Active Directory Audit »

Come controllare gli eventi di accesso all'account in Active Directory

Inizia la tua prova gratuita

Il primo passo per salvaguardare la rete e le risorse dell'organizzazione consiste nel monitorare l'attività di accesso dei dipendenti. Il rilevamento dei modelli di accesso degli utenti può aiutare a vedere gli accessi che si verificano in orari insoliti, gli accessi a host non autorizzati e altre attività sospette. Aiuta anche gli amministratori di sistema a rilevare e rispondere a picchi improvvisi di tentativi di accesso non riusciti, poiché tali tentativi indicano la possibilità di un attacco di forza bruta. Di seguito è riportato un articolo per scoprire come abilitare il controllo degli eventi di accesso all'account.

Passaggi per abilitare il controllo degli eventi di accesso all'account tramite la console Gestione Criteri di gruppo:

  1. Premi Start, cerca e apri la Console Gestione Criteri di gruppo oppure esegui il comando gpmc.msc.
    audit-account-logon-events-01
  2. Se desideri controllare tutti i conti nella sezione dominio, clicca con il pulsante destro del mouse sul nome di dominio e clicca su Crea un oggetto Criteri di gruppo in questo dominio e collegalo qui.
  3. Se desideri controllare gli account in un'Unità organizzativa (OU), clicca con il pulsante destro del mouse su tale unità organizzativa e quindi clicca su Crea un oggetto Criteri di gruppo in questo dominio e collegalo qui.
    audit-account-logon-events-02
  4. Assegna un nome appropriato all'oggetto Criteri di gruppo (GPO).
  5. Clicca con il pulsante destro del mouse sull'oggetto Criteri di gruppo appena creato e scegli Modifica.
    audit-account-logon-events-03
  6. Nell'Editor Gestione Criteri di gruppo, nel riquadro a sinistra, passa a Configurazione computer → Impostazioni di Windows → Impostazioni sicurezza → Configurazione avanzata dei criteri di controllo → Criteri locali → Criteri controllo.
    audit-account-logon-events-04
  7. Nel riquadro di destra, vedrai un elenco di criteri che si trovano sotto Criteri controllo. Clicca due volte su Controlla eventi accesso account e seleziona le caselle Definisci le seguenti impostazioni dei criteri, Operazioni riuscite e Operazioni non riuscite.
    audit-account-logon-events-05
  8. Clicca su Applica e poi su OK.
  9. Torna alla Console Gestione Criteri di gruppo e, nel riquadro di sinistra, clicca con il pulsante destro del mouse sull'unità organizzativa o sul dominio a cui è stato collegato l'oggetto Criteri di gruppo, quindi clicca su Aggiornamento criteri di gruppo. Questo passaggio assicura che le nuove impostazioni dei Criteri di gruppo vengano applicate immediatamente, anziché attendere il successivo aggiornamento pianificato.
    audit-account-logon-events-06

Una volta abilitati questi criteri, gli eventi vengono registrati nel log di sicurezza dei controller di dominio (DC) ogni volta che un accesso viene convalidato dal controller di dominio.

Scopri gli eventi di accesso all'account utilizzando il Visualizzatore eventi

Una volta completati i passaggi precedenti, gli eventi di accesso all'account vengono registrati come registri eventi in vari ID evento. Questi possono essere visualizzati nel Visualizzatore eventi seguendo i passaggi seguenti:

  1. Premi Start, cerca Visualizzatore eventi e clicca per aprirlo.
  2. Nella finestra Visualizzatore eventi, nel riquadro di sinistra, spostati su Registri di WindowsSicurezza.
  3. Qui troverai un elenco di tutti gli eventi di sicurezza registrati nel sistema.
    audit-account-logon-events-07
  4. Nel riquadro di destra, sotto Sicurezza, clicca su Filtro registro corrente.
    audit-account-logon-events-08
  5. Nella finestra popup, inserisci l'ID evento* nel campo <Tutti gli ID evento>.

    *Per gli eventi indicati vengono generati i seguenti ID evento:

    ID evento Sottocategoria Tipo di evento Descrizione
    4768 Servizio di autenticazione Kerberos Successi ed errori È stato richiesto un ticket di autenticazione Kerberos (TGT)
    4769 Operazioni di controllo del ticket di servizio Kerberos Successi ed errori È stato richiesto un ticket di servizio Kerberos
    4776 Convalida delle credenziali Successi ed errori Il computer ha tentato di convalidare le credenziali di un account.

    Nota: per impostazione predefinita, vengono controllati solo i tentativi di accesso riusciti. I tentativi non riusciti possono essere controllati abilitandolo in Configurazione avanzata dei criteri di controllo.

  6. Clicca su OK. In questo modo verrà visualizzato un elenco delle occorrenze dell'ID evento immesso.
  7. Clicca due volte sull'ID evento per visualizzarne le proprietà (descrizione).
    audit-account-logon-events-09

Come si può notare, ottenere una panoramica completa di tutti gli accessi che si verificano nella rete è impossibile utilizzando il controllo nativo per tenere traccia di ogni evento man mano che si verifica. Un amministratore dovrebbe cercare l'ID evento e visualizzare le proprietà di ciascun evento. Questo è molto poco pratico.

ADAudit Plus monitora l'attività di accesso degli utenti in tempo reale e fornisce report approfonditi. È inoltre possibile ricevere avvisi per attività di accesso insolite e automatizzare una risposta. ADAudit Plus offre tutte queste funzioni e molto altro ancora per salvaguardare Active Directory.

Scarica una versione di prova gratuita di 30 giorni

Monitora gli eventi di accesso all'account utilizzando ADAudit Plus

Dopo aver abilitato il controllo, in alternativa all'utilizzo del Visualizzatore eventi, è possibile utilizzare ADAudit Plus, uno strumento di audit di Active Directory, per monitorare gli eventi di accesso in tempo reale e visualizzare report informativi su di essi.

  1. Scarica e installa ADAudit Plus.
  2. Trova i passaggi per configurare il controllo sul tuo controller di dominio qui.

Tentativi di accesso dell'utente non riusciti

 
 

Clicca sui dettagli per aprire Logon Failure Analyzer per l'utente. Questo mostra i possibili motivi per cui il tentativo non è riuscito.

 
 

Visualizza gli accessi non riusciti principali per un periodo di tempo personalizzato e gli eventi che si verificano durante l'orario lavorativo o non lavorativo.

audit-account-logon-events-10

Report del primo e dell'ultimo accesso dell'utente

 
 

Visualizza l'attività di accesso in orario lavorativo o non lavorativo.

 
 

Aggiungi utenti attendibili all'elenco "Escludi account utente" per rimuovere i relativi dati dai report.

audit-account-logon-events-11

Volume insolito di accessi non riusciti

 
 

Vedi il periodo di tempo insolito e il volume associato di accessi.

 
 

Per visualizzare ulteriori informazioni su ciascuna attività anomala, clicca su Dettagli.

audit-account-logon-events-12

ADAudit Plus aiuta a monitorare e creare report sull'attività di accesso degli utenti con facilità.

Scarica una versione di prova gratuita di 30 giorni

Guida correlata

  •