Grup ilkesi değişikliklerinin izlenmesi

Kullanıcılar ve bilgisayarlar dahil olmak üzere tüm Active Directory (AD) nesnelerinin çalışma ortamını kontrol ettiğinden BT yöneticilerinin Grup İlkesindeki tüm değişiklikleri denetlemesi önemlidir. Grup İlkesi, farklı sistemlerin, kullanıcıların ve diğer AD nesnelerinin birbirleriyle etkileşime girme biçimini tanımlar. Bir BT yöneticisi tarafından ayarlanan Grup İlkesi yapılandırmalarının birleşimi Grup İlkesi Nesnesi (GPO) olarak bilinir.

AD ortamını tehlikeye atmayı amaçlayan saldırganlar GPO'ları hedef alarak kötü amaçlı değişiklikler yapmaya çalışabilir. GPO'lardaki değişikliklerin denetlenmesi, bir yöneticinin tam olarak hangi değişikliğin yapıldığını, ne zaman yapıldığını, değişikliği kimin yaptığını ve değişikliğin nerede yapıldığını bilmesini sağlar. Bu, AD ortamının güvenliğini güçlendirmekle birlikte yöneticiye yetkisiz değişiklikleri geri alma imkanı sunar.

Grup İlkesindeki değişikliklerin denetlenmesi için, BT yöneticilerinin öncelikle DS nesnelerinin, Grup İlkesi Kapsayıcı Nesnelerinin ve SYSVOL klasörünün denetimini etkinleştirmesi gerekir.

• DS nesnelerinin denetimini etkinleştirme

• Windows Server İşletim Sisteminizde Sunucu Yöneticisi'ni başlatın.

• Araçlar -> Grup İlkesi Yönetimi alanına gidin.

• Etki Alanları -> Etki Alanı Denetleyicileri kısmına gidin.

• Aşağıdaki iki adımdan birini atın:

  1. Varsayılan Etki Alanı Denetleyicileri İlkesi'ne sağ tıklayın ve ardından Grup İlkesi Yönetimi Düzenleyicisi'ni başlatmak için Düzenle seçeneğine tıklayın veya
  2. Yeni bir GPO oluşturun.

• Bilgisayar Yapılandırması > İlkeler > Windows Ayarları > Güvenlik Ayarları > Gelişmiş Denetim İlkesi Yapılandırması > Denetim İlkeleri -> DS Erişimi alanına gidin.

• Ayrıntılı Dizin Hizmeti Çoğaltma Denetimi, Dizin Hizmeti Erişim Denetimi, Dizin Hizmeti Değişiklikleri Denetimi ve Dizin Hizmeti Çoğaltma Denetimi seçeneklerinden her biri için hem "başarılı" hem de "başarısız" denetimini etkinleştirin.

• Şimdi Gelişmiş Denetim İlkesi Yapılandırması -> Denetim İlkesi -> Nesne Erişimi alanına gidin.

• 14 alt kategorinin tamamı için hem "başarılı" hem de "başarısız" denetimini etkinleştirin.

• Grup İlkesi Kapsayıcı Nesnelerinin denetiminin etkinleştirilmesi

• Sunucu Yöneticisi -> Araçlar -> ADSI Düzenleme alanına gidin.

• Sol bölmedeki ADSI Düzenleme seçeneğine sağ tıklayın ve Bağlantı Ayarlarını açmak için 'Bağlan' seçimini yapın. Yolun sizi etki alanı denetleyicinize yönlendireceğini fark edeceksiniz.

  

• Bağlanmak için Tamam'a basın.

• Varsayılan Adlandırma Bağlamını açın.

• DC = Etki Alanı -> DC = com -> CN=Sistem -> CN=İlkeler alanına gidin.

• CN=İlkeler öğesine sağ tıklayın ve Özellikler alanına gidin.

• Güvenlik -> Gelişmiş -> Denetim -> Ekle alanına gidin.

• İlkeler için Denetim Girişi sihirbazında, sorumlu seçeneği için Herkes'i seçin.

  

• Tür "Başarılı" ve Geçerlilik "Bu nesne ve tüm alt nesneler" olarak belirlenmelidir.

• İzinler kısmında, eylemlerin denetleneceği tüm girdileri seçin. Asgari olarak "Grup İlkesi Kapsayıcı Nesneleri Oluştur", "Sil", "İzinleri Değiştir" ve "Sürüm Numarasını Yaz" denetimlerini yapmak isteyebilirsiniz.

• Tamam’a tıklayın.

• SYSVOL klasörünün denetimini etkinleştirme

• Genellikle C:\Windows\SYSVOL konumunda bulunan SYSVOL klasörünüze gidin.

• SYSVOL klasörüne sağ tıklayın ve Özellikler alanına gidin.

• SYSVOL klasörü için Gelişmiş Güvenlik Ayarlarını açmak üzere Güvenlik -> Gelişmiş alanına gidin.

• Denetim sekmesine ve ardından Ekle seçeneğine tıklayın.

• AD'nizdeki herkes tarafından yapılan değişiklikler için denetimi etkinleştirmek üzere Sorumlu alanında "Herkes" seçimini yapın.

  

• Denetim girişlerinizi seçin.

• Tamam'a basın.

GPO'ları denetlemenin iki yolu vardır:

1) Olay Görüntüleyicisi gibi yerel araçları kullanma ve 2) ADAudit Plus gibi kapsamlı bir AD denetim çözümünü kullanma. Bu makalede her iki yöntemi de karşılaştıracağız.

• Yerel denetim araçlarını kullanma (Olay Görüntüleyicisi)

• Başlat Menüsü -> Denetim Masası -> Yönetim Araçları -> Olay Görüntüleyicisi alanına gidin.

• Grup İlkesi değişiklikleri, değer değişiklikleri ve GPO bağlantı değişikliklerinin listesini vereceğinden olayları olay kimliği 5136'ya göre filtreleyin.

Burada olay kimliği 5136 için yapılan bir aramaya dair örnek ekran görüntüsü verilmektedir:

• 

GPO değişikliklerini denetlemek için Olay Görüntüleyicisi'ni kullanmak birkaç dezavantajı da beraberinde getirir:

• Veriler çeşitli günlükler yer aldığından bunların kullanılması kolay değildir. Dolayısıyla, ne olduğunu tam olarak görebilmek için yöneticinin birkaç günlüğü görüntülemesi gerekir.

• Olay Görüntüleyicisi'nde BT yöneticisinin kullanabileceği tablo biçiminde raporlar veya çizelgeler bulunmaz. Bu, verileri görselleştirmeyi zorlaştırır.

• Yönetici günlükleri manuel olarak taramak, notlar almak ve hangi GPO'nun değiştirildiğini, kimin, ne zaman ve nerede değiştirdiğini analiz etmek için kayda değer düzeyde efor sarf etmek zorunda kalır.

Tüm GPO değişikliklerini denetlemek için ADAudit Plus gibi kapsamlı bir AD denetim çözümünden faydalanmak her zaman daha iyi bir seçenektir. Bu, kuruluşunuzun AD'sini koruma konusunda oldukça etkili olacaktır.