Windows oturum açma türü 3
Hvad er et Windows-login?
En Windows-loginhændelse opstår, når en bruger logger ind på et system og starter en loginsession. En loginsession betyder, at en sikkerhedsprincipal logger ind på en Windows-maskine. Loginhændelser kan hjælpe med at identificere unormale adgangsmønstre og brugerlogins. Disse hændelser kan sammenholdes på tværs af forskellige AD-maskiner, f.eks. domænecontrollere, arbejdsstationer og Windows-servere, så du kan få et komplet billede af brugerens loginsession.
Logintyper i Windows
Windows-loginkategorien afhænger af, hvordan en bruger logger på en enhed, og hvilken ressource der bruges. Hver registreret logintype har en tilknyttet loginsession, der indeholder alle oplysninger om sessionen. Nogle nøje overvågede logintyper omfatter:
| Logintype | Hvad den betyder | Hvornår den registreres |
|---|---|---|
| 2 | Interaktiv | En bruger logger direkte på et system. Eksempel: Bruger A logger ind på sin enhed ved at indtaste sine legitimationsoplysninger. |
| 3 | Netværk | En bruger får adgang til en computer via netværket. Eksempel: Bruger A får adgang til en fil fra en netværksdeling. |
| 4 | Batch | En computer kører et batchjob. Eksempel: En Windows Opgaveplanlægningsopgave udfører et script, der er planlagt til at køre regelmæssigt. |
| 5 | Tjeneste | A tjeneste startes. Eksempel: Antivirussoftware, der kører hele tiden. |
| 10 | Fjerninteraktiv | En bruger logger ind på en maskine via fjernadgang. Eksempel: Bruger A logger ind på enhed B med Forbindelse til fjernskrivebord. |
Hvad er login type 3?
Login type 3 betegner et netværkslogin. Et netværkslogin eller et hvilket som helst andet login kan kun finde sted, efter en interaktiv logingodkendelse har fundet sted, da de samme legitimationsoplysninger, der bruges til et interaktivt login, anvendes. Netværksloginhændelser opstår, når en bruger får adgang til en delt ressource over netværket. Når bruger A for eksempel får adgang til organisationens printer, udløser handlingerne en loginhændelse af type 3.
Hvorfor bør loginhændelser af type 3 overvåges?
I sig selv giver hændelser af denne type måske ikke meget mening. Men når de sammenholdes med kontologins og brugeradfærdsanalyse, kan administratorer identificere uautoriseret adgang, filændringer eller sletninger. Et af kravene i PCI DSS er at føre logfiler over adgangen til netværksressourcer. Det hjælper også at have et revisionsspor til dybtgående undersøgelse, efter en sikkerhedshændelse har fundet sted.
Sådan hjælper ADAudit Plus med at overvåge logintyper
ManageEngine ADAudit Plus har en enkelt rude til rapportering af alle AD-ændringer. Få indsigt i realtid baseret på brugeradfærdsanalyse for at opdage mistænkelige og risikable ændringer. Få fuldt overblik over login, kontospærringer, GPO-ændringer, tilladelsesændringer, Azure AD-ændringer, filserveraktivitet og meget mere. Vores rapporter kan hjælpe dig med følgende:
- Overvåge unormale logins for at afværge trusler med værktøjet til sporing af brugerlogin.
- Analysere mislykkede logins med værktøjet til overvågning af mislykket brugerlogin.
- Undersøge og fejlfinde ofte spærrede brugerkonti med undersøgelse af kontospærring.
- Vis fremmøde, faktiske arbejdstimer og meget mere med registrering af medarbejdernes produktivitet.
- Undersøg vigtige filhændelser, f.eks. ændringer eller sletninger, i realtid med værktøjet til sporing af filadgang.
- Undersøg ændringer af gruppepolitikkonfigurationen med overvågning af GPO-ændringer.
- Få detaljerede rapporter om Azure AD-ændringer i dit miljø med værktøjet til overvågning af Azure AD.
- Scan arbejdsstationer for uautoriseret brug af flytbare medier og meget mere med værktøjet til overvågning af arbejdsstationer.
- Overhold de lovgivningsmæssige krav i GDPR og HIPAA med rapporter om complianceovervågning.
Prøv alle disse funktioner og mere til gratis i en 30-dages prøveperiode. Alternativt kan du ringe til vores tekniske eksperter, for at se hvordan ADAudit Plus kan hjælpe dig.