Windows giver dig mulighed for at indstille en kontospærringsgrænse, for at definere hvor mange gange en bruger kan forsøge at logge på med en ugyldig adgangskode, før kontoen spærres. Du kan også definere, hvor længe en konto skal være spærret, med indstillingen Varighed af kontospærring. Disse kontospærringspolitikker hjælper med at forsvare dit netværk mod forsøg på at gætte adgangskoder og brute force-angreb. Strenge politikker betyder dog, at brugerne har færre forsøg til at huske adgangskoder, hvilket kan føre til, at de oftere får spærret deres konti.
Windows genererer to typer hændelser i forbindelse med kontospærringer. Hændelses-ID 4740 genereres på domænecontrollere, Windows-servere og arbejdsstationer, hver gang en konto bliver spærret. Hændelses-ID 4767 genereres, hver gang spærringen af en konto fjernes. I denne guide ser vi nærmere på hændelses-ID 4740.
Hændelses-ID 4740 – hændelsens egenskaber
Hændelses-ID 4740 – fanen Detaljer
Lad os opdele denne hændelses egenskaber i Udfører, Konto, der blev spærret, og Yderligere oplysninger, som vist på fanen Generelt (fig. 1).
Sikkerheds-ID: SID'et for den konto, der udførte spærringen.
Kontonavn: Navnet på den konto, der udførte spærringshandlingen.
Kontodomæne: Domæne- eller computernavnet. Formaterne kan variere, så de omfatter NETBIOS-navnet, det fulde domænenavn med små bogstaver eller det fulde domænenavn med store bogstaver.
For velkendte sikkerhedsprincipaler er dette felt "NT AUTHORITY", og for lokale brugerkonti indeholder det det computernavn, som denne konto tilhører.
Login-ID: Login-ID'et hjælper dig med at sammenholde denne hændelse med nylige hændelser, der kan indeholde samme login-ID (f.eks. hændelses-ID 4625).
Sikkerheds-ID: SID'et for den konto, der blev spærret. Windows forsøger at navneoversætte SID'er og vise kontonavnet. Hvis SID'et ikke kan navneoversættes, vil du se kildedataene i hændelsen.
Kontonavn: Navnet på den konto, der blev spærret.
Kaldende computers navn: Navnet på den computerkonto (f.eks. JOHN-WS12R2), som loginforsøget blev genereret fra.
Selvom du kan knytte en opgave til sikkerhedsloggen og bede Windows om at sende dig en e-mail, er du begrænset til blot at få en e-mail, når hændelses-ID 4740 genereres, og Windows mangler muligheden for at anvende mere detaljerede filtre.
Med et værktøj som ADAudit Plus kan du ikke blot anvende detaljerede filtre til at fokusere på reelle trusler, du kan også få besked i realtid via SMS.
Udnyt avanceret statistisk analyse og maskinlæringsteknikker til at opdage unormal adfærd i dit netværk.
Opfyld forskellige compliancestandarder som SOX, HIPAA, PCI, FISMA, GLBA og GDPR med compliancerapporter, der er klar til brug.
Gå fra at downloade ADAudit Plus til at modtage underretninger i realtid på mindre end 30 minutter. Med over 200 forudkonfigurerede rapporter og underretninger sørger ADAudit Plus for sikkerhed og compliance i dit Active Directory.
Klik på dette link for at få adgang til guiden.