Forum
Bildirimler
Hepsini Temizle
Windows Client
5
Yazılar
3
Üyeler
3
Reactions
62
Görüntüleme
Konu başlatıcı
Merhaba, Group Policy'de Account Policy'de lockout duration 10 dakika, lockout threshold 5 olarak girdim. beş başarısız yanlış parola giriminde kilitle 10 dakika sonra kilidi çöz olarak ayarladım. accout lockut counter after da kendini 10 dakikaya ayarladı. Yapmak istediğim ilk beş yanlış giriminde kilitlenen 10 dakika sonra otomatik kilidi açılan bilgisayar ikinci böyle bir denemede kilidi hiç açılmadan kalsın. Sadece admin açabilsin. Böyle bir seçenek göremedim burda. lockout counter after'in süresini arttırmak istedim fakat bu süreyi arttırınca lockout duration'da artıyor. Bu şekilde de otomatik kilit çözme süresi de artıyor. Nasıl çözebilirim.
Gönderildi : 29/01/2025 14:12
Hocam bildiğim bir konu değil, haliyle deneyimim yok.
Senaryo mantıklı geldiği için ihtiyacım olursa ne yaparım diye ufak bir araştırma yaptım.
(1-2 gün içinde lab ortamda kendimde deneyeceğim) belki size de fikir verir.
Öncelikle Fine Grained Password Policy konusu öğrenilmeli. Yazılı kaynak , Videolu kaynak
İki farklı policy oluşturulur.
1- İlk kilitlenme için FGPP (Süreli Kilitleme) oluştur.
Account lockout duration: 10 dakika
Account lockout threshold: 5
Reset account lockout counter after: 10 dakika
2- İkinci kilitlenme için FGPP (Süresiz Kilitleme) oluştur.
Account lockout duration: 0 (Admin açana kadar kilitli kalsın)
Account lockout threshold: 1 (Yani, bir kez daha kilitlenirse bu politika devreye girsin)
İlk politikadan ikinciye geçişi otomatik hale getirmek için; PowerShell ile Windows Security Log (Event ID 4740) takip edilerek bu kullanıcıya\gruba ikinci FGPP atanır.
Powershell için örnek kod
$GroupName = "HedefGrup" # Hedef grubun adı
$Users = Get-ADGroupMember -Identity $GroupName | Where-Object { $_.objectClass -eq "user" }
foreach ($User in $Users) {
$EventLog = Get-EventLog -LogName Security -InstanceId 4740 | Where-Object { $_.Message -match $User.SamAccountName }
if ($EventLog.Count -ge 2) {
Set-ADUser -Identity $User.SamAccountName -Replace @{msDS-PSOApplied="CN=FGPP_Suresiz_Kilitleme, CN=Password Settings Container, CN=System, DC=domain, DC=com"}
Write-Host "$($User.SamAccountName) kullanıcısı ikinci kez kilitlendi. Süresiz kilitleme politikası uygulandı."
}
} bu scriptis kaydet C:\Scripts\KilitlenmePolitikasi.ps1"
Son aşama görev zamanlayıcısı
Belirli bir olay günlüğe kaydedildiğinde
Günlük: Güvenlik
Kaynak: Microsoft Windows Security Auditing
Olay Kimliği: 4740
Program: powershell.exe
Bağımsız değişkenler ekle :ExecutionPolicy Bypass -File "C:\Scripts\KilitlenmePolitikasi.ps1"
İlk başta söylediğim gibi bilmediğim bir konu, yol haritamı bu şekilde oluşturdum.
Belki siz daha hızlı denersiniz, belki üstadlar düzenleme yapar diye yazmak istedim
Gönderildi : 29/01/2025 16:05
alpaslankilic reacted
GPO da böyle bir özellik yok. Ek bir güvenlik ürünü var ise ortamınızda IDP ürünleri örnek crowdstrike, sentinel one, palo alto gibi onlar yapar, normal AD de böyle bir seçenek yok.
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Gönderildi : 29/01/2025 21:03
alpaslankilic reacted
Konu başlatıcı
GPO da böyle bir özellik yok. Ek bir güvenlik ürünü var ise ortamınızda IDP ürünleri örnek crowdstrike, sentinel one, palo alto gibi onlar yapar, normal AD de böyle bir seçenek yok.
Hakan bey teşekkür ederim. Crwostrike Sentinelone ve pal alto'yu AD ile entegre edip bunu yapabiliyorum öyle mi? Centinelone alım planlarımızda var.
Gönderildi : 30/01/2025 09:14
Şöyle, bunlar normalde EDR ürünleri, ancak bunların ek modülleri var örnek CS için IDP;
Stop Identity Attacks in Real Time | CrowdStrike Falcon® Identity Protection
Bunlar Microsoft ATA gibi çok gelişmiş ürünler, gerçek zamanlı bir anomali tespit ettiğinde bırakın lock yapmayı hesabı kapatıyor veya başka aksiyonlarda alaibliyor ama ucuz ürünler değil. Sentinel One içinde vardı bu özellik.
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Gönderildi : 30/01/2025 09:55
alpaslankilic reacted
