Kullanıcı Oturum Açma Faaliyetlerinin Gerçek Zamanlı olarak İzlenmesi
Kullanıcıların etki alanı bilgisayarlarında oturum açmaları her işletmedeki günlük faaliyetlerdir. Başlangıçta bu basit bir Active Directory olayı olarak görülebilir ancak kendilerine farklı görevler verilmiş olan yöneticiler bu değerli verileri çeşitli denetimler, uygunluk ve operasyonel ihtiyaçlar için kullanabilir. Kuruluşlar, aşağıdaki operasyonel ihtiyaçlardan biri veya birden fazlası için 'AD kullanıcı oturum açma oturum kapama faaliyetlerinin' denetim detaylarına gerek duyar.
Başarısız Oturum Açma Raporu
Domain Controller'de Oturum Açma İşlemleri
Üye Sunucularda ve İş istasyonlarında Oturum Açma İşlemleri
Kullanıcı Oturum açma faaliyeti
En son Kullanıcı Oturum açma faaliyeti
İş İstasyonunda En son Oturum Açma
RADIUS ile Bilgisayarlarda Oturum Açma faaliyetlerinin İzlenmesi
- Çalışanların belirli bir denetim döneminde/her ay devamsızlıklarının/ hazır bulunmalarının doğrulanması.
- Belirli bir anda Active Directory ağına erişimi olan kullanıcıların toplam sayısının tespit edilmesi.
- İş istasyonlarına veya Etki alanı Denetleyicilerine uzak ağ bilgisayarından erişen kullanıcıların yerinin saptanması.
- Etki alanındaki bütün kullanıcılar için en yoğun oturum açma zamanlarının belirlenmesi.
- Kritik Etki alanı bilgisayarındaen son kimin oturumu kapattığının görülmesi.
- Herhangi (kötü niyetli) bir kullanıcının kendisine ayrıcalık tanınmamış olan makinelerde oturum açma girişiminde bulunup bulunmadığının belirlenmesi (Örneğin: Active Directory’de Domain Controller'de oturum açma / Üye Sunucularda oturum açma yüksek ayrıcalık gerektirir).
- Etki alanında herhangi bir kullanıcının oturum açma geçmişinin eksiksiz şekilde görüntülenmesi, bir başka deyişle; Şüpheli bir çalışanı, bilgisayarlar, gruplar gibi Active Directory etki alanı nesnelerini ve çalışanın bağlantısı sırasında yönettiği, eriştiği veya değişiklik yaptığı diğer kullanıcı hesaplarını sorguladığınızda kanıtla donatılmış olmak.
Listelenen birkaç hususa ilave olarak, Active Directory ağında etki alanı hesabı oturum açma faaliyetlerinin denetim bilgilerini gerektiren çok daha fazla uygulamaya yönelik talep bulunmaktadır. ADAudit Plus hesap oturum açma raporları hesap oturum açma faaliyetlerinin denetim zorluklarının üstesinden gelmek için faydalı şekilde kullanılabilir. Uygulama, oturum açma faaliyetleriyle ilgili denetim sorularına istenilen formatta yanıtlar veren gerçek zamanlı önceden yapılandırılmış çok sayıda rapor sunar ve Active Directory denetleme deneyimini geliştirir ve iyileştirir. İsteğe göre uyarlanan raporlama özelliği yazılımın çok rağbet görmesini sağlamaktadır, örneğin herhangi bir oturum açma faaliyeti tanımlanabilir ve rapor olarak görüntülenebilir.
Yerli (Native) Active Directory Kullanıcı Oturum Açma Faaliyetlerinin Denetimi için neden yetersiz kabul ediliyor?
Her 'AD oturum açma günlüğü' Active Directory Etki Alana Yöneticilerinin (DC) güvenlik günlüklerine sürekli olarak kaydedilir. Yerli Active Directory Domain Controller'de günlüğe kaydedilen bu verilerin
- Anlaşılması özel uzmanlık gerektirir - belirli olay numaralarının ve bunların oturum açma faaliyetiyle karşılıklı ilişkisinin anlaşılmasını içeriği için
- Çok büyük hacimdedir - Active Directory nesnesinde / nesnesiyle yapılan her oturum açma faaliyeti Domain Controller günlüğüne sürekli olarak kaydedilir ve bu olay günlüğünde çok büyük hacimde veri birikir.
- Erişimi kısıtlıdır – Domain Controller Active Directory altyapısının kritik bir bileşenidir ve erişimi seçilen belirli idari kullanıcıyla sınırlandırılmıştır.
Yerel Active Directory’nin diğer sınırlandırmaları denetçiler, yöneticiler ve insan kaynakları personeli gibi yönetici olmayan kullanıcıların istenen oturum açma faaliyetini izleyememelerini içerir. Domain Controller veya Üye Sunucuda oturum açma gibi bazı kritik oturum açma olayları anında uyarıda bulunmayı ve sürekli izlemeyi gerektirir. Bu kritik bilgiler, günlük kayıtlarının tutulmasına rağmen, normal olay günlüğünden farklı veya ayrı bir grup değildir ve büyük olasılıkla göz ardı edilebilir.
Gerçek Zamanlı Active Directory Oturum Açma Denetimi Çözümü
Bütün Active Directory ağı için bir seferde bir sistemde hesap oturum açma faaliyetinin izlenmesi nerdeyse imkânsızdır. ADAudit Plus’ın gerçek zamanlı kullanıcı oturum açma denetim raporları, tek bir raporda bütün kullanıcı oturum açma faaliyetlerini listeler. Bu raporlar çok kısa bir sürede merkezi bir web konsolundan görüntülenebilir. Oturum açma bilgileri etki alanında kullanıcı nesnelerinin oturum açma özgünlüğünü/gerçekliğini anlamak / belirlemek açısından çok önemlidir.
ADAudit Plus, Başarısız Oturum Açma İşlemleri, Domain Controller Oturum Açma İşlemleri, Üye Sunucu Oturum Açma İşlemleri, İş İstasyonu Oturum Açma İşlemleri, Kullanıcı Oturum Açma İşlemleri, En son Kullanıcı Oturum Açma İşlemleri ve İş İstasyonlarında En son Oturum açma faaliyeti ile ilgili Kullanıcı Oturum Açma Raporları verir. Ayrıca, oturum açma denetim çözümü, belirli oturum açma olaylarının, mevcut ve geçmiş oturum açma faaliyetlerinin denetimini kolaylaştıran vazgeçilmez bir araçtır ve oturum açma faaliyetiyle bağlantılı bütün değişiklikleri listeler. Bütün bunlar kolay anlaşılır bir web arayüzü ile yapılmaktadır ve istatistikî bilgiler şemalar, grafikler ve kaydedilmiş veisteğe göre uyarlanmış raporlarlistesi vasıtasıyla görüntülenir.
ADAudit Plus’ın Kullanıcı Oturum Açma İşlemleriyle ilgili Denetim Raporları
Başarısız Oturum Açma Raporu
Başarısız Oturum Açma Raporu, seçilen zaman diliminde başarısız oturum açma faaliyetleri ve sebepleri ile ilgili bilgiler verir. Seçilen zaman diliminde Kullanıcı hesaplarından çoklu başarısız oturum açma girişimleri raporlanır. Bu rapor yöneticilere “izinsiz giriş saldırısına karşı duyarlı” hesaplara olası saldırılar hakkında bilgiler verir. Başarısız oturum açma bilgileri de benzer şekilde, başarısız oturum açma faaliyeti gerçekleştiğinde, oturumu açamayan hesap ve başarısız olan Faaliyetin olası sebebi raporlanır.
Başarısız Oturum Açma Sebepleri Yanlış Kullanıcı İsmi, Yanlış parola gibi saldırılara karşı duyarlı kritik sebepler olabilir. “Parolanın süresi dolmuş”, “Hesabın etkinliği kaldırılmış/süresi dolmuş/hesap kilitli” veya “Hesabın parolası Yönetici tarafından sıfırlanmalıdır” gibi sebeplere yöneticilerin dikkat etmesi gerekir. “İş istasyonu/Oturum açma süre kısıtlaması”, “Yeni bilgisayar hesabı henüz çoğaltılmamış” veya “bilgisayar önceden w2k” ve “İşistasyonun zamanı Domain Controller’nin zamanı ile senkronize değil” gibi diğer sebepler de raporlanır.
Hata sebebine göre başarısız oturum açma faaliyetlerinin sayısının grafik gösterimi Yöneticilerin hızla karar almalarına ve etkin şekilde yönetmelerine yardımcı olur.
Domain Controller'de Oturum Açma İşlemleri
Etki Alanı Denetleyicileri AD değişikliklerinin yapıldığı merkezi kritik Active Directory bileşenleridir. Domain Controller'de oturum açma faaliyeti ayrıcalıklı veya Yönetici kullanıcılarla sınırlandırılmıştır ve yöneticilerin bilgiye dayalı düzeltici önlemleri alabilmeleri için diğer kullanıcıların oturum açma girişimleri ile ilgili eksiksiz bilgiler verilir. ADAudit Plus seçilen Domain Controller'de oturum açmış olan bütün kullanıcılarla ilgili bilgi verilmesine yardımcı olur. Oturum açma zamanı, kullanıcının nereden oturum açtığı (Makinenin İsmi), oturum açma girişiminin başarılı mı yoksa başarısız mı olduğu ve oturum açma girişimi başarısız ise sebebi gibi bilgiler raporlanır.
Üye Sunucularda ve İş istasyonlarındaOturum Açma İşlemleri sırasıyla Üye Sunucularda veya İş istasyonlarında kullanıcı oturum açma faaliyetleri ile ilgili bilgi verir. Her iki rapor da “Domain Controller'de Oturum açma faaliyetleri raporuna” benzer şekilde işlev görür ve yazılımın kullanılmasını ve anlaşılmasını çok kolay hale getirir.
Kullanıcı Oturum açma faaliyeti
Kullanıcı oturum açma raporu, seçilen Etki Alanı Kullanıcısı tarafından erişilen “Sunucuların” veya “İş istasyonlarının” eksiksiz günlük geçmişi ile ilgili denetim bilgileri verir. Kullanıcı nesnesinin Oturum açma geçmişi seçilen kullanıcının oturum açma modelinin anlaşılması ve diğer durumlarda denetçilere/ yöneticilere herhangi bir Kullanıcı ile ilgili kaydedilmiş kanıt verilmesi bakımından çok önemlidir.
En son Kullanıcı Oturum açma faaliyeti
Sistem yöneticileri kullanıcıların ağı kullanmalarındaki düzensizlikler den kuşku / kaygı duyarlar. Başarısız oturum açma girişimi düzensizliğin yerini tespit etmek için bir gösterge veya alınması gereken önlem niteliğindedir. ADAudit Plus’ın “En son kullanıcı oturum açma faaliyeti” raporunda seçilen bir zaman diliminde kullanıcıların başarılı veya başarısız oturum açma faaliyetleri listelenir. Ayrıca, düzeltici önlem almak için açıklama olarak başarısız oturum açma faaliyetinin sebebi de belirtilir.
Belirli bir günde, seçilen bir tarihte veya seçilen bir zaman diliminde ağa başarıyla bağlanan kullanıcıların listesi de b u rapordan görülebilir.
İş İstasyonunda En son Oturum Açma
Bu raporda belirli bir günde başarıyla oturum açmış olan bütün kullanıcılar tarafından İş istasyonunda veya Bilgisayarda en son oturum açma faaliyetinin zamanı ile ilgili bilgiler listelenir. Bu rapor kuruluştaki kullanıcıların devamsızlık veya halen hazır bulunma durumlarını tespit etmek için kullanılabilir.
RADIUS ile Bilgisayarlarda Oturum Açma faaliyetlerinin İzlenmesi
Uzak bilgisayarda oturum açan kullanıcı tarafından Uzaktan Aramalı Kimlik Doğrulama Hizmeti (Remote Authentication Dial-In User Service - RADIUS) ile ağa erişimin denetlenmesi. Uzaktan oturum açan kullanıcılarla ilgili RADIUS Başarısız Oturum Açma İşlemleri (NPS) ve RADIUS Oturum Açma Geçmişi (NPS) gibi raporlarla Active Directory’de bütün RADIUS kimlik doğruma faaliyetleri izlenir. Halen sadece Network Policy Server (Windows Server 2008) vasıtasıyla RADIUS oturum açma faaliyetlerinin desteklendiğine dikkatinizi çekeriz.