Active Directory'de Kullanıcı Kilitlenmesinin Olası Nedenleri
Bu durum, belirli sayıda yanlış parola girildiğinde Hesap Kilitleme politikası olan şirketlerde mevcuttur, bu, bruteforce saldırılarına karşı korunmaya yardımcı olduğu için siber güvenlik açısından doğrudur.
Engellemenin ana nedenlerinden bazıları şunlardır:
- Eski kimlik bilgileriyle sürücülerin sürekli eşlenmesi;
- Eski kimlik bilgileriyle kurumsal hizmetleri kullanan mobil cihazlar;
- Bakım sırasında değiştirilen önbelleğe alınmış parolaları kullanan hizmet hesapları;
- Güncel olmayan parolalarla zamanlanmış görevler;
- Değiştirilen önbelleğe alınmış parolaları kullanan programlar;
- Bağlantısı kesilen terminal sunucu oturumları;
- Active Directory çoğaltma ile ilgili sorunlar;
- Yanlış yapılandırılmış etki alanı ilkesi ayarları;
- Şifre kırma saldırısı gibi kötü niyetli faaliyetler.
Hesap Kilitleme İlkesi Nerede Yapılandırılır
Grup İlkesi düzenleyicisini açın ve yeni bir ilke oluşturun, örneğin Hesap Kilitleme İlkesi olarak adlandırın, sağ tıklayın ve "Edit"(Düzenle )yi seçin.
- Kilitleme sayacı 30 dakikaya sıfırlanana kadar geçecek süreyi ayarlayın;
- Kilitleme eşiği 5 oturum açma hatasıdır;
- Hesap kilitleme süresi - 30 dakika.
Kapatın, ilkeyi uygulayın ve hedef makinede gpupdate /force komutunu çalıştırın.
Hesabın Neden Kilitlendiğini Nasıl Öğrenebilirim
İlke etkinleştirildiğine göre, hesap kilitlenmesine neyin neden olduğunu ve bunun hangi bilgisayar veya cihazdan geldiğini bulmamız gerekir. Bu soruyu yanıtlamak için, kilitlenmenin nedenini belirleyebileceğiniz ilgili olayları takip etmek üzere özel bir denetim ilkesi yapılandırmanız gerekir. Bu tür bir denetim varsayılan olarak yapılandırılmamıştır.
Grup İlkesi Düzenleyicisini (gpmc.exe) tekrar açın, bir Denetim İlkesi oluşturun, açın ve izleyin:
Computer Configuration -> Policies -> Windows Configuration -> Security Settings -> Local Policy -> Audit Policy
(Bilgisayar Yapılandırması -> İlkeler -> Windows Yapılandırması -> Güvenlik Ayarları -> Yerel İlke -> Denetim İlkesi)
Oturum açma denetimini etkinleştirmemiz gerekiyor, bu politika 4771 ve 4624 olaylarını oluşturur. Bunu "Success and Failure"(Başarı ve Başarısızlık) olarak ayarlayalım.
Ayrıca, 4740 olaylarını görmek için oturum açma olayı denetim ilkesini "Success and Failure" (Başarı ve Başarısızlık) ve "Account Management Audit" (Hesap Yönetimi Denetimi) olarak ayarlamamız gerekir.
Bir ilke güncellemesini zorlayın ve hedef makinede gpupdate /force çalıştırın.
Güvenlik günlüğünde hangi olaylar izlenmeli
Hatalı bir kimlik bilgisi girişi, tüm etki alanı denetleyicilerinde 4740 numaralı olayı oluşturur. Kerberos hata kodları ile:
- - 6 - Kullanıcı adı mevcut değil;
- - 12 - Oturum açma zaman sınırı;
- - 18 - Hesap devre dışı bırakıldı, devre dışı bırakıldı veya süresi doldu;
- - 23 - Süresi dolmuş kullanıcı şifresi;
- - 24 - Ön kimlik doğrulama başarısız (yanlış şifre);
- - 32 - Bilet süresi doldu;
- - 37 - Bilgisayar saati etki alanı saati ile senkronize edilmedi.
NTLM hata kodları:
- - 3221225572 - C0000064 - Bu kullanıcı adı mevcut değil;
- - 3221225578 - C000006A - Doğru kullanıcı adı, ancak yanlış şifre;
- - 3221226036 - С0000234 - Bu kullanıcı hesabı engellendi;
- - 3221225586 - C0000072 - Hesap Devre Dışı Bırakıldı;
- - 3221225583 - C000006E - Kullanıcının belirtilen sürenin dışında oturum açmaya çalışması;
- - 3221225584 - С0000070 - İş istasyonu sınırlaması;
- - 3221225875 - С0000193 - Hesap süresi doldu;
- - 3221225585 - 0000071 - Şifre süresi doldu;
- - 3221226020 - C0000224 - Kullanıcı bir sonraki girişinde şifresini değiştirmelidir.
Hesap Kilitlenme Nedeni Nasıl Araştırılır
Olay Günlüğünü açın ve "Security"(Güvenlik) bölümüne gidin, burada kilitlenmenin nedenini belirlemede yardımcı olabilecek Olay Kimlikleri toplanır. Çok fazla olay var, bu yüzden bunları "Filter Current Log"(Mevcut Günlüğü Filtrele) ile filtreleyin, bu sadece istediğimiz olayları seçmemize izin verecektir. "Logged"(Günlüğe kaydedildi) alanında zaman aralığını belirtin, Olay Kimliği alanında 4740'ı belirtin ve "Ok"(Tamam) düğmesine tıklayın
Filtrelenmiş kayıtlarda gerekli hesabın adını bulmak için "Find"(Bul) aramasını kullanın. Son olarak, olaylar kilitlenme nedenini bulabileceğimiz 4740 koduyla belirtilen girişe göre filtrelenmelidir. Örneğin "Caller Computer Name"(Arayan Bilgisayar Adı) alanı, engellemeye neden olan başarısız oturum açma işlemlerinin kaynaklandığı bilgisayarın adını içerir. Ardından hedef bilgisayara gitmeniz ve bu makinenin neden geçersiz kimlik bilgileriyle oturum açmaya çalıştığını belirlemek için olay günlüklerini incelemeniz gerekir.
Kilitlenmenin "Arayan Bilgisayar Adı "nda(Caller Computer Name) Exchange sunucusunun adı gibi 4740 olaylarında bulunabilecek başka nedenleri de vardır - bu, sorunun Outlook, mobil posta istemcisi veya takvimiyle ilgili olduğu anlamına gelir. Bu kilitlenmeyi araştırmak için Exchange sunucusundaki IIS günlüklerine bakmanız gerekir. Ya da mobil cihazlarla ilgili sorunu görmek için PowerShell'deki Get-ActiveSyncDeviceStatistics komutunu da kullanabilirsiniz.
Microsoft ALTools
Microsoft'un hesap kilitleme sorunlarını gidermenize yardımcı olacak kendi aracı vardır - "Microsoft Account Lockout and Management Tool"(Microsoft Hesap Kilitleme ve Yönetim Aracı) (AlTools.exe). Hesap Kilitleme Durumu'nu (LockoutStatus.exe) Resmi Microsoft İndirme Merkezi'nden indirin.
Bu araç, her etki alanı denetleyicisinde kullanıcı durumu ve kilitlenme süresiyle birlikte kilitli bir hesap hakkındaki bilgileri görüntüler ve ilgili hesaba sağ tıklayarak kilidi açmanıza olanak tanır.
LockoutStatus.exe dosyasını çalıştır > Dosya > Hedef seç > Hesap adını ve etki alanını gir > Tamam
Bu hesap için kilitlemeyle ilgili tüm durumları gösterecektir.
EventCombMT Aracı
EventCombMT Aracı, birkaç farklı sunucudan belirli olayları tek bir merkezi konumda toplar.
EventCombMT.exe dosyasını çalıştırın > Aramak için Seç'e sağ tıklayın > Etki Alanındaki DC'leri Al'ı seçin > Aranacak etki alanı denetleyicilerini seçin. - Aramalar > Yerleşik Aramalar > Hesap Kilitlemeleri'ne tıklayın.
Kullanıcı Hesabı Kilitlenmelerinin Diğer Nedenleri
Kilitlenme sorunu Google Workspaces hizmetlerinden (Gmail, Gdrive...) kaynaklanıyorsa, günlükler başarısız oturum açma işlemlerinin WORKSTATION bilgisayarından geldiğini gösterecektir.
Ayrıca kilitle ilgili ayrıntılar 4771 olayında görülebilir. Orada yukarıda açıklanan Kerberos kodlarını ve başarısız oturum açma işlemlerinin geldiği cihazın IP adresini bulabilirsiniz.
Olay 4770'in "Arayan Bilgisayar Adı" (Caller Computer Name) ve İstemci Adresi 4771 boşsa, bu büyük olasılıkla bruteforced olduğunuz anlamına gelir!
Bu durumda başarısız oturum açma işlemlerinin kaynağını bulmak için "netlogon" hata ayıklamasını etkinleştirmeniz ve günlüklerine bakmanız gerekir. Netlogon, etki alanındaki kullanıcıların ve diğer hizmetlerin kimliğini doğrulayan bir Windows Server işlemidir. Netlogon günlük kaydını etkinleştirin: Başlat > Çalıştır > yazın:
nltest /dbflag:2080ffffff > OKNetlogon hizmetini yeniden başlattıktan sonra, ilgili etkinlik %windir%/debug/netlogon.log dosyasına kaydedilebilir.
Netlogon günlüklerini bir komut dosyası kullanarak da ayrıştırabilirsiniz:
type netlogon.log |find /i "0xC000006A" > failedpw.txt type netlogon.log |find /i "0xC0000234" > lockedusr.txtUyarı! Hata ayıklama işlemi nedeniyle sistem performansı biraz yavaşlayabileceğinden ve fazladan disk alanı kullanacağından, olayları günlüğe kaydettikten sonra Netlogon'u kapatmayı unutmayın. Netlogon günlüğünü devre dışı bırakın:
Başlat > Çalıştır > yazın:
nltest /dbflag:0 > OKGünlüklerde, olay günlüklerinde gösterilmeyen bilgisayarların IP'lerini bulabilirsiniz, bunlar parola bruteforce saldırısı altında olan terminal sunucuları veya RDP iş istasyonları olabilir.
Güvenlik olay günlüğüne geri dönelim. Olay kodu 4776 olan bir başka yararlı olay da oturum açmaya çalıştığınız iş istasyonunu bulabileceğiniz yerdir.
Günlüklerinizdeki IP adresi bilinmiyorsa, mac adresini DHCP sunucusunda veya ağ ekipmanınızda arayabilir ve internette kolayca bulunabilen özel servislerle mac adresinin üreticisini öğrenebilirsiniz. Bu, başarısız oturum açma işlemleri bir akıllı telefon veya tabletten geliyorsa kullanışlıdır.
Bir başka yararlı şey de 4625 olayına bakmak olacaktır, orada hesap kilitlenmesine neden olan işlemi bulabilirsiniz. Etkin işlemlerin kimlik bilgilerini görmek için Process Hacker veya Process Monitor kullanın.
Windows Görev Zamanlayıcısı kilitlenme sorunu olabilir - parolası değişen bir hesap kullanılarak çalıştırılmak üzere yapılandırılmış bir görev olabilir.
Yerel makinede bu şekilde bulunabilecek saklı kimlik bilgileri olabilir:
Start > Run > rundll32 keymgr.dll, KRShowKeyMgr > OK.
Ya da Netplwiz:
Başlat> Çalıştır > yazın: netplwiz > Tamam Gelişmiş sekmesine tıklayın ve ardından Parola Yönetimi'ne tıklayın.
Güncel olmayan kimlik bilgilerine sahip bir terminal sunucu oturumu kilitlenmeye neden olabilir. Bir RDP oturumunu devre dışı bırakmak için, komut satırında (Win+R > "cmd") aşağıdaki komutları çalıştırın ve "server_ip", "name" ve "password" yerine gerekli kimlik bilgilerini girin
net use \\server_ip /USER:name passwordBu, RDP kullanmadan uzak bir sunucuda oturum açmanıza olanak tanır.
query session /server:name"name" yerine sunucu adını yazın. Burada oturum kimliğini alırsınız.
reset session id /server:server_ipBu, uzak sunucudaki etkin oturumu sonlandırır.
Bir parola güncellemesi tüm etki alanı denetleyicilerine çoğaltılmadığında hesap engelleme AD çoğaltmasından kaynaklanabilir. Çoğaltmayı zorlamak için DC'nizde aşağıdaki komutu çalıştırın:
repadmin /syncall /AdeP
