So verfolgen Sie Anmeldungs-/Abmeldungszeiten von Benutzern in Active Directory

Auch wenn die Anmeldungszeit in Active Directory einfach nachverfolgt werden kann, erhalten Sie wahrscheinlich eine verschiedene Anmeldungszeit für jeden Ihrer Domänencontroller. Das liegt daran, dass die AD-Domänencontroller bei Anmeldungs- und Abmeldungszeiten eine Replizierung untereinander vermeiden, da sonst eine gewaltige Menge Traffic anfallen würde. Die Benutzeranmeldungszeiten herauszufinden, it jedoch sowohl für Sicherheit als auch Produktivität von Bedeutung.

Die Überwachung von Benutzeranmeldungen kann Ihnen helfen, gefährlichen Sicherheitsbedrohungen entgegenzutreten. Falls Sie zum Beispiel sehen, dass ein Benutzer außerhalb der Geschäftszeiten für einen langen Zeitraum angemeldet bleibt, könnte es sich um eine mögliche Insider-Bedrohung handeln. Wenn Sie den Benutzer überwachen und überprüfen, ob ungewöhnliche Netzwerkaktivitäten vorliegen, können Sie einen Angriff auf Ihr Netzwerk hoffentlich verhindern. Wir können also garnicht genug betonen, wie wichtig Anmeldungsereignisse Ihrer Benutzer sind.

ADAudit Plus ist ein Audit- und Reporting-Tool für Active Directory, das Ihnen einen eigenen Bereich für die Überwachung von Anmeldungsereignissen bietet. Beim Zusammenstellen der Berichte werden Informationen aus mehreren Ereignissen in Active Directory verarbeitet – eine zentrale Lösung, mit der Ihre Auditing-Sorgen der Vergangenheit angehören. Die Berichte lassen sich mit nur wenigen Klicks erzeugen, es sind keine komplexen Vorgänge erforderlich.

KOSTENLOS herunterladen Kostenlose 30-tägige Testversion mit vollem Funktionsumfang
  • Mit nativer AD-Überwachung

  • Mit ADAudit Plus

  • Aktivieren Sie die Audit-Richtlinie, um die Überwachung von Anmeldungen/Abmeldungen zu aktivieren, wie in Schritten 1–2 im Abschnitt zum nativen AD-Auditing beschrieben.

  • Klicken Sie auf die Registerkarte „Berichte“ und wählen Sie „lokale Anmeldung/Abmeldung“ aus. Hier stehen Ihnen mehrere Berichte zur Auswahl, mit denen Sie die benötigten Anmeldungsinformationen und mehr abrufen können. Zu den Anmeldungsaktivitäten werden unter anderem Anmeldeversuche, Benutzername, Anmeldungszeit, Name der Workstation sowie Anmeldungstyp angezeigt. Die Anmeldungsdauer gibt Ihnen die Zeitpunkte von Anmeldungen und Abmeldungen und die Dauer jeder angemeldeten Sitzung. Unter Benutzer-Arbeitsstunden erfahren Sie, wie lange der Benutzer insgesamt an der Workstation angemeldet war.

  • Hier ein Beispiel für einen solchen Bericht zu Anmeldungsaktivitäten:

  • Klicken Sie oben auf „erweiterte Suche“, um den Bericht zu filtern. Sie können den Bericht mit einer Vielzahl von Parametern filtern, darunter nach Benutzername, Ereignis-ID oder Domäne.

  • Schritt 1: Audit-Richtlinie aktivieren
  • Öffnen Sie „Server-Manager“ auf Ihrem Windows-Server.

  • Klicken Sie unter „Verwalten“ auf die Option „Gruppenrichtlinienmanagement“ aus, um die „Konsole für das Gruppenrichtlinienmanagement“ anzuzeigen.

  • Navigieren Sie zu Wald > Domäne > Ihre Domäne > Domänencontroller.

  • Sie können entweder ein bestehendes Gruppenrichtlinienobjekt bearbeiten oder ein neues erstellen.

  • Im Gruppenrichtlinien-Editor: gehen Sie auf Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Audit-Richtlinie.

  • Wählen Sie unter „Audit-Richtlinie“ die Option „Anmeldungsereignisse überwachen“ aus und aktivieren Sie diese für „Erfolg“ und „Fehlschlag“.

  • Schritt 2: Anmeldung/Abmeldung aktivieren
  • Gehen Sie zurück auf Computerkonfiguration und navigieren Sie zu Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Audit-Richtlinienkonfiguration > Audit-Richtlinie > Anmeldung/Abmeldung.

  • Konfigurieren Sie hier „Anmelden überwachen“, „Abmelden überwachen“ und „Besondere Anmeldungen überwachen“ und aktivieren Sie diese für „Erfolg“ und „Fehlschlag“.

  • Öffnen Sie die Konsole für das Gruppenrichtlinienmanagement und wählen Sie die GRO aus, die bearbeitet oder erzeugt werden muss. Fügen Sie rechts unter „Sicherheitsfilter“ die Benutzer hinzu, deren Anmeldungen überwacht werden müssen. Wenn Sie alle überwachen möchten, steht auch dafür eine Funktion zur Verfügung. Wenn Sie andererseits nur einen bestimmten Personenkreis überwachen, möchten, lässt sich dafür eine Gruppe hinzufügen.

  • Schritt 3: Überprüfung der Protokolle mit Active Directory Event Viewer
  • Nachdem die Anmeldungs-Audits aktiviert wurden, werden sie von Event Viewer als Ereignisse mit bestimmten Ereignis-IDs verzeichnet. Zum Anzeigen der Ereignisse öffnen Sie den Event Viewer und wechseln zu Windows-Protokolle > Sicherheit. Suchen Sie nach den Ereignis-IDs 4624 (Konto wurde angemeldet), 4634 (Konto wurde abgemeldet), 4647 (benutzerinitiierte Abmeldung), 4672 (besondere Anmeldung), 4800 (Workstation wurde gesperrt) und 4801 (Workstation wurde entsperrt).

    Klicken Sie rechts auf „Aktuelles Protokoll filtern“, um die Protokolle nach Ereignis-ID oder Zeitrahmen zu filtern und so an die benötigten Informationen zu gelangen.

Wachsen Ihnen die nativen Audits ein wenig über den Kopf?

Vereinfachen Sie Server-Audits und Reporting mit ADAudit Plus.

Kostenlos in Ruhe ausprobieren Voller Funktionsumfang, 30 Tage lang zur Probe

Zoho Corporation Pvt. Ltd. Alle Rechte vorbehalten.