Windows, bir kullanıcının hesabı kilitlenmeden önce gerçekleştirilebileceği başarısız oturum açma girişimi sayısını tanımlamak için bir hesap kilitleme eşiği belirlemenize imkan verir. Ayrıca, hesap kilitleme süresi ayarıyla bir hesabın ne kadar süreyle kilitli kalacağını da tanımlayabilirsiniz. Bu hesap kilitleme ilkeleri ağınızı parola tahmin girişimlerine ve olası deneme yanılma saldırılarına karşı savunmanıza yardımcı olur. Ancak, katı ilkeler kullanıcılara parolaları hatırlamaları için daha az deneme hakkı sunulması anlamına gelebilir ve bu da hesaplarının daha sık kilitlenmesine yol açabilir.
Windows, hesap kilitlemeleriyle ilgili iki tür olay oluşturur. Olay Kimliği 4740, etki alanı denetleyicilerinde, Windows sunucularında ve iş istasyonlarında her hesap kilitlenme durumunda oluşturulur. Olay Kimliği 4767, her hesap kilidini açma durumunda üretilir. Bu kılavuzda hesap kimliği 4740'a odaklanacağız.
Olay Kimliği 4740 - Olay özellikleri
Olay Kimliği 4740 - Ayrıntılar sekmesi
Bu olayın özelliklerini Genel sekmesinde gösterildiği gibi Konu, Kilitlenen Hesap ve Ek Bilgiler olarak bölümler halinde ele alalım (Şekil 1).
Güvenlik Kimliği: Kilitleme işlemini gerçekleştiren hesabın SID'si.
Hesap Adı: Kilitleme işlemini gerçekleştiren hesabın adı.
Hesap Etki Alanı: Etki alanı veya bilgisayar adı. Biçimler NETBIOS adını, küçük harfle yazılmış tam etki alanı adını veya büyük harfle yazılmış tam etki alanı adını içerecek şekilde değişiklik gösterebilir.
İyi bilinen güvenlik sorumluları için bu alan "NT AUTHORITY" olmakla birlikte yerel kullanıcı hesapları için bu alan bu hesabın ait olduğu bilgisayar adını içerecektir.
Oturum Açma Kimliği: Oturum açma kimliği, bu olayı aynı oturum açma kimliğini içerebilecek son olaylarla (ör. olay kimliği 4625) ilişkilendirmenize yardımcı olur.
Güvenlik Kimliği: Kilitlenen hesabın SID'si. Windows, SID'leri çözümlemeyi ve hesap adını göstermeyi dener. SID çözümlenemezse, olayda kaynak veriler görüntülenir.
Hesap Adı: Kilitlenen hesabın adı.
Arayan Bilgisayar Adı: Oturum açma girişiminin oluşturulduğu bilgisayar hesabının adı (ör. JOHN-WS12R2).
Güvenlik günlüğüne bir görev ekleyebilir ve Windows'tan size bir e-posta göndermesini isteyebilirsiniz ancak bunun sonucu yalnızca olay kimliği 4740 oluşturulduğunda bir e-posta almanızla sınırlıdır ve Windows daha detaylı filtreler oluşturamaz.
ADAudit Plus gibi bir araçla, yalnızca gerçek tehditlere odaklanabilmek için detaylı filtreler uygulamakla kalmaz, aynı zamanda gerçek zamanlı bildirimleri SMS ile de alabilirsiniz.
Ağınız genelindeki anormal davranışları tespit etmek için gelişmiş istatistiksel çözümlemeler ve makine öğrenimi tekniklerinden yararlanın.
Kullanıma hazır olarak sağlanan uyumluluk raporlarıyla SOX, HIPAA, PCI, FISMA, GLBA ve GDPR gibi çeşitli uyumluluk standartlarına uygunluğu sağlayabilirsiniz.
ADAudit Plus'ı indirdikten sonra 30 dakikadan daha kısa süre içinde gerçek zamanlı uyarılar almaya başlayabilirsiniz. 200'ün üzerinde önceden yapılandırılmış rapor ve uyarıyla ADAudit Plus, Active Directory'nizin güvenli ve uyumlu kalmasını sağlar.