Olay Müdahalesi – Windows Hesap Yönetimi (Bölüm 1)

Olay Müdahalesi – Windows Hesap Yönetimi (Bölüm 1)

Bir sistemin iyi çalışması ve bakımının yapılabilmesi için, sistemdeki olayları izlemek ve yönetmek son derece önemlidir. Olay Günlükleri, sistem tarafından oluşturulan, bir yönetici veya herhangi bir kullanıcı tarafından düzenli aralıklarla yerel veya uzaktan kontrol edilebilen Windows sisteminin bir parçasıdır. Bu günlükler Olay Müdahalesi sağlamak için bir SIEM aracıyla alınabilir ve görüntülenebilir.

Başlıklar

  • Güvenlik Politikası Ayarları
  • Güvenlik ayarlarının avantajı
  • Olay günlüğü
  • Hesap Yönetimi Etkinlikleri
  • Windows 10 sistemindeki olaylar

Güvenlik Politikası Ayarları

Bir yöneticinin, cihaz veya ağdaki kaynakları korumak için bir bilgisayarı veya birden çok cihazı yapılandırmak için kullandığı kurallar kümesidir. Yerel Grup İlkesi Düzenleyicisi’nin Güvenlik Ayarları uzantısı, Grup İlkesilesin bir parçası olarak güvenlik yapılandırmasına olanak tanır.

Grup İlkesi Nesnesi siteler, etki alanları veya kuruluş birimleri gibi Active Directory kapsayıcılarına bağlıdır. Etki alanına katılmış herhangi bir cihazdan birden çok cihaz için güvenlik ayarlarını yönetmenize olanak tanır. Güvenlik ayarları ilkeleri, kuruluşunuzdaki etki alanı denetleyicilerinin, sunucuların, istemcilerin ve diğer kaynakların güvenliğini sağlamaya yardımcı olmak için genel güvenlik uygulamanızın bir parçası olarak kullanılır.

Güvenlik Ayarının Avantajı

  • Kullanıcı bir ağda veya cihazda doğrulanır.
  • Herhangi bir kullanıcının erişmesine özel olarak izin verilen kaynaklar.
  • Olay günlüğüne bir kullanıcının veya grubun eylemlerinin kaydedilip kaydedilmeyeceği.
  • Bir gruptaki bir kullanıcının üyeliği.

Olay Günlüğü

Olay günlükleri genellikle çeşitli kaynaklardan gelen hizmetlerin kaydını tutar ve ardından bunları tek bir yerde saklar. Olay günlükleri Güvenlik, Sistem ve Uygulama olayı olabilir. Bir olay müdahaleci olarak, birden çok günlük bilgisi kaynağı aramalı, yedekleme sistemlerinde veya shadow kopyalarında bulunabilecek eski günlük dosyalarına bakmayı unutmamalısınız.

Olay günlükleri değerlendirildiğinde, Olay Kimliği bunlarla birlikte çeşitli ayrıntılarına sahiptir;

Hesap Yönetimi Etkinlikleri

Hesap Yönetimi son derece önemlidir ve bu olaylar, Yerel kullanıcılar ve gruplar, Active Directory’deki kullanıcılar ve bilgisayar nesnelerinin bakımını izlemek için kullanılabilir.

Hesap Yönetimi kayıtları, yeni bir kullanıcı hesabını, şifre sıfırlamalarını, gruplara eklenen veya gruptan silinen yeni üyeleri izlemek için kullanılabilir.

Hesap yönetimi olayları farklı türlere ayrılabilir:

  • Kullanıcı Hesabı Yönetimi
  • Bilgisayar Hesap Yönetimi
  • Güvenlik grubu yönetimi

Windows 10 sistemindeki olaylar

Bunun nasıl çalıştığını görmek için Hesap Yönetimi Etkinlikleri ile başlayalım.

Güvenlik politikasını ve ayarını görüntülemek için “Windows + R” tuşlarına basın ve şunu yazın:

secpol.msc

Burada, denetim politikalarında “denetleme” olmadığını görüyorsunuz ve bu olayları görüntülemek için bunları etkinleştirmemiz gerekiyor.

Denetim hesabı yönetiminin özelliklerini açtığınızda, başarılı ve hata girişimlerini onay verip tamam’a basın.

Güvenlik ayarının güncellendiğini ve artık hesap yönetimi günlüklerinin aktif olduğunu görebilirsiniz.

Şimdi Olay Görüntüleyiciyi Açmak için “Windows + r” tuşlarına basın ve yazın

eventvwr.msc

Öyleyse, bu etkinlikler tarafından oluşturulan günlükleri kontrol edelim. Windows 10 sistemlerinizi açın.

Olay Kimliği 4720

Bunun nasıl çalıştığını görmek için komut istemini açın, yeni bir kullanıcı oluşturun.

Olay Kimliği 4722

Yeni bir kullanıcı hesabı etkinleştirildikten sonra, 4722 olayının hesap adıyla oluşturulduğunu görebilirsiniz.

Olay Kimliği 4724

Bir kullanıcı hesabının parolası değiştirildiğinde, parolayı değiştirme girişiminin başarılı olduğunu gösterir.

Olay Kimliği 4725

Komut istemini kullanarak bir kullanıcı hesabını devre dışı bırakmak için alttaki komutu yazabilirsiniz.

net user username /active:no

Bir hesabı başarıyla devre dışı bırakıldığında, olay görüntüleyicideki sonuçlar aşağıdaki gibi görüntülenir.

Olay Kimliği 4726

Komut istemini kullanarak bir kullanıcı hesabını silmek için alttaki komutu yazabilirsiniz

net user username /delete

Hesap başarıyla silindiğinde oluşturulan rapor alttaki gibidir.

Olay Kimliği 4731

Yerel kullanıcılara ve gruplara gidin ve yeni bir grup oluşturun. Burada ignite adında yeni bir grup oluşturulduğunu görüyorsunuz.

Komut istemini kullanarak bir grup oluşturmak için alttaki komutu yazabilirsiniz

net localgroup name /add

Grup başarıyla oluşturulduğunda oluşturulan rapor alttaki gibidir.

Olay Kimliği 4732

Güvenliği etkinleştirilmiş yerel gruba yeni bir üye eklemek için alttaki komutu yazın

net localgroup groupname username /add

Yeni üyenin gruba eklendiğini ve kullanıcı adının da görüntülendiğini görüyorsunuz.

Olay Kimliği 4733

Güvenliği etkinleştirilmiş yerel gruba yeni bir üye eklemek için alttaki komutu yazın

net localgroup groupname username /delete

Bir üye gruptan çıkarıldığında oluşan olay kaydı alttaki gibidir.

Olay Kaydı 4734

Komut istemini kullanarak güvenliği etkin bir grubu silmek için, alttaki komutu yazabilirsiniz:

net localgroup groupname /delete

Güvenliği etkinleştirilmiş yerel grup silindiğinde oluşan olay kaydı alttaki görseldeki gibidir.

Olay Kimliği 4735

Güvenliği etkinleştirilmiş yerel grup değiştirildiğinde oluşturulan olay resimdeki gibi.

Olay Kimliği 4738

Kullanıcı hesabı değiştirildiğinde bu olay görüntülenir.

Olay Kimliği 4798

Yerel bir kullanıcının grubu numaralandırıldığında, bu günlüğün oluşturulduğunu görürsünüz.

Kaynak: https://www.hackingarticles.in/incident-response-windows-account-management-event-part-1/ (Çeviri)

Related Posts

Leave a Reply