Anasayfa » Forum

Event Viewer - Anon...
 

[Çözüldü] Event Viewer - Anonymous Logonlar Hakkında  

  RSS
Levent ERSOY
(@LeventERSOY)
Üye

Merhaba;

Nfs üzerinden sadece paylaşımlı klasörlere erişim yetkilendirmesi için 1 kullanıcı oluşturdum ve clientlar bu kullanıcı adı ve şifre ile ortak paylaşım alanına erişim sağlamaktalar. Fakat olay günlüğünü kontrol ettiğimde alt satırda mevcut olan log ile karşılaşıyorum.

Güvenlik Kimliği: ANONYMOUS LOGON ile 1 giriş yapılmasını gerektiren bir paylaşım veya erişim konfigurasyonum bulunmuyor. Bu durum malware şüphesi oluşturuyor.

Bu tip şüpheli durumları ortadan kaldırmaya yönelik ne gibi bir işlem gerçeleştirmektesiniz?

Ntlm protokül kullanımını yasaklasam ne gibi sonuçlar doğar?

 

Bir hesapta başarılı bir şekilde oturum açıldı.

Konu:
Güvenlik Kimliği: NULL SID
Hesap Adı: -
Hesap Etki Alanı: -
Oturum Açma Kimliği: 0x0

Oturum Açma Bilgileri:
Oturum Açma Türü: 3
Kısıtlanmış Yönetici Modu: -
Sanal Hesap: Hayır
Yükseltilmiş Belirteç: Hayır

Kimliğe Bürünme Düzeyi: Kimliğe Bürünme

Yeni Oturum:
Güvenlik Kimliği: ANONYMOUS LOGON
Hesap Adı: ANONYMOUS LOGON
Hesap Etki Alanı: NT AUTHORITY
Oturum Açma Kimliği: 0x356DC75
Bağlantılı Oturum Açma Kimliği: 0x0
Ağ Hesap Adı: -
Ağ Hesap Etki Alanı: -
Oturum Açma GUID'si: {00000000-0000-0000-0000-000000000000}

İşlem Bilgileri:
İşlem Kimliği: 0x0
İşlem Adı: -

Ağ Bilgileri:
İş İstasyonu Adı: TATAVA
Kaynak Ağ Adresi: 192.168.1.22
Kaynak Bağlantı Noktası: 63747

Ayrıntılı Kimlik Doğrulama Bilgileri:
Oturum Açma İşlemi: NtLmSsp
Kimlik Doğrulama Paketi: NTLM
Aktarılan Hizmetler: -
Paket Adı (yalnızca NTLM): NTLM V1
Anahtar Uzunluğu: 128

Bu olay bir oturum açıldığında oluşturulur. Erişilen bilgisayarda oluşturulur.

Konu alanları oturum açmayı isteyen yerel sistemdeki hesabı belirtir. Bu genellikle Sunucu hizmeti gibi bir hizmet ya da Winlogon.exe veya Services.exe gibi yerel bir işlemdir.

Oturum Türü alanı gerçekleşen oturum açma türünü gösterir. En çok kullanılan türler 2 (etkileşimli) ve 3'tür (ağ).

Yeni Oturum alanları adına yeni oturum oluşturulan hesabı, yani oturum açılan hesabı gösterir.

Ağ alanları uzaktan oturum açma isteğinin kaynağını gösterir. İş istasyonu adı her zaman yoktur ve bazı durumlarda boş olabilir.

Kimliğe bürünme düzeyi alanı oturum açma oturumundaki işlemin kimliğe bürünebilme boyutunu gösterir.

Kimlik doğrulama bilgisi alanları bu oturum açma isteğine özel ayrıntılı bilgiler sağlar.
- Oturum Açma GUID'si, bu olayı bir KDC olayıyla ilişkilendirmek için kullanılabilen benzersiz bir tanımlayıcıdır.
- Aktarılan Hizmetler, bu oturum açma isteğine katılan ara hizmetleri gösterir.
- Paket adı, NTLM protokolleri arasında hangi alt protokolün kullanıldığını gösterir.
- Anahtar uzunluğu, oluşturulan oturum anahtarının uzunluğunu gösterir. Oturum anahtarı istenmediyse bu değer 0 olur.

Bu konu 2 ay önce Hakan Uzuner tarafından düzenlendi
Alıntı
Gönderildi : 09/10/2019 11:32
Konu Etiketleri
Hakan Uzuner
(@hakanuzuner)
Kıdemli Üye Yönetici

Merhaba,

Bu local system aktivitesi olup kendi kendine erişim olarak yorumlayabilirsiniz. Yani bir sorun teşkil etmiyor.

Ek olarak lütfen forum kurallarına dikkat edin, başlıkları tamamen büyük harfler ile yazmayın, hakkında kelimesini hk. olarak kısaltmayın.

Teşekkürler.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 09/10/2019 23:14
Levent ERSOY
(@LeventERSOY)
Üye
Gönderen: @hakanuzuner

Merhaba,

Bu local system aktivitesi olup kendi kendine erişim olarak yorumlayabilirsiniz. Yani bir sorun teşkil etmiyor.

Ek olarak lütfen forum kurallarına dikkat edin, başlıkları tamamen büyük harfler ile yazmayın, hakkında kelimesini hk. olarak kısaltmayın.

Teşekkürler.

Merhaba Hakan Bey;

Bilgilendirme için teşekkür ederim. Otum açma türü 3 , olup ağ üzerinden gerçekleşen bir erişim olduğu İş istasyonu adı ve kaynak adı kısmında belirtiliyor.

İlgili sistemi kontrol ettiğimde anonymous 1 erişim talebinde bulunabilecek bir yapılandırması mevcut değil.

Bu isteğin oluşma sebebine yönelik tespit yöntemi önermenizi rica ediyorum.

 

Saygılarımla.

CevapAlıntı
Gönderildi : 10/10/2019 15:47
Hakan Uzuner
(@hakanuzuner)
Kıdemli Üye Yönetici

TATAVA sunucunun kendisi değil mi? 192.168.1.22 ip adresi kimin ekran görüntüsü paylaşır mısın?

Eğer bu denli bir merak var ise lepide gibi bir audit yazılımı alıp tüm loğları anlamlandırabilirsin, Windows event tarafında loğları anlamlandırmak ne yazık ki bu tarz "SELF" veya "SYSTEM" veya "LOCAL" gibi hesapların sürekli olarak erişim yapması nedeni ile çok zordur.

 

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 10/10/2019 18:12
Levent ERSOY
(@LeventERSOY)
Üye

@hakanuzuner

Hakan Bey;

Mevcut loglar Windows 2016 standart edition işletim sistemine bağlı kayıtlar. Log yapısını analiz edebiliyorum ağ üzerinden TATAVA adlı client üzerinden sunucuya "NTLM" protokolü üzerinden kimlik doğrulama gerçekleşiyor. Fakat kimlik doğrulama sonrası nereye ulaştığını bulmak istemekteyim.  Bunun için wireshark ile port ve paket içeriği bazlı bir inceleyim. Detayını buraya yazarım.

CevapAlıntı
Gönderildi : 11/10/2019 09:53
Hakan Uzuner
(@hakanuzuner)
Kıdemli Üye Yönetici

Tamam şimdi anladım, onu ne yazık ki Windows event üzerinden bulamazsınız, aslında bulursunuz ama inanılmaz efor harcamak gerekir, önce file audit açmanız lazım tüm OS üzerinde sonra olay günlüklerinde tek tek aramak bu nedenle zaten aşağıdaki gibi ürünler var

http://auditsolutions.info/

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 11/10/2019 10:44
Levent ERSOY
(@LeventERSOY)
Üye

Tcpdump tcp/ip iletişim kayıtlarını aldım ve günlük düştüğündeki zaman aralığına baktım sql server named pipe servis erişimleri neticesinde bu durumun meydana geldiğini gördüm. Named pipe için bir ihtiyaç olmadığından kapattım. Erişimler ortadan kalktı. Fakat şimdi şöyle bu durum var? Kim erişiyor veya erişmeye çalışıyor... Onun içinde sql kimlik doğrulama loglarını ayrıca kontrol edeceğim. Port'ta haliyle 445 olunca ilk yanılgı dosya paylaşımları yada nfs erişimleri olduğunu düşünmek oluyor.

Bu ileti 2 ay önce 4 defa Levent ERSOY tarafından düzenlendi
CevapAlıntı
Gönderildi : 18/10/2019 12:48
Paylaş:

Lütfen Giriş yap yada Kayıt ol