Active Directory Audit Policy Açma ve Düzenleme

AD Audit üzerinde yapılan bütün değişiklikler saklanmaktadır. Active Direktory üzerinde nesnelerin bütün geçmişini görüntüleyebilir veya kritik nesneler üzerinde yapılan değişiklikleri sürekli olarak izleyebiliriz. AD gibi kritik bir ortamda yapılan tüm işlemleri takip edebilmemiz için Microsoft Best Practices’lerine uygun olarak AD Audit’lerimizi düzenlememiz ve açmamız gerekmektedir.

Group Policy Management üzerinden Domain Controllers OU’su altındaki, Default Domain Controller Policy üzerine gelinerek Edit yapılır.

Computer Configuration/Policies/Windows Settings/Security Settings/Advanced Audit Policy Configuration/Audit Policies/Account Logon alanına gelerek, Microsoft Best Practices’lerine uygun olarak audit politikalarını en aşağıdaki kısmında yer alan EK 1 (AD Audit Düzenleme Çalışması)’na göre düzenleyeceğiz.

Örnek olarak ilk iki politika üzerinde gösterilmiş olup, aşağıdaki alanında yer alan tabloya göre tüm Audit’ler üzerinde çalışma gerçekleştirilmelidir.

EK 1 (AD Audit Düzenleme Çalışması)

Audit Policy Category or SubcategoryWindows DefaultBaseline RecommendationStronger Recommendation
Success FailureSuccess FailureSuccess Failure
Account Logon
Audit Credential ValidationNo NoYes YesYes Yes
Audit Kerberos Authentication ServiceYes Yes
Audit Kerberos Service Ticket OperationsYes Yes
Audit Other Account Logon EventsYes Yes
Account Management
Audit Application Group Management
Audit Computer Account ManagementYes DCYes Yes
Audit Distribution Group Management
Audit Other Account Management EventsYes YesYes Yes
Audit Security Group ManagementYes YesYes Yes
Audit User Account ManagementYes NoYes YesYes Yes
Detailed Tracking
Audit DPAPI ActivityYes Yes
Audit Process CreationYes NoYes Yes
Audit Process Termination
Audit RPC Events
DS Access
Audit Detailed Directory Service Replication
Audit Directory Service AccessDC DCDC DC
Audit Directory Service ChangesDC DCDC DC
Audit Directory Service Replication
Logon and Logoff
Audit Account LockoutYes NoYes No
Audit User/Device Claims
Audit IPsec Extended Mode
Audit IPsec Main ModeIF IF
Audit IPsec Quick Mode
Audit LogoffYes NoYes NoYes No
Audit LogonYes NoYes YesYes Yes
Audit Network Policy ServerYes Yes
Audit Other Logon/Logoff EventsYes Yes
Audit Special LogonYes NoYes NoYes Yes
Object Access
Audit Application Generated
Audit Certification Services
Audit Detailed File Share
Audit File Share
Audit File System
Audit Filtering Platform Connection
Audit Filtering Platform Packet Drop
Audit Handle Manipulation
Audit Kernel Object
Audit Other Object Access Events
Audit Registry
Audit Removable Storage
Audit SAM
Audit Central Access Policy Staging
Policy Change
Audit Audit Policy ChangeYes NoYes YesYes Yes
Audit Authentication Policy ChangeYes NoYes NoYes Yes
Audit Authorization Policy Change
Audit Filtering Platform Policy Change
Audit MPSSVC Rule-Level Policy ChangeYes
Audit Other Policy Change Events
Privilege Use
Audit Non Sensitive Privilege Use
Audit Other Privilege Use Events
Audit Sensitive Privilege Use
System
Audit IPsec DriverYes YesYes Yes
Audit Other System EventsYes Yes
Audit Security State ChangeYes NoYes YesYes Yes
Audit Security System ExtensionYes YesYes Yes
Audit System IntegrityYes YesYes YesYes Yes
Global Object Access Auditing
Audit IPsec Driver
Audit Other System Events
Audit Security State Change
Audit Security System Extension
Audit System Integrity

Audit Policy Tables Legend

NotationRecommendation
YESEnable in general scenarios
NODo not enable in general scenarios
IFEnable if needed for a specific scenario, or if a role or feature for which auditing is desired is installed on the machine
DCEnable on domain controllers
[Blank]No recommendation