Monitoraggio in tempo reale delle azioni di accesso degli utenti
L'accesso degli utenti ai computer del dominio è un'attività quotidiana che si verifica in qualsiasi azienda. A prima vista potrebbe sembrare un semplice evento di Active Directory, ma gli amministratori a cui sono stati assegnati ruoli diversi potrebbero utilizzare questi dati preziosi per diverse esigenze operative, di controllo e di conformità. Le organizzazioni richiedono dettagli di controllo sui "registri di accesso degli utenti AD" per una o più delle seguenti esigenze operative.
Errori di accesso
Attività di accesso nei controller di dominio
Attività di accesso ai server membri e sulle workstation
Attività di accesso degli utenti
Attività di accesso utente recente
Ultimo accesso alle workstation
Monitora l'accesso RADIUS nei computer
- Verifica l'assenza/la presenza dei dipendenti in un determinato intervallo di audit/ogni mese.
- Accerta il conteggio totale degli utenti che hanno accesso alla rete Active Directory in un determinato istante.
- Individua gli utenti che accedono alle workstation o ai controller di dominio tramite un computer di rete remoto.
- Determina gli orari di punta degli accessi per tutti gli utenti del dominio.
- Guarda chi ha eseguito l'ultimo accesso in un dominio critico del computer.
- Identifica se un utente (malintenzionato) sta tentando di accedere ai computer per cui non dispone dei privilegi. (Per esempio: gli accessi ai controller di dominio/server membri in Active Directory richiedono privilegi elevati).
- Visualizza la (la cronologia dell'accesso di qualsiasi utente nel dominio) Raccogli le prove quando interroghi un dipendente sospetto in merito a oggetti di dominio Active Directory come computer, gruppi e altri account utente che il dipendente ha amministrato, consultato o modificato.
Oltre a quelle già elencate, esistono molte altre esigenze pratiche in una rete Active Directory che richiedono informazioni di audit sugli accessi agli account di dominio. I report di accesso all'account ADAudit Plus possono essere utilizzati in modo vantaggioso per superare le sfide del controllo dell'accesso all'account. Forniscono una serie di report preconfigurati in tempo reale per dare risposta ai quesiti dell'audit dell'accesso nel formato desiderato e migliorare l'esperienza di controllo di Active Directory. La funzione di creazione di report personalizzata rende il software ancora più ricercato, ad esempio, qualsiasi azione di accesso può essere definita e visualizzata come un report.
Perché Active Directory nativo è considerato insufficiente per il controllo dell'accesso utente?
Ogni "log di accesso AD" viene continuamente registrato nei log di sicurezza dei controller di dominio di Active Directory. Questi dati sono stati registrati nei controller di dominio nativi di Active Directory.
- Richiede competenze per la comprensione in quanto comporta la comprensione di numeri di eventi specifici e della loro correlazione con un'azione di accesso.
- Il volume è enorme: ogni attività di accesso su/da parte di qualsiasi oggetto Active Directory viene registrata continuamente nel controller di dominio e questi dati del registro eventi si accumulano fino a un enorme volume di dati.
- Accesso limitato: il controller di dominio è un componente critico dell'infrastruttura di Active Directory e l'accesso è limitato a utenti amministrativi selezionati.
Altre limitazioni di Active Directory nativo includono l'impossibilità per gli utenti non amministratori come revisori, manager e personale delle risorse umane di tenere traccia di qualsiasi azione di accesso desiderata. Alcuni eventi di accesso critici, ad esempio l'accesso a un controller di dominio o a un server membro, richiedono avvisi immediati o un monitoraggio continuo. Queste informazioni critiche, anche se registrate, non hanno una differenziazione o un raggruppamento da un normale registro eventi e hanno una maggiore possibilità di essere trascurate.
Soluzione di controllo dell'accesso ad Active Directory in tempo reale
Monitoraggio dell'attività di accesso all'account, un sistema alla volta per un'intera rete Active Directory è quasi impossibile. I report di controllo dell'accesso utente in tempo reale di ADAudit Plus elencano tutte le azioni di accesso utente in un unico report. Questo può essere visualizzato da una console web centrale in una frazione di tempo. Le informazioni di accesso sono molto importanti per comprendere/identificare l'autenticità dell'accesso degli oggetti utente nel dominio.
ADAudit Plus offre report di accesso utente in caso di errori di accesso, attività di accesso al controller di dominio, attività di accesso al server membro, attività di accesso alla workstation, attività di accesso utente, attività di accesso utente recente e ultimo accesso alle workstation. Inoltre, la soluzione di controllo dell'accesso funge da strumento indispensabile per facilitare il controllo di eventi di accesso specifici, attività di accesso attuali e passate ed elenca tutte le modifiche relative all'accesso. Ciò avviene attraverso un'interfaccia web facilmente comprensibile e visualizza informazioni statistiche attraverso grafici, diagrammi e una visualizzazione elenco di prodotti preconfezionati e di controllo di Active Directory.
Report di controllo da ADAudit Plus all'accesso utente
Report dei casi di accesso non riuscito
Il report Accessi non riusciti fornisce informazioni sugli accessi non riusciti e sul motivo dell'errore in un determinato periodo di tempo. Vengono riportati più tentativi di accesso non riusciti per gli account utente nel periodo di tempo selezionato. Questo fornisce gli strumenti agli amministratori offrendo loro informazioni su possibili attacchi su account "suscettibili di attacchi intrusivi". Vengono riportate le informazioni relative all'accesso non riuscito, al momento in cui si è verificato un errore nell'accesso, all'account di accesso non riuscito e ai possibili motivi dell'errore.
I motivi dall'accesso non riuscito potrebbero essere critici, come un nome utente errato o una password errata, che sono suscettibili di attacchi. I motivi che richiedono l'attenzione dell'amministratore sono "La password è scaduta", "Account disabilitato/scaduto/bloccato" o "L'amministratore deve reimpostare la password dell'account". Vengono riportati anche altri motivi come "Limitazione del tempo di workstation/accesso", "Il nuovo account computer non è ancora stato replicato" o "Il computer è pre-w2k" e "Il tempo nella workstation non è sincronizzato con il tempo nei controller di dominio".
Una rappresentazione grafica sul numero di errori di accesso rispetto al motivo dell'errore assiste gli amministratori nel prendere decisioni rapide e nell'amministrare in modo efficace.
Attività di accesso nei controller di dominio
I controller di dominio sono i componenti critici centrali in Active Directory da cui vengono apportate le modifiche di Active Directory. L'accesso al controller di dominio è limitato agli utenti con privilegi o amministratori e le informazioni complete sui tentativi di accesso effettuati da altri utenti consentono agli amministratori di adottare misure correttive informate. ADAudit Plus consente di fornire informazioni su tutti gli utenti che hanno effettuato l'accesso a qualsiasi controller di dominio selezionato. Dettagli come l'ora dell'accesso, da dove un utente ha effettuato l'accesso (nome computer), l'esito positivo o negativo del tentativo di accesso e il motivo dell'errore, se segnalato.
Attività di accesso ai server membri e sulle workstation
Il report Attività di accesso a server membri e workstation fornisce informazioni sull'accesso degli utenti rispettivamente ai server membri o alle workstation selezionati. Entrambi i report funzionano in modo simile al "Report sull'attività di accesso sui controller di dominio", rendendo la gestione e la comprensione del software un gioco da ragazzi.
Attività di accesso degli utenti
Il report di accesso utente fornisce informazioni di controllo sull'intera
cronologia degli accessi al "Server" o alla "Workstation" a cui accede un utente di dominio selezionato. La cronologia degli accessi è molto importante per comprendere il modello di accesso per un utente selezionato e, in altri casi, per fornire una prova registrata ai revisori/responsabili di qualsiasi utente.
Attività di accesso utente recente
Gli amministratori di sistema sono dubbiosi o preoccupati per le irregolarità nell'utilizzo della rete da parte degli utenti. I tentativi di accesso non riusciti sono un indicatore o una misura per individuare un'irregolarità. Il report "Attività di accesso utente recente" di ADAudit Plus elenca tutte le attività di accesso riuscite e non riuscite da parte degli utenti su un periodo di tempo selezionato. Inoltre, il motivo di un accesso non riuscito viene fornito anche come osservazione per l'adozione di misure correttive.
In questo report è possibile visualizzare l'elenco degli utenti che hanno effettuato correttamente l'accesso alla rete in un determinato giorno, in qualsiasi data selezionata o in un periodo selezionato.
Ultimo accesso alla workstation
Questo report elenca le informazioni sull'ora dell'ultimo accesso a una workstation o a un computer da parte di tutti gli utenti che hanno effettuato correttamente l'accesso in un giorno. Questo report può essere utilizzato per determinare l'assenteismo o lo stato di disponibilità corrente degli utenti nell'organizzazione.
Monitora l'accesso RADIUS nei computer
Controlla l'accesso alla rete RADIUS (Remote Authentication Dial-In User Service) da parte dell'utente che ha effettuato l'accesso al computer remoto. Con i report sugli utenti con accesso remoto, ad esempio gli errori di accesso RADIUS e la cronologia di accesso RADIUS, è possibile monitorare tutte le autenticazioni RADIUS in Active Directory. Si noti che attualmente sono supportate solo le attività di accesso RADIUS tramite Network Policy Server (Windows Server 2008).
