Active Directory'de Kerberos kimlik doğrulaması olaylarının denetlenmesi

Ücretsiz denemenizi başlatın

Kerberos, çok daha hızlı ve güvenli bir alternatif olarak Windows işletim sistemi için varsayılan kimlik doğrulama olarak NT LAN Manager'ın (NTLM) yerini aldı. BT yöneticileri, bu işlem sırasında oluşturulan olayların kaydedilmesini sağlayan Kerberos kimlik doğrulamasının denetimini etkinleştirebilir. Yöneticiler, etki alanına giriş yapan kullanıcıların hem başarısız hem de başarılı oturum açma etkinliklerini takip etmek amacıyla bu olayları izleyebilir. Olağan dışı düzeyde yüksek sayıda başarısız oturum açma girişimi gibi ani anormal değişiklikler, deneme yanılma saldırısı olasılığına ve daha fazlasına işaret ediyor olabilir. Kerberos kimlik doğrulama olaylarının denetlenmesi hakkında bilgi edinmek için okumaya devam edin:

Grup İlkesi Yönetim Konsolu (GPMC) ile denetimi etkinleştirmek için adımlar:

  1. Başlat'a basın, Grup İlkesi Yönetim Konsolu'nu arayın ve açın veya gpmc.msc komutunu çalıştırın.
İşlem izlemenin denetlenmesi
  1. Denetlemek istediğiniz etki alanına veya kuruluş birimine (OU) sağ tıklayın ve Bu etki alanında bir GPO oluştur ve Buraya bağla seçeneğine tıklayın.
Bir kullanıcı hesabının kilidini kimin açtığının tespit edilmesi
  1. Grup İlkesi Nesnesi'ni (GPO) uygun şekilde adlandırın.
  2. Yeni oluşturulmuş veya zaten mevcut olan GPO'ya sağ tıklayın ve Düzenle seçimini yapın.
Bir kullanıcı hesabının kilidini kimin açtığının tespit edilmesi
  1. Grup İlkesi Yönetim Düzenleyicisi'nin sol bölmesinde Bilgisayar Yapılandırması → İlkeler → Windows Ayarları → Güvenlik Ayarları → Gelişmiş Denetim İlkesi Yapılandırması → Denetim İlkeleri → Hesap Oturum Açma alanına gidin.
Bir kullanıcı hesabının kilidini kimin açtığının tespit edilmesi
  1. Sağ bölmede, Hesap Oturum Açma alanında, ilkelerin bir listesini göreceksiniz. Kerberos Kimlik Doğrulama Hizmeti seçeneğine çift tıklayın ve Aşağıdaki denetim olaylarını yapılandır:, Başarılı ve Başarısız olarak etiketlenmiş kutuları işaretleyin.
Bir kullanıcı hesabının kilidini kimin açtığının tespit edilmesi
  1. Kerberos Hizmeti Anahtar İşlemlerini Denetle ilkesi için de aynı işlemleri gerçekleştirin.
Bir kullanıcı hesabının kilidini kimin açtığının tespit edilmesi
  1. Uygula'ya ve ardından Tamam'a tıklayın.
  2. Grup İlkesi Yönetim Konsolu'na geri dönün ve sol bölmede, GPO'nun bağlı olduğu OU'ya sağ tıklayarak Grup İlkesini Güncelle seçeneğine tıklayın. Bu adım gerçekleştirildiğinde yeni Grup İlkesi ayarları bir sonraki zamanlanmış yenilemeyi beklemez, bunun yerine anında uygulanır.
Bir kullanıcı hesabının kilidini kimin açtığının tespit edilmesi

Olay Görüntüleyicisi'ni kullanarak Kerberos kimlik doğrulama olaylarını görüntülemek için adımlar

Yukarıdaki adımlar tamamlandıktan sonra, Kerberos kimlik doğrulama olayları olay günlüğünde saklanır. Bu olaylar, etki alanı denetleyicisinde (DC) aşağıdaki işlemlerin gerçekleştirilmesiyle Olay Görüntüleyicisi'nde görüntülenebilir:

  1. Başlat düğmesine basın, Olay Görüntüleyicisi için arama yapın ve açmak için tıklayın.
  2. Olay Görüntüleyicisi penceresinde, sol bölmede Windows günlüğü ⟶ Güvenlik alanına gidin.
  3. Burada, sistemde günlüğe kaydedilmiş tüm Güvenlik Olaylarının bir listesini bulacaksınız.
Bir kullanıcı hesabının kilidini kimin açtığının tespit edilmesi
  1. Sağ bölmede, Güvenlik kısmından, Geçerli Günlüğü Filtrele seçeneğine tıklayın.
Bir kullanıcı hesabının kilidini kimin açtığının tespit edilmesi
  1. Açılır pencerede, aşağıdaki tabloda referans verildiği gibi istenen Olay Kimliğini* <Tüm Olay Kimlikleri> olarak etiketlenmiş alana girin.

* Belirtilen olaylar için aşağıdaki Olay Kimlikleri oluşturulur:

Olay Kimliği Alt kategori Olay Türü Açıklama
4768 Kerberos Kimlik Doğrulama Hizmeti Başarılı ve Başarısız Bir Kerberos kimlik doğrulama bileti (TGT) istenmiştir
4769 Kerberos Hizmeti Anahtar İşlemleri Başarılı ve Başarısız Bir Kerberos hizmeti anahtarı istenmiştir
4770 Kerberos Hizmeti Anahtar İşlemleri Başarılı Bir Kerberos hizmeti anahtarı yenilenmiştir
4771 Kerberos Kimlik Doğrulama Hizmeti Hata Kerberos ön kimlik doğrulaması başarısız oldu
4772 Kerberos Kimlik Doğrulama Hizmeti Hata Bir Kerberos kimlik doğrulama bileti isteği başarısız olmuştur
4773 Kerberos Hizmeti Anahtar İşlemleri Hata Bir Kerberos hizmet anahtarı isteği başarısız olmuştur
  1. Tamam’a tıklayın. Bu, size söz konusu Olay Kimliğinin oluşumlarının bir listesini verir.
  2. Özelliklerini görüntülemek için Olay Kimliğine çift tıklayın.
Bir kullanıcı hesabının kilidini kimin açtığının tespit edilmesi

Active Directory (AD) yerel denetiminin sınırlamaları:

  • Bir yönetici, özelliklerini görüntülemek üzere her bir Olay Kimliği için arama yapmak zorunda kalır. Bu, küçük kuruluşlar için dahi hiç pratik değildir ve zaman alır.
  • Yerel denetim kullanılarak kullanışlı bir içgörü sağlanamaz. Yöneticinin oturum açma etkinliklerinde veya anormal kullanıcı davranışlarında ani artış durumunda izleme yapmak veya bildirim almak istemesi halinde, yerel denetimle bunu yapması mümkün olmayacaktır.
  • Kerberos kimlik doğrulama olayları, etki alanındaki herhangi bir DC'de günlüğe kaydedilebilir. Bir yönetici, her bir DC'deki olayları izlemek zorunda kalır ki bu da oldukça büyük bir iş yükü anlamına gelir. Tüm olayları izlemek için merkezileştirilmiş bir araç kullanılması, bu yükü büyük ölçüde azaltır.

ManageEngine ADAudit Plus, kullanıcı oturum açma etkinliğini Kerberos kimlik doğrulama olaylarını kullanarak izlemenize yardımcı olabilecek bir Active Directory denetim aracıdır. Ayrıca, anormal oturum açma etkinliğiyle ilgili raporlarla olası güvenlik tehditlerini tespit edebilir ve bu tür tehditlere ilgili yanıtların otomatik olarak verilmesini sağlayabilirsiniz.

30 günlük ücretsiz denemeyi

ManageEngine ADAudit Plus kullanılarak Kerberos kimlik doğrulamasının denetlenmesi için adımlar

  1. ADAudit Plus'ı indirin ve yükleyin.
  2. Etki alanı denetleyicinizde denetimi yapılandırma adımlarını buradan bulabilirsiniz.
  3. ADAudit Plus konsolunu açarak yönetici olarak oturum açın ve Raporlar → Active Directory → Kullanıcı Yönetimi → Kullanıcı Oturum Açma Etkinliği alanına gidin.
1
 

Kuruluşunuzda gerçekleşen oturum açma işlemlerine dair daha detaylı bilgi edinin ve her oturum açma işleminin gerçekleştiği zamanı ve yeri bilin.

2
 

Kuruluşunuzdaki güvenlik risklerini tespit etmek için üçüncü bir taraf kontrolü ele geçirmek amacıyla kullanıcı hesabına erişim sağlıyor olabileceklerinden birden fazla bilgisayarda oturum açmış olan kullanıcıları izleyin.

3
 

DC'ler, üye sunucular ve iş istasyonlarındaki tüm oturum açma etkinliklerini izleyin ve bunların raporlarını alın.

Bir kullanıcı hesabının kilidini kimin açtığının tespit edilmesi

Kuruluşunuzda gerçekleşen oturum açma işlemlerine dair daha detaylı bilgi edinin ve her oturum açma işleminin gerçekleştiği zamanı ve yeri bilin.
Kuruluşunuzdaki güvenlik risklerini tespit etmek için üçüncü bir taraf kontrolü ele geçirmek amacıyla kullanıcı hesabına erişim sağlıyor olabileceklerinden birden fazla bilgisayarda oturum açmış olan kullanıcıları izleyin.
DC'ler, üye sunucular ve iş istasyonlarındaki tüm oturum açma etkinliklerini izleyin ve bunların raporlarını alın.

ADAudit Plus’ kullanmanın avantajları:

  • ADAudit Plus ile ağınızdaki kullanıcı oturum açma etkinliğini gerçek zamanlı olarak denetleyebilir, izleyebilir ve kötü amaçlı olabilecek etkinlikleri tespit edebilirsiniz.
  • Anormal etkinliklerle ilgili uyarılar alarak AD'nizi güvenlik tehditlerine karşı koruyun. Olağan dışı derecede yüksek oturum açma girişimi hacmi, alışılmış zamanların dışında gerçekleştirilen oturum açma işlemleri veya bir kullanıcının ilk kez bir ana bilgisayara uzaktan erişmesi gibi olaylar, ağda tehlikeli bir durumun bulunduğuna işaret eder.
  • Hesap kilitlemelerini daha hızlı tespit etmenize ve çözmenize yardımcı olan hesap kilitleme çözümleyicisini kullanarak yinelenen hesap kilitlenmelerinin nedenini ortaya çıkarın.
30 günlük ücretsiz denemeyi indirin

Related How to

Ana Sayfa »