• Anasayfa
  • Hakkımızda
  • Etkinlikler
  • Destek Verin
  • Site Haritası
  • Giriş Yap
  • Üye Ol
  • Facebook
  • Twitter
  • RSS
Yazılım Dilleri
  • Soru - Cevap
  • EĞİTİM SETİ
  • KATEGORİ
  • DUYURU
  • TEKNOLOJİ HABERLERİ

Son Sorular

  • 23.04.2016 00:55:33C programlama 2 oyun
  • 20.04.2016 16:34:41Local Database
  • 15.04.2016 14:26:15Fatura kayıt işlemi
  • 21.03.2016 01:55:30C# problem

Popüler Sorular

  • 27.05.2012 05:49:50Asp.Net ile Date time alana veri ekleyemiiyorum ?
  • 2.04.2012 00:45:18.exe uzantılı dosya için dijital imza nerde nasıl alınır.
  • 12.05.2012 08:44:49Acil Yardım
  • 27.05.2012 13:46:51veri tabanı bağlantısı
  • .Net Framework
  • 8085 Assembly
  • Active Directory
  • ADO.NET
  • Android
  • Apple IOS
  • Arduino
  • ASP.NET
  • ASP.NET MVC
  • Blackberry
  • C#.Net
  • C++
  • CCG Framework
  • CISCO
  • CSS
  • Diğer
  • Dreamweaver
  • Entity Framework
  • Exchange Server
  • Gömülü Sistemler
  • GSM Programlama
  • Güncel
  • Güvenlik
  • HTML5
  • Java
  • Javascript / JQuery
  • Jira
  • Kariyer ve İş Yaşamı
  • LINQ
  • LibreOffice
  • Linux
  • Matlab
  • Microsoft Dynamics CRM
  • Mobil Uygulama Geliştirme
  • MySQL
  • NoSQL
  • Oracle
  • OWIN
  • PFSense
  • PHP
  • Powershell
  • Python
  • Sanallastirma
  • SAP-ABAP
  • SCOM 2012
  • SEO
  • Sharepoint 2010
  • Sharepoint 2013
  • Silverlight
  • Sistem Analiz ve Tasarımı
  • SQL Server
  • Symantec
  • TFS
  • T-SQL
  • Ubuntu
  • VB.NET
  • Veritabanı Yönetim Sistemleri
  • Visual Studio
  • VMware
  • WCF
  • Web Hosting
  • Windows 8
  • Windows Azure
  • Windows Phone 7.1
  • Windows Phone 8
  • Windows Server
  • Wordpress
  • WPF
  • Xamarin
  • XNA
  • Yazılım Mühendisliği
  • Yöneylem Araştırması
  • ASP.NET MVC
  • Entity Framework
  • Javascript / JQuery
  • LINQ
  • PHP

Son Duyurular

IPhone 6 ve IPhone 6 Plus Teknik Özellikleri ve Fiyatı

IPhone 6 ve IPhone 6 Plus Teknik Özellikleri ve Fiyatı

DELL'in Yeni Projesi: USB Bilgisayar (Project Ophelia)

DELL'in Yeni Projesi: USB Bilgisayar (Project Ophelia)

Windows Phone Youtube Uygulaması Google ve Microsoft ile Yeniden Yapılıyor

Windows Phone Youtube Uygulaması Google ve Microsoft ile Yeniden Yapılıyor

Android ve Apple IOS Telefonlar için Blackberry Messenger (BBM)

Android ve Apple IOS Telefonlar için Blackberry Messenger (BBM)

Nokia Lumia 925 Teknik Özellikleri, Lumia 928 ve 920 ile Karşılaştırması

Nokia Lumia 925 Teknik Özellikleri, Lumia 928 ve 920 ile Karşılaştırması

LG Optimus G Pro Özellikleri ve Gözle Video Oynatma Teknolojisi

LG Optimus G Pro Özellikleri ve Gözle Video Oynatma Teknolojisi

Domain Ortamında Şifre Dememesi Yapan Bilgisayarların Bulunması

(Powershell ile) (Finding Password Trying Computers with powershell)

31.07.2012

Yazar: Ahmet Kutlay Demiray (Google+)

Kategori: Powershell

4329

 Etki alanı üzerinden çeşitli zararlı yazılımlar nedeniyle sürekli şifre deneyen bilgisayarlar kullanıcı hesaplarını kilitledikleri için zaman zaman can sıkısı hale gelebilmektedir. Bu bilgisayarları tespit etkem aktif dizin audit loglarını açmak ile mümkün olsa da sayı arttıkça loglardan takip edilmesi, süzülmesi ve tespit edilmesi zorlaşmaktadır. Yanlış şifre deneme işleminde aktif dizin Domain Controller biglisayarları üzerine 4771 logu düşe bu logun message kısmında hangi bilgisayardan geldiği bilgisi bulunmaktadır. Malesef windows'un arayüzü özel bir raporlama sunmadığı için 4771 ile karşılaşıldığında gerçekten bir yanlış giriş mi yoksa kötü niyetli bir deneme mi olduğu anlaşılamamaktadır. Bu makalede hangi IP'lerden sürekli yanlış şifre denemesi yapıldığını anlmanın nasıl gerçekleştirilebileceğinden bahsedeceğim. 


Öncelikle bu konunun raporlanması için Aktif Dizin Üzerinde yanlış şifre denemelerinin audit'lerinin açık olması gerekmektedir. Bu audit açık olduktan sonra yanlış şifre denemeleri 4771 numaralı log ile Security loglarına düşecektir. Bu logları incleyip yorumlayacak ve bir paylaşım'a yazacak olan powershell scripti aşağıdaki gibidir.

WhoMakesFailedLogon.ps1_________________________________________________________

$ComputerName=Get-Content env:computername


$logs=Get-EventLog -LogName security -ComputerName $ComputerName -InstanceId 4771 -Newest 5000

$results=@()

$statistics=@()

$tarih=Get-Date

$tarih>>\\PaylasimSrv\DCTestLog\$ComputerName".txt"

"_______________">>\\PaylasimSrv\DCTestLog\$ComputerName".txt"

foreach($log in $logs)

{

$tmp=$log.Message.Substring($log.Message.IndexOf("Client Address:")+24)

$tmp=$tmp.Substring(0,$tmp.IndexOf("Client Port:")-3)



$flag="false"

for($i=0;$i -lt $results.length;$i++)

{

if($results[$i] -eq $tmp)

{

$statistics[$i]++

$flag="true"

}

}

if($flag -eq "false")

{

$results+=$tmp

$statistics+=1

} 



}

for($i=0;$i -lt $results.length;$i++)

{

if($statistics[$i] -ge 50)

{

$results[$i]+" -------- "+$statistics[$i]>>\\PaylasimSrv\DCTestLog\$ComputerName".txt"

}

}

"_______________">>\\PaylasimSrv\DCTestLog\$ComputerName".txt"

_______________________________________________________________________________

Yukarıdaki kod parçacığı DC üzerinde çalıştırılmalıdır. Kısaca DC üzerindeki son 5000 failed logon denemesinin hangi IP'ler üzerinden yapıldığını incelemektedir. İnceleme sonucunda hangi IP'den kaç adet deneme yapılığını Paylaşım sunucusundaki bir Paylaşıma DCismi.txt diye bir dosyaya yazmaktadır. Burada yazarken son 5000 log içerisinde 50 den fazla deneme sayısı olan bilgisayarları yazmaktadır. (Bu değer benim çalıştığım ortamda mantıklı olduğu için 50 seçilmiştir. Kendi ortamınıza göre düzenlemenizde fayda var.) sonuçta paylaşımdaki txt dosyası aşağıdaki gibidir.

 

 

 

Yukarıdai resimde script'in çıktısı olan txt dosyası bulunmaktadır. Bu dosyadan da anlaşılacağı üzere özellikle 172.16.0.99 , 172.16.1.199 ve 172.17.0.107 IP'li bilgisayarlar üzerinden sürekli şifre denemesi yapılığı anlaşılmaktadır.

 

Buray kadar olan anlatımımız basitçe logların toplanmasına ve bu loglara göre yorum çıkarılmasına yönelikti. Bu işlemi DC üzerinde zamanlanmış görev haline getirebilirsiniz.Bu işlem için aşağıdaki makale yararlı olacaktır.

http://mnuzuner.blogspot.com/2011/01/zamanlanms-powershell-gorevi-ekleme.html

 

Çok fazla DC'nin olduğu ortamlar için de grup politikası üzerinden bu script'i DClere kopyalayabilir ve yine grup politikası üzerinden zamanlanmış görev haline getirebilirsiniz.

 

Bu işlemleri yaparak çok kısa sürede ortamınızda hangi bilgisayardan şifre denemeleri yapıldığını ve kullanıcı hesaplarının kilitlendiğini anlamanız kolaylaşacaktır. Bu loglar doğrultusunda oramınızdaki bilgisayarları temizleyerek toplamdaki logon performansınızı ve hesap kilitlenme sorununu ortadan kaldırabilirsiniz.

 

 

Yazar Hakkında

Ahmet Kutlay Demiray

Ahmet Kutlay Demiray

sistemtecrubeleri.blogspot.com/

Pratik Çözüm Uzmanı :)

Sosyal Medya

ORANLAR

  • 4329izleme

Arkadaşlarınla Paylaş

  • Tweet

0 Yorum

Yorum Yaz / Soru Sor

Lütfen yorum yazmak veya soru sormak için üye girişi yapınız.

Son Yorumlar

  • Hocam Link başka sayfaya yönlendiriyor.
  • merhaba benim merak ettiğim bir konu var y...
  • Merhaba download linki çalışmıyor. Rica et...
  • Nevzat Bey selamlar, Açıkçası bizler a...
  • Parametreleri Cache İşleminden Yalıtma kon...

En Güncel Sorular

  • Bilgilendirme maili (C#.Net)
  • Power Pivot (Sharepoint 2010)
  • BigInteger, BigDecimal (Asp.Net ve Asp.Net MVC)
  • visual C# ile asp nette veritabanı islemleri (Asp.Net ve Asp.Net MVC)
  • Share Point ile Dosya Arşiv Yönetim Sistemi yapılabilir mi ? (Sharepoint 2010)

En Son Cevap Verilen Sorular

  • Bilgilendirme maili
  • BigInteger, BigDecimal
  • visual C# ile asp nette veritabanı islemleri
  • Share Point ile Dosya Arşiv Yönetim Sistemi yapılabilir mi ?
  • txt dosyasına veri yazma

Twitter

Takip et: @yazilim_dilleri

En Çok Okunanlar

Elif BAYRAKDAR

C# ile SQL Server Bağlantısı, Insert, Update ve Delete Sorguları

23.05.2013

  • 120014
  • 0
Hakan Keskin

C# ile Windows Service Projesi Oluşturma, Debug Etme ve Setup Hazırlama

17.12.2013

  • 65083
  • 0
batuhan avlayan

Php - Mail Gönderme (İletişim Formu)

02.09.2013

  • 48261
  • 0

Sponsorlar

KODLAB
Pluralsight
Exchange server is
Office 365
YAZILIM DİLLERİ
Yukarı Çık
  • Hakkımızda
  • Facebook
  • Twitter
  • RSS

© Yazılım Dillerinin Buluşma Noktası | Kaynak belirtildiği sürece makaleler kopyalanabilir.
YazilimDilleri.Net sitesinde yer alan kullanıcıların oluşturduğu tüm içeriklerin yayınlanması ile ilgili yasal yükümlülükler içeriği oluşturan kullanıcıya aittir, YazilimDilleri.Net hiçbir şekilde sorumlu değildir.

Kapat

Giriş Yap

Kullanıcı Adı

Şifre

Şifremi Unuttum

KULLANICI GİRİŞİ