Yanlış Girilen Kullanıcı Adı Bilgisinin TMG Server üzerinde Loglanması

  • Article

 

Merhaba,

Müsterilerimizden gelen isteklerden bir taneside TMG Server üzerinde publish edilen ve OWA da oldugu gibi username ve password gerektiren web sayfalarinda, eger hatali kullanici adi ver password girisi yapildiysa bunun hangi kullanici tarafindan yapildiginin loglanmasidir.

ISA Server ve TMG Server SP2 öncesi sürümlerde bu durum sadece event viewer içerisinde security loglarindan takip edilebiliyordu. Hatali girilen Username password bilgisi 4625 event’i ile asagidaki gibi loglanir.

image

image

TMG Server üzerinde ise Ali isimli kullanici bilgisi live logging içerisinde ise “Anonymous” olarak geçer.

image

TMG Server Service Pack 2 ile bu varsayilan davranis degistirilmistir. Bunun için asagidaki vbs scripti çalistirarak Live logging içerisinde ve ayni zamanda geçmise yönelik loglar içerisinde hatali username password bilgisi giren kullanicilarin Username bilgisini direkt olarak TMG Server üzerinden görebilirsiniz.

Yukarida belirttigim gibi bu davranisi degistirmek için vb scripti çalistirmadan önce mutlaka TMG Server Service Pack 2 güncellemesini sisteme kurmaniz gerekiyor. Sonrasinda asagidaki scripti çalistirabilirsiniz.

********************************************

 

set curArray = CreateObject("FPC.Root").GetContainingArray()<br>Const SE_VPS_GUID = "{143F5698-103B-12D4-FF34-1F34767DEabc}"<br>Const SE_VPS_NAME = "LogUsernameForFailedAuthentication"<br>Const SE_VPS_VALUE = 1 Sub SetValue() ' Create the root obect.<br>Dim root ' The FPCLib.FPC root object<br>Set root = CreateObject("FPC.Root")<br>'Declare the other objects needed.<br>Dim array ' An FPCArray object<br>Dim VendorSets ' An FPCVendorParametersSets collection<br>Dim VendorSet ' An FPCVendorParametersSet object<br>' Obtain references to the array object<br>' and the network rules collection.<br>Set array = curArray <br>Set VendorSets = array.VendorParametersSets<br>On Error Resume Next<br>Set VendorSet = VendorSets.Item( SE_VPS_GUID )<br>If Err.Number <> 0 Then<br>Err.Clear<br>' Add the item<br>Set VendorSet = VendorSets.Add( SE_VPS_GUID )<br>CheckError<br>WScript.Echo "New VendorSet added... " & VendorSet.Name<br>Else<br>WScript.Echo "Existing VendorSet found... value- " & VendorSet.Value(SE_VPS_NAME)<br>End If<br>if VendorSet.Value(SE_VPS_NAME) <> SE_VPS_VALUE Then<br>Err.Clear<br>VendorSet.Value(SE_VPS_NAME) = SE_VPS_VALUE<br>If Err.Number <> 0 Then<br>CheckError<br>Else<br>VendorSets.Save false, true<br>CheckError<br>If Err.Number = 0 Then<br>WScript.Echo "Done with " & SE_VPS_NAME & ", saved!"<br>End If<br>End If<br>Else<br>WScript.Echo "Done with " & SE_VPS_NAME & ", no change!"<br>End If<br>End Sub<br>Sub CheckError()<br>If Err.Number <> 0 Then<br>WScript.Echo "An error occurred: 0x" & Hex(Err.Number) & " " & Err.Description<br>Err.Clear<br>End If<br>End Sub<br>SetValue
















 ********************************************

 ilgili scripti çalistidiktan sonra scriptin görevini yaptigina dair asagidaki gibi iki uyari mesaji gelecektir.

image

image

Pencereleri OK ile kapattiktan sonra TMG konsolu tekrar açtiginizda hatali girilen username bilgisini asagidaki gibi live logging içerisinde görebilirsiniz.

image

Konu ile ilgili daha detayli bilgi için asagidaki makaleyi inceleyebilirsiniz.

FIX: You cannot track the source of failed logon attempts that are made through Threat Management Gateway 2010

https://support.microsoft.com/kb/2592929/en-us

Yavuz YILMAZ