Anasayfa » Forum

Active Directory Ki...
 
Bildirimler

Active Directory Kilitlenen Hesap Tespiti  

  RSS
Semih İMİR
(@semihimir)
Üye

Merhaba,

Active Directory ortamınızda policylerinize bağlı olarak yanlış şifre girişimleri sonrasında hesaplar kilitlenmektedir. Benzer bir durumu client bilgisayarlar üzerinde network sürücülerine bağlanırken girdiğimiz kullanıcı adı ve şifrelerde kilitlemektedir. Eğer ortamınızda kullandığınız üçüncü parti bir yazılım yoksa bu kilitlenmenin hangi clientden kaynaklandığını bulmanız zaman almaktadır. Bu durumu aşmak için Microsoft’un sunmuş olduğu ücretsiz ve oldukça kullanışlı bir tool mevcut.
Bu tool’a aşağıdaki link üzerinden ulaşabilirsiniz;

https://www.microsoft.com/en-gb/download/details.aspx?id=15201

Tool’u bilgisayarınıza kurduktan sonra File sekmesi altında Select Target seçeneğini seçiyoruz.

Açılan ekranda aşağıdaki kısımları doldurmamız gerekmektedir.
Target Userame: Kilitlenen hesap için kullanıcı adı
Target Domain Name: Kilitlenen hesabın aranacağı domain.
Not: Kilitlenen kullanıcı üzerinde programı çalıştırıyorsak hesap kilitli olduğundan Domain Controller üzerinde Event ID’lere erişemeyeceğinden “Use Alternative Credentials” seçeneği ile aktif domain user bilgileri girmemiz gerekmektedir.

 

Yapılan tarama sonucunda hangi Domain Controller üzerinde şifrenin kaç kez yanlış girildiği görülmektedir. Bad Pwd Count kısmında yanlış parola girişimlerini görebilir, User State kısmından kullanıcı durumlarını görebilirsiniz.

 

İlgili Domain Controller üzerinde Event Viewer’de Security loglarında Event ID 4771 ile oturum açma hata loglarını görebiliriz. Aşağıdaki logda “semih.imir” kullanıcı adıyla “172.30.1.100” ip adresli bilgisayar tarafından oturum açma girişimleri görülmektedir.

Alıntı
Gönderildi : 09/09/2017 20:21
Hakan Uzuner
(@hakanuzuner)
Kıdemli Üye Yönetici

Eline sağlık Semih.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 11/09/2017 12:57
Resul SOYDAŞ
(@resulsoydas)
Üye

İlave olarak; "Netwrix Account Lockout Examiner" adlı programı kullanıyorum. Kilitlenen hesap ile ilgili bilgileri mail atabiliyor. Ücretsiz bir araç. Denemenizi öneririm.

https://www.netwrix.com/account_lockout_examiner.html

 

CevapAlıntı
Gönderildi : 11/09/2017 13:45
Okan Erin
(@okanerin)
Üye

Günaydın

İlaveye ilave olarak yazıyorum 🙂

Kilitlendiği yerde örn : task scheduler adı vb detaylar da veriyor.

uçtan uca destek 😀

CevapAlıntı
Gönderildi : 14/11/2017 11:09
Hakan Uzuner
(@hakanuzuner)
Kıdemli Üye Yönetici

Eyvallah.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 14/11/2017 14:13
Paylaş: