Fw: AD DS: Auditing

8 views
Skip to first unread message

Ahmet YÜKSEKTEPE

unread,
May 1, 2010, 7:50:13 AM5/1/10
to siste...@googlegroups.com
AD DS: Auditing

Güncelleştirme: Mart 2009

Uygulama Alanı: Windows Server 2008

Windows Server® 2008 işletim sisteminde, Active Directory® Etki Alanı Hizmetleri (AD DS) nesnelerinde ve bunların özniteliklerinde değişiklikler yapıldığında eski ve yeni değerleri günlüğe kaydeden yeni bir denetim ilkesi alt kategorisi (Dizin Hizmeti Değişiklikleri) AD DS denetimini kurabilirsiniz.

noteNot
Bu yeni denetim özelliği Active Directory Basit Dizin Hizmetleri (AD LDS) için de geçerlidir. Ancak bu belge yalnızca AD DS'ye yöneliktir.

AD DS denetimi ne yapıyor?

Dizin hizmeti erişimini denetle adlı genel denetim ilkesi, dizin hizmeti olayları denetiminin etkin veya devre dışı olmasını denetler. Bu güvenlik ayarı, dizindeki nesnelerde belirli işlemler gerçekleştirildiğinde olayların Güvenlik günlüğüne kaydedilip kaydedilmeyeceğini belirler. Bir nesnenin sistem erişim denetim listesini (SACL) değiştirerek, hangi işlemlerin denetleneceğini belirleyebilirsiniz. Windows Server 2008 işletim sisteminde, bu ilke varsayılan olarak etkin durumdadır.

Bu ilke ayarını tanımlarsanız (varsayılan Etki Alanı Denetleyicileri İlkesi'ni değiştirerek), başarılı veya başarısız işlemlerin denetleneceğini veya hiçbir işlemin denetlenmeyeceğini belirtebilirsiniz. Başarı denetimleri, bir kullanıcı belirtilmiş SACL'si olan bir AD DS nesnesine başarıyla eriştiğinde bir denetim girdisi oluşturur. Başarısız denetimleri, bir kullanıcı belirtilmiş SACL'si olan bir AD DS nesnesine erişmeye çalıştığında başarısız olursa bir denetim girdisi oluşturur.

AD DS nesnesinin Özellikler iletişim kutusundaki Güvenlik sekmesini kullanarak bu nesne için bir SACL ayarlayabilirsiniz. Dizin hizmeti erişimini denetle ilkesi, Nesne erişimini denetle ilkesi gibi uygulanır; ancak, dosya sistemi nesnelerine ve kayıt defteri nesnelerine değil, yalnızca AD DS nesnelerine uygulanır.

Bu özellik kimleri ilgilendirir?

Bu özellik, dizin için denetimi ayarlamaktan sorumlu AD DS yöneticileri için geçerlidir. Yöneticiler denetlemek istedikleri nesneler için uygun SACL'leri ayarlar.

Genel olarak, SACL'leri değiştirme ve Güvenlik günlüğünü görüntüleme izinleri Domain Admins, Builtin\Administrators ve Enterprise Admins grupları da dahil yalnızca Administrators grubu üyelerine atanır.

Varolan hangi işlevler değişiyor?

Windows Server 2008 işletim sisteminde, bir öznitelik başarıyla değiştirildiğinde bu özniteliğin eski ve yeni değerlerini günlüğe kaydeden yeni bir AD DS denetimi özelliğini sunulmaktadır. Geçmişte, AD DS denetimi yalnızca değiştirilen özniteliğin adını günlüğe kaydediyordu; özniteliğin eski ve yeni değerlerini kaydetmiyordu.

AD DS'ye erişimi denetleme

Windows 2000 Server ve Windows Server 2003'te, dizin hizmeti olayları denetiminin etkin veya devre dışı olduğunu denetleyen Dizin hizmeti erişimini denetle adlı tek bir denetim ilkesi vardı. Windows Server 2008 işletim sisteminde, bu ilke dört alt kategoriye bölünmüştür:

  • Dizin Hizmeti Erişimi

  • Dizin Hizmeti Değişiklikleri

  • Dizin Hizmeti Çoğaltma

  • Ayrıntılı Dizin Hizmeti Çoğaltma

AD DS nesnelerindeki değişiklikleri denetleme özelliği, Dizin Hizmeti Değişiklikleri adlı yeni denetim alt kategorisiyle etkinleştirilmiştir. Denetleyebileceğiniz değişiklik türleri, bir nesnede gerçekleştirilen oluşturma, değiştirme, taşıma ve silme işlemini geri alma işlemleridir. Bu işlemler tarafından oluşturulan olaylar Güvenlik günlüğünde görünür.

Bu yeni ilke alt kategorisi AD DS denetimine aşağıdaki özellikleri ekler:

  • Bir nesnenin özniteliğinde başarılı bir değiştirme işlemi gerçekleştirildiğinde, AD DS, bu özniteliğin eski ve yeni değerlerini günlüğe kaydeder. Özniteliğin birden çok değeri varsa, yalnızca değiştirme işlemi sonucunda değişen değerler günlüğe kaydedilir.

  • Yeni bir nesne oluşturulursa, oluşturma sırasında doldurulan özniteliklerin değerleri günlüğe kaydedilir. Oluşturma işlemi sırasında öznitelikler eklenirse, bu yeni öznitelik değerleri günlüğe kaydedilir. Çoğu durumda, AD DS, özniteliklere varsayılan değerleri atar (SamHesabıAdı gibi). Bu sistem özniteliklerinin değerleri günlüğe kaydedilmez.

  • Bir nesne etki alanı içinde taşınırsa, eski ve yeni konumu (ayırt edici ad biçiminde) günlüğe kaydedilir. Bir nesne farklı bir etki alanına taşındığında, hedef etki alanındaki etki alanı denetleyicisinde bir oluşturma olayı üretilir.

  • Bir nesneyi silme işlemi geri alınırsa, nesnenin taşındığı konum günlüğe kaydedilir. Ayrıca, silme işlemini geri alma sırasında öznitelikler eklenirse, değiştirilirse veya silinirse, bu özniteliklerin değerleri günlüğe kaydedilir.

noteNot
Bir nesne silinirse, değişiklik denetim olayları oluşturulmaz. Ancak Dizin Hizmeti Erişimi alt kategorisi etkinleştirilmişse, bir denetim olayı oluşturulur.

Dizin Hizmeti Değişiklikleri etkinleştirildikten sonra, AD DS, yöneticinin denetlenmek üzere ayarladığı nesnelerde değişiklikler yapıldığında olayları Güvenlik olay günlüğüne kaydeder. Aşağıdaki tabloda bu olaylar açıklanmıştır.

 

Olay Kimliği Olay türü Olay açıklaması

5136

Değiştir

Bu olay, dizindeki bir öznitelikte başarılı bir değiştirme işlemi yapıldığında günlüğe kaydedilir.

5137

Oluştur

Bu olay, dizinde yeni bir nesne oluşturulduğunda günlüğe kaydedilir.

5138

Silmeyi Geri Al

Bu olay, dizinde bir nesne için silme işlemi geri alındığında günlüğe kaydedilir.

5139

Taşı

Bu olay, bir nesne etki alanı içinde taşındığında günlüğe kaydedilir.

Bu değişiklik neden önemlidir?

Nesne özniteliklerinin nasıl değiştiğini belirleme özelliği, nesnenin kullanım ömrü boyunca yapılan değişiklikler için bir izleme mekanizması sağlayarak, olay günlüklerinin daha kullanışlı olmasına olanak verir.

Neler farklı şekilde çalışmaktadır?

Windows Server 2008 işletim sisteminde, aşağıdaki denetimleri kullanarak yeni denetim özelliğini uygulayabilirsiniz:

  • Genel denetim ilkesi

  • SACL

  • Şema

Genel denetim ilkesi

Dizin hizmeti erişimini denetle adlı genel denetim ilkesi etkinleştirildiğinde, tüm dizin hizmeti ilkesi alt kategorileri etkinleştirilir. Bu genel denetim ilkesini Varsayılan Etki Alanı Denetleyicileri Grup İlkesi'nden (Güvenlik Ayarları\Yerel İlkeler\Denetim İlkesi) ayarlayabilirsiniz. Windows Server 2008 işletim sisteminde, bu genel denetim ilkesi varsayılan olarak etkin durumdadır. Dolayısıyla, Dizin Hizmeti Değişiklikleri alt kategorisi de varsayılan olarak etkin durumdadır. Bu alt kategori yalnızca başarılı olayları için ayarlanır.

Windows 2000 Server ve Windows Server 2003'te, Active Directory için kullanılabilen tek denetim Dizin hizmeti erişimini denetle ilkesiydi. Bu denetim tarafından oluşturulan olaylar, değişikliklerin öncesindeki ve sonrasındaki değerleri göstermiyordu. Bu ayar, Güvenlik günlüğünde 566 kimlik numaralı denetim olayları oluşturuyordu. Windows Server 2008 işletim sisteminde, Dizin Hizmeti Erişimi adlı denetim ilkesi alt kategorisi aynı olayları 4662 numaralı olay kimliğiyle oluşturur.

Dizin Hizmeti Değişiklikleri adlı yeni denetim ilkesi alt kategorisiyle, dizinde yapılan başarılı değişikliklerin yanı sıra eski ve yeni öznitelik değerleri de günlüğe kaydedilir. Dizin Hizmeti Erişimi ve Dizin Hizmeti Değişiklikleri ayarları Yerel Güvenlik Yetkilisi (LSA) veritabanında saklanır. Yeni LSA uygulama programlama arabirimleri (API) kullanılarak sorgulanabilirler.

Bu iki denetim alt kategorisi birbirinden bağımsızdır. Dizin Hizmeti Erişimi'ni devre dışı bıraksanız da, Dizin Hizmeti Değişiklikleri alt kategorisi etkin olduğunda, oluşturulan değiştirme olaylarını yine de görebilirsiniz. Aynı şekilde, Dizin Hizmeti Değişiklikleri'ni devre dışı bırakıp Dizin Hizmeti Erişimi'ni etkinleştirirseniz, Güvenlik günlüğünde 4662 kimlik numaralı denetim olayları görebilirsiniz.

Denetim ilkesi alt kategorilerini görüntülemek veya ayarlamak için Auditpol.exe adlı komut satırı aracını kullanabilirsiniz. Windows Server 2008 işletim sisteminde denetim ilkesi alt kategorilerini görüntülemek veya ayarlamak için kullanılabilecek bir Windows arabirimi aracı yoktur.

SACL

SACL, bir nesnenin güvenlik tanımlayıcısında bir güvenlik ilkesi için hangi işlemlerin denetleneceğini belirten bölümdür. Nesne SACL'si bir erişimin denetlenmesi gerekip gerekmediğini belirlemede tek yetkilidir.

SACL içeriği yerel sistemin güvenlik yöneticileri tarafından denetlenir. Güvenlik yöneticileri, Denetimi ve Güvenlik Günlüğünü Yönet (SeSecurityPrivilege) ayrıcalığı aranmış kullanıcılardır. Bu ayrıcalık varsayılan olarak yerleşik Administrators grubuna atanır.

Dizin Hizmeti Değişiklikleri alt kategorisi etkinleştirilmiş olduğu halde SACL'de öznitelik değişikliklerinin günlüğe kaydedilmesini gerektiren bir erişim denetimi girdisi (ACE) yoksa, değişiklik denetimi olayları günlüğe kaydedilmez. Örneğin, SACL'de bir kullanıcı nesnesinin telefon numarası özniteliğine Yazma Özelliği erişimi gerektiren bir ACE yoksa, Dizin Hizmeti Değişiklikleri alt kategorisi etkin olsa da, telefon numarası özniteliği değiştirildiğinde hiçbir denetim olayı günlüğe kaydedilmez.

Şema

Çok sayıda olayın oluşturulmamasını sağlamak için, şemada denetlenecek öğeler için özel durumlar oluşturmak üzere kullanabileceğiniz ek bir denetim vardır.

Örneğin, bir kullanıcı nesnesinde bir veya iki öznitelik dışındaki tüm öznitelik değişikliklerini görmek istiyorsanız, denetlenmesini istemediğiniz öznitelikler için şemada bir bayrak ayarlayabilirsiniz. Her özniteliğin searchFlags özniteliği, öznitelik için dizin oluşturulduğunu, özniteliğin genel kataloğa çoğaltıldığını veya bu türde başka bir davranışı tanımlar. searchFlags özelliği için tanımlanmış yedi bit değeri bulunmaktadır.

Bir öznitelik içi 9 biti (256 değeri) ayarlanmışsa, öznitelikte değişiklikler yapıldığında AD DS değişiklik olaylarını günlüğe kaydetmez. Bu, ilgili özniteliği içeren tüm nesneler için geçerlidir.

Hangi ayarlar eklendi veya değiştirildi?

AD DS denetimi için kullanılabilen yeni kayıt defteri anahtarı ayarları ve Grup İlkesi ayarları vardır.

Kayıt defteri ayarları

Aşağıdaki kayıt defteri anahtarı değerleri AD DS denetimini yapılandırmak için kullanılır.

 

Ayar adı Konum Olası değerler

MaximumStringBytesToAudit

HKEY_LOCAL_MACHINE\ System\CurrentControlSet\ Services\NTDS\Parameters

  • En düşük kayıt defteri değeri: 0

  • En yüksek kayıt defteri değeri: 64000

  • Varsayılan değer: 1000

Grup İlkesi ayarları

Denetim ilkesi alt kategorilerini Yerel Grup İlkesi Düzenleyicisi (GPedit.msc) ile görüntüleyemezsiniz. Bunları yalnızca Auditpol.exe adlı komut satırı aracılığıyla görüntüleyebilirsiniz. Aşağıdaki örnek auditpol komutu, Dizin Hizmeti Değişiklikleri adlı denetim alt kategorisini etkinleştirir:

auditpol /set /subcategory:"directory service changes" /success:enable

 

 

 

Delta Bilişim Hizmetleri İç ve Dış Tic.Ltd.Şti.
Rıhtım Cd. Başçavuş Sok.Yazıcıoğlu İşhanı No:2/38
Kadıköy / Istanbul
Tel. : 0216 418 94 65 - 0216 414 99 12 - 0216 418 05 70
0216 346 92 97 - 0216 418 05 82
Fax : 0216 330 93 50

www.deltabilgisayar.net

 



__________ ESET NOD32 Antivirus Akıllı Güvenlik tarafından sağlanan bilgiler, virüs imza veritabanı sürümü: 5076 (20100430) __________

İleti ESET NOD32 Antivirus Akıllı Güvenlik tarafından denetlendi.

http://www.nod32.com.tr


__________ ESET NOD32 Antivirus Akıllı Güvenlik tarafından sağlanan bilgiler, virüs imza veritabanı sürümü: 5076 (20100430) __________

İleti ESET NOD32 Antivirus Akıllı Güvenlik tarafından denetlendi.

http://www.nod32.com.tr
cc731764.note(tr-tr,WS.10).gif
Reply all
Reply to author
Forward
0 new messages