Başarısız oturum açma girişimlerinin kaynağının bulunması

Oturum açma olayları, Active Directory'de izlenmesi gereken temel olaylar arasındadır. Bunun nedeni açıktır. Oturum açma olayları güvenlik risklerinin tespit edilmesine birden fazla şekilde yardımcı olur. Örneğin, iş saatlerinin üzerinden çok zaman geçtikten sonra iş istasyonundan oturum açan bir çalışan, potansiyel bir içeriden tehdit olabilir.

Başarısız bir oturum açma girişimi dahi bir güvenlik tehdidine işaret ediyor olabilir. Oturum açma girişimi başarısız olmuş bir kullanıcı, parolasını unutmuş da olabilir, meşru bir kullanıcı hesabı ele geçirmeye çalışan biri de olabilir. Böyle durumlarda, oturum açma girişiminin kaynağını izlemek önemli bir hal alır. Bu, Denetim İlkesi kullanılarak yerel AD'de gerçekleştirilebilecek olsa da ADAudit Plus bunun için daha basit bir çözüm sunmaktadır. Active Directory denetim ve raporlama aracı ADAudit Plus, önceden paket olarak gruplandırılmış 200'ün üzerinde denetim raporu içerir ve başarısız oturum açma olayları da bunlar arasındadır. Sadece birkaç tıkla tüm önemli Active Directory olayları hakkında ayrıntılı raporlar alabilirsiniz.

Burada yerel AD'de ve ADAudit Plus'ı kullanarak başarısız oturum açma girişimlerinin kaynağını bulma konusunda bir karşılaştırma verilmektedir.

ÜCRETSİZ indirin

30 günlük ücretsiz, tam işlevsel deneme

Yerel AD Denetimi ile
ADAudit Plus ile

ADAudit Plus başarısız oturum açma girişimlerinin kaynağını bulmanıza şu şekilde yardımcı olabilir

Adım 1: Active Directory'de 'Oturum Açma Denetimi İlkesini' etkinleştirin.
Adım 2: ADAudit Plus'ı başlatın
Raporlar sekmesini bulun ve Kullanıcı Oturum Açma Raporları alanına giderek Oturum Açma Hataları seçeneğine tıklayın.

Bu, IP adresini, oturum açma zamanını, etki alanı denetleyicisini ve oturum açma işleminin başarısız olmasının nedenini içeren ayrıntılı bir rapor oluşturacaktır. Bu rapor, yöneticinin başarısız oturum açma işleminin bir güvenlik tehdidi olarak kabul edilip edilmeyeceğine karar vermesine yardımcı olacaktır.

Burada yerel AD'de başarısız oturum açma girişimlerinin kaynağını bulmanın yolu açıklanmaktadır.

Adım 1: 'Oturum Açma Olayları Denetimi' ilkesini etkinleştirin
Windows sunucunuzda 'Sunucu Yöneticisini' açın
'Yönet' kısmından, 'Grup İlkesi Yönetimi Konsolu'nu görüntülemek için 'Grup İlkesi Yönetimi seçimini yapın.
Orman>Etki Alanı>Etki Alanınız>Etki Alanı Denetleyicileri alanına gidin
Yeni bir grup ilkesi nesnesi oluşturabilir ya da mevcut bir GPO'yu düzenleyebilirsiniz.
Grup ilkesi düzenleyicisinde Bilgisayar Yapılandırması > Windows Ayarları > Güvenlik Ayarları > Yerel İlkeler > Denetim İlkesi alanına gidin.
Denetim ilkelerinde, 'Oturum açma olaylarını denetle' seçeneğini belirleyin ve 'başarısızlık' için etkinleştirin.
Adım 2: Başarısız oturum açma girişimlerinin kaynağını bulmak için Olay Görüntüleyicisi'ni kullanın

Artık, Olay Görüntüleyicisi etki alanında başarısız bir oturum açma girişimi olduğunda her seferinde bir olay kaydedecektir. Başarısız bir oturum açma kaydedildiğinde tetiklenen olay kimliği 4625'i arayın.

Active Directory'de Olay Görüntüleyicisi'ni açın ve Windows Günlükleri> Güvenlik alanına gidin. Ortadaki bölme, denetim için ayarlanmış tüm olayları listeler. Başarısız oturum açma girişimlerini aramak için kayıtlı olayları incelemeniz gerekir. Bunları bulduğunuzda, olaya sağ tıklayarak daha fazla ayrıntı almak üzere Olay Özellikleri'ni seçebilirsiniz. Açılan pencerede, oturum açma girişiminin yapıldığı cihazın IP adresini bulabilirsiniz.