Bir sistemin iyi çalışması ve bakımının yapılabilmesi için, sistemdeki olayları izlemek ve yönetmek son derece önemlidir. Olay Günlükleri, sistem tarafından oluşturulan, bir yönetici veya herhangi bir kullanıcı tarafından düzenli aralıklarla yerel veya uzaktan kontrol edilebilen Windows sisteminin bir parçasıdır. Bu günlükler Olay Müdahalesi sağlamak için bir SIEM aracıyla alınabilir ve görüntülenebilir.
Başlıklar
- Güvenlik Politikası Ayarları
- Güvenlik ayarlarının avantajı
- Olay günlüğü
- Hesap Yönetimi Etkinlikleri
- Windows 10 sistemindeki olaylar
Güvenlik Politikası Ayarları
Bir yöneticinin, cihaz veya ağdaki kaynakları korumak için bir bilgisayarı veya birden çok cihazı yapılandırmak için kullandığı kurallar kümesidir. Yerel Grup İlkesi Düzenleyicisi’nin Güvenlik Ayarları uzantısı, Grup İlkesilesin bir parçası olarak güvenlik yapılandırmasına olanak tanır.
Grup İlkesi Nesnesi siteler, etki alanları veya kuruluş birimleri gibi Active Directory kapsayıcılarına bağlıdır. Etki alanına katılmış herhangi bir cihazdan birden çok cihaz için güvenlik ayarlarını yönetmenize olanak tanır. Güvenlik ayarları ilkeleri, kuruluşunuzdaki etki alanı denetleyicilerinin, sunucuların, istemcilerin ve diğer kaynakların güvenliğini sağlamaya yardımcı olmak için genel güvenlik uygulamanızın bir parçası olarak kullanılır.
Güvenlik Ayarının Avantajı
- Kullanıcı bir ağda veya cihazda doğrulanır.
- Herhangi bir kullanıcının erişmesine özel olarak izin verilen kaynaklar.
- Olay günlüğüne bir kullanıcının veya grubun eylemlerinin kaydedilip kaydedilmeyeceği.
- Bir gruptaki bir kullanıcının üyeliği.
Olay Günlüğü
Olay günlükleri genellikle çeşitli kaynaklardan gelen hizmetlerin kaydını tutar ve ardından bunları tek bir yerde saklar. Olay günlükleri Güvenlik, Sistem ve Uygulama olayı olabilir. Bir olay müdahaleci olarak, birden çok günlük bilgisi kaynağı aramalı, yedekleme sistemlerinde veya shadow kopyalarında bulunabilecek eski günlük dosyalarına bakmayı unutmamalısınız.
Olay günlükleri değerlendirildiğinde, Olay Kimliği bunlarla birlikte çeşitli ayrıntılarına sahiptir;
Hesap Yönetimi Etkinlikleri
Hesap Yönetimi son derece önemlidir ve bu olaylar, Yerel kullanıcılar ve gruplar, Active Directory’deki kullanıcılar ve bilgisayar nesnelerinin bakımını izlemek için kullanılabilir.
Hesap Yönetimi kayıtları, yeni bir kullanıcı hesabını, şifre sıfırlamalarını, gruplara eklenen veya gruptan silinen yeni üyeleri izlemek için kullanılabilir.
Hesap yönetimi olayları farklı türlere ayrılabilir:
- Kullanıcı Hesabı Yönetimi
- Bilgisayar Hesap Yönetimi
- Güvenlik grubu yönetimi
Windows 10 sistemindeki olaylar
Bunun nasıl çalıştığını görmek için Hesap Yönetimi Etkinlikleri ile başlayalım.
Güvenlik politikasını ve ayarını görüntülemek için “Windows + R” tuşlarına basın ve şunu yazın:
secpol.msc
Burada, denetim politikalarında “denetleme” olmadığını görüyorsunuz ve bu olayları görüntülemek için bunları etkinleştirmemiz gerekiyor.
Denetim hesabı yönetiminin özelliklerini açtığınızda, başarılı ve hata girişimlerini onay verip tamam’a basın.
Güvenlik ayarının güncellendiğini ve artık hesap yönetimi günlüklerinin aktif olduğunu görebilirsiniz.
Şimdi Olay Görüntüleyiciyi Açmak için “Windows + r” tuşlarına basın ve yazın
eventvwr.msc
Öyleyse, bu etkinlikler tarafından oluşturulan günlükleri kontrol edelim. Windows 10 sistemlerinizi açın.
Olay Kimliği 4720
Bunun nasıl çalıştığını görmek için komut istemini açın, yeni bir kullanıcı oluşturun.
Olay Kimliği 4722
Yeni bir kullanıcı hesabı etkinleştirildikten sonra, 4722 olayının hesap adıyla oluşturulduğunu görebilirsiniz.
Olay Kimliği 4724
Bir kullanıcı hesabının parolası değiştirildiğinde, parolayı değiştirme girişiminin başarılı olduğunu gösterir.
Olay Kimliği 4725
Komut istemini kullanarak bir kullanıcı hesabını devre dışı bırakmak için alttaki komutu yazabilirsiniz.
net user username /active:no
Bir hesabı başarıyla devre dışı bırakıldığında, olay görüntüleyicideki sonuçlar aşağıdaki gibi görüntülenir.
Olay Kimliği 4726
Komut istemini kullanarak bir kullanıcı hesabını silmek için alttaki komutu yazabilirsiniz
net user username /delete
Hesap başarıyla silindiğinde oluşturulan rapor alttaki gibidir.
Olay Kimliği 4731
Yerel kullanıcılara ve gruplara gidin ve yeni bir grup oluşturun. Burada ignite adında yeni bir grup oluşturulduğunu görüyorsunuz.
Komut istemini kullanarak bir grup oluşturmak için alttaki komutu yazabilirsiniz
net localgroup name /add
Grup başarıyla oluşturulduğunda oluşturulan rapor alttaki gibidir.
Olay Kimliği 4732
Güvenliği etkinleştirilmiş yerel gruba yeni bir üye eklemek için alttaki komutu yazın
net localgroup groupname username /add
Yeni üyenin gruba eklendiğini ve kullanıcı adının da görüntülendiğini görüyorsunuz.
Olay Kimliği 4733
Güvenliği etkinleştirilmiş yerel gruba yeni bir üye eklemek için alttaki komutu yazın
net localgroup groupname username /delete
Bir üye gruptan çıkarıldığında oluşan olay kaydı alttaki gibidir.
Olay Kaydı 4734
Komut istemini kullanarak güvenliği etkin bir grubu silmek için, alttaki komutu yazabilirsiniz:
net localgroup groupname /delete
Güvenliği etkinleştirilmiş yerel grup silindiğinde oluşan olay kaydı alttaki görseldeki gibidir.
Olay Kimliği 4735
Güvenliği etkinleştirilmiş yerel grup değiştirildiğinde oluşturulan olay resimdeki gibi.
Olay Kimliği 4738
Kullanıcı hesabı değiştirildiğinde bu olay görüntülenir.
Olay Kimliği 4798
Yerel bir kullanıcının grubu numaralandırıldığında, bu günlüğün oluşturulduğunu görürsünüz.
Kaynak: https://www.hackingarticles.in/incident-response-windows-account-management-event-part-1/ (Çeviri)
Leave a Reply