Oturum açma ve oturum kapatma olaylarını izlemenin ilk adımı denetimi etkinleştirmektir. Windows'a izlemek istediğiniz ilgili değişiklik kümesini belirttiğiniz takdirde yalnızca bu ilgili olaylar güvenlik günlüğüne kaydedilir.
Active Directory'deki kullanıcı oturum açma geçmişini kontrol etmek üzere aşağıdaki adımları izleyerek denetimi etkinleştirebilirsiniz:
- 1 gpmc.msc (Grup İlke Yönetimi Konsolu) programını çalıştırın.
- 2 Yeni bir GPO oluşturun.
- 3 Düzenle seçeneğine tıklayın ve Bilgisayar Yapılandırması > İlkeler > Windows Ayarları > Güvenlik Ayarları > Gelişmiş Denetim İlkesi Yapılandırması > Denetim İlkeleri alanına gidin. Denetim İlkeleri alanında, Oturum Açma/Oturum Kapatma ve Hesap Oturumu Açma için ilgili ayarları bulacaksınız.
Oturum Açma/Oturum Kapatma:
- Oturum Açma Denetimi > Tanımla > Başarılı ve Başarısız.
- Oturum Kapatma Denetimi > Tanımla > Başarılı.
- Diğer Oturum Açma/Oturum Kapatma Olaylarının Denetimi > Tanımla > Başarılı.
Hesap Oturumu Açma:
- Kerberos Kimlik Doğrulama Hizmeti Denetimi > Tanımla > Başarılı ve Başarısız.
- 4 Yeni GPO'yu etki alanınıza bağlamak için sağ tıklayın:
. Mevcut Bir GPO'yu Bağla seçimini yaparak oluşturduğunuz GPO'yu belirtin.
Windows, varsayılan olarak Grup İlkesini her 90 dakikada bir günceller; değişikliklerin anında yansıtılmasını istiyorsanız, Windows Komut İsteminde aşağıdaki komutu çalıştırarak tüm Grup İlkesi ayarlarını arka planda güncellenmeye zorlayabilirsiniz:
gpupdate /forceArtık, herhangi bir kullanıcı oturum açtığında veya kapattığında, ilgili bilgiler Windows güvenlik günlüğüne bir olay olarak kaydedilecektir.
Olayları görüntülemek için Olay Görüntüleyicisi'ni açın ve Windows Günlükleri > Güvenlik alanına gidin. Burada denetimini etkinleştirdiğiniz tüm olayların ayrıntılarını bulacaksınız. Buradan güvenlik günlüğünün boyutunu tanımlamanın yanı sıra günlük dolduğunda son olayların kaydedilmesi için eski olayların üzerine yazılması seçimini yapabilirsiniz.
Oturum açma ve oturum kapatma etkinliğiyle ilişkili olay kimliklerini anlama.
-
Olay Kimliği 4624 - Bir hesap başarıyla oturum açmıştır.
Bu olay, yerel bilgisayarda oturum açmaya yönelik her başarılı girişimi kaydeder. Oturum açma türü (ör. etkileşimli, toplu, ağ veya hizmet), SID, kullanıcı adı, ağ bilgileri ve daha fazlası hakkında kritik bilgiler içerir. Oturum açma türüyle ilgili bilgiler DC'lerde bulunmadığından bu olayın izlenmesi büyük önem taşır.
-
Olay Kimliği 4634 - Bir hesabın oturumu kapatılmıştır.
Bu olay, bir oturum açma oturumunun sonuna işaret eder.
-
Olay Kimliği 4647 - Kullanıcı oturum kapatma işlemini başlattı.
Olay 4634 gibi, bu olay da bir kullanıcının oturumu kapattığını bildirir ancak, bu ilgili olay oturum açma işleminin etkileşimli mi yoksa RemoteInteractive (uzak masaüstü) mi olduğunu gösterir.
-
Olay Kimliği 4625 - Bir hesabın oturumu açılamadı.
Bu olay, oturum açmanın başarısız olma nedeniyle ilgili bilgiler (kötü kullanıcı adı, süresi dolmuş parola, süresi dolmuş hesap vb.) dahil olmak üzere yerel bilgisayarda oturum açmak için her başarısız girişimi belgelendirir; bu da güvenlik denetimleri açısından faydalıdır.
Yukarıda belirtilen tüm olay kimlikleri tekil olarak makinelerden toplanmalıdır. Oturum açma türüyle veya kullanıcıların oturumu kapatma zamanıyla ilgilenmiyorsanız, kullanıcıların oturum açma geçmişini bulmak için DC'lerinizden aşağıdaki olay kimliklerini takip edebilirsiniz.
-
Olay Kimliği 4768 - Bir Kerberos kimlik doğrulama bileti (TGT) istenmiştir.
Bu olay, DC bir kimlik doğrulama bileti (TGT) verdiğinde oluşturulur. Bu, bir kullanıcının doğru kullanıcı adı ve parolayı girdiği ve hesabının durum ve kısıtlama kontrollerinden geçtiği anlamına gelir. Bilet isteği başarısız olursa (hesap devre dışı bırakılırsa, süresi dolarsa veya kilitlenirse; girişim oturum açma saatlerinin dışında gerçekleşirse vb.), bu olay başarısız bir oturum açma girişimi olarak kaydedilir.
-
Olay Kimliği 4771 - Kerberos ön kimlik doğrulaması başarısız olmuştur.
Bu olay, bilet isteğinin başarısız olduğu anlamına geldiğinden bu olay bir oturum açma hatası olarak kabul edilebilir.
Oturum açma ve oturum kapatma etkinliğinin farklı olay kimlikleriyle belirtildiğini fark etmiş olabilirsiniz. Bu olayların birbirine bağlanması için ortak bir tanımlayıcı gerekir.
Oturum açma kimliği, en son başlatılan oturum açma oturumunu tanımlayan sayıdır (yeniden başlatma işlemleri arasında benzersizdir). Bunu izleyen tüm etkinlikler bu kimlikle bildirilir. Oturum açma ve oturum kapatma olaylarını aynı oturum açma kimliğiyle ilişkilendirerek oturum açma süresini hesaplayabilirsiniz.
Yerel denetim araçlarının sınırlamaları.
- Tüm yerel oturum açma ve kapatma ile ilgili olaylar, etki alanı denetleyicilerinde (DC'ler) değil, yalnızca bağımsız bilgisayarların (iş istasyonları veya Windows sunucuları) güvenlik günlüğüne kaydedilir.
- DC'lerde kaydedilen oturum açma olayları, Etkileşimli, Uzaktan Etkileşimli, Ağ, Toplu İş, Hizmet vb. gibi çeşitli oturum açma türlerini ayırt etmek için yeterli bilgi içermemektedir.
- DC'lerde oturum kapatma olayları kaydedilmez. Bu bilgi, belirli bir kullanıcının oturum açma süresinin belirlenmesinde çok önemlidir.
Bu, ortamınızdaki tüm oturum açma ve kapatma etkinliklerine ilişkin eksiksiz bir genel bakış elde etmek için DC'lerin yanı sıra iş istasyonları ve diğer Windows sunucularından da bilgi toplamanız gerektiği anlamına gelir. Bu zahmetli bir işlem olmakla birlikte hızla sinir bozucu bir hale gelebilir.
Oturum açma etkinliğini denetlemenin daha kolay bir yolu.
Peki ya size oturum açma etkinliğini denetlemenin daha kolay bir yolu olduğunu söylesek? ADAudit Plus gibi bir araç, tüm oturum açma işlemleriyle ilgili değişikliklerin bir listesini sunmak üzere belirli oturum açma olaylarının yanı sıra güncel ve geçmiş oturum açma etkinliklerini de denetler.
ADAudit Plus ile aşağıdaki konulardaki raporları anında görüntülemeniz mümkün
- Kullanıcı oturum açma geçmişi
- Etki alanı denetleyicisi oturum açma geçmişi
- Windows sunucusu oturum açma geçmişi
- İş istasyonu oturum açma geçmişi
Bu bilgiler, istatistiksel bilgileri çizelgeler, grafikler ile hazır ve özelleştirilmiş raporların bir liste halinde görünümü aracılığıyla görüntüleyen kolay anlaşılır bir web arayüzünde sunulur.
Kullanıcı oturum açma etkinliği raporu
