Overvågning i realtid af brugerlogon

Brugere, der logger ind på deres domænecomputere, er en daglig aktivitet, der forekommer i enhver virksomhed. I starten kan dette se ud som en simpel Active Directory-begivenhed, men administratorer, der er tildelt med forskellige roller, kan bruge disse værdifulde data til forskellige overvågnings-, overholdelses- og operationelle behov. Organisationer kræver overvågningsoplysninger om ”AD-brugerlogon logfiler” til et eller flere af nedenstående operationelle behov.

  • Bekræfte medarbejdernes fravær / tilstedeværelse i et givet overvågningstidsrum / hver måned.
  • Kontrollere det samlede antal brugere, der har adgang til Active Directory-netværket på et givet tidspunkt.
  • Spotte brugere, der har adgang til arbejdsstationer eller domænecontrollere via en fjernnetværkscomputer.
  • Bestemme maksimale logon-tider for alle brugere i domænet.
  • Se, hvem der sidst er logget på en kritisk domænecomputer.
  • Identificere, om en bruger (en skurk) forsøger at logge på maskiner, som han / hun ikke har rettigheder til. (For eksempel: Domænecontroller logons /Medlemsserver logons i Active Directory vil kræve forhøjede rettigheder).
  • Se den komplette logonhistorik for enhver bruger i domænet dvs.) Vær udstyret med bevismateriale, når du spørger en mistænkt medarbejder om Active Directory-domæneobjekter som computere, grupper og andre brugerkonti, som medarbejderen har administreret, fået adgang til eller ændret under vedkommendes tilknytning.

Ud over de anførte få, er der mange flere praktiske krav i et Active Directory-netværk, der kræver overvågningsoplysninger om domænekonto-logoner. Rapporter om ADAudit Plus-kontologon kan med fordel anvendes til at overvinde udfordringer ved overvågning af kontologon. Det giver en række forudkonfigurerede realtids rapporter, som kan give svar på logon-overvågningsspørgsmål i det ønskede format, og forbedrer Active Directory-overvågningsoplevelsen. Brugerdefineret rapporteringsfacilitet gør softwaren endnu mere eftertragtet. Enhver logon-handling kan eksempelvis defineres og ses som en rapport.

Hvorfor betragtes den indbyggede Active Directory utilstrækkelig til overvågning af brugerlogon?

Hver ”AD-logon logfil” registreres løbende i sikkerhedslogfilerne til Active Directory domænecontrollere. Disse data logget ind i de indbyggede Active Directory domænecontrollere

  • Kræver ekspertise til at forstå hvad det indebærer - forståelse af specifikke hændelsesnumre og deres sammenhæng med en logon-handling.
  • Er enorm i mængden - hver logonaktivitet på / ved ethvert Active Directory-objekt logges løbende ind i domænecontroller, og disse hændelseslogdata bliver til et stort antal data.
  • Har begrænset adgang - Domænecontroller er en kritisk del af Active Directory-infrastrukturen, og adgangen er begrænset til udvalgte administrative brugere.

Andre begrænsninger af den indbyggede Active Directory omfatter manglende evne for ikke-administratorer, såsom revisorer, ledere og medarbejdere til at spore enhver ønsket logon-handling. Nogle kritiske logonhændelser, som at logge ind på en domænecontroller eller medlemsserver, kræver øjeblikkelige advarsler eller løbende overvågning. Denne kritiske information, selvom logget ind, adskiller sig ikke fra en normal hændelseslog og der er større mulighed for, at den bliver overset.

Løsning til overvågning af Active Directory-logon i realtid

Sporing af konto-logonaktivitet, et system ad gangen for et helt Active Directory-netværk, er næsten umulig. Realtids rapporter om brugerlogon fra ADAudit Plus viser alle brugerlogon-handlinger i en enkelt rapport. Dette kan ses fra en central webkonsol i brøkdel af tid. Logonoplysninger er meget vigtige for at forstå / identificere ægtheden af logon af brugerobjekter i domænet.

ADAudit Plus giver rapporter om brugerlogon ved logonfejl, domænecontroller logon-aktivitet, medlemserver logon-aktivitet, arbejdsstation logon-aktivitet, brugerlogon-aktivitet, seneste brugerlogon-aktivitet, og sidste logon på arbejdsstationer. Endvidere fungerer logonovervågningsløsningen som et uundværligt redskab til at lette overvågningen af specifikke logon-hændelser, nuværende og tidligere logon-aktivitet, og viser alle logonrelaterede ændringer. Dette gøres via en letforståelig webgrænseflade, der viser statistisk information gennem diagrammer, grafer og et listevisning af specifikke og tilpassede rapporter.

Overvågningsrapporter om brugerlogon fra ADAudit Plus

Rapport om logonfejl

Rapport om logonfejl indeholder oplysninger om logonfejl og årsagen til logonfejl over en valgt periode. Der rapporteres om flere mislykkede logonforsøg til brugerkonti i den valgte tidsperiode. Dette giver administratorer oplysninger om mulige angreb på "indbruddsangreb modtagelige" konti. Oplysninger om logonfejl både, når der opstod en logonfejl, om logon-fejlede konto, og mulige fejlårsager, er rapporteret.

User Logon Failure
Årsager til logonfejl kan være kritiske, som et dårligt brugernavn eller dårlig adgangskodet, der er modtagelige for angreb. Årsager, der kræver administratorens opmærksomhed, er "Adgangskode er udløbet", "Konto deaktiveret / udløbet / låst" eller "Administrator skal nulstille adgangskoden til kontoen". Andre grunde som "Arbejdsstation / Logon tidsbegrænsning", "Ny computerkonto har endnu ikke replikeret" eller "computer er pre-w2k" og "Tid i arbejdsstation er ikke synkroniseret med tiden i domænecontrollere" rapporteres også.

En grafisk gengivelse af antallet af logonfejl på grund af fejlen hjælper administratorer med at træffe hurtige beslutninger og administrere effektivt.

Logonaktivitet på domænecontrollere

Domænecontrollere er de centrale kritiske komponenter i Active Directory, hvorfra AD-ændringer foretages. Domænecontroller-logon er begrænset til privilegerede brugere eller administratorer, og komplette oplysninger om logonforsøg fra andre brugere giver administratorer mulighed for at træffe informerede korrigerende foranstaltninger. ADAudit Plus hjælper med at give oplysninger om alle brugere, der har logget på en valgt domænecontroller. Der rapporteres detaljer, som tidspunktet for logon, hvorfra en bruger er logget på (Maskinnavn), succesen eller fejlen i logonforsøget, og årsagen til fej.
Logon Activity on Domain Controller

Logonaktivitet på medlemsservere og arbejdsstationer

Member Server Logon Activity
Logonaktivitet på medlemsservere og arbejdsstationer giver oplysninger om brugerlogon til henholdsvis udvalgte medlemsservere eller arbejdsstationer. Begge rapporter fungerer som "Rapport om logonaktivitet på domænecontrollere", hvilket gør håndteringen og forståelsen af softwaren til en leg.

Brugerlogon-aktivitet

Rapporter om brugerlogon giver overvågningsoplysninger om den komplette logon-historik for en valgt domænebrugers adgang til "Servere" eller "Arbejdsstationer". Brugerobjekt Logon-historik er meget vigtigt for at forstå logon-mønsteret for en udvalgt bruger, og i andre tilfælde til at give et registreret bevis til revisorer / ledere om enhver bruger.
User Logon Activity Report

Seneste brugerlogon-aktivitet

Recent User Logon Activity Report
Systemadministratoren er enten i tvivl / bekymret for regelmæssighederne i brugen af netværket af brugere. Mislykkede logonforsøg er en indikator eller en foranstaltning til at spore en uregelmæssighed. Rapporten "Seneste brugerlogon-ktivitet" fra ADAudit Plus viser alle de succesfulde og mislykkede logon-ktiviteter af brugere over en valgt tidsperiode. Yderligere er årsagen til en mislykket logon også angivet som en bemærkning for at tage korrigerende foranstaltninger.

Rapporten viser en liste over brugere med lykkede logninger på netværket på en given dag, en valgt dato, eller over en valgt periode, kan ses fra denne rapport.

Sidste logon på arbejdsstation

Denne rapport indeholder oplysninger om tidspunktet for sidste logon på en arbejdsstation eller computer af alle brugere, der har logget på en dag. Rapporten kan bruges til at bestemme fravær eller nuværende tilgængelighedsstatus for brugere i organisationen.
Last Logon on WorkStation Report

Overvåge RADIUS-logon på computere

Radius Logon on Computers Report
Overvåg netværksadgang for fjerngodkendelse (Remote Authentication Dial-In User Service - RADIUS) ved at logge på fjerncomputer. Med rapporter om fjernloggede brugere som RADIUS-logonfejl (NPS) og RADIUS-logonhistorik (NPS), kan du overvåge alle RADIUS-godkendelser i Active Directory. Bemærk venligst, at lige nu kun understøttes RADIUS-logonaktiviteter via Network Policy Server (Windows Server 2008).