Windows Server

GPO – Force Audit Policy Subcategory Settings

 

Bu makalemde sizlere özellikle Lepide ürününü verdiğimiz büyük müşterilerimizde yaşadığımız bir takım sorunlardan sonra aklıma gelen ve aslında 2016 yılında kendi bloğumda yayınladığım bir konudan bahsetmek istiyorum. İşin güzelliği makaleyi çok özenerek yazmışım, malum o zamanda Lepide ve Audit ürünleri ile ilgilendiğim için kendime yazıp her zaman yaptığım gibi yayınladım. Aradan iki yıl geçmiş tabiki pek çok makalemde olduğu gibi yazdığımı unutup hop Google a iki satı arama kelimesi girince makale karşıma çıktı, çok mutlu oldum, sonra fark ettim ki Çözümpark’ ta çıkmıyor, çünkü ben inatla site:cozumpark.com yazarak arama yaparım mevcut kaynakları önce gözden geçirmek için çıkmayınca zaman kaybı yaşadım, sonra kontrol edince cidden bu makaleyi portalda yayınlamayı atlamışım, ondan dolayı bu güne yayınlamak kısmetmiş deyip yayınlıyorum.

 

Windows Vista ve sonrası işletim sistemleri için sunulan bu GPO sayesinden bir bilgisayar için yerel olarak detaylı olarak ayarlanan Audit policylerin aynı makineye uygulanan diğer GPO ile çakışması durumunda bu yaptığınız ayarların bakın kalmasını sağlar. GPO içerisinde Audit ayarları için aşağıdaki yolu takip edebilirsiniz;

 

Computer Configuration-Windows Settings-Security Settings-Local Policies-Audit Policy

 

clip_image002

 

Burada gördüğünüz gibi ana kategoriler için temel ayarlar bulunmaktadır;

 

clip_image004

 

Ancak siz bu ayarlara ek olarak aşağıdaki komut seti ile daha detaylı ayarlar yapabilirsiniz

 

auditpol /list /subcategory:*

 

Mevcut alt kategorileri listeleyebiliriz;

 

clip_image006

 

Mevcut makinenizde yapılan değişiklikleri ise aşağıdaki komut seti ile görüntüleyebiliriz;

 

auditpol /get /category:*

 

clip_image008

 

Peki alt kategoriler için nasıl bir ayarlama yapıyoruz? Öncelikle ilk komutumuzdan tüm alt kategorileri not alıp ihtiyaç duyduklarımız için aşağıdaki gibi ayarlama yapabiliyoruz

 

auditpol /set /subcategory:”file system” /success:enable /failure:enable

 

clip_image010

 

Komutun hemen etkisini güvenlik olay günlüklerinde görebiliyorsunuz

 

clip_image012

 

Varsayılan ayarları yüklemek için aşağıdaki komutu kullanabilirsiniz

 

auditpol /clear

 

Yine en çok kullanılan örnekleri de aşağıdaki gibi sizler ile paylaşabilirim

 

auditpol /set /subcategory:”user account management” /success:enable /failure:enable

 

auditpol /set /subcategory:”logon” /success:enable /failure:enable

 

auditpol /set /subcategory:”IPSEC Main Mode” /failure:enable

 

Eğer yaptığınız ayarları merkezi olarak dağıtmak istiyorsanız öncelikle bir makinede yukarıda olduğu gibi gerekli gördüğünüz tüm ayarları yapın ve sonra aşağıdaki gibi bunu yedekleyin

 

auditpol /backup /file:auditpolicy.txt

 

Daha sonra bu txt dosyasını DC üzerindeki netlogon paylaşımına kopyalayın ve aşağıdaki makalede anlatıldığı gibi başlangıç komut seti dosyası oluşturarak bunu uygulayabilirsiniz

 

https://support.microsoft.com/en-us/kb/921469

 

Ancak burada önemli olan bunun gibi ince ayar audit policy yapmak istiyorsanız ilgili bu makinede aşağıdaki GPO Enable olmalıdır

 

Computer Configuration-Windows Settings-Security Settings-Local Policies-Security Options altında

 

Audit: Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings.

 

clip_image014

 

Bunun Enable yaptıktan sonra artık yapacağınız alt kategori ayarları geçerli olacaktır. Aksi halde bu makineye uygulanacak olan bir Audit policy yaptığınız ayarları ezecektir.

 

Kayıt defteri üzerinden yapmak istiyorsanız

 

MACHINE\System\CurrentControlSet\Control\Lsa altına yeni bir DWORD oluşturuyoruz

 

İsmi SCENoApplyLegacyAuditPolicy

 

Değeri 1 yapmanız yeterli, makineyi restart etmenize gerek yok.

 

Varsayılan olarak bu GPO için ayarlar ise aşağıdaki gibidir;

 

clip_image016

 

Aslında çok kişi tarafından merak edilmeyen hatta farkında bile olmayan bir GPO olmasına karşın özellikle audit ile ilgilenenler için çok ince bir bilgi olduğu ve yine müşterilerimde karşıma çıktığı için sizler ile de paylamak istedim.

 

Bir sonraki makalemizde görüşmek üzere

 

Kaynak

 

https://technet.microsoft.com/en-us/library/dd772710(v=ws.10).aspx

 

https://support.microsoft.com/en-us/kb/921469

Eğer ürün hakkında daha fazla bilgi almak veya POC yapmak için Türkiye de ki resmi dağıtıcı ile görüşebilirsiniz.

[email protected] ye mail atmanız halinde size en uygun bayi üzerinden POC desteği sunulacaktır.

Hakan Uzuner

2002 yılından beri aktif olarak bilişim sektöründe çalışmaktayım. Bu süreç içerisinde özellikle profesyonel olarak Microsoft teknolojileri üzerinde çalıştım. Profesyonel kariyerim içerisinde eğitmenlik, danışmanlık ve yöneticilik yaptım. Özellikle danışmanlık ve eğitmenlik tecrübelerimden kaynaklı pek çok farklı firmanın alt yapısının kurulum, yönetimi ve bakımında bulundum. Aynı zamanda ÇözümPark Bilişim Portalı nın Kurucusu olarak portal üzerinde aktif olarak rol almaktayım. Profesyonel kariyerime ITSTACK Bilgi Sistemlerinde Profesyonel Hizmetler Direktörü olarak devam etmekteyim.

İlgili Makaleler

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu