Forum

Server güvenlik Log...
 
Bildirimler
Hepsini Temizle

[Çözüldü] Server güvenlik Logların daki Hatalı Oturum Açma Kayıtları

Mehmet TOPKAYA
(@mehmettopkaya)
Üye

Merhaba

Bugün Serverların Güvenlik Loglarını Kontrol ederken bazı kullanıcıların server üzerinde çok fazla oturum açmaya çalıştığını fark ettim genelde server uzak bağlanan kullanıcıların hatası var zaten bu kullanıcıların server uzak erişim var 1 saniyede 50 deneme olanda var uzak bağlantı için tanımlan adı ile deneniyor farklı bir isimle değil  önce dikkate almadım sonrasında farklı yerlerdeki sunucularda buna benzer kayıtlar var bazı arkadaşlara sordum onların serverlarında bu tarz kayıtlar olduğunu söyledi acaba normal mi loğ atan terminalleri malwarebyts avg eset le tarama ma  rağmen temiz görünüyor genelde masa üstünde uzak masa kısa yolu olanlar yada o makinada daha önce benim oturum açtığım makinalarda var parola kasasında tanımlı olan kullanıcılar var uzak masa dışarıya açık değil firewalldan o kullanıcıları sınırlı bu loğlar normal mi acaba 

Teşekkürler

 

image
Alıntı
Konu başlatıcı Gönderildi : 15/12/2020 22:17
Hakan Uzuner
(@hakanuzuner)
Kıdemli Üye Yönetici

Merhaba, bir kaç nedeni olabilir

1 - Hatalı şifreleri hatırla dendiği için sürekli bu logları görebiliyor olabilirsiniz.

2 - Gerçekten şifre denemeleri vardır.

Aşağıdaki gibi bence Audit ürünü alıp daha doğru yorumlayabilirsiniz.

How to Audit Successful Logon/Logoff and Failed Logons in Active Directory (lepide.com)

Lepide Auditor - Active Directory ve Group Policy Auditing - ÇözümPark (cozumpark.com)

 

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 16/12/2020 00:35
Mehmet TOPKAYA
(@mehmettopkaya)
Üye

Hocam Cevap için teşekkürler

Server kurulu hali neyse o şekilde duruyor log tutma baktığımda hepsinde denetleme yok işaretli  hem gpedit.msc den hemde yönetimsel araçlardan Yerel Güvenlik İlkesi altında bu şekilde yinede logluyor kontrol edilmesi gereken farklı biryermi var acaba ben kendim görseldeki şekilde işaretledim

denemeler sürekli olmuyor genelde sabah ilk bilgisayar açıldığında oluyor farklı kullanıcı adları yok sadece o makinadaki masa üstüne attıgım uzak masa kısa yolundaki kullanıcı adını loğlara hata atıyor mesela parola kasasında kullanıcı adını denemiyor 

Rdp direk açık olan bi serverda logları kontrol ettiğimde orda çok farklı isimler denendiğini görüyorum alfred moris  musebepc admin vs 

image

Teşekkürler

 

 

CevapAlıntı
Konu başlatıcı Gönderildi : 16/12/2020 11:30
Paylaş: