Con auditoría nativa de AD
Con ADAudit Plus
- Siga los pasos 1 y 2 indicados en la sección de auditoría nativa para activar la Directiva de auditoría y habilitar la auditoría de inicio y cierre de sesión.
- Inicie sesión en la consola web de ADAudit Plus como administrador.
- Haga clic en la pestaña de Reports. En la sección Local logon-logoff del panel izquierdo, seleccione el informe de Logon Activity.
- El informe de Logon Activity en ADAudit Plus muestra los intentos de inicio de sesión, junto con el nombre de usuario, la hora de inicio de sesión, el nombre de la estación de trabajo, el tipo de inicio de sesión, entre otros ejemplos.
- Estas son algunas de las limitaciones para generar un informe de la actividad de inicio de sesión en Active Directory utilizando métodos de auditoría nativos:
- Cada controlador de dominio muestra un tiempo de inicio de sesión diferente debido a la no replicación de datos.
- Obtener los datos necesarios en medio del ruido es un proceso complejo.
- Es difícil generar el informe para distintas zonas horarias y formatos de fecha.
- Con ADAudit Plus, es fácil comprender la actividad de los usuarios en Active Directory en unos pocos clics, y se muestra en una UI sencilla y de diseño intuitivo. Las alertas en tiempo real de actividades inusuales, basadas en umbrales establecidos por la organización, pueden identificar y frustrar posibles ciberataques internos a la organización.
Paso 1: Habilite Directiva de auditoría
- Vaya a Inicio -> Todos los programas -> Herramientas administrativas
- Abra la Consola de administración de directiva de grupo.
- Vaya a Bosque -> Dominio -> Su dominio -> Controladores de dominio.
- Puede editar un objeto de directiva de grupo existente o crear uno nuevo.
En el Editor de administración de directivas de grupo, vaya a Configuración del equipo -> Directivas -> Configuración de Windows -> Configuración de seguridad -> Configuración de directiva de auditoría avanzada -> Directiva de auditoría -> Inicio y cierre de sesión.
Paso 2: Habilite inicio-cierre de sesión
- Vuelva a Configuración del equipo. Vaya a Configuración de Windows -> Configuración de seguridad -> Configuración de directiva de auditoría avanzada -> Directiva de auditoría -> Inicio y cierre de sesión.
- En esta opción, active las auditorías de Éxito y error para Inicio y cierre de sesión y Auditar otros eventos de inicio y cierre de sesión.
Abra la consola de Administración de directivas de grupo y seleccione la GPO que ha editado o creado. En Filtrado de seguridad, agregue los usuarios cuyos inicios de sesión deben rastrearse. También puede elegir auditar el inicio de sesión de cada usuario de dominio seleccionando Todos los usuarios. Para auditar un grupo de usuarios de dominio, se pueden agregar los grupos específicos.
Paso 3: Use Active Directory Visor de eventos para comprobar los registros
- Abra Visor de eventos y navegue hasta los registros de Windows -> Seguridad.
Busque los ID de evento 4624 (la cuenta estaba conectada), 4634 (la cuenta estaba desconectada), 4647 (el usuario inició la desconexión), 4800 (la estación de trabajo estaba bloqueada) y 4801 (la estación de trabajo estaba desbloqueada).
Haga clic en Filtrar registro actual en el lado derecho para filtrar los registros según los ID de evento o el intervalo de tiempo para el que se requiere la información.
¿Llega a ser demasiado la auditoría nativa?
Simplifique la auditoría de grupos de distribución y los informes con ADAudit Plus.
Obtenga su prueba gratuitaPrueba gratuita de 30 días con todas las funciones