Log Yönetimi ve 5651
21 Nisan 2011 Perşembe
Devamını okumak için tıklayınız
Ekleyen:
Osman Doğan
Kategori: Auditing Category
Etiketler
Management
5651
Log
Event 675 - Pre-Authentication Failed (0x19)
12 Nisan 2011 Salı
Ticket-granting ticket (TGT) elde olmadığını gösterir. Sebebini hata kodlarından görebilirsiniz.
Hata Kodu:
0x19 - KDC_ERR_PREAUTH_REQUIRED: Additional pre-authentication required
Vista / Windows 7 ve 2008 kerberos authentication sırasında default olarak AES şifreleme yöntemini kullanır. Eğer AES başarısız olursa otomatik olarak RC4-HMAC (2003’ün anladığı) yöntemine geçilir. Kullanıcı tarafında bir şey farkedilmez ancak bu işlem 2003 DC’de 0x19 olarak kaydedilir.
0x19’ları yok etmenin en kolay yöntemi DC’leri 2008’e upgrade etmektir, zor yöntem Win Vista/7’lerde aşağıdaki registry ayarını yapıp makinaları reboot etmek:
1) Windows7 makinada aşağıdaki registry anahtarını bulun
HKLM\System\CurrentControlSet\Control\LSA\Kerberos\Parameters
2) Aşağıdaki registry değerini yaratın
Value Name = DefaultEncryptionType
Type = Reg_DWORD
Value Data = 0×17 (23) (decimal 23 veya hex 0x17)
3) Bilgisayarı (client) reboot edin.
Devamını okumak için tıklayınız
Ekleyen:
Osman Doğan
Kategori: Error Code
Etiketler
KDC_ERR_PREAUTH_REQUIRED
0x19
AES
RC4-HMAC
Kerberos
File Audit Ayarlarında Yapılan Değişikliğin Tespit Edilmesi
08 Nisan 2011 Cuma
Bir dosyaya ait audit ayarlarında yapılan değişikliği nasıl tespit ederim?
| Ürünler: | Infraskope Console, Windows Security Log (2003) |
| Kategori: | HOWTO |
| Özet: | Bu makalede, takip edilen bir dosya üzerinde sistem yöneticisi tarafından yapılabilecek audit ayar değişikliklerinin nasıl takip edebileceğiniz anlatılmaktadır. |
Soru
Kritik bir dosya üzerinde audit ayarlarını değiştirdiniz ve dosyaya erişimleri takip ediyorsunuz. Kötü niyetli bir sistem yöneticisi dosya veya dizindeki audit ayarlarını değiştirdi veya kaldırdı. Böyle bir durumu nasıl tespit edebiliriz?
Yanıt
Bir dosyanın audit ayarlarının değiştirilmesi için SACL (Security Access Control List) kayıtlarının değiştirilmesi gerekmektedir. Bu işlem gerçekleştiğinde audit log kayıtlarına EventID=560, Source="security" olarak raporlanır. Raporlanan olay içinde "Accesses" (param15) bölümünde "WRITE_DAC" veya "%%1539" değerinin olması, SACL kayıtlarında değişiklik yapıldığını, yani audit ayarlarının değiştirildiğini gösterir. Aşağıda bu olay gerçekleştiğinde oluşan örnek bir olay listelenmiştir.
| Object Open: Object Server: Security Object Type: File Object Name: D:\Audit\xxxx.bat Handle ID: 1248 Operation ID: {0,3992018026} Process ID: 5800 Image File Name: C:\WINDOWS\explorer.exe Primary User Name: administrator Primary Domain: KARMASIS Primary Logon ID: (0x0,0x3484DA8) Client User Name: administrator Client Domain: KARMASIS Client Logon ID: (0x0,0x3484DA8) Accesses: READ_CONTROL WRITE_DAC WRITE_OWNER ACCESS_SYS_SEC Privileges: SeSecurityPrivilege SeTakeOwnershipPrivilege Restricted Sid Count: 0 Access Mask: 0x10E0000
|
ReferansTablosu
Windows Security Event log'a kaydedilen 560 nolu olaylarında Accesses alanında kullanılabilecek Message ID değerleri aşağıdaki tabloda özetlenmiştir.
| MessageID | Desc |
| %%1537 | DELETE |
| %%1538 | READ_CONTROL |
| %%1539 | WRITE_DAC |
| %%1540 | WRITE_OWNER |
| %%1541 | SYNCHRONIZE |
| %%1542 | ACCESS_SYS_SEC |
| %%1543 | MAX_ALLOWED |
| %%4368 | Query directory |
| %%4369 | Traverse |
| %%4370 | Createobject in directory |
| %%4371 | Createsub-directory |
| %%4384 | Query eventstate |
| %%4385 | Modifyeventstate |
| %%4416 | ReadData (orListDirectory) |
| %%4417 | WriteData (orAddFile) |
| %%4418 | AppendData (orAddSubdirectoryorCreatePipeInstance) |
| %%4419 | ReadEA |
| %%4420 | WriteEA |
| %%4421 | Execute/Traverse |
| %%4422 | DeleteChild |
| %%4423 | ReadAttributes |
| %%4424 | WriteAttributes |
| %%4437 | Create Link |
Infraskope Alarm Kuralı
Yukarıda takip edilen olayı Infraskope ile takip etmek isterseniz aşağıdaki değerlerle yeni bir alarm kuralı oluşturun.
| Alan | Değer |
| Severity | Warning |
| RuleCategory | PrivilegeUse |
| Name | File auditsettingschanged |
| Enable Advanced Filter | İşaretli (checked) |
| Advanced Filter | (EventID=560) AND (Source='Security') AND (param15 LIKE '%1540%' OR param15 LIKE '%WRITE_DAC%') |
Response bölümünde istediğiniz değişiklikleri yapın ve kuralı kaydedin.
Yazar: Murat Eraydın
Devamını okumak için tıklayınız
Ekleyen:
Osman Doğan
Kategori:
Etiketler
File
Audit
Alert
Change
Kritik Event ID Listesi (2003 / 2008)
05 Nisan 2011 Salı
| Win 2003 | Win 2008 | Açıklama |
| 645 | 4741 | Bilgisayar hesabı oluşturuldu |
| 626 | 4722 | Kullanıcı hesabı aktif edildi |
| 629 | 4725 | Kullanıcı hesabı pasif edildi |
| 660 | 4756 | Universal gruba üye eklendi |
| 632 | 4728 | Global gruba üye eklendi |
| 630 | 4726 | Kullanıcı hesabı silindi |
| 624 | 4720 | Kullanıcı hesabı oluşturuldu |
| 672 | 4768 | Kerberos biletinin alınması (TGT) |
| 528 | 4624 | Başarılı Oturum Açma |
| 675 | 4771 | Yanlış şifre (Kerberos pre-authentication failed) |
| 530 | 4625 | Oturum açma başarısız |
| 644 | 4740 | Kullanıcı hesabının kilitlenmesi |
| 627 | 4723 | Kullanıcının kendi şifresini değiştirmesi |
| 628 | 4724 | Admin tarafında kullanıcı şifresinin resetlenmesi |
| 517 | 1102 | Güvenlik loglarının silinmesi |
Devamını okumak için tıklayınız
Ekleyen:
Osman Doğan
Kategori: Event ID
Etiketler
4624
4720
4723
4768
4741
528
4756
4724
Authentication Packages
30 Mart 2011 Çarşamba
An authentication package is a DLL that encapsulates a given form of authentication, such as NTLM or Kerberos. The Local Security Authority calls into the appropriate authentication package during the logon process to find out if the user is authentic.
Although a third party can develop an authentication package, few do so. The standard packages that come with Windows Server 2003 are as follows:
* Microsoft Authentication Package V1_0
* Wdigest
* Microsoft Unified Security Protocol Provider
* Schannel
* NTLM
* Kerberos
* Negotiate
The only authentication package logged by Windows Server 2008 is C:\Windows\system32\msv1_0.dll : MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 which is just one of the authentication options supported by Windows.
The other authentication options supported by Windows Server 2008 appear to now be part of a larger package called a security package.According to MSDN: "A security package that functions as an authentication package and implements the functionality required by SSPI is called a security support provider/authentication package (SSP/AP)."
Devamını okumak için tıklayınız
Ekleyen:
Osman Doğan
Kategori: Event Type
Etiketler
Negotiate
NTLM
Kerberos
Microsoft Authentication Package
Kullanıcı Hesabı Kilitlenme Süreci
28 Mart 2011 Pazartesi
Event ID: 644 (Win2003), 4740 (Win2008)
Lockout Policy tarafından belirlenen sayıdan fazla yanlış şifre denemesi sonucunda kullanıcı hesabı kilitlenir.
Not: Bu olaya ek olarak Windows 642 nolu olayı da kaydeder (User Account Changed: User Account Locked out)
Devamını okumak için tıklayınız
Ekleyen:
Osman Doğan
Kategori: Event Type
Kullanıcının Kendi Şifresini Değiştirme Süreci
28 Mart 2011 Pazartesi
Event ID : 627 (Win2003), 4723 (Win2008)
Kullanıcı kendi şifresini değiştirdiğinde bu olay kaydedilir. Bu olaydan hemen sonra 642 (User Account Changed) olayı da kayıtlara geçer.
Not: Sistem yöneticisinin başka bir kullanıcının şifresini değiştirmesi bu olaydan farklıdır. Bu durumda 628 (4724) nolu olay kayıtlara düşer.
Devamını okumak için tıklayınız
Ekleyen:
Osman Doğan
Kategori: Auditing Category
Kullanıcının Başka Bilgisayara Erişim Süreci
28 Mart 2011 Pazartesi
Event ID : 673 (Win2003), 4769 (Win2008)
Kerberos protokolüne göre, bir bilgisayar başka bir bilgisayara ulaşmadan önce DC’den servis ticket almak zorunda. Bu da DC’de ulaşılmak istenen her bilgisayar için ekstra 673 nolu olayın kaydedilmesine neden olur.673 nolu olay bilgilerinde ServiceName bölümünde ulaşılmak istenen bilgisayarın adını bulabilirsiniz.
Not: Kerberos yerine NTLM ile kimlik doğrulama yapılması durumunda 672 / 673 yerine 680 nolu olay kaydedilir.
Bazen DC’nin başarı ile TGT vermesine rağmen (kullanıcı adı ve şifre doğru) değişik nedenlerden ötürü service ticket alma işlemi gerçekleşemez. Örneğin kullanıcı NT makinadan Windows 2000 makinaya ulaşmaya çalışıyor olabilir. Bu durumda sistem (eğer izin verildiyse) otomatik olarak NTLM kimlik doğrulamasına geçecektir. Bu işlemi yaparken Event ID 677 (hata kodu 7) event log’a kaydedilir. Bu işlem sırasında kullanıcıya hata mesajı çıkmaz. Event ID 677 hata kodu 7 ’yi izleyerek downgrade attack denemelerini ortaya çıkartabilirsiniz
Not: Windows 2003 Event 677 yerine 673 Failure ile aynı olayı raporlar. Windows 2008 ise bu olayı 4773 ile raporlar.
Devamını okumak için tıklayınız
Ekleyen:
Osman Doğan
Kategori: Event Type
Etiketler
677
4769
ID
Event
673
4773
Kullanıcı Oturum Açma Süreci
28 Mart 2011 Pazartesi
Event ID : 672, 673, 646, 540, 538 (Win2003)
4768, 4769, 4742, 4624, 4634 (Win2008)
Kullanıcılar oturum açtıklarında DC ile görüşerek diğer işlemler için kullancağı Kerberos biletini alır (TGT). Bu işlem sırasında DC Security Log’unda 672 (Authentication Ticket Granted) nolu olay kaydedilir (Win2003). Daha sonra GPO ve diğer işlemler için iki adet 673 (Service Ticket Granted) nolu event oluşur.Bu işlemlerden hemen sonra kullanıcı hesabının son logon tarihi değişir. Bu olay 642 (User Account Changed) olarak kaydedilir.
DC’lerde Logon/Logoff kategorisi etkinse bol miktarda 540 / 538 de loglara kaydedilir.
Devamını okumak için tıklayınız
Ekleyen:
Osman Doğan
Kategori: Logon Type
Etiketler
4624
538
540
4769
ID
4768
4634
672
673
Kullanıcı Bilgisayarı Açılma Süreci
28 Mart 2011 Pazartesi
Event ID : 672, 673, 646, 540, 538 (Win2003)
4768, 4769, 4742, 4624, 4634 (Win2008)
Bilgisayar ilk açıldığında DC ile görüşerek diğer işlemler için kullancağı Kerberos biletini alır (TGT). Bu işlem sırasında DC Security Log’unda 672 (Authentication Ticket Granted) nolu olay kaydedilir (Win2003). Daha sonra GPO ve diğer işlemler için iki adet 673 (Service Ticket Granted) nolu event oluşur.Bu işlemlerden hemen sonra kullanıcı bilgisayarının son logon tarihi değişir. Bu olay 646 (Computer Account Changed) olarak kaydedilir.
DC’lerde Logon/Logoff kategorisi etkinse bol miktarda 540 / 538 de loglara kaydedilir.
Not-1: Bu olaylarda username (kullanıcı adı) bölümlerinde bilgisayar$ bulunur. Bu, işlemi bilgisayar hesabının gerçekleştirdiğini gösterir.
Not-2: Kerberos yerine NTLM ile kimlik doğrulama yapılması durumunda 672 / 673 yerine 680 nolu olay kaydedilir. NTLM kimlik doğrulama yöntemi Kerberos’a gore daha zayıf bir yöntem olduğu için bu yöntem bazı durumlarda hacker araçları tarafından kullanılabilir. Bu işleme Downgrade Attack adı verilir.
Bazen DC’nin başarı ile TGT vermesine rağmen (kullanıcı adı ve şifre doğru) değişik nedenlerden ötürü service ticket alma işlemi gerçekleşemez. Örneğin kullanıcı NT makinadan Windows 2000 makinaya ulaşmaya çalışıyor olabilir. Bu durumda sistem (eğer izin verildiyse) otomatik olarak NTLM kimlik doğrulamasına geçecektir. Bu işlemi yaparken Event ID 677(hata kodu 7) event log’a kaydedilir. Bu işlem sırasında kullanıcıya hata mesajı çıkmaz. Event ID 677 hata kodu 7’yi izleyerek downgrade attack denemelerini ortaya çıkartabilirsiniz.
Not-3: Windows 2003 Event 677 yerine 673 Failure ile aynı olayı raporlar. Windows 2008 ise bu olayı 4773 ile raporlar.
Devamını okumak için tıklayınız
Ekleyen:
Osman Doğan
Kategori: Auditing Category