Audit: Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings.

Windows Vista ve sonrası işletim sistemleri için sunulan bu GPO sayesinden bir bilgisayar için yerel olarak detaylı olarak ayarlanan Audit policylerin aynı makineye uygulanan diğer GPO ile çakışması durumunda bu yaptığınız ayarların bakın kalmasını sağlar. GPO içerisinde Audit ayarları için aşağıdaki yolu takip edebilirsiniz;

Computer Configuration-Windows Settings-Security Settings-Local Policies-Audit Policy


Burada gördüğünüz gibi ana kategoriler için temel ayarlar bulunmaktadır;


Ancak siz bu ayarlara ek olarak aşağıdaki komut seti ile daha detaylı ayarlar yapabilirsiniz

auditpol /list /subcategory:*

Mevcut alt kategorileri listeleyebiliriz;


Mevcut makinenizde yapılan değişiklikleri ise aşağıdaki komut seti ile görüntüleyebiliriz;

auditpol /get /category:*


Peki alt kategoriler için nasıl bir ayarlama yapıyoruz? Öncelikle ilk komutumuzdan tüm alt kategorileri not alıp ihtiyaç duyduklarımız için aşağıdaki gibi ayarlama yapabiliyoruz

auditpol /set /subcategory:”file system” /success:enable /failure:enable


Komutun hemen etkisini güvenlik olay günlüklerinde görebiliyorsunuz


Varsayılan ayarları yüklemek için aşağıdaki komutu kullanabilirsiniz

auditpol /clear

Yine en çok kullanılan örnekleri de aşağıdaki gibi sizler ile paylaşabilirim

auditpol /set /subcategory:”user account management” /success:enable /failure:enable

auditpol /set /subcategory:”logon” /success:enable /failure:enable

auditpol /set /subcategory:”IPSEC Main Mode” /failure:enable

Eğer yaptığınız ayarları merkezi olarak dağıtmak istiyorsanız öncelikle bir makinede yukarıda olduğu gibi gerekli gördüğünüz tüm ayarları yapın ve sonra aşağıdaki gibi bunu yedekleyin

auditpol /backup /file:auditpolicy.txt

Daha sonra bu txt dosyasını DC üzerindeki netlogon paylaşımına kopyalayın ve aşağıdaki makalede anlatıldığı gibi başlangıç komut seti dosyası oluşturarak bunu uygulayabilirsiniz

https://support.microsoft.com/en-us/kb/921469

Ancak burada önemli olan bunun gibi ince ayar audit policy yapmak istiyorsanız ilgili bu makinede aşağıdaki GPO Enable olmalıdır

Computer Configuration-Windows Settings-Security Settings-Local Policies-Security Options altında

Audit: Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings.


Bunun Enable yaptıktan sonra artık yapacağınız alt kategori ayarları geçerli olacaktır. Aksi halde bu makineye uygulanacak olan bir Audit policy yaptığınız ayarları ezecektir.

Kayıt defteri üzerinden yapmak istiyorsanız

MACHINE\System\CurrentControlSet\Control\Lsa altına yeni bir DWORD oluşturuyoruz

İsmi SCENoApplyLegacyAuditPolicy

Değeri 1 yapmanız yeterli, makineyi restart etmenize gerek yok.

Varsayılan olarak bu GPO için ayarlar ise aşağıdaki gibidir;


Aslında çok kişi tarafından merak edilmeyen hatta farkında bile olmayan bir GPO olmasına karşın özellikle audit ile ilgilenenler için çok ince bir bilgi olduğu ve yine müşterilerimde karşıma çıktığı için sizler ile de paylamak istedim.

Eğer ayarlarda bir sorun yaşıyor ve varsayılan ayarlara dönmek istiyorsanız öncelikle GPO üzerindeki Advanced Audit Policy sub-categories ayarlarını “Not configured” olarak ayarlayın, sonra SYSVOL klasörü içerisindeki audit.csv dosyasını silin ve son olarak basic audit policy ayarlarını tekrar yapılandırın. Ek olarak sunucu üzerinde c:\windows\security\audit\ dizini içerisinde ki audit.csv dosyasını da silmeyi unutmayın.

Bir sonraki makalemizde görüşmek üzere

Kaynak

GPO – Force Audit Policy Subcategory Settings – ÇözümPark (cozumpark.com)