Windows Ortamında Sistem Erişim Kontrol Listelerinin Ayarlanarak Bir Klasör Üzerindeki Olay Loglarının Tutulması

Kritik sistemlerde dosyalar üzerinde yapılan işlemlerin kayıt altına alınması büyük öneme sahiptir. Bu yazıda bir klasör üzerinde belli olaylar gerçekleştiriğinde denetimin aktifleştirilmesi sağlanacak ve bu olaylar gerçekleştiğinde Olay Görüntüleyicisi’ne kayıtların düştüğü görülecektir.

System Access Control List (SACL) ise korunabilen bir nesneye erişme girişiminde bulunan tüm girişimlerin kayıt bilgisinin tutulmasında kullanılır. Her bir ACE nesnesi burada erişilmeye çalışılan nesne için hangi kullanıcı veya grubun hangi erişim türü için (başarılı – başarısız) güvenlik kayıt bilgileri (security event log) ekranına kayıt girileceğini tanımlamada kullanılır. SACL ile başarılı, başarısız ya da her iki durum için de kayıt bilgisi üretilmesi sağlanabilir.

Bu uygulamada C dizini gibi kritik sayılabilecek bir dizinde oluşturulan dosyanın oluşması olayının güvenlik kayıtlarına eklenmesi sağlanacaktır. Bu işlem 2 adımda incelenebilir:

  • İlke ayarının gerçekleştirilmesi
  • SACL tanımının gerçekleştirilmesi
  • Günlük kayıtlarının incelenmesi

 

1) İlke Ayarının Gerçekleştirilmesi

Varsayılan durumda C:\ dizini altında bir klasör oluşturma/silme/erişme gibi olayların kaydı tutulmaz. Bu kayıtların tutulması için yerel veya grup ilkelerinden nesne erişimlerinin kaydedilmesi gerektiğine dair bir ayar gerçekleştirilmelidir.

Run > gpedit.msc > Local Computer Policy > Computer Configuration > Windows Settings > Security Setting > Local Policies > Audit Policy > Audit object access: Success & Failure

Şekil - 1: Nesneye Erişim Kayıtlarının Açılması

Şekil – 1: Nesneye Erişim Kayıtlarının Açılması

 

Eğer bu işlem grup ilkeleri üzerinden gerçekleştirilmiş ise, grup ilkelerinin güncellenmesi sağlanmalıdır.

gpupdate /force

 

2) SACL Tanımının Gerçekleştirilmesi

İlke tanımından sonra, erişim kontrol listesine yeni bir kayıt girilmelidir. Bunun öncesinde, C dizininde “Denetlenecek Klasör” adında bir klasör oluşturulur. Bu klasör içerisinde “Dosya Oluşturma.txt” adlı bir dosya oluşturulur. Sonrasında SACL tanımı yapılır.

C:\Denetlenecek Klasör > Properties > Security Sekmesi > Advanced > Auditing

Şekil - 2: Klasöre Ait Olay Kayıtlarının Aktifleştirilmesi - 1

Şekil – 2: Klasöre Ait Olay Kayıtlarının Aktifleştirilmesi – 1

 

Yukarıdaki ekranda Edit butonuna basılarak Everyone için denetim kayıtları açılır. Bu amaçla, Add butonuna basıldıktan sonra gelen ekranda “Everyone” yazılır ve “Check Names” butonu ile kullanıcı seçimi gerçekleştirilir.

Şekil - 3: Klasöre Ait Olay Kayıtlarının Aktifleştirilmesi - 2

Şekil – 3: Klasöre Ait Olay Kayıtlarının Aktifleştirilmesi – 2

 

Yukarıdaki ekran görüntüsünde OK butonuna basıldığında, aşağıdaki gibi bir ekran ile karşılaşılır. Gelen ekran görüntüsünde sadece oluşturma ve silme işlemleri için denetim kayıtları açılır.

Şekil - 4: Klasöre Ait Olay Kayıtlarının Aktifleştirilmesi - 3

Şekil – 4: Klasöre Ait Olay Kayıtlarının Aktifleştirilmesi – 3

 

Son durumda Everyone kullanıcısı için denetimin açıldığı görülmektedir.

Şekil - 5: Klasöre Ait Olay Kayıtlarının Aktifleştirilmesi - 4

Şekil – 5: Klasöre Ait Olay Kayıtlarının Aktifleştirilmesi – 4

 

 

3) Günlük kayıtlarının incelenmesi

Yukarıdaki adımlardan sonra “Denetimli Klasör” içerisindeki bir dosya silindiğinde veya içerisinde bir dosya oluşturulduğunda güvenlik kayıtlarına bu değişiklik düşecektir.

Bu amaçla, “Dosya Oluşturma.txt” dosyası silinir.

Şekil - 6: Denetlenen Klasör İçerisindeki Bir Dosyanın Silinmesi

Şekil – 6: Denetlenen Klasör İçerisindeki Bir Dosyanın Silinmesi

 

Gerçekleştirilen değişimin kaydını izlemek için Event Viewer açılır.

Şekil - 7: Günlük Kayıtlarının Açılması

Şekil – 7: Günlük Kayıtlarının Açılması

 

Event Viewer üzerinde ID’si 4656 olan bir kayıt düştüğü gözlenmektedir.

Şekil - 8: Silme İşlemine Ait Kaydın İncelenmesi

Şekil – 8: Silme İşlemine Ait Kaydın İncelenmesi

 

 

Kaynak:

https://www.bilgiguvenligi.gov.tr/microsoft-sistemleri-guvenligi-dokumanlari/index.php

 

Yazarın Bilgileri

Ertuğrul BAŞARANOĞLU
Ertuğrul BAŞARANOĞLU

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Kullanabileceğiniz HTLM etiketleri ve özellikleri: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

Bu sayfada incelenen konulardan doğacak sorunlar kişinin kendi sorumluluğundadır.