Merhaba,
Bu yazımızda ISO 27001 Bilgi Güvenliği Politikaları kapsamın
da uygulanması bir zorunluluk olan Windows oturum açma bilgisini
görüntüleme konusunu ele alıyor olacağım.
Sistem Yöneticisi olarak çalıştığınız Yapı genelinde ISO 27001 BGYS Standardı uygulanıyor ve kurumunuz bu alanda belge sahibiyse bir takım Sistemsel prosedürleri işletmeniz sizlerden beklenecektir. Bugünkü
konumuz da bu standartlar içerisinde madde olarak geçen Kullanıcı oturum açma
ekranın da başarılı ve başarısız oturum
açma bilgilerinin görüntülenmesi yönünde olacaktır. Tabii ki belirtmekte yarar var biz bu işlemi
yine Windows istemci ve Sunucu Makineler
üzerinde Windows işletim sisteminin bir özelliğinden yararlanarak yapıyor
olacağız. Piyasa da bu işlemi yapan 3.parti Log yazılımları ve sistemsel
olayları takip eden kayıtlayan ve raporlayan yazılımlar mevcut. Takibi
bunlar ekstra Lisans ve maliyet olarak
karşınıza çıkan faktörler J Sözü
uzatmadan kısa giriş bilgilendirmesinden sonra teknik işlemlere başlayarak
ilerlemek istiyorum.
Mevcut Yapımızdan bahsedecek olursak, Windows Server 2012R2 Sunucu üzerinde kurulu
yedekli Domain yapımız mevcut. Ve istemci makinelerimiz Windows 8.1 ve Windows
10 olarak çalışmaktadır.
İlgili test ortamıma dair bilgiler aşağıdadır.
Mshowto.local
Domainine sahibim ve ilgili OU birimlerim aşağıdaki gibidir.
Ortam hakkında bilgi verdikten sonra işlemlere başlayalım.
Yapacağımız işlemler Group Policy üzerinden olacak.
Öncelikle Yapacağımız ayar Hem domain Hem User Hem de Computer bazında ayarlar olduğu için burada
dikkat etmemiz gereken nokta
uygulayacağımız policy ayarını Domain bazında uygulamış olmamız
gerekiyor.
Örneğin ilgili Policyi Domain bazında değilde Computerlarımızın olduğu OU birimine tepeden
uygularsak kullanıcılarımız oturum açma
esnasında sorunlar yaşayacaktır Hatta Login olamama problemleriyle karşı
karşıya kalmanız kaçınılmayacaktır J
Aşağıdaki resim örnek olması açısından paylaşılmıştır.
işlemlerimize devam edelim.
Default
Domain Policy -> Computer Configuration -> Policies
-> Administrative Templates -> Windows Components -> Windows Logon
Options. ->
Display information about previous logons during user logon Policy ayarını Enable duruma getiriyoruz.
Default olarak bu ayar Not Configured durumdadır.
Ilgili
Policy değişikliği sonrası gpupdate
/force komutu ile policy değişikliğinin etkin olmasını tetikliyoruz.
Yapınız
genelinde ADC Serverlar mevcutsa DC’ler arası manuel replikasyon tetikleyerek
diğer Domain Controller’lara bu Policy değişikliğini göndererek oturum açan
Client makinelerin de Policy değişikliğinden hızlıca etkilenmelerini
sağlayabilirsiniz.
Yaptığımız
Policy ayarından sonra Emre Aydın isimli kullanıcımızla oturum açmayı
deneyelim.
Kullanıcının
bu policy değişikliğinden sonraki ilk
logon esnasında aşağıdaki uyarı mesajı bizleri karşılayacaktır. Normal
bir durumdur.
Özgür
Şenerdoğan kullanıcısıyla da ilk kez oturum açmayı denediğimiz zaman aynı uyarı
mesajı bizi karşıladı J
Emre
Aydın kullanıcısıyla tekrar oturum açmayı deniyorum ve bir kez bilerek
şifresini yanlış giriyorum J
Başarılı başarısız logon bilgisi mesajı aşağıdaki gibidir.
Başarılı oturum açmayla Başarısız oturum açma arasındaki
saat farkı sizi yanıltmasın. Çünkü Başarılı oturum açma kısmındaki tarih saat
bilgisi en son yapılan Successfull login olarak algılanıyor. Başarısız olan
tarih ve saat bilgisi az önce bahsettiğim gibi bilerek 1 kez yanlış şifre
girişi yaptığım giriş bilgisini
yansıtıyor.
Peki bu bilgileri Policy aracılığıyla ayar yapmadan nasıl
görebiliriz diye düşünebilirsiniz. Local
makine üzerindeki Event Viewer
aracılığıyla Windows Logları altındaki
Security loglarından ilgili Event id leri takip ederek başarılı başarısız
logon bilgilerini görebilirsiniz.
Örneğin Emre.Aydin kullanıcısının oturum açtığı makinenin
Security loglarını incelediğimizde aynı bilgiyi orada da görüyoruz.
4624 Event id kodu başarılı logon bilgilerini gösteren
koddur.
Fakat şu bilgiyi de paylaşmakta yarar var. Domain
ortamlarınızda çoğunlukla Domain Users kullanıcılarınıza makinelerinde Local
Admin yetkisi vermezsiniz. Zaten bizlerinde önerileri vermemeniz yönünde. Bu
durumda makinesinin localinde admin yetkisine sahip olmayan bir kullanıcı Event
Viewer konsolunu inceleyemeyecek olduğu için bu bilgiyi de doğrudan kendisi
göremeyecektir.
Emre Aydin kullanıcısı için
bilerek boş şifre denemesi
yapmıştım. Boş şifre denemesinin Event
logların Security alanındaki ilgili
Event İd kodu 4797 olarak geçmektedir. Boş şifre yerine yanlış karakterler veya sayı
girmiş olsaydım Event id kodu 4648
olarak incelemem gerekecekti.
Evet bir makalemizin daha sonuna geldik, yazımın başında da
bahsettiğim gibi bu işlemi yapmanızın gerekliliğini tamamen çalıştığınız kurumun BGYS kapsamlarını veya gerekliliklerini
inceleyerek belirleyebilirsiniz.
Faydalı olması dileği ile.
Hiç yorum yok:
Yorum Gönder