De eerste stap bij het volgen van aanmeld- en afmeldgebeurtenissen is het inschakelen van audits. U kunt Windows informeren over de specifieke reeks wijzigingen die u wilt monitoren zodat alleen deze gebeurtenissen worden geregistreerd in het beveiligingslogboek.

Voor het controleren van de geschiedenis van gebruikersaanmelding in Active Directory schakelt u audit in door het volgen van de onderstaande stappen:

  • 1 Voer gpmc.msc (console Groepsbeleidbeheer) uit. 
  • 2 nieuwe GPO aan.
  • 3 Bewerken en ga naar Computerconfiguratie > Beleid > Windows-instellingen > Beveiligingsinstellingen > Geavanceerde configuratie auditbeleid > Auditbeleid. Onder Auditbeleid vindt u specifieke instellingen voor Aanmelding/afmelding en Aanmelding account.
    Aanmelding/afmelding:
    • Aanmelding controleren > Definiëren > Geslaagd en Mislukt.
    • Afmelding controleren > Definiëren > Geslaagd.
    • Overige aanmeld-/afmeldgebeurtenissen controleren > Definiëren > Geslaagd.
    Aanmelden account:
    • Kerberos-verificatieservice controleren > Definiëren > Geslaagd en Mislukt.
  • 4 Voor het koppelen van de nieuwe GPO met uw domein, klikt u met de rechtermuisknop op {}. Selecteer Een bestaande GPO koppelen en kies de GPO die u hebt aangemaakt.

Windows werkt groepsbeleid standaard om de 90 minuten bij; als u wilt dat de wijzigingen onmiddellijk worden weergegeven, kunt u een update op de achtergrond van alle instellingen van Groepsbeleid forceren door het uitvoeren van de volgende opdracht in de Windows-opdrachtprompt:

gpupdate /force

Wanneer een gebruiker zich nu aan- of afmeldt, wordt de informatie geregistreerd als een gebeurtenis in het Windows-beveiligingslogboek.

Voor het weergeven van de gebeurtenissen, opent u Event Viewer en gaat u naar Windows-logboeken > Beveiliging. Hier vindt u de details van alle gebeurtenissen waarvoor u audit hebt ingeschakeld. U kunt hier de grootte van het beveiligingslogboek definiëren, alsook kiezen om oudere gebeurtenissen te overschrijven zodat recente gebeurtenissen worden geregistreerd wanneer het logboek vol is.

Inzicht in gebeurtenis-ID’s gekoppeld aan aanmeld- en afmeldactiviteit.

  • Gebeurtenis-ID 4624 - Een account werd succesvol aangemeld.

    Deze gebeurtenis registreert elke succesvolle poging om aan te melden bij de lokale computer. Het omvat kritieke informatie over het type aanmelding (bijv. interactief, batch, netwerk of service), SID, gebruikersnaam, netwerkinformatie en meer. Het monitoren van deze specifieke gebeurtenis is essentieel aangezien de informatie betreffende type aanmelding niet wordt gevonden in DC’s.

  • Gebeurtenis-ID 4634 - Een account werd afgemeld.

    This event signals the end of a logon session.

  • Gebeurtenis-ID 4647 - Door gebruiker gestarte afmelding.

    This event, like event 4634, signals that a user has logged off; however, this particular event indicates that the logon was interactive or RemoteInteractive (remote desktop).

  • Gebeurtenis-ID 4625 - Het aanmelden van een account is mislukt.

    This event documents every failed attempt to log on to the local computer, including information on why the logon failed (bad username, expired password, expired account, etc.) which is useful for security audits.

    All the event IDs mentioned above have to be collected from individual machines. If you're not concerned with the type of logon or when users log off, you can simply track the following event IDs from your DCs to find users' logon history.

  • Gebeurtenis-ID 4768 - Een Kerberos-verificatieticket (TGT) werd aangevraagd.

    This event is generated when the DC grants an authentication ticket (TGT). That means a user has entered the correct username and password, and their account passed status and restriction checks. If the ticket request fails (account is disabled, expired, or locked; attempt is outside of logon hours; etc.), then this event is logged as a failed logon attempt.

  • Gebeurtenis-ID 4771 - Voorafgaande Kerberos-verificatie mislukt.

    This event means that the ticket request failed, so this event can be considered a logon failure.

U hebt waarschijnlijk gezien dat aanmeld- en afmeldactiviteit wordt aangeduid met verschillende gebeurtenis-ID’s. Om deze gebeurtenissen samen te binden, hebt u een gemeenschappelijke identificatie nodig.

De aanmeld-ID is een nummer (uniek tussen herstarten) dat de meest recent gestarte aanmeldsessie identificeert. Enige volgende activiteit wordt gemeld met deze ID. Door het verbinden van aanmeld- en afmeldgebeurtenissen met dezelfde aanmeld-ID kunt u de aanmeldduur berekenen.

Beperkingen van bedrijfseigen audittools.

  • Alle lokale aan aanmelding en afmelding gerelateerde gebeurtenissen worden alleen geregistreerd in het beveiligingslogboek van individuele computers (werkstations of Windows-servers) en niet in de domeincontrollers (DC's).
  • Aanmeldgebeurtenissen geregistreerd in DC’s bevatten niet voldoende informatie om een onderscheid te maken tussen de diverse soorten aanmeldingen, namelijk Interactief, Extern interactief, Netwerk, Batch, Service, enz.
  • Afmeldgebeurtenissen worden niet geregistreerd in DC’s. Deze informatie is van essentieel belang bij het bepalen van de aanmeldduur van een specifieke gebruiker.

Dit betekent dat u informatie moet verzamelen van Dc’s alsook werkstations en andere Windows-servers voor het verkrijgen van een volledig overzicht van alle aanmeld- en afmeldactiviteit binnen uw omgeving. Het proces is minutieus en zou als snel frustrerend kunnen worden.

Een eenvoudigere manier van controleren van aanmeldactiviteit.

Dus wat als er een eenvoudigere manier van controleren van aanmeldactiviteit zou zijn? Een tool als ADAudit Plus controleert specifieke aanmeldgebeurtenissen alsook aanmeldactiviteit in heden en verleden voor het bieden van een lijst met alle aan aanmelden gerelateerde wijzigingen.

Met ADAudit Plus kunt u direct rapporten weergeven over 
  • Aanmeldgeschiedenis van gebruiker
  • Aanmeldgeschiedenis van domeincontroller
  • Aanmeldgeschiedenis van Windows-server
  • Aanmeldgeschiedenis van werkstation

Deze informatie wordt geboden via een gemakkelijk te begrijpen webinterface die statistische gegevens weergeeft in tabellen, grafieken en een lijstweergave met voorgedefinieerde en aangepaste rapporten.


Rapport over gebruikersactiviteit bij aanmeldingen

Rapport over gebruikersactiviteit bij aanmeldingen

   Rapport over gebruikersactiviteit bij aanmeldingen


ADAudit Plus Trusted By