Windows Güvenlik Günlükleri: Hızlı Referans Rehberi
Windows işletim sisteminde güvenlik günlükleri, sistem yöneticileri için kritik öneme sahiptir. Bu günlükler, sistemdeki kullanıcı hesap değişiklikleri, oturum açma türleri, oturum açma hataları ve Kerberos kimlik doğrulama olayları gibi bilgileri içerir. Bu blog yazısında, Windows güvenlik günlüklerine dair detaylı ve teknik bir inceleme yapacağız. Hedefimiz, bu bilgileri SEO uyumlu ve en az 10.000 karakter uzunluğunda bir blog yazısında sunarak okuyuculara kapsamlı bir rehber sağlamaktır.
Kullanıcı Hesap Değişiklikleri
Kullanıcı hesap değişiklikleri, sistem güvenliği için önemlidir ve aşağıdaki olay kimlikleriyle takip edilir:
- 4720: Yeni kullanıcı oluşturuldu.
- 4722: Kullanıcı hesabı etkinleştirildi.
- 4723: Kullanıcı kendi şifresini değiştirdi.
- 4724: Ayrıcalıklı kullanıcı bu kullanıcının şifresini değiştirdi.
- 4725: Kullanıcı hesabı devre dışı bırakıldı.
- 4726: Kullanıcı hesabı silindi.
- 4738: Kullanıcı hesabı değiştirildi.
- 4740: Kullanıcı hesabı kilitlendi.
- 4781: İsim değişikliği.
Bu olay kimlikleri, sistemdeki kullanıcı hesaplarıyla ilgili yapılan tüm değişiklikleri izlemek için kullanılır ve olası güvenlik ihlallerini tespit etmeye yardımcı olur.
Oturum Açma Türleri
Windows işletim sisteminde çeşitli oturum açma türleri bulunmaktadır:
- 2: Etkileşimli (Interactive)
- 3: Ağ (Network)
- 4: Yığın (Batch)
- 5: Hizmet (Service)
- 7: Kilitli olmayan çalışma istasyonu (Unlock)
- 8: Ağ Temizleme (Network Cleartext)
- 9: Uzak Masaüstü (Remote Desktop)
- 10: Uzak Oturum (Remote Interactive)
- 11: Önbelleğe Alınmış Kimlik Bilgileri (Cached Credentials)
Her oturum açma türü, belirli bir güvenlik durumu veya kullanım senaryosunu temsil eder ve bunları izlemek, sistem güvenliği açısından kritiktir.
Oturum Açma Hata Kodları
Oturum açma hataları, genellikle sistemdeki güvenlik sorunlarının göstergeleridir. İşte bazı yaygın oturum açma hata kodları:
- 0xC0000064: Kullanıcı adı mevcut değil.
- 0xC000006A: Kullanıcı adı doğru ancak parola yanlış.
- 0xC0000234: Kullanıcı hesabı kilitli.
- 0xC0000072: Hesap şu anda devre dışı.
- 0xC000006F: Kullanıcı, günün bu saatinde oturum açmaya çalıştı.
- 0xC0000133: DC ve diğer bilgisayar saatleri arasındaki fark çok büyük.
- 0xC0000224: Kullanıcı, bir sonraki oturum açmada parola değiştirmelidir.
- 0xC000025E: Kullanıcı, bu makinede oturum açma hakkına sahip değil.
Bu hata kodları, sistemdeki oturum açma denemelerinin neden başarısız olduğunu belirlemeye yardımcı olur ve güvenlik açıklarını tespit etmek için kullanılır.
Kerberos Kimlik Doğrulama Olayları
Kerberos, Windows işletim sisteminde kimlik doğrulama için yaygın olarak kullanılan bir protokoldür. Kerberos olay kimlikleri şunlardır:
- 4768: Kerberos kimlik doğrulama bileti (TGT) talep edildi.
- 4771: Kerberos ön kimlik doğrulaması başarısız oldu.
- 4776: Kerberos kimlik doğrulama hizmeti tarafından kimlik doğrulaması.
- 4820: Erişim kontrol kısıtlamaları nedeniyle Kerberos TGT’si reddedildi.
Kerberos olay kimlikleri, sistemdeki kimlik doğrulama süreçlerini izlemek ve güvenlik ihlallerini tespit etmek için kullanılır.
Oturum Açma Oturum Olayları
Oturum açma oturum olayları, kullanıcıların sistemde oturum açma ve oturum kapatma işlemlerini takip eder:
- 4624: Başarılı oturum açma.
- 4625: Oturum açma başarısızlığı.
- 4634: Kullanıcı tarafından başlatılan oturum kapatma.
- 4647: Kullanıcı tarafından başlatılan kilit ekranı.
- 4800: Çalışma istasyonu kilitlendi.
- 4801: Çalışma istasyonu kilidi açıldı.
- 4802: Ekran koruyucu etkinleştirildi.
- 4803: Ekran koruyucu devre dışı bırakıldı.
Bu olay kimlikleri, kullanıcıların sistemle nasıl etkileşimde bulunduğunu izlemek için kullanılır ve güvenlik ihlallerini tespit etmeye yardımcı olur.
Kerberos Hata Kodları
Kerberos hata kodları, kimlik doğrulama süreçlerindeki hataları belirlemek için kullanılır:
- 0x6: Geçersiz kullanıcı adı.
- 0x9: Yöneticinin parolayı sıfırlaması gerekiyor.
- 0x18: Hesap devre dışı, kilitli veya süresi dolmuş.
- 0x17: Kullanıcının parolasının süresi dolmuş.
- 0x25: Çalışma istasyonunun saati DC ile senkronize değil.
Bu hata kodları, Kerberos kimlik doğrulama süreçlerindeki sorunları tespit etmek ve düzeltmek için kullanılır.
Grup Değişiklikleri
Grup değişiklikleri, sistemdeki kullanıcı gruplarının yönetimiyle ilgilidir ve aşağıdaki olay kimlikleriyle takip edilir:
- 4731: Yerel güvenlik grubu oluşturuldu.
- 4732: Yerel güvenlik grubuna üye eklendi.
- 4733: Yerel güvenlik grubundan üye kaldırıldı.
- 4751: Evrensel güvenlik grubu oluşturuldu.
- 4752: Evrensel güvenlik grubuna üye eklendi.
- 4753: Evrensel güvenlik grubundan üye kaldırıldı.
Grup değişiklikleri, sistemdeki kullanıcı gruplarının yönetimini ve güvenliğini sağlamak için önemlidir.
Sonuç
Windows güvenlik günlükleri, sistem güvenliği için kritik bir araçtır. Kullanıcı hesap değişiklikleri, oturum açma türleri, oturum açma hataları, Kerberos kimlik doğrulama olayları ve grup değişiklikleri gibi bilgileri içerir. Bu bilgileri izlemek ve analiz etmek, sistem güvenliğini sağlamak ve olası güvenlik ihlallerini tespit etmek için önemlidir.
Küçükbakkalköy Mah. Dudullu Cad. Brandium R2 Blok No: 23-25B İç Kapı No: 223 Ataşehir/İstanbul