1

Bu yazımızda ISO 27001 Bilgi Güvenliği Politikaları kapsamın da uygulanması bir zorunluluk olan Windows oturum açma bilgisini görüntüleme konusunu ele alıyor olacağım. Sistem Yöneticisi olarak çalıştığınız Yapı genelinde ISO 27001 BGYS Standardı uygulanıyor ve kurumunuz bu alanda belge sahibiyse bir takım Sistemsel prosedürleri işletmeniz sizlerden beklenecektir. Bugünkü konumuz da bu standartlar içerisinde madde olarak geçen Kullanıcı oturum açma ekranın da başarılı ve başarısız oturum açma bilgilerinin görüntülenmesi yönünde olacaktır. Tabii ki belirtmekte yarar var biz bu işlemi yine Windows istemci ve Sunucu Makineler üzerinde Windows işletim sisteminin bir özelliğinden yararlanarak yapıyor olacağız. Piyasa da bu işlemi yapan 3.parti Log yazılımları ve sistemsel olayları takip eden kayıtlayan ve raporlayan yazılımlar mevcut. Takibi bunlar ekstra Lisans ve maliyet olarak karşınıza çıkan faktörler :) Sözü uzatmadan kısa giriş bilgilendirmesinden sonra teknik işlemlere başlayarak ilerlemek istiyorum.

Mevcut Yapımızdan bahsedecek olursak, Windows Server 2012R2 Sunucu üzerinde kurulu yedekli Domain yapımız mevcut. Ve istemci makinelerimiz Windows 8.1 ve Windows 10 olarak çalışmaktadır.

İlgili test ortamıma dair bilgiler aşağıdadır.

Mshowto.local Domainine sahibim ve ilgili OU birimlerim aşağıdaki gibidir.


Resim-1


Resim-2

Ortam hakkında bilgi verdikten sonra işlemlere başlayalım.

Yapacağımız işlemler Group Policy üzerinden olacak. Öncelikle Yapacağımız ayar Hem domain Hem User hem de Computer bazında ayarlar olduğu için burada dikkat etmemiz gereken nokta uygulayacağımız Policy ayarını Domain bazında uygulamış olmamız gerekiyor.

Örneğin ilgili Policy’i Domain bazında değil de Computer’larımızın olduğu OU birimine tepeden uygularsak kullanıcılarımız oturum açma esnasında sorunlar yaşayacaktır Hatta Login olamama problemleriyle karşı karşıya kalmanız kaçınılmayacaktır.

Default Domain Policy -> Computer Configuration -> Policies -> Administrative Templates -> Windows Components -> Windows Logon Options. ->
Display information about previous logons during user logon Policy ayarını Enable duruma getiriyoruz. Default olarak bu ayar Not Configured durumdadır.


Resim-3

Ilgili Policy değişikliği sonrası gpupdate /force komutu ile Policy değişikliğinin etkin olmasını tetikliyoruz.


Resim-4

Yapınız genelinde ADC Serverlar mevcutsa DC’ler arası manuel replikasyon tetikleyerek diğer Domain Controller’lara bu Policy değişikliğini göndererek oturum açan Client makinelerin de Policy değişikliğinden hızlıca etkilenmelerini sağlayabilirsiniz.

Yaptığımız Policy ayarından sonra Emre Aydın isimli kullanıcımızla oturum açmayı deneyelim.

Kullanıcının bu Policy değişikliğinden sonraki ilk logon esnasında aşağıdaki uyarı mesajı bizleri karşılayacaktır. Normal bir durumdur.


Resim-5

Özgür Şenerdoğan kullanıcısıyla da ilk kez oturum açmayı denediğimiz zaman aynı uyarı mesajı bizi karşıladı :)


Resim-6

Emre Aydın kullanıcısıyla tekrar oturum açmayı deniyorum ve bir kez bilerek şifresini yanlış giriyorum J Başarılı başarısız logon bilgisi mesajı aşağıdaki gibidir.


Resim-7

Başarılı oturum açmayla Başarısız oturum açma arasındaki saat farkı sizi yanıltmasın. Çünkü Başarılı oturum açma kısmındaki tarih saat bilgisi en son yapılan Successfull login olarak algılanıyor. Başarısız olan tarih ve saat bilgisi az önce bahsettiğim gibi bilerek 1 kez yanlış şifre girişi yaptığım giriş bilgisini yansıtıyor.

Peki bu bilgileri Policy aracılığıyla ayar yapmadan nasıl görebiliriz diye düşünebilirsiniz. Local makine üzerindeki Event Viewer aracılığıyla Windows Logları altındaki Security loglarından ilgili Event id leri takip ederek başarılı başarısız logon bilgilerini görebilirsiniz.

Örneğin Emre.Aydin kullanıcısının oturum açtığı makinenin Security loglarını incelediğimizde aynı bilgiyi orada da görüyoruz.

4624 Event id kodu başarılı logon bilgilerini gösteren koddur.

Fakat şu bilgiyi de paylaşmakta yarar var. Domain ortamlarınızda çoğunlukla Domain Users kullanıcılarınıza makinelerinde Local Admin yetkisi vermezsiniz. Zaten bizlerinde önerileri vermemeniz yönünde. Bu durumda makinesinin localinde admin yetkisine sahip olmayan bir kullanıcı Event Viewer konsolunu inceleyemeyecek olduğu için bu bilgiyi de doğrudan kendisi göremeyecektir.


Resim-8

Emre Aydin kullanıcısı için bilerek boş şifre denemesi yapmıştım. Boş şifre denemesinin Event logların Security alanındaki ilgili Event İd kodu 4797 olarak geçmektedir. Boş şifre yerine yanlış karakterler veya sayı girmiş olsaydım Event id kodu 4648 olarak incelemem gerekecekti.


Resim-9

Evet bir makalemizin daha sonuna geldik, yazımın başında da bahsettiğim gibi bu işlemi yapmanızın gerekliliğini tamamen çalıştığınız kurumun BGYS kapsamlarını veya gerekliliklerini inceleyerek belirleyebilirsiniz.

Faydalı olması dileği ile.

Bu konuyla ilgili sorularınızı  alt kısımda bulunan yorumlar alanını kullanarak sorabilirsiniz.

Referanslar

https://www.mshowto.org

 

TAGs : oturum acma sayisi, basarisiz oturum acma, basarisiz oturum acma sayisi, windows logon, unsuccessful logon, basarisiz oturum acma girisimi, oturum acma basarisiz, oturum acma hatasi, oturum acma devre dişi, oturum acma basarisiz daha sonra deneyin, windows server, server 2012 r2

Bu İçeriğe Tepkin Ne Oldu?
  • 1
    harika_
    Harika!!
  • 0
    be_enmedim
    Beğenmedim
  • 0
    _ok_iyi
    Çok iyi
  • 0
    sevdim_
    Sevdim!
  • 0
    bilemedim_
    Bilemedim!
  • 0
    olmad_
    Olmadı!
  • 0
    k_zd_m_
    Kızdım!

İstanbul doğumluyum. 2005 Temmuz ayından beri aktif olarak IT/ BT sektöründeyim. Sırasıyla Abdi İbrahim İlaç A.Ş çalıştığım dönemdeki ismiyle Hewlett Packard Türkiye, Sabah Gazetesi, LC Waikiki, Türk Telekom AVEA gibi sektörlerinde güçlü firmaların IT birimlerinde Uzman, Sistem Yöneticisi vb görevlerde bulundum. Yaklaşık 2 yıldır Danışman olarak Özel ve Kamu kurumlarına bireysel danışmanlık vermekteyim. Uzmanlık alanlarım ve yoğun proje gerçekleştirdiğim ürünler Microsoft System Center ürün ailesi (SCCM, SCOM, SCVMM) Exchange, aktif dizin ve diğer vendorlara ait ürünlerdir. Sertifika bilgilerim ve eğitim bilgilerime bilerek yer vermiyorum, çünkü eğitim durumumuzla ve sahip olduğumuz Teknik sertifikalarla değil yaptığımız proje ve daima kendimizi geliştirdiğimiz sürece farklı olabiliyor veya olamıyoruz. Gerek MSHOWTO üzerinde gerekse kendi Blogumda da özellikle yazacağım konuları seçerken Türkçe daha önce yazılmamış olmasına özellikle dikkat ediyorum.

Yazarın Profili

Bültenimize Katılın

Tıklayın, üyemiz olun ve yeni güncellemelerden haberdar olan ilk kişi siz olun.

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Yorumlar (1)

  1. 13/11/2016

    Teşekkürler.

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir