ADAudit Plus »

Sådan overvåger du Kerberos-godkendelseshændelser i Active Directory

Start din gratis prøveperiode

Kerberos erstattede NT LAN Manager (NTLM) som standardgodkendelse til Windows OS som et meget hurtigere og sikrere alternativ. IT-administratorer kan aktivere overvågning af Kerberos-godkendelse, hvilket gør det muligt at registrere hændelser, der oprettes under denne proces. Administratorer kan overvåge disse hændelser for at holde øje med både mislykkede og vellykkede loginaktiviteter for brugere, der logger ind på domænet. Pludselige unormale ændringer, f.eks. et usædvanlig højt antal mislykkede forsøg på login, kan være et tegn på et brute force-angreb og meget mere. Læs videre, for at finde ud af hvordan du overvåger Kerberos-godkendelseshændelser:

Trin til at aktivere overvågning med Group Policy Management Console (GPMC):

  1. Tryk på Start, søg efter og åbn Group Policy Management Console, eller kør kommandoen gpmc.msc.
Sådan overvåger du processporing
  1. Højreklik på det domæne eller den organisationsenhed (OU), som du vil overvåge, klik på Opret et GPO i dette domæne, og tilknyt det her.
Sådan finder du ud af, hvem der har fjernet spærringen af en brugerkonto
  1. Giv gruppepolitikobjektet (GPO) et passende navn.
  2. Højreklik på det nyoprettede eller allerede eksisterende GPO, og vælg Rediger.
Sådan finder du ud af, hvem der har fjernet spærringen af en brugerkonto
  1. I Group Policy Management Editor i venstre rude skal du navigere til Computerkonfiguration → Politikker → Windows-indstillinger → Sikkerhedsindstillinger → Avanceret konfiguration af overvågningspolitik → Overvågningspolitikker → Kontologin.
Sådan finder du ud af, hvem der har fjernet spærringen af en brugerkonto
  1. I højre rude ser du en liste over politikker, der ligger under Kontologin. Dobbeltklik på Overvåg Kerberos-godkendelsestjeneste, og markér afkrydsningsfelterne Konfigurer følgende overvågningshændelser:, Vellykket og Mislykket.
Sådan finder du ud af, hvem der har fjernet spærringen af en brugerkonto
  1. Gør det samme for politikken Overvåg Kerberos-tjenestebillethandlinger.
Sådan finder du ud af, hvem der har fjernet spærringen af en brugerkonto
  1. Klik på Anvend, og klik derefter på OK.
  2. Gå tilbage til Group Policy Management Console, og højreklik i venstre rude på den OU, som GPO'en var knyttet til, og klik på Opdatering af gruppepolitik. Dette trin sikrer, at de nye gruppepolitikindstillinger anvendes med det samme i stedet for at vente på den næste planlagte genopfriskning.
Sådan finder du ud af, hvem der har fjernet spærringen af en brugerkonto

Trin til at se Kerberos-godkendelseshændelser med Logbog

Når ovenstående trin er gennemført, gemmes Kerberos-godkendelseshændelser i hændelsesloggen. Disse hændelser kan ses i Logbogen ved at udføre følgende handlinger på domænecontrolleren (DC):

  1. Tryk på Start, søg efter Logbog, og klik for at åbne den.
  2. I vinduet Logbog i venstre rude skal du navigere til Windows-log ⟶ Sikkerhed.
  3. Her finder du en liste over alle de sikkerhedshændelser, der er logget i systemet.
Sådan finder du ud af, hvem der har fjernet spærringen af en brugerkonto
  1. Klik på Filtrer aktuel log i højre rude under Sikkerhed.
Sådan finder du ud af, hvem der har fjernet spærringen af en brugerkonto
  1. I pop op-vinduet skal du indtaste det ønskede hændelses-ID*, som der henvises til i tabellen nedenfor, i feltet <Alle hændelses-ID'er>.

* Følgende hændelses-ID'er genereres for de givne hændelser:

Hændelses-ID Underkategori Hændelsestype Beskrivelse
4768 Kerberos-godkendelsestjeneste Vellykket og mislykket Der blev anmodet om en Kerberos-godkendelsesbillet (TGT)
4769 Drift af Kerberos-tjenestebillethandlinger Vellykket og mislykket Der blev anmodet om en Kerberos-tjenestebillet
4770 Drift af Kerberos-tjenestebillethandlinger Vellykket En Kerberos-tjenestebillet blev fornyet
4771 Kerberos-godkendelsestjeneste Mislykket Kerberos-forhåndsgodkendelse mislykkedes
4772 Kerberos-godkendelsestjeneste Mislykket En anmodning om en Kerberos-godkendelsesbillet mislykkedes
4773 Drift af Kerberos-tjenestebillethandlinger Mislykket En anmodning om en Kerberos-tjenestebillet mislykkedes
  1. Klik på OK. Dette vil give dig en liste over forekomster af det pågældende hændelses-ID.
  2. Dobbeltklik på hændelses-ID'et for at se dets egenskaber.
Sådan finder du ud af, hvem der har fjernet spærringen af en brugerkonto

Begrænsninger i indbygget overvågning af Active Directory (AD):

  • En administrator skal søge efter hvert hændelses-ID for at se dets egenskaber. Det er særdeles upraktisk og tidkrævende, selv for små organisationer.
  • Indbygget overvågning giver ingen nyttig indsigt. Med indbygget overvågning kan administratoren ikke overvåge eller blive underrettet om pludselige stigninger af loginaktiviteter eller unormal brugeradfærd.
  • Kerberos-godkendelseshændelser kan være logført på en hvilken som helst domænecontroller i domænet. En administrator ville være nødt til at overvåge hændelser på hver domænecontroller, hvilket er en uforholdsmæssig stor mængde arbejde. Et centraliseret værktøj til at overvåge alle hændelser reducerer arbejdsbyrden væsentligt.

ManageEngine ADAudit Plus er et værktøj til overvågning af Active Directory, som kan hjælpe med at overvåge brugernes loginaktivitet med Kerberos-godkendelseshændelser. Du kan også opdage sikkerhedstrusler med rapporter om unormal loginaktivitet og automatisere reaktionerne på dem.

Download en 30-dages gratis prøveperiode

Trin til at overvåge Kerberos-godkendelse med ManageEngine ADAudit Plus

  1. Download og installer ADAudit Plus.
  2. Find trinnene til at konfigurere overvågning på din domænecontroller her.
  3. Åbn ADAudit Plus-konsollen, log ind som administrator, og naviger til Rapporter → Active Directory → Brugeradministration → Brugerloginaktivitet.
1
 

Få dybere indsigt i de logins, der finder sted i din organisation, og forstå, hvornår og hvor hvert login fandt sted.

2
 

Overvåg brugere, der er logget ind på flere computere, for at opdage sikkerhedsrisici i din organisation, da en tredjepart måske har adgang til brugerkontoen for at få kontrol.

3
 

Overvåg og få rapporter om al loginaktivitet på domænecontrollere, medlemsservere og arbejdsstationer.

Sådan finder du ud af, hvem der har fjernet spærringen af en brugerkonto

Få dybere indsigt i de logins, der finder sted i din organisation, og forstå, hvornår og hvor hvert login fandt sted.
Overvåg brugere, der er logget ind på flere computere, for at opdage sikkerhedsrisici i din organisation, da en tredjepart måske har adgang til brugerkontoen for at få kontrol.
Overvåg og få rapporter om al loginaktivitet på domænecontrollere, medlemsservere og arbejdsstationer.

Fordele ved ADAudit Plus:

  • ADAudit Plus giver dig mulighed for at overvåge og spore brugerloginaktivitet i dit netværk i realtid og hjælper med at opdage skadelige aktiviteter.
  • Beskyt dit AD mod sikkerhedstrusler ved at modtage underretninger om unormal aktivitet. Hændelser som en usædvanlig stor mængde loginforsøg, login på usædvanlige tidspunkter eller første gang, en bruger får fjernadgang til en vært, er tegn på kompromittering af netværket.
  • Find frem til årsagen til gentagne kontospærringer med analyse af kontospærring, som hjælper dig med at opdage og løse kontospærringer hurtigere.
Download en 30-dages gratis prøveperiode

Related How to