Il primo passo per il tracciamento degli eventi di accesso e disconnessione è abilitare il controllo. Puoi indicare a Windows l'insieme specifico di modifiche che vuoi monitorare in modo che solo questi eventi vengano inseriti nel registro di sicurezza.
Per verificare la cronologia degli accessi degli utenti in Active Directory, abilita il controllo con la seguente procedura:
- 1 Esegui gpmc.msc (console di gestione dei criteri di gruppo).
- 2 Crea un nuovo GPO.
- 3 Fai clic su Modifica e vai a Configurazioni del computer > Criteri > Impostazioni Windows > Impostazioni di sicurezza > Configurazione avanzata dei criteri di controllo > Criteri di controllo. Tra i criteri di controllo, trovi impostazioni specifiche per accesso/disconnessione e accesso all'account.
Accesso/disconnessione:
- Accesso al controllo > Definisci > Esiti positivi e negativi.
- Disconnessione dal controllo > Definisci > Esito positivo.
- Controllo di altri eventi di accesso/disconnessione > Definisci > Esito positivo.
Accesso all'account:
- Controllo del servizio di autenticazione Kerberos > Definisci > Esiti positivi e negativi.
- 4 4Per collegare il nuovo GPO al tuo dominio, fai clic destro su. Seleziona Collega un GPO esistente e scegli il GPO che hai creato.
Per impostazione predefinita, Windows aggiorna i criteri di gruppo ogni 90 minuti; per applicare immediatamente le modifiche effettuate, puoi forzare un aggiornamento in background di tutte le impostazioni dei criteri di gruppo eseguendo il seguente comando nel prompt dei comandi di Windows:
gpupdate /forceQuando un utente si collega o scollega, le informazioni vengono salvate come evento nel registro di sicurezza di Windows.
Per visualizzare gli eventi, apri il visualizzatore eventi e vai a Registri di Windows> Sicurezza. Qui trovi i dettagli di tutti gli eventi per cui hai abilitato il controllo. Qui puoi definire la dimensione del registro di protezione e scegliere di sovrascrivere gli eventi più vecchi in modo che i più recenti vengano salvati anche quando il registro è pieno.
Comprendere gli ID degli eventi associati alle attività di accesso e disconnessione.
-
ID evento 4624 - Un account è stato connesso correttamente.
Questo evento viene salvato a ogni tentativo riuscito di accesso al computer locale. Include le informazioni critiche di tipo di accesso (per esempio interattivo, lotto, rete o servizio), SID, nome utente, informazioni di rete e altro. Il monitoraggio di questo determinato evento è fondamentale perché le informazioni relative al tipo di accesso non si trovano nei controller di dominio.
-
ID evento 4634 - Un account è stato disconnesso.
Questo evento indica il temine di una sessione di accesso.
-
ID evento 4647 - Disconnessione avviata dall'utente.
Come l'evento 4634, questo evento indica la disconnessione di un utente; tuttavia, questo evento particolare indica che la disconnessione è stata interattiva o interattiva da remoto (desktop remoto).
-
ID evento 4625 - Un account non è riuscito ad accedere.
Questo evento indica un tentativo non riuscito di accesso al computer locale, con informazioni sul motivo (nome utente non corretto, password scaduta, account scaduto, ecc.) utili per i controlli di sicurezza.
Tutti gli ID degli eventi indicati in alto devono essere raccolti dalle singole macchine. Se non hai bisogno di sapere il tipo di accesso o il momento della disconnessione, puoi semplicemente tenere sotto controllo i seguenti ID evento dai tuoi controller di dominio per ottenere la cronologia degli accessi degli utenti.
-
ID evento 4768 - È stato richiesto un ticket di autenticazione Kerberos (TGT).
Questo evento viene generato quando il controller di dominio fornisce un ticket di autenticazione (TGT). Significa che un utente ha inserito nome utente e password corretti e che il suo account ha superato i controlli di stato e di restrizioni. Se la richiesta del ticket non riesce (l'account è disabilitato, scaduto o bloccato; il tentativo è al di fuori delle ore di accesso; ecc.), questo evento viene salvato come tentativo non riuscito di accesso.
-
ID evento 4771 - Preautenticazione Kerberos non riuscita.
Hai probabilmente notato che le attività di accesso e di disconnessione sono rappresentate da diversi ID evento. Per collegare questi eventi, hai bisogno di un identificatore comune.
L'ID di accesso è un numero (univoco tra i riavvii) che identifica la più recente sessione di accesso avviata. Le eventuali attività successive vengono salvate con questo ID. Associando gli eventi di accesso e di disconnessione allo stesso ID, puoi calcolare la durata dell'accesso.
Limiti degli strumenti di controllo nativi.
- Tutti gli eventi locali relativi ad accessi e disconnessioni vengono salvati solo nel registro di sicurezza dei singoli computer (workstation o server Windows), non nei controller di dominio (DC).
- Gli eventi di accesso registrati nei controller di dominio non contengono informazioni sufficienti a distinguere tra i vari tipi di accesso: interattivo, interattivo remoto, rete, batch, servizio, ecc.
- Gli eventi di disconnessione non vengono salvati nei controller di dominio. Questa informazione è fondamentale per determinare la durata dell’accesso di ogni specifico utente.
Ciò significa che devi raccogliere le informazioni sia dai controller di dominio sia dalle workstation e dagli altri server Windows per ottenere una panoramica completa di tutte le attività di accesso e disconnessione all’interno del tuo ambiente. Il processo è complicato e può rapidamente diventare fastidioso.
Un modo più facile di controllare le attività di accesso.
E se esistesse un modo più facile di controllare le attività di accesso? Uno strumento come ADAudit Plus permette di controllare specifici eventi di accesso e le attività di accesso passate e fornisce un elenco di tutte le modifiche relative agli accessi.
Con ADAudit Plus puoi visualizzare immediatamente i report su
- Cronologia degli accessi degli utenti
- Cronologia degli accessi ai controller di dominio
- Cronologia degli accessi a Windows Server
- Cronologia degli accessi alle workstation
Queste informazioni vengono fornite grazie a un’interfaccia web facilmente comprensibile che visualizza i dati statistici tramite tabelle, grafici e un elenco di report predefiniti e personalizzati.
Rapporto sull'attività di accesso dell'utente