Sådan finder du kilden til mislykkede loginforsøg

Loginhændelser er en af de vigtigste hændelser, der skal overvåges i Active Directory. Årsagen er indlysende. Loginhændelser hjælper med at opdage sikkerhedsrisici på flere måder. For eksempel kan en medarbejder, der logger ind fra sin arbejdsstation længe efter arbejdstiden, være en insidertrussel.

Selv et mislykket login kan være et tegn på en sikkerhedstrussel. En bruger, der ikke kan logge ind, kan bare have glemt sin adgangskode, men det kan også være nogen, der forsøger at bryde ind på en legitim brugerkonto. I sådanne tilfælde er det vigtigt at spore kilden til loginforsøget. Det kan gøres i indbygget AD med overvågningspolitik, men ADAudit Plus tilbyder en enklere løsning. ADAudit Plus, et værktøj til overvågning og rapportering af Active Directory, har mere end 200 færdigpakkede overvågningsrapporter, og hændelser med mislykket login er en af dem. Et par klik, og du har detaljerede rapporter om alle vigtige Active Directory-hændelser.

Her er en sammenligning af at finde kilden til mislykkede loginforsøg i indbygget AD og med ADAudit Plus.

Download GRATIS

Gratis 30-dages prøveperiode med alle funktioner

  • Med indbygget AD-overvågning

  • Med ADAudit Plus

Sådan kan ADAudit Plus hjælpe dig med at finde kilden til mislykkede loginforsøg

  • Trin 1: Aktivér "Politik for overvågning af login" i Active Directory.
  • Trin 2: Kør ADAudit Plus

  • Find fanen Rapporter, naviger til Rapporter om brugerlogin, og klik på Mislykkede loginforsøg.

    sådan-findes-kilden-til-mislykkede-loginforsøg-3

    Dette vil generere en detaljeret rapport, der blandt andet indeholder IP-adresse, logintidspunkt, domænecontroller og årsagen til det mislykkede login. Denne rapport hjælper administratoren med at beslutte, om det mislykkede login skal betragtes som en sikkerhedstrussel.

Sådan kan du finde kilden til mislykkede loginforsøg i indbygget AD.

  • Trin 1: Aktivér politikken "Overvågning af loginhændelser"

  • Åbn "Serverstyring" på din Windows-server.

  • Under Administrer skal du vælge Gruppepolitikadministration og starte Group Policy Management Console.

  • Naviger til Område > Domæne > Dit domæne > Domænecontrollere.

  • Du skal enten oprette et nyt gruppepolitikobjekt eller redigere et eksisterende GPO.

  • I gruppepolitikeditoren skal du navigere til Computerkonfiguration -> Windows-indstillinger -> Sikkerhedsindstillinger -> Lokale politikker -> Overvågningspolitik.

  • I overvågningspolitikker skal du vælge "Overvåg loginhændelser" og aktivere det for "mislykket".

    sådan-findes-kilden-til-mislykkede-loginforsøg-1
  • Trin 2: Brug Logbog til at finde kilden til mislykkede loginhændelser

    Logbogen vil nu registrere en hændelse, hver gang der er et mislykket loginforsøg i domænet. Se efter hændelses-ID 4625, som udløses, når et mislykket login registreres.

    sådan-findes-kilden-til-mislykkede-loginforsøg-2

    Åbn Logbog i Active Directory, og naviger til Windows Logs > Sikkerhed. Ruden i midten viser alle de hændelser, der er sat op til overvågning. Du bliver nødt til at gennemgå registrerede hændelser for at se efter mislykkede loginforsøg. Når du finder dem, kan du højreklikke på hændelsen og vælge Hændelsesegenskaber for at få flere oplysninger. I det vindue, der åbnes, kan du finde IP-adressen på den enhed, hvorfra loginforsøget blev gjort.

Er overvågning med indbyggede metoder blevet for besværligt?

Gør Active Directory-overvågning og ‑rapportering enklere med ADAudit Plus.

Få din gratis prøveperiode 30-dages prøveperiode med alle funktioner

Relaterede "Sådan gør du"

Anmod om individuel demo

  •  
  •  
  •  
  •  
  •  
  • -Select-
  • Ved at klikke på 'Indsend', accepterer du behandling af personlige data i henhold til Privatlivspolitik.

Venlig hilsen

En af vores løsningseksperter kontakter dig inden længe.