Üye Girişi yap | Üye Ol

Tüm Makaleler

Windows İz Kayıtları

Ocak 31, 2012

Günümüzde bankalar gerek yasal mevzuatı gerek özel idari mevzuatlarını göz önünde bulundurarak bilgi sistemlerinde oluşan iz kayıtlarını izlemeli ve kontrol altında tutmalıdırlar. İz kayıtlarının izlenmesi, kontrol altında tutulması amacıyla “Log Yönetimi Sistemleri” kullanılmaktadır. Log yönetimi sistemleri Domain Controller’lardan logları toplar ve anlamlı hale getirir. Log yönetimi sisteminde anlamlı hale gelen Windows olay loglarına baktığımızda binlerce farklı Event ID ile karşılaşmamız mümkündür. Bu çeşitlilikten dolayı iz kayıtlarının günlük olarak izlenmesi imkansız hale gelmektedir.


Bu noktada iz kayıtlarının sağlıklı bir şekilde yönetilebilmesi için öncelikli kriterler belirlenmeli ve bu kriterler çerçevesinde günlük raporlar ve anlık alarmlar oluşturulmalıdır. Kriterler belirlenirken “Event ID”’ler göz önünde bulundurulmalı, Event ID’lere göre raporlar, alarmlar oluşturulmalıdır.  Bu aşamaya gelmeden önce bizim için hangi izkayıtlarının daha önemli olduğu belirlenmeli ve bu çerçevede Event ID listesi çıkarılmalı daha sonra testler yapılarak raporlar/alarmlar oluşturulmalıdır.

 

Temel düzeyde izlenmesi gereken önemli Event ID’lere ilişkin örnekleri aşağıda görebiliriz;

 

  • Kullanıcı hesabının oluşturulması - 624

Domain Controller’da oluşan aşağıdaki security logunu incelediğimizde “Test” isimli admin kullanıcısı tarafından TestAudit isimli kullanıcı hesabı oluşturulmuştur. Bu iz kaydına karşılık gelen Event ID numarası “624” dür. Log yönetimi sistemimizde 624 nolu Event ID ye karşılık gelen iz kayıtlarına ilişkin günlük raporlar oluşturabilir, böylece sisteme eklenen her yeni kullanıcıdan haberdar olmuş oluruz.

 

  Windows İz Kayıtları

 

 

 

  • Admin kullanıcısı tarafından kullanıcı şifresinin resetlenmesi - 628

“Test” isimli admin kullanıcısı tarafından TestAudit kullanıcısının şifresi resetlendiği zaman Domain Controller’a 628 Event ID’li aşağıdaki security logu düşmektedir.

 

Windows İz Kayıtları

 

 

  • Kullanıcı hesabının disable-enable edilmesi(devredışı bırakma-devreye alma) – 629/626

“Test” isimli admin kullanıcısı tarafından TestAudit kullanıcı hesabı devredışı bırakıldığı zaman Domain Controller’da 629 Event ID’li security logu oluşmaktadır. Kullanıcı hesabı tekrar aktif edildiğinde ise 626 Event ID’li security logu oluşmaktadır. Kullanıcı hesabının pasif –aktif edilmesine ilişkin örnek security logları aşağıdaki gibidir.

 

 

  Windows İz Kayıtları

 

Windows İz Kayıtları

  • Kullanıcı hesabının Domain Admin grubuna eklenmesi / çıkarılması – 632/633

Domain Controller’da oluşan aşağıdaki security loguna göre “Test” isimli admin kullanıcısı tarafından TestAudit isimli kullanıcı hesabı Domain Admin grubuna eklenmiştir. Bu iz kaydına karşılık gelen Event ID numarası “632” dir. 632 Event ID’sine sahip iz kaydı, Global Gruba kullanıcı eklendiğini gösterir. Peki kullanıcının Domain Admin grubuna eklendiği bilgisine nasıl sahip olacağız. Bu iz kaydı meydana geldiğinde Domain Controller’da bir mesaj oluşur. Bu mesajın içeriğinde “Group Name” parametresine karşılık gelen kısmı incelememiz gerekiyor. Bu parametreye karşılık gelen grup adı “Domain Admins” ise kullanıcı Domain Admin grubuna eklenmiştir. Aşağıdaki log örneği bir kullancının Domain Admin grubuna eklenmesi sonucu Windows Server 2008 olan bir Domain Controller’da oluşmuştur.

 

%NICWIN-4-Security_4728_Microsoft-Windows-Security-Auditing: Security,rn=1111111 cid=1111111 eid=1111111,Wed Jan 25 17:05:41 2012,4728,Microsoft-Windows-Security-Auditing,None,Success Audit,domaincontrollerhostname,Security Group Management,,A member was added to a security-enabled global group. Subject: Security ID: XXXXX Account Name: Test Account Domain: XX Logon ID: 1111111 Member: Security ID: XXXXX Account Name: CN= TestAudit, OU= XXXXX ,DC= XXXXX,DC= XXXXX,DC= XXXXX,DC= XXXXX Group: Security ID: XXXXX Admins Group Name: Domain Admins Group Domain: XX Additional Information: Privileges: -

 

Account Name: İşlemi Yapan Kullanıcı

Account Domain: Dahil Olunan Domain

Account Name CN : Global Gruba Dahil Edilen Kullanıcı Adı

OU : Global Gruba Dahil Edilen Kullanıcın Dahil Olduğu Organizasyon Birimi

Admins Group Name: Kullanıcının Eklendiği Grup Adı

 

Kullanıcı Domain Admin grubundan çıkarıldığında ise Domain Controllerda 633 Event ID’li log oluşur. Aynı şekilde oluşan mesajın içeriğinde “Group Name” e karşılık grup adı “Domain Admins” olmalıdır.

Log yönetimi sistemimizde 632 (4728) – 633 (4729) nolu Event ID’lerine karşılık gelen iz kayıtlarına ilişkin günlük raporlar ve alarmlar oluşturabilir. Burada dikkat etmemiz gereken nokta, rapor veya alarm oluşturuken 2 parametre kullanmamız gerektiğidir. Bunlardan birincisi Event ID diğeri ise Group Name’dir. Her iki koşul da sağlamalıdır. (ÖRN:  Event ID = '632' AND GroupName = 'Domain Admins' OR Event ID = '4728' AND Group = 'Domain Admins' )

  • Kullanıcının Hatalı Şifre Girmesi - 675

Günün başında kullanıcı, bilgisayar başına oturur ve domain kullanıcısını-şifresini girer. Bu sırada bilgisayar local DC ile iletişim kurarak TGT (Ticket Granting Ticket ) isteiğinde bulunur. Eğer kullanıcı adı - şifre doğru ve kullanıcı hesabı gerekli  kontrollerden gerçer ise DC ,bilgisayarın isteğini yerine getirerek kullanıcının ağ üzerindeki kerberos servislerle iletişimini sağlayacak olan TGT biletini verir ve 672 kodlu Event ID'si oluşturur.Bir anlamda kimlik doğrulama bileti verilmiş olur.

 Eğer bu bilet isteği başarısız olur ve bu problem kimlik doğrulama öncesinde (pre-authentication) oluşursa,                              Windows bu olayı 675 event ID si ile loglar. Kimlik doğrulama öncesinde alınan bu hatanın birçok nedeni olabilir. Bunu mesajın içinde geçen result code parametresine karşılık gelen değer incelenerek karar verilir. Result code , hata kodudur, hatanın ne kaynaklı alındığı hakkında bilgi verir

Windows Kimlik doğrulama protokolü olan Kerberos'da şifre doğrulama işlemi, kimlik doğrulanması sırasında gerçekleşir. Domainde yer alan herhangi bir kullanıcı şifresini yanlış girdiği zaman, Windows Server 2008 olan bir Domain Controller’da aşağıdaki gibi 4771 Event ID’li ve 0x18  hata kodlu iz kaydı oluşur.

%NICWIN-4-Security_4771_Microsoft-Windows-Security-Auditing: Security,rn=1111111 cid=1111111 eid=1111111,Tue Jan 28 20:27:27 2012,4771,Microsoft-Windows-Security-Auditing,None,Failure Audit domaincontrollerhostnam,Kerberos Authentication Service,,Kerberos pre-authentication failed.  Account Information:  Security ID:  XXXXX Account Name:  TestAudit Service Information:  Service Name:  krbtgt/XX   Network Information:  Client Address: X.X.X.X   Client Port:  XXX Additional Information:  Ticket Options:  0x40810010   Failure Code:  0x18   Pre-Authentication Type: 2   Certificate Information:  Certificate Issuer Name:     Certificate Serial Number:     Certificate Thumbprint:     Certificate information is only provided if a certificate was used for pre-authentication.  Pre-authentication types, ticket options and failure codes are defined in RFC 4120.  If the ticket was malformed or damaged during transit and could not be decrypted, then many fields in this event might not be present.

Log yönetimi sistemimizde 675 (4771) nolu Event ID ve 0x18 nolu hata kodu parametreleri kullanaılarak kullanıcılaraın hatalı şifre denemelerine yönelik raporlar oluşturulabilir. Çok fazla sayıda yanlış şifre hatası alan bilgisyarlar incelenmelidir.

 

Örnek olarak aşağıdaki hata kodlarını inceleyebiliriz.

0x6 : Client, Kerboros veritabanında bulunamamıştır.Bunun nedeni;yanlış kullanıcı adı veya yeni eklenmiş bir bilgisayar olabilir. Ayrıca kullanıcı hesabı DC ile henüz replike olamamış olabilir.

0x7 : Sunucu, Kerboros veritabanında bulunamamıştır. Bunun nedeni yeni eklenen bilgisayarın DC ile replike olamamasıdır.

0x17 : Kullanıcının parola kullanım süresi dolmuştur.

0x18 : Kimlik doğrulama öncesinde verilen bilgiler geçersiz. Çoğunlukla hatalı şifre ile login denemelerinden kaynaklanmaktadır.

0x20 : Bilet kullanım süresi dolmuştur.

0x25 : Bilgisayar saatinin DC ile asenkron olması -  zaman farkının beklenenden yüksek olması.

 

Özellikle 0x18 hata kodu haricinde 0x25 hata kodlu iz kayıtlarına yönelik günlük raporlar oluştulabilir. Böylece saati yanlış olan bilgisayarlar tespit edilerek domain controllerın saati ile senkron olması sağlanır.

 

  • Kullanıcı hesabının silinmesi - 630

Aşağıdaki 630 Event ID’li security logu, sistemden bir kullanıcı silindiği zaman oluşmaktadır. Bu örnekte “Test” isimli admin kullanıcısı tarafından TestAudit kullanıcısı silinmiştir.

 

Windows İz Kayıtları

 

Domain Controller’ın işletim sistemine göre oluşan event ID numaraları değişiklik gösterir. Burada anlatılan Windows server 2003 Domain Controller’larda oluşan Event ID’lere , Windows 2008’de karşılık gelenler Event ID’ler aşağıdaki gibidir:

 

Windows 2003 DC

Windows 2008 DC

Açıklama

624

4720

User Account Created

628

4724

User Account password set

630

4726

User Account Deleted

629

4725

User Account Disabled

626

4722

User Account Enabled

632

4228

 Security Enabled Global Group Member Added

633

4229

Security Enabled Global Group Member Removed

675

4771

Pre-authentication failed

 

 

Esma Güneyeri

Facebook Twitter DZone It! Digg It! StumbleUpon Technorati Del.icio.us NewsVine Reddit Blinklist Add diigo bookmark

Comments 4

  1. Çağatay Işıkcı 31 Oca

    Elinize saglık, cok faydali bir yazı olmuş.

  2. Ertuğrul Başaranoğlu 02 Şub

    Log yönetimi konusuna giriş için kullanılabilecek en güzel makalelerden biri. Akıcı ve anlaşılır bir dille yazılmış. Elinize sağlık. Devamını da bekliyoruz

  3. Osman Doğan 03 Şub

    Elinize sağlık, devamını bekliyoruz.

  4. Erhan Arda 03 Şub

    Ellerine sağlık, harika olmuş...

Post a comment

  1. Formatting options
       
     
    		 
    		 
     
       

     

      

      

      

  

        

 

 

 

Contact: admin@logyonetimi.com