarafından her bir hesap giriş bilgilerinin onaylanması durumunda kayıt almayı sağlar. Success&Failure aktif edilmelidir.Bu girdiyle ilişkili yapılan potansiyel saldırılar: Brute Force,Random password hack, Stolen password break-in
Account Management: Hesap yönetimi ile ilgili işlemlerin kayıtlarının alınmasını sağlar. Örneğin bir kullanıcı hesap veya grubunun oluşturulması,değiştirilmesi,silinmesi veya yeni parola atanması. Success&Failure aktif edilmelidir. Potansiyel Saldırılar: Misuse of privileges
Directory Service Access: Active Directory objeleri üzerinde yapılan değişikliklerin kayıtlarının tutulmasının sağlar.Active Directory objeleri ağdaki diğer cihazlar,kullanıcılar,sunucular, domainler,site'lardan oluşur.Kayıtlar sadece System Access Control List(SACL) tarafından belirtilen objeler için oluşturulur. Failure aktif edilmeli. Bu eventler sadece Domain controller'da mevcuttur.
Logon Events: Bilgisayara erişmeye çalışan her kullanıcı için logon ve logoff olma durumlarında kayıt tutulmasını sağlar.Success&Failure aktif edilmelidir.Potansiyel Saldırılar: Brute Force,Random password hack, Stolen password break-in
Object Access: Active Directory'e ait olmayan her objeye erişimin kayıtlarının tutulmasını sağlar.Kayıtlar sadece System Access Control List(SACL) tarafından belirtilen objeler için oluşturulur. Success/Failure aktif edilmeli. Dosya işlemleriyle alakalı logların tutulması için aktifleştirilmelidir. Potansiyel Saldırılar: Hassas dosya veya yazıcılara yapılabilecek yetkisiz erişimler
Policy Change: User rights assingment policy, audit policy,account policy yada trust policy'nin değiştirilmeye çalışılması durumunda kayıt alır. Success aktif edilmelidir.
Privilige Use: Bir kullanıcı hakları kullanıldığında kayıt tutar. Success aktif edilmelidir.Potansiyel saldırı: misuse of privileges
Process Tracking: Process'lerle alakalı event'ler hakkında kayıt tutulmasını sağlar. Örneğin Process oluşturma, sonlandırma, inderect object access vb. Success/Failure aktif edilmeli. Çalıştırılan programların(exe, dll) kontrolü için kullanılır. Çok fazla miktarda girdi oluşturacağı için yalnızca sistem logları aktif olarak gözlemleniyorsa çalıştırılması tavsiye edilmektedir. Potansiyel Saldırılar: Virüs ve zararlı dosya yayılması
System Events: Sistem saatinin değiştirilmesi,güvenlik sisteminin başlatılması veya sonlandırılması, kayıt alınan dosyada kayıt sistemindeki bir hata sebebiyle kayıplar olması gibi sistem event'leri hakkında kayıt alınmasını sağlar.Success aktif edilmelidir.
* Audit policy üzerinde aktif edilebilecek bu özellikler Success,Failure, yada her ikisi durumları seçilebilir. Örneğin Logon Events için başarılı veya başarısız olan giriş denemelerinin kayıtları açılabilir.
Dosya İşlemlerinin Gözlemlenmesi
Yapılan dosya işlemleri hakkında loglama yapmak için öncelikle object access seçeneği için Success ve Failure seçenekleri işaretlenmiş olmalıdır. Daha sonra üzerinde işlem yapıldığında loglama yapılmak istenen dosya,dizin veya yazıcılar belirtilmelidir. Bunun için dosya konumu açılıp sağ tıklanarak Properties->Security->Advanced->Auditing yolu izlenir ve Add seçeneği seçilerek takip edilmesi istenilen objeler (kullanıcı,grup yada bilgisayarlar) yazılarak OK butonuna tıklandığında okuma,yazma,silme gibi hangi işlemlerde kayıt alınacağı seçilerek sonlandırılır.
Artık o dosya üzerinde seçtiğimiz objelerin (kullanıcı veya bilgisayarların) işlem yapması durumunda log kayıtları alınacaktır.Yapılan etkinleştirmelerden sonra tutulan bazı loglar aşağıdaki gibi görüntülenebilir:
Advanced Security Audit Policy Settings
Log kaydı alınması istenen olaylar için daha geniş ve detaylı olay tanımları Advanced Security Audit Policy üzerinde mevcuttur ve bu ayarlar ile leri düzey güvenlik politikaları oluşturulabilir. Local Audit Policy veya Group Policy Manager üzerinde Computer Configurations->Policies->Windows Settings-> Security Settings-> Advanced Audit Policy Configuration->Audit Policies yolu izlenerek erişilebilir.
Her politika için sunulan kategoride daha spesifik ve daha iyi tanımlanmış olay seçenekleri sunulmuştur. Örneğin Logon/Logoff politikasi içerisinde Account Lockout seçeneği ile kilitlenmiş bir hesapla yapılan giriş denemeleri kayıt altına alınabilmektedir.
Windows tarafından default sunulan ayaralar, temel seviye güvenlik için önerilen politika ve üst düzey güvenlik için önerilen politika seçenekleri aşağıdaki gibidir.
Simge | Öneri |
YES | Aktif et |
NO | Aktif etme |
IF | İhtiyaç duyulan bir senaryoda aktif edilmeli |
DC | Domain Controller'da aktif et |
[Boş] | Öneri yok |
Audit Policy Category or Subcategory | Windows Default | Baseline Recommendation | Stronger Recommendation | |||
Success | Failure | Success | Failure | Success | Failure | |
Account Logon | ||||||
Audit Credential Validation | NO | NO | YES | NO | YES | YES |
Audit Kerberos Authentication Service | YES | YES | ||||
Audit Kerberos Service Ticket Operations | YES | YES | ||||
Audit Other Account Logon Events | YES | YES | ||||
Account Management | ||||||
Audit Application Group Management | ||||||
Audit Computer Account Management | YES | NO | YES | YES | ||
Audit Distribution Group Management | ||||||
Audit Other Account Management Events | YES | NO | YES | YES | ||
Audit Security Group Management | YES | NO | YES | YES | ||
Audit User Account Management | YES | NO | YES | NO | YES | YES |
Detailed Tracking | ||||||
Audit DPAPI Activity | YES | YES | ||||
Audit Process Creation | YES | NO | YES | YES | ||
Audit Process Termination | ||||||
Audit RPC Events | ||||||
DS Access | ||||||
Audit Detailed Directory Service Replication | ||||||
Audit Directory Service Access | ||||||
Audit Directory Service Changes | ||||||
Audit Directory Service Replication | ||||||
Logon and Logoff | ||||||
Audit Account Lockout | YES | NO | YES | NO | ||
Audit User/Device Claims | ||||||
Audit IPsec Extended Mode | ||||||
Audit IPsec Main Mode | IF | IF | ||||
Audit IPsec Quick Mode | ||||||
Audit Logoff | YES | NO | YES | NO | YES | NO |
Audit Logon | YES | NO | YES | NO | YES | YES |
Audit Network Policy Server | YES | YES | ||||
Audit Other Logon/Logoff Events | YES | YES | ||||
Audit Special Logon | YES | NO | YES | NO | YES | YES |
Object Access | ||||||
Audit Application Generated | ||||||
Audit Certification Services | ||||||
Audit Detailed File Share | ||||||
Audit File Share | ||||||
Audit File System | ||||||
Audit Filtering Platform Connection | ||||||
Audit Filtering Platform Packet Drop | ||||||
Audit Handle Manipulation | ||||||
Audit Kernel Object | ||||||
Audit Other Object Access Events | ||||||
Audit Registry | ||||||
Audit Removable Storage | ||||||
Audit SAM | ||||||
Audit Central Access Policy Staging | ||||||
Policy Change | ||||||
Audit Audit Policy Change | YES | NO | YES | YES | YES | YES |
Audit Authentication Policy Change | YES | NO | YES | NO | YES | YES |
Audit Authorization Policy Change | ||||||
Audit Filtering Platform Policy Change | ||||||
Audit MPSSVC Rule-Level Policy Change | YES | |||||
Audit Other Policy Change Events | ||||||
Privilege Use | ||||||
Audit Non Sensitive Privilege Use | ||||||
Audit Other Privilege Use Events | ||||||
Audit Sensitive Privilege Use | ||||||
System | ||||||
Audit IPsec Driver | YES | YES | YES | YES | ||
Audit Other System Events | YES | YES | ||||
Audit Security State Change | YES | NO | YES | YES | YES | YES |
Audit Security System Extension | YES | YES | YES | YES | ||
Audit System Integrity | YES | YES | YES | YES | YES | YES |
Global Object Access Auditing | ||||||
Audit IPsec Driver | ||||||
Audit Other System Events | ||||||
Audit Security State Change | ||||||
Audit Security System Extension | ||||||
Audit System Integrity |
Referanslar
- https://technet.microsoft.com/en-us/library/dd277403.aspx
- https://www.newnettechnologies.com/what-are-the-recommended-audit-policy-settings-for-windows-when-implementing-logging-for-the-pci-dss-or-other-security-standard.html
- https://technet.microsoft.com/en-us/library/dn487457.aspx
- https://technet.microsoft.com/en-us/library/dn319056.aspx
- https://www.ultimatewindowssecurity.com/wiki/WindowsSecuritySettings/Recommended-Baseline-Audit-Policy-for-Windows-Server-2008
Bu makale İstanbul Teknik Üniversitesi Bilgisayar Mühendisliği Bölümü öğrencisi stajyerimiz Cemal Türkoğlu tarafından geliştirilmiştir.