Merhaba, bu yazımda sizlere Windows Event Viewer Security Logları konusundan bahsedeceğim. Windows Event Viewer, sistemde gerçekleşen olayları takip etmek için kullanılan güçlü bir araçtır. Özellikle güvenlik olayları, sistemde oturum açma, başarısız oturum açma girişimleri, kimlik doğrulama hataları gibi kritik bilgileri içeren event ID’leri ile takip edilebilir. Bu makalede, en sık karşılaşılan güvenlik olayları olan 4625, 4624, 4648 ve benzeri event ID’leri detaylı olarak inceleyeceğiz.
Event ID 4624: Başarılı Oturum Açma (An Account was Successfully Logged On)
Bu event, bir kullanıcı veya hizmetin sisteme başarılı bir şekilde giriş yaptığını gösterir. Özellikle denetimli ortamlarda hangi hesapların ne zaman oturum açtığını takip etmek için önemlidir.
Örnek Log:
- Event ID: 4624
- Log Name: Security
- Source: Microsoft-Windows-Security-Auditing
- User: SYSTEM Success/Failure:
- Success Logon Type: 2 (Interactive)
- Account Name: Administrator
- Account Domain: CONTOSO
Önemli Alanlar:
- Logon Type:
- 2: Interactive (Fiziksel girişler, yerel oturum açmalar)
- 3: Network (Dosya paylaşımı gibi ağ bağlantıları)
- 10: RemoteInteractive (RDP oturumları)
Event ID 4625: Başarısız Oturum Açma (An Account Failed to Log On)
Bu event, başarısız oturum açma girişimlerini takip etmek için kullanılır. Yanlış şifre denemeleri, kilitlenmiş hesaplar veya yetkisiz giriş denemeleri gibi olayları gösterir.
Örnek Log:
- Event ID: 4625
- Log Name:
- Security Source:
- Microsoft-Windows-Security-Auditing User:
- SYSTEM Success/Failure:
- Failure Failure Reason:
- Unknown user name or bad password
- Logon Type: 3 (Network)
- Account Name: user01 Account Domain: CONTOSO
Önemli Alanlar:
- Failure Reason:
- “Unknown user name or bad password” (Yanlış kullanıcı adı veya şifre)
- “Account locked out” (Hesap kilitlendi)
- “User not allowed to log on at this machine” (Kullanıcı bu makineye giriş yapamaz)
- Logon Type:
- 2: Fiziksel giriş denemesi
- 3: Ağ üzerinden erişim denemesi
- 10: Uzak masaüstü (RDP) giriş denemesi
Kullanım Senaryosu:
- Brute force saldırılarını tespit etmek
- Yanlış şifre denemelerini analiz etmek
- Yetkisiz giriş denemelerini takip etmek
Event ID 4648: Kimlik Doğrulama için Açıkça Belirtilmiş Kimlik Bilgileri Kullanımı
Bu event, bir kullanıcının doğrudan kimlik bilgileri belirterek bir işlemi başlatması durumunda kaydedilir. Örneğin, runas komutu veya bir servis belirli kimlik bilgilerini girerek çalıştırıldığında bu log oluşur.
Örnek Log:
- Event ID: 4648 Log Name:
- Security Source:
- Microsoft-Windows-Security-Auditing User:
- SYSTEM Account Name: admin01
- Account Domain: CONTOSO
- Process Name: C:\Windows\System32\cmd.exe
Kullanım Senaryosu:
- Yüksek ayrıcalıklı hesapların oturum açma aktivitelerini takip etmek
- Yetkisiz hesapların sistemde yönetici erişimi kazanmaya çalışmasını tespit etmek
Diğer Önemli Security Logları
| Event ID | Açıklama |
|---|---|
| 4672 | Yüksek ayrıcalıklı hesapların oturum açması |
| 4688 | Yeni bir işlem oluşturulması |
| 4703 | Kullanıcı hakları değişikliği |
| 4720 | Yeni bir kullanıcı hesabının oluşturulması |
| 4722 | Devre dışı bırakılmış bir hesabın etkinleştirilmesi |
| 4725 | Bir hesabın devre dışı bırakılması |
| 4732 | Bir kullanıcının güvenlik grubuna eklenmesi |
| 4740 | Hesap kilitlenmesi |
| 4769 | Kerberos hizmet bileti isteği |
Windows Event Viewer’daki güvenlik logları, sistem güvenliğini sağlamak ve olası tehditleri tespit etmek için kritik öneme sahiptir. 4624 ile başarılı girişleri takip edebilir, 4625 ile başarısız girişleri inceleyebilir ve 4648 ile özel kimlik doğrulama girişimlerini analiz edebilirsiniz. Özellikle sistem yöneticileri ve güvenlik ekipleri için bu logların düzenli olarak analiz edilmesi, saldırıları önlemek ve güvenlik olaylarını izlemek açısından büyük önem taşımaktadır. Bu yazımda sizlere Windows Event Viewer Security Logları konusundan bahsettim. Faydalı olması dileğiyle.
