vBulletin Türkçe Destek Platformu

Windows 2000’de Auditing (İzleme)

Auditing (İzleme)
Auditing kullanıldığı bilgisayar üstünde önceden belirlenmiş güvenlik olayları ve aktivititeleri ile ilgili loglar (Kütükler) üretir. Auditing ikiye ayrılır:

* Auditing of acess to system (Sisteme girişi izleme): Windows 2000’e girişi izleme
* Auditing of access to objects (Sistem objelerine erişimi izleme): Windows 2000 içindeki

AD objeleri, dosyalar klasörler veya yazıcılar gibi sisteme ait objeleri izleme hakkına sadece Administrator grubu üyeleri sahiptir
Auditing of System Access (Sisteme girişi izleme):

* Sisteme giriş Audit Policy kullanılarak izlenir
* Lokal bilgisayarda izleme politikası kullanmak için;

Start > Settings > Control Panel > Administrative Tools > Local Security Policy

* Domain’deki tüm Windows 2000 bilgisayarlar ait bir izleme politikası kullanmak için;

Start > Programs > Administrative Tools > Domain Security Policy

* Domain bazında Auditing kullanılabilmesi için Default Domain Controllers Policy’nin ayarlanması gerekir. Yani tüm bilgisayarlarda auditing açık ama DC politikasında kapalı ise Auditing çalışmaz.
* Domain’deki tüm DC’ler için bir izleme politikası kullanmak için;

Start > Programs > Administrative Tools > Domain Controller Security PolicyBelli bir OU veya domain içindeki tüm W2K bilgisayarlar için izleme politikası kullanmak için AD Users & Computer snap-in’i ile belli OU veya domainde GPO yaratılır.

*
* Belli bir site içindeki tüm W2K bilgisayarlar için izleme politikası kullanmak için AD Sites & Services snap-in’i ile belli sitede GPO yaratılır.

Not: Bunların ayarlanması için gerekli snap-inlerin bulunmadığı bilgisayarlarda ADMINPAK’ın kurulması gerekebilir

*
Audit politikası diğer W2K politikaları gibi bir çok seviyede uygulanabilir. Seviyeler arası çakışmalarda en son uygulanan politikanın geçerli olma kuralı geçerlidir
* Audit Politikası içindeki politikalardan her hangi biri seçildiğinde üç seçenek vardır:
o Success: Belirlenen durum başarıyla gerçekleştiğinde W2K bir izleme kaydı yaratır. (ör.Bir user sisteme başarıyla logon olduğunda)
o Failure: Belirlenen durum başarıyla gerçekleşmediğinde W2K bir izleme kaydı yaratır. (ör.Sisteme logon başarısız olduğunda)
o Success ve Failure birarada: Her iki koşulda da kayıt yaratılır.
* Auditing sisteme yük getirdiğinden audit edilecek olaylar dikkatli seçilmelidir.

Auditing of Object Access (Sistem objelerine erişimi izleme)

* Objeler üstündeki spesifik izleme için, directory service access veya object access audit policy izlenecek objenin bulunduğu W2K bilgisayar üstünde açılmalıdır.
* Daha sonra objeye ait özellikler penceresinden izleme açılmalıdır.
* Auditing işlemi AD içindeki objeler üstünde uygulandığında INHERITANCE faktöründen etkilenir. Domain bazlı varsayılan izleme politikası yaratıldığında domain içindeki tüm objeler bundan etkilenir.
* AD objeleri için auditing ayarları yapmak için; objeye ait özellikler penceresinden;

Properties > Security > Advanced > Auditing tabı kullanılır

* Dosyalar,Klasörler ve Yazıcılar’a auditing uygulamak için ise;

Properties > Security Advanced > Auditing tabı kullanılır.
Sadece NTFS volume üstünde kullanılabilir ve volume üstünde uygulanan auditing ayarları alt klasör ve dosyalar içinde geçerli olur.

* Yazıcılar için auditing ise seçilen yazıcının özellikler penceresinden;

Properties > Security Advanced > Auditing tabı kullanılarak yapılır.

* Yazıcılar için inheritance(miras)’ı hesaba katmaya gerek yoktur. Klasör-dosya ve yazıcılar için “apply on to “ özelliğiyle auditing ile ilgili ayrıntılı ayarlar yapılabilir.

Güvenlik olaylarını (Security Events) izleme

* Güvenlik ile ilgili sistem olayları Event Viewer kullanılarak izlenir.
* Event Viewer, 3 ana çeşit varsayılan log tutar:
o Application Log: MS SQL gibi bir veritabanına erişimdeki başarı ve başarısızlık gibi olaylar tarafından loglara kaydedilen bilgiler yer alır.
o Security Log: Yerel ya da global gruplar ile ilgili izleme düzenlemelerinin yapıldığı kısımdır. Manage Auditing & Security Log hakkı olan kullanıcılar tarafından erişilebilir
o System Log: İşletim sistemleri ve bileşenleri tarafından yapılan kayıtlardır
o Bunlar dışında ayrıca, DNS ile ilgili kayıtları tutan DNS Server Log, replikasyonla ilgili kayıtları tutan File Replication Service Log ve AD ile ilgili kayıtların tutulduğu Directory Service Log bulunur

* Varsayılan olarak loglar %systemrot%\system32\config klasöründe bulunur
* Security log istenildiğinde silinebilir veya arşivlenmek üzere kayıt edilebilir.
* Security log altında security events 2 şekilde görünür.Yanındaki anahtar sembolü olan log kayıtları SUCCESSFUL, yanında kilit sembolü olan log kayıtları ise FAILED olayları gösterir. Olay üstüne çift tıklanarak ayrıntılı olay hakkında ayrıntılı bilgi alınabilir.
* Yüzlerce log kaydı arasında aradıklarımızı kolay bulabilmemiz için FILTERING denilen işlem yapılır. “Security Log” üstünde sağ tıklanarak Properties penceresine ulaşılır ve daha sonra Filter tabı seçilir.
* Security logları arşivlemek için; ”Security Log” seçilir sağ tıklanarak, Select Action Save Log File as seçilir. Desteklenen formatlar, evt, txt ve csv dir.
* Logların bulunduğu sağ pencerede sağ tıklanarak Clear opsiyonu ile loglar silinebilir
* Security Log lar ile ilgili diğer ayarlar ise Security Log Properties den yapılabilir. Maksimum log boyutu ve olayların üstüne yazma zamanları burdan belirlenebilir.

Güvenlik Şablonları (Security Templates) (Exam Q!)

* Daha önceden belirlenmiş güvenlik ayarlarının kayıt edildiği txt bazlı, inf uzantılı dosyalara security template adı verilir.
* Güvenlik şablonları Security Templates snap-in’i ile değiştirilebilir. Bu işlemi gerçekleştirebilmek için Administrator grubuna üye olmak gerekir.
* SystemRoot\Security\Templates altında Microsoft tarafından belirlenmiş şablonlar bulunur.
o Default workstation (basicwk.inf)
o Default server (basicsv.inf)
o Default domain controller (basicdc.inf)
o Compatible workstation or server (compatws.inf)
o Secure workstation or server (securews.inf)
o Highly secure workstation or server (hisecws.inf)
o Secure domain controller (securedc.inf)
o Highly secure domain controller (hisecdc.inf)
* Security Template snap-in’i yüklenmiş bir konsoldan varolan şablonları değiştirerek yada yeni bir şablon üretilerek, security template’ler oluşturulabilir.
* Security Template iki şekilde uygulanabilir:
o Local Security Policy kullanılarak (Administrative Tools) IMPORT komutu ile lokal bilgisayara şablon yüklenebilir.
o GPO’ya yüklenebilir: GPO’ya çift tıklanarak, GPO’nun Computer Configuration Windows Settings Security Settings containerı üstünde Action Import Policy yapılarak GPO ya yüklenir. GPO’nun etkilediği tüm bilgisayarların bu şablondan etkileneceği unutulmamalıdır.

Security Configuration & Analysis Snap-in

* Administrators grubu üyeleri tarafından kullanılabilir
* Güvenlik ayarlarının karşılaştırılması ve lokal bilgisayar üstündeki güvenlik ayarlarının uygulamaları için kullanılır.
* Bu snap-in’in kullanılabilmesi için öncelikle bir veritabanı (database) oluşturulması gerekir. Snap-in tıklanarak Action > Open Database.> Import Template dialog box ile bu veritabanına bir şablon atanır.
* Veritabanı yaratıldıktan sonra Action Analyse Computer Now komutu ile bilgisayar analizi yapılır.
* X işaretli kayıtlar uyumsuzlukları, . işaretli kayıtlar ise uyumluluğu gösterir.
* Action > Configure Computer Now seçeneği ile de database’deki şablon bilgisayara atanır
* Bu işlem secedit.exe ile de yapılabilir.

Sunucu Başarımı & Etkinliğini İzleme

* Performance Monitor (PM) kullanılarak izlenir
* Performance monitor görüntülemek istediğiniz bir dizi başarım parametresine ilişkin istatistikleri grafik olarak gösterir
* Bu başarım parametrelerine COUNTER denir
* PM deki System Monitor girişini kullanarak sayaçlar ekleyebilir ve onları grafik üstünde izleyebilirsiniz
* Sayaçları eklemek için Add(+) düğmesi kullanılır
* PM ile lokal veya ağ üstündeki bilgisayarların başarımı izlenebilir
* Add Counters penceresindeki Performance Object ile Counter’ların gruplandığı nesne grupları seçilir
* Bir sunucunun başarımın izlemek ve daha sonra yeniden oynatmak için başarım günlükleri kullanılır
* 2 çeşit başarım günlüğü vardır:
o Counter Logs: Belirtilen güncelleme aralığı dolduğunda seçilen sayaçlar üstündeki başarım verisini kaydeder
o Trace Logs: Başarım verisini, ilgili olay olduğunda kaydederler.
* Trace log 2 çeşit log üretir:
o Sequential Trace File: Olayları ardışık olarak yazar
o Circular: Dosya belirtilen sınıra eriştiğinde eski verileri yenilerin üstüne yazar
* Alerts girişi ile de başarım sayaçları için uyarılar yapılandırabilirsiniz.
* Log files sekmesiyle, günlük dosyasının yeri, adı ve tipi ayarlanır.
* Action tabı ile alert anında yürütülecek olayları, Schedule tabı ile de logların ne zaman başlayıp ne zaman duracağını ayarlayabilirsiniz

Tavsiyeler

* Objeler için auditing kullanıyorsanız, kullandığınız objeye uygun system auditing’i “enable” edip etmediğinizi kontrol edin.
* Failure ve Success durumlarının doğru kullanılıp kullanılmadığından emin olun.
* Efektif auditing ayarının GPO larda olduğu gibi en son uygulananın üstünde olduğuna dikkat edin Security Configuration and Analysis snap-in ile değişime uğramış güvenlik (security settings) ayarlarını eski hallerine döndürebilirsiniz.