Bu yazımızda ISO 27001 Bilgi Güvenliği Politikaları kapsamın da uygulanması bir zorunluluk olan Windows oturum açma bilgisini görüntüleme konusunu ele alıyor olacağım. Sistem Yöneticisi olarak çalıştığınız Yapı genelinde ISO 27001 BGYS Standardı uygulanıyor ve kurumunuz bu alanda belge sahibiyse bir takım Sistemsel prosedürleri işletmeniz sizlerden beklenecektir. Bugünkü konumuz da bu standartlar içerisinde madde olarak geçen Kullanıcı oturum açma ekranın da başarılı ve başarısız oturum açma bilgilerinin görüntülenmesi yönünde olacaktır. Tabii ki belirtmekte yarar var biz bu işlemi yine Windows istemci ve Sunucu Makineler üzerinde Windows işletim sisteminin bir özelliğinden yararlanarak yapıyor olacağız. Piyasa da bu işlemi yapan 3.parti Log yazılımları ve sistemsel olayları takip eden kayıtlayan ve raporlayan yazılımlar mevcut. Takibi bunlar ekstra Lisans ve maliyet olarak karşınıza çıkan faktörler :) Sözü uzatmadan kısa giriş bilgilendirmesinden sonra teknik işlemlere başlayarak ilerlemek istiyorum.
Mevcut Yapımızdan bahsedecek olursak, Windows Server 2012R2 Sunucu üzerinde kurulu yedekli Domain yapımız mevcut. Ve istemci makinelerimiz Windows 8.1 ve Windows 10 olarak çalışmaktadır.
İlgili test ortamıma dair bilgiler aşağıdadır.
Mshowto.local Domainine sahibim ve ilgili OU birimlerim aşağıdaki gibidir.
Resim-1
Resim-2
Ortam hakkında bilgi verdikten sonra işlemlere başlayalım.
Yapacağımız işlemler Group Policy üzerinden olacak. Öncelikle Yapacağımız ayar Hem domain Hem User hem de Computer bazında ayarlar olduğu için burada dikkat etmemiz gereken nokta uygulayacağımız Policy ayarını Domain bazında uygulamış olmamız gerekiyor.
Örneğin ilgili Policy’i Domain bazında değil de Computer’larımızın olduğu OU birimine tepeden uygularsak kullanıcılarımız oturum açma esnasında sorunlar yaşayacaktır Hatta Login olamama problemleriyle karşı karşıya kalmanız kaçınılmayacaktır.
Default Domain Policy -> Computer Configuration -> Policies -> Administrative Templates -> Windows Components -> Windows Logon Options. ->
Display information about previous logons during user logon Policy ayarını Enable duruma getiriyoruz. Default olarak bu ayar Not Configured durumdadır.
Resim-3
Ilgili Policy değişikliği sonrası gpupdate /force komutu ile Policy değişikliğinin etkin olmasını tetikliyoruz.
Resim-4
Yapınız genelinde ADC Serverlar mevcutsa DC’ler arası manuel replikasyon tetikleyerek diğer Domain Controller’lara bu Policy değişikliğini göndererek oturum açan Client makinelerin de Policy değişikliğinden hızlıca etkilenmelerini sağlayabilirsiniz.
Yaptığımız Policy ayarından sonra Emre Aydın isimli kullanıcımızla oturum açmayı deneyelim.
Kullanıcının bu Policy değişikliğinden sonraki ilk logon esnasında aşağıdaki uyarı mesajı bizleri karşılayacaktır. Normal bir durumdur.
Resim-5
Özgür Şenerdoğan kullanıcısıyla da ilk kez oturum açmayı denediğimiz zaman aynı uyarı mesajı bizi karşıladı :)
Resim-6
Emre Aydın kullanıcısıyla tekrar oturum açmayı deniyorum ve bir kez bilerek şifresini yanlış giriyorum J Başarılı başarısız logon bilgisi mesajı aşağıdaki gibidir.
Resim-7
Başarılı oturum açmayla Başarısız oturum açma arasındaki saat farkı sizi yanıltmasın. Çünkü Başarılı oturum açma kısmındaki tarih saat bilgisi en son yapılan Successfull login olarak algılanıyor. Başarısız olan tarih ve saat bilgisi az önce bahsettiğim gibi bilerek 1 kez yanlış şifre girişi yaptığım giriş bilgisini yansıtıyor.
Peki bu bilgileri Policy aracılığıyla ayar yapmadan nasıl görebiliriz diye düşünebilirsiniz. Local makine üzerindeki Event Viewer aracılığıyla Windows Logları altındaki Security loglarından ilgili Event id leri takip ederek başarılı başarısız logon bilgilerini görebilirsiniz.
Örneğin Emre.Aydin kullanıcısının oturum açtığı makinenin Security loglarını incelediğimizde aynı bilgiyi orada da görüyoruz.
4624 Event id kodu başarılı logon bilgilerini gösteren koddur.
Fakat şu bilgiyi de paylaşmakta yarar var. Domain ortamlarınızda çoğunlukla Domain Users kullanıcılarınıza makinelerinde Local Admin yetkisi vermezsiniz. Zaten bizlerinde önerileri vermemeniz yönünde. Bu durumda makinesinin localinde admin yetkisine sahip olmayan bir kullanıcı Event Viewer konsolunu inceleyemeyecek olduğu için bu bilgiyi de doğrudan kendisi göremeyecektir.
Resim-8
Emre Aydin kullanıcısı için bilerek boş şifre denemesi yapmıştım. Boş şifre denemesinin Event logların Security alanındaki ilgili Event İd kodu 4797 olarak geçmektedir. Boş şifre yerine yanlış karakterler veya sayı girmiş olsaydım Event id kodu 4648 olarak incelemem gerekecekti.
Resim-9
Evet bir makalemizin daha sonuna geldik, yazımın başında da bahsettiğim gibi bu işlemi yapmanızın gerekliliğini tamamen çalıştığınız kurumun BGYS kapsamlarını veya gerekliliklerini inceleyerek belirleyebilirsiniz.
Faydalı olması dileği ile.
Bu konuyla ilgili sorularınızı alt kısımda bulunan yorumlar alanını kullanarak sorabilirsiniz.
Referanslar
TAGs : oturum acma sayisi, basarisiz oturum acma, basarisiz oturum acma sayisi, windows logon, unsuccessful logon, basarisiz oturum acma girisimi, oturum acma basarisiz, oturum acma hatasi, oturum acma devre dişi, oturum acma basarisiz daha sonra deneyin, windows server, server 2012 r2