Windows Server’da Local Audit Policy ile Güvenlik İzleme

Siber güvenlikte en kritik unsurlardan biri sistemde olup biteni gözlemlemek ve gerektiğinde bu bilgileri adli bilişim ya da denetim süreçlerinde kullanabilmektir.

Local Audit Policy Windows Server ortamlarında bu ihtiyacı karşılayan temel araçlardan biridir.

Audit Policy sayesinde:

• Yetkisiz erişim girişimleri,
• Kullanıcı aktiviteleri,
• Sistem yapılandırma değişiklikleri,
• Güvenlik politikalarındaki güncellemeler

otomatik olarak kayıt altına alınır. Böylece hem günlük operasyonlarda hem de olay müdahalesinde sağlam bir log altyapısı sağlanır.

Local Audit Policy’nin Önemi

Denetim politikaları (Audit Policies) kurum içi güvenlik standartlarının ve regülasyonların uygulanabilmesi için kritik öneme sahiptir.

Neden önemli?

• Kimin ne yaptığını bilmek: Kullanıcı aktivitelerinin kayıt altına alınması içeriden gelen tehditlere karşı önemli bir koruma sağlar.
• Yetkisiz erişimleri tespit etmek: Başarısız oturum açma girişimleri brute-force saldırılarını ortaya çıkarabilir.
• Uyumluluk (Compliance): ISO 27001, GDPR, HIPAA gibi standartlarda log takibi zorunludur.
• Adli Bilişim (Forensics): Bir saldırı sonrasında olayın nasıl gerçekleştiğini anlamak için audit logları kritik delil kaynağıdır.

Audit Loglarını Nereden ve Nasıl Görüntüleriz?

Audit loglarının tutulduğu yer:

Yol:
Event Viewer → Windows Logs → Security

Burada her olay bir Event ID ile temsil edilir.

Sık kullanılan Event ID’ler:

Event ID	Açıklama	Kullanım Senaryosu
4624	Başarılı oturum açma	Kullanıcı girişini doğrulamak
4625	Başarısız oturum açma	Brute-force saldırılarını tespit etmek
4647	Kullanıcı çıkışı	Oturum sürekliliğini izlemek
4720	Kullanıcı hesabı oluşturuldu	Yetkisiz hesap açma denemelerini görmek
4722	Hesap etkinleştirildi	Kilitli hesabın açıldığını görmek
4726	Kullanıcı hesabı silindi	Yetkisiz kullanıcı temizleme girişimlerini fark etmek
4719	Audit Policy değiştirildi	Bir saldırgan loglama mekanizmasını kapatmaya çalışıyor olabilir
1102	Security log temizlendi	Kritik uyarı – saldırgan izlerini silmeye çalışıyor olabilir

Bu Event ID’ler güvenlik ekiplerinin SIEM sistemlerinde en çok kullandığı alarm tetikleyicileridir.

Önerilen Minimum Konfigürasyon

Varsayılan ayarlar güvenlik için yetersizdir. Bu nedenle sistem yöneticisinin yapılandırma yapması gerekir.

Yol:
Local Security Policy → Local Policies → Audit Policy

Aktif edilmesi gereken temel ayarlar:

• Audit logon events → Success & Failure
• Audit account logon events → Success & Failure
• Audit account management → Success
• Audit policy change → Success
• Audit system events → Success & Failure

Bu konfigürasyon ile:

• Kullanıcı giriş çıkışları,
• Hesap değişiklikleri,
• Politika güncellemeleri,
• Kritik sistem olayları

kapsamlı şekilde loglanmış olur.

Gelişmiş Audit Policy (Advanced Audit Policy)

Windows Server 2008’den itibaren daha detaylı kontrol imkânı sunan Advanced Audit Policy Configuration özelliği kullanılabilir.

Yol:
Group Policy Management → Computer Configuration → Windows Settings → Security Settings → Advanced Audit Policy Configuration

Burada 50’den fazla detaylı kategori vardır. Örneğin:

• Logon/Logoff: Oturum açma, çıkış, kilitlenme, uzak bağlantı kayıtları
• Object Access: Dosya, klasör ve registry erişimleri
• Policy Change: Firewall, kullanıcı hakları, audit policy değişiklikleri
• Privilege Use: Kullanıcıların ayrıcalıklı işlemleri (ör. SeDebugPrivilege)

Böylece sadece kritik olaylar değil, dosya erişim seviyesinde bile denetim sağlanabilir.

Log Yönetimi ve Performans Dengesi

Audit loglarının doğru yönetilmesi hayati önem taşır.

Öneriler:

• Log boyutu artırılmalı: Minimum 200 MB önerilir.
• Archive the log when full: Otomatik arşivleme aktif edilmeli.
• Performans dengesi: Çok fazla kategori açılırsa, loglar hızlı dolar ve sistem performansını düşürebilir.
• Filtreleme: Event Viewer üzerinde filtre kullanarak kritik olaylara odaklanmak gerekir.

Kritik Not: Logların dolması ve üzerine yazılması, adli bilişimde veri kaybına yol açabilir. Bu nedenle arşivleme mutlaka aktif edilmelidir.

Domain Ortamında Merkezi Yönetim (GPO ile)

Birden fazla sunucu ve istemci bulunan ortamlarda denetim politikalarının tek tek ayarlanması hem zaman kaybıdır hem de standardı bozar.

Bunun yerine:
Yol:
Group Policy Management → Computer Configuration → Windows Settings → Security Settings → Advanced Audit Policy Configuration

Avantajları:

• Tüm sistemlerde aynı ayarlar uygulanır.
• Merkezi yönetim ve raporlama kolaylaşır.
• Domain Controller seviyesinde kritik aktiviteler (örneğin kullanıcı oluşturma/silme) izlenebilir.

SIEM ve Merkezi Log Toplama

Audit logları sadece Event Viewer’da bırakılmamalıdır.

SIEM entegrasyonu ile:

• Splunk, Sentinel, Wazuh, QRadar gibi sistemlere loglar gönderilebilir.
• Olay korelasyonu yapılabilir (örneğin aynı kullanıcı farklı sunucularda başarısız giriş denemesi yapıyor).
• Alarm mekanizmaları kurulabilir.

Windows Event Forwarding (WEF): Yerleşik Windows özelliği ile loglar merkezi bir Windows Event Collector sunucusuna gönderilebilir. Bu, küçük/orta ölçekli kurumlar için pratik bir çözümdür.

Güvenlik Senaryoları

• Yetkisiz giriş denemeleri: Event ID 4625’te artış görülüyorsa brute-force saldırısı olabilir.
• Yeni hesap oluşturulması: Event ID 4720 tespit edilirse, kim tarafından açıldığı mutlaka incelenmeli.
• Audit policy kapatılması: Event ID 4719, saldırganın izlerini gizleme girişimidir.
• Logların temizlenmesi: Event ID 1102, acil müdahale gerektiren bir uyarıdır.

Local Audit Policy Windows Server güvenliğinin temel taşlarından biridir. Doğru konfigürasyon ve merkezi yönetim ile:

• Kullanıcı aktiviteleri şeffaf biçimde izlenir,
• Kritik olaylar anında fark edilir,
• Uyumluluk (compliance) gereksinimleri karşılanır,
• Adli bilişim için sağlam bir kayıt tutulur.

En iyi pratik:

• Minimum gerekli audit kategorilerini aktif et,
• Log boyutunu büyüt ve arşivlemeyi aç,
• Domain ortamında GPO ile merkezi yönetim uygula,
• SIEM entegrasyonu ile korelasyon ve alarm mekanizmalarını devreye al.