Windows 2008 R2'de Tavsiye Ettiğim Denetim Ayarları - Nass oluyor da oluyor ?

Microsoft Windows 2008'in R2 sürümüyle birlikte Denetim politikalarına (Audit Policy) alt kategoriler ekledi. Böylece daha önce 9 kategoride düzenlenebilen denetim ayarı sayısı 53'e çıkarılmış oldu. İleri güvenlik denetim politikaları (Advanced Security Audit Policy) hakkında bundan fazla açıklama yapmadan hızlıca olay kayıtlarını çöplüğe çevirmeden sunucularınızda uygulayabileceğiniz ayarları tablo halinde vermek istiyorum,tek tek neden alt kategorilerde bu ayarları yaptığımı da anlatmayacağım merak eden açsın okusun kardeşim (bkz) . Sunucularınızın verdiği hizmetlere,yüklendiği rollere göre değişiklik yapmanız gerekebilir. Dosya sunucunuzda Dosya Paylaşım denetimlerini sadece başarısız erişimleri kayıt altına alacak şekilde değiştirmek isteyeceksinizdir mesela.
Tablodaki ayarları "Local Group Policy Editor","Local Security Policy" MMC'leri grafik arayüzünü kullanarak ya da işletim sistemiyle birlikte gelen "Auditpol" aracıyla uygulayabilirsiniz. Dikkat etmeniz ve unutmamanız gereken nokta Auditpol aracıyla yaptığınız değişiklikleri MMC Snapin'lerde göremeyecek olmanız.Microsoft bu noktada Sistem ve Güvenlik yöneticilerini hayal kırıklığına uğratmış.

Kategori	Alt Kategori	Ayar
System	Audit Security State Change	Success:Enable,Failure:Enable
	Audit Other System Events	Success:Enable,Failure:Enable
	Audit Security System Extension	Success:Enable,Failure:Enable
	Audit System Integrity	Success:Disable,Failure:Enable
Privilege Use	Audit Sensitive Privilege Use	Success:Enable,Failure:Enable
Policy Change	Audit Audit Policy Change	Success:Enable,Failure:Enable
	Audit Filtering Platform Policy Change	Success:Enable,Failure:Enable
Object Access	Audit Detailed File Share	Success:Enable,Failure:Enable
	Audit Filtering Platform Connection	Success:Enable,Failure:Enable
	Audit Filtering Platform Packet Drop	Success:Enable,Failure:Enable
	Audit Registry	Success:Enable,Failure:Enable
Logon/Logoff	Audit Logoff	Success:Enable,Failure:Enable
	Audit Logon	Success:Enable,Failure:Enable
	Audit Other Logon/Logoff Events	Success:Enable,Failure:Enable
Detailed Tracking	Audit Process Creation	Success:Enable,Failure:Enable
Account Management	Audit User Account Management	Success:Enable,Failure:Enable
	Audit Security Group Management	Success:Enable,Failure:Enable
	Audit Distribution Group Management	Success:Enable,Failure:Enable

Auditpol ile tablodaki ayarları aşağıdaki komutlarla etkin hale getirebilirsiniz,ama yukarda belirttiğim gibi auditpol ile yapılan düzenlemeler "Local Group Policy Editor" ya da "Local Security Policy" snapinlerinde görünmez. Komut satırından ya da Snapinle yapılan değişikliklerin tümü

auditpol /get /category:*

komutuyla görülebilir.

auditpol /set /subcategory:"Security State Change" /success:enable /failure:enable

auditpol /set /subcategory:"Other System Events" /success:disable /failure:enable

auditpol /set /subcategory:"Security System Extension" /success:enable /failure:enable

auditpol /set /subcategory:"System Integrity" /success:enable /failure:enable

auditpol /set /subcategory:......

Yukardaki denetim ayarları sunucularınızda neler olup bittiği,kimlerin ne tip değişiklikler yaptığı gibi konular hakkında fikir verecektir. Olası bir saldırıda veya kötü niyetli kullanıcılarca alınacak ilk tedbirlerden birinin olay kayıtlarını silmek olduğunu aklınızdan çıkarmayın, olay kayıtlarını ya da en azından kopyalarını izole ve daha güvenli merkezi log sunucularınızda barındırmayı alışkanlık haline getirin.