Etki alanı üzerinden çeşitli zararlı yazılımlar nedeniyle sürekli şifre deneyen bilgisayarlar kullanıcı hesaplarını kilitledikleri için zaman zaman can sıkısı hale gelebilmektedir. Bu bilgisayarları tespit etkem aktif dizin audit loglarını açmak ile mümkün olsa da sayı arttıkça loglardan takip edilmesi, süzülmesi ve tespit edilmesi zorlaşmaktadır. Yanlış şifre deneme işleminde aktif dizin Domain Controller biglisayarları üzerine 4771 logu düşe bu logun message kısmında hangi bilgisayardan geldiği bilgisi bulunmaktadır. Malesef windows'un arayüzü özel bir raporlama sunmadığı için 4771 ile karşılaşıldığında gerçekten bir yanlış giriş mi yoksa kötü niyetli bir deneme mi olduğu anlaşılamamaktadır. Bu makalede hangi IP'lerden sürekli yanlış şifre denemesi yapıldığını anlmanın nasıl gerçekleştirilebileceğinden bahsedeceğim. 

Öncelikle bu konunun raporlanması için Aktif Dizin Üzerinde yanlış şifre denemelerinin audit'lerinin açık olması gerekmektedir. Bu audit açık olduktan sonra yanlış şifre denemeleri 4771 numaralı log ile Security loglarına düşecektir. Bu logları incleyip yorumlayacak ve bir paylaşım'a yazacak olan powershell scripti aşağıdaki gibidir.

WhoMakesFailedLogon.ps1_________________________________________________________

$ComputerName=Get-Content env:computername


$logs=Get-EventLog -LogName security -ComputerName $ComputerName -InstanceId 4771 -Newest 5000

$results=@()

$statistics=@()

$tarih=Get-Date

$tarih>>\\PaylasimSrv\DCTestLog\$ComputerName".txt"

"_______________">>\\PaylasimSrv\DCTestLog\$ComputerName".txt"

foreach($log in $logs)

{

$tmp=$log.Message.Substring($log.Message.IndexOf("Client Address:")+24)

$tmp=$tmp.Substring(0,$tmp.IndexOf("Client Port:")-3)



$flag="false"

for($i=0;$i -lt $results.length;$i++)

{

if($results[$i] -eq $tmp)

{

$statistics[$i]++

$flag="true"

}

}

if($flag -eq "false")

{

$results+=$tmp

$statistics+=1

} 



}

for($i=0;$i -lt $results.length;$i++)

{

if($statistics[$i] -ge 50)

{

$results[$i]+" -------- "+$statistics[$i]>>\\PaylasimSrv\DCTestLog\$ComputerName".txt"

}

}

"_______________">>\\PaylasimSrv\DCTestLog\$ComputerName".txt"

_______________________________________________________________________________

Yukarıdaki kod parçacığı DC üzerinde çalıştırılmalıdır. Kısaca DC üzerindeki son 5000 failed logon denemesinin hangi IP'ler üzerinden yapıldığını incelemektedir. İnceleme sonucunda hangi IP'den kaç adet deneme yapılığını Paylaşım sunucusundaki bir Paylaşıma DCismi.txt diye bir dosyaya yazmaktadır. Burada yazarken son 5000 log içerisinde 50 den fazla deneme sayısı olan bilgisayarları yazmaktadır. (Bu değer benim çalıştığım ortamda mantıklı olduğu için 50 seçilmiştir. Kendi ortamınıza göre düzenlemenizde fayda var.) sonuçta paylaşımdaki txt dosyası aşağıdaki gibidir.

Yukarıdai resimde script'in çıktısı olan txt dosyası bulunmaktadır. Bu dosyadan da anlaşılacağı üzere özellikle 172.16.0.99 , 172.16.1.199 ve 172.17.0.107 IP'li bilgisayarlar üzerinden sürekli şifre denemesi yapılığı anlaşılmaktadır.

Buray kadar olan anlatımımız basitçe logların toplanmasına ve bu loglara göre yorum çıkarılmasına yönelikti. Bu işlemi DC üzerinde zamanlanmış görev haline getirebilirsiniz.Bu işlem için aşağıdaki makale yararlı olacaktır.

http://mnuzuner.blogspot.com/2011/01/zamanlanms-powershell-gorevi-ekleme.html

Çok fazla DC'nin olduğu ortamlar için de grup politikası üzerinden bu script'i DClere kopyalayabilir ve yine grup politikası üzerinden zamanlanmış görev haline getirebilirsiniz.

Bu işlemleri yaparak çok kısa sürede ortamınızda hangi bilgisayardan şifre denemeleri yapıldığını ve kullanıcı hesaplarının kilitlendiğini anlamanız kolaylaşacaktır. Bu loglar doğrultusunda oramınızdaki bilgisayarları temizleyerek toplamdaki logon performansınızı ve hesap kilitlenme sorununu ortadan kaldırabilirsiniz.