Active Directory Audit »

Come rilevare chi ha sbloccato un account utente in Active Directory

Inizia la tua prova gratuita

Il blocco dell'account è uno dei problemi più comuni che gli utenti di Active Directory (AD) devono affrontare e lo sblocco è un'attività a cui gli amministratori dedicano una notevole quantità di tempo. Qualsiasi account sbloccato da un amministratore non autorizzato o da un account amministratore compromesso potrebbe avere conseguenze di sicurezza a lungo termine. Per questo motivo, è imperativo tenere traccia di ogni dettaglio dietro gli eventi di sblocco dell'account. Continua a leggere per scoprire come rilevare chi ha sbloccato un account utente in AD.

Individua chi ha sbloccato un account utente utilizzando PowerShell:

Esegui le seguenti azioni sul controller di dominio (DC):

  1. Premi Start e cerca Windows PowerShell. Clicca con il pulsante destro del mouse e seleziona Esegui come amministratore.
  2. Digita il seguente script nella console: Get-EventLog -LogName Security | Where-Object {$_.EventID -eq 4767} | Select-Object -Property *
Come rilevare chi ha sbloccato un account utente
  1. Premi Invio.
  2. Questo script visualizzerà gli account utente sbloccati di recente. Nell'output, sotto Messaggio → Soggetto → Nome dell'account, è possibile visualizzare il nome e l'ID di sicurezza dell'utente che ha sbloccato l'account.

Nota: se usi una workstation, esegui lo script seguente in PowerShell:

Get-EventLog -LogName Security -ComputerName <DC name>| Where-Object {$_.EventID -eq 4767} | Select-Object -Property *

dove è il nome del controller di dominio in cui è stato sbloccato l'account.

Come rilevare chi ha sbloccato un account utente

I passaggi precedenti sono un modo faticoso e dispendioso in termini di tempo per recuperare i dettagli sugli eventi di sblocco dell'account, ma esiste un modo più semplice per ottenere gli stessi risultati.

Ti presentiamo ADAudit Plus di ManageEngine, una soluzione completa di controllo AD che fornisce report integrati per eventi di sicurezza critici come quelli sopra indicati. Scopri come ADAudit Plus fa questo e molto altro scaricando una versione di prova gratuita di 30 giorni.

Scopri chi ha sbloccato gli account utente utilizzando ADAudit Plus

  1. Apri la console ADAudit Plus e accedi come amministratore.
  2. Passa a Report → Active Directory → Gestione utenti → Utenti creati di recente.
Come rilevare chi ha sbloccato un account utente

Sebbene sia possibile cercare gli eventi di blocco degli account utilizzando il controllo nativo, diventa impossibile per le organizzazioni eseguire questa operazione su base giornaliera a causa dell'elevato volume di eventi registrati. ADAudit Plus monitora i blocchi degli account in tempo reale e segnala gli account utente bloccati e sbloccati di frequente. Account Lockout Analyzer consente di scoprire l'origine di ogni blocco analizzando dove è stata utilizzata la credenziale memorizzata nella cache; ad esempio, nelle attività pianificate, nei servizi Windows o in altre applicazioni.

Segui queste procedure consigliate per ridurre al minimo i blocchi degli account.

Come rilevare chi ha sbloccato un account utente

ADAudit Plus utilizza l'analisi del comportamento degli utenti (UBA) per creare una linea di base della normale attività degli utenti e avvisare quando un utente si discosta da tale comportamento. È inoltre possibile verificare se si siano verificati blocchi durante l'orario non lavorativo; queste informazioni dettagliate possono aiutarti a rilevare gli attacchi di forza bruta e a trovare i dispositivi compromessi nella tua rete.

Scarica la versione di prova gratuita di 30 giorni

Guida correlata

  •