Per accedere al computer e ai file in rete, gli utenti accedono a un sistema . In Windows, sono diversi i modi in cui un accesso può avvenire, sia in locale che da remoto. Gli amministratori di sistema devono tenere traccia dei tipi di accesso per essere aggiornati su eventuali vulnerabilità di sicurezza nella rete dell'organizzazione.
Di seguito è riportato un elenco dei tipi di accesso, insieme ai relativi codici, presenti nel registro degli eventi di sicurezza di Windows:
-
Interattivo (tipo di accesso 2)
Questo tipo di accesso si verifica quando un utente accede al computer.
-
Rete (tipo di accesso 3)
Questo tipo di accesso si verifica quando un utente o un computer accede al computer dalla rete.
-
Batch (tipo di accesso 4)
Questo tipo di accesso viene utilizzato dai server batch. Le attività pianificate vengono eseguite per conto di un utente senza intervento umano.
-
Servizio (tipo di accesso 5)
Questo tipo di accesso viene utilizzato per i servizi e gli account che accedono per eseguire un servizio.
-
Sblocco (tipo di accesso 7)
Questo tipo di accesso si verifica quando un utente sblocca il proprio computer.
-
Network Cleartext (tipo di accesso 8)
Questo tipo di accesso si verifica quando un utente o un computer accede al computer dalla rete e la password viene inviata in testo non crittografato.
-
Nuove credenziali (tipo di accesso 9)
Questo tipo di accesso si verifica quando un utente utilizza il comando "RunAs" per eseguire un'applicazione.
-
RemoteInteractive (tipo di accesso 10)
Questo tipo di accesso si verifica quando un utente accede in remoto al computer tramite applicazioni RDP come Remote Desktop, Remote Assistance o Terminal Services.
-
CachedInteractive (tipo di accesso 11)
Questo tipo di accesso viene registrato quando un utente accede al computer senza dover contattare il controller di dominio, poiché le credenziali di rete sono archiviate localmente sul computer.
I registri con ID evento 4624 e 4625 vengono generati, rispettivamente, ogni volta che si verifica un accesso riuscito o non riuscito su un computer locale.
Controllo dell'attività di accesso con ADAudit Plus
Le funzionalità di monitoraggio e controllo degli accessi degli utenti di ADAudit Plus forniscono report sulle attività in tempo reale. Gli amministratori possono controllare, monitorare e visualizzare a livello centralizzato i report preconfigurati e pianificare i report da inviare nella propria casella di posta.
Per ottenere i report di accesso,
- Accedi alla console web di ADAudit Plus.
- Fai clic sulla scheda Reports → Local Logon-Logoff.
Seleziona il report di tua scelta e visualizza le informazioni sugli utenti attualmente connessi, sugli errori di accesso, sugli orari di avvio e spegnimento dei computer e altro ancora.
Dai un'occhiata ad alcuni dei report di ADAudit Plus visualizzando le schermate dei report (i) Logon Activity, (ii) Currently Logged On Users e (iii) Computer Startup and Shutdown, di seguito.
Un report sull'attività di accesso degli utenti su ADAudit Plus
Report degli utenti attualmente connessi in ADAudit Plus
Report sui tempi di avvio e spegnimento dei computer in ADAudit Plus
In questi report, puoi ottenere informazioni come:
- Chi ha effettuato l'accesso alla workstation?
- Quando l'utente ha effettuato l'ultimo accesso alla workstation?
- Che tipo di accesso era?
- Quando è stata avviata e spenta la workstation per l'ultima volta?
Informazioni su ADAudit Plus
ADAudit Plus è uno strumento di controllo Active Directory in tempo reale che offre oltre 200 report e avvisi di posta elettronica, inclusi vari report di accesso e disconnessione. I diversi modi di accedere ai sistemi possono essere distinti da ADAudit Plus e questo può aiutare l'organizzazione a comprendere il comportamento dei dipendenti per quanto riguarda l'IT e a contrastare gli attacchi interni ed esterni. È anche una soluzione preziosa per le aziende che devono rispettare i requisiti di conformità.
La gestione delle attività di accesso degli utenti non deve essere complicata. Prova ADAudit Plus per controllare tutte le tue workstation.