Cómo encontrar el origen de los intentos erróneos de inicio de sesión

La auditoría de eventos de inicio de sesión en Active Directory (AD) es una tarea obligatoria. La razón es obvia. Cualquier anomalía en el informe de auditoría nos ayudará a detectar riesgos de seguridad de múltiples formas. El bloqueo de la cuenta de un empleado después de múltiples errores de inicio de sesión es una amenaza para la seguridad de los datos de la empresa

Un intento de inicio de sesión erróneo puede marcarse como una de las mayores amenazas de seguridad. Un error de inicio de sesión podría ser simplemente un empleado que ha olvidado sus credenciales. En un escenario extremo, podría ser un pirata informático que intenta entrar en la red a través de la cuenta legítima de un empleado.

Por lo tanto, es importante realizar un seguimiento de los intentos de inicio de sesión erróneos en todo momento. Se puede hacer en AD usando la directiva de auditoría, sin embargo, ADAudit Plus ofrece una solución más simple. ADAudit Plus, una herramienta de informes y auditoría de Active Directory tiene más de 200 informes de auditoría preempaquetados y los eventos de inicio de sesión erróneos son uno de ellos. Unos pocos clics y tendrá informes detallados sobre todos los eventos importantes de Active Directory.

Aquí se muestra una comparación sobre cómo encontrar intentos de inicio de sesión erróneos en el AD nativo y mediante ADAudit Plus.

Descárguela GRATIS Prueba gratuita totalmente funcional para 30 días

  • Con auditoría nativa de AD

  • Con ADAudit Plus

ADAudit Plus es un software de informes de cambios de Windows Active Directory en tiempo real y basado en la web que audita, realiza seguimiento e informa sobre Windows (Active Directory, inicio/cierre de sesión de estaciones de trabajo, servidores de archivos y servidores), archivadores de NetApp y servidores de EMC para ayudar a cumplir con la mayoría de demandas necesarias de seguridad, auditoría y cumplimiento. Realice un seguimiento de los cambios de administración de AD autorizados/no autorizados, acceso de usuarios, GPO, grupos, equipo y OU. Además, realice un seguimiento de todas las modificaciones de archivos y carpetas, cambios de acceso y permisos con más de 200 informes detallados específicos de eventos y alertas instantáneas por correo electrónico. Estos informes se pueden exportar a formatos XLS, HTML, PDF y CSV para ayudar en la interpretación y el análisis forense informático.

ADAudit Plus permite a los administradores ver todos los intentos fallidos de inicio de sesión, con información sobre quién intentó el inicio de sesión, en qué máquina se hizo el intento, cuándo y la razón del error de conexión.

  • Inicie sesión en ADAudit Plus → Vaya a la pestaña Informes → En Informes de inicio de sesión de usuario → Vaya a Errores de inicio de sesión.

  • Seleccione el dominio

  • Seleccione Exportar como para exportar el informe en cualquiera de los formatos preferidos (CSV, PDF, HTML, CSVDE y XLSX).

  • En este informe puede obtener estos detalles:

    1. Nombre de usuario de esa cuenta que ha tenido un error de inicio de sesión.

    2. Dirección IP del usuario.

    3. La hora en que ocurrió el error de inicio de sesión.

    4. El equipo o servidor en el que se produjo el error.

    5. El motivo del error de inicio de sesión.

Con la auditoría nativa, es así como puede realizar un seguimiento de los intentos de inicio de sesión erróneos.

  • Paso 1: ¿Habilitar la auditoría para errores de inicio de sesión?

  • Inicie sesión en su controlador de dominio con privilegios administrativos e inicie la Consola de administración de directivas de grupo.

  • Haga clic con el botón derecho en el Objeto de directiva de grupo adecuado vinculado al contenedor de controladores de dominio y seleccione Editar.

  • Expanda la Configuración del equipo → Configuración de Windows → Configuraciones de seguridad →→ Directivas locales → nodo de directiva de auditoría.

  • Configure las directivas de auditoría de la siguiente manera:

    1. Administración de cuentas: Correcto

    2. Eventos de inicio de sesión de la cuenta de auditoría: Error

    3. Auditar eventos de inicio de sesión: Error

  • Paso 2: ver los eventos con el Visor de eventos de Windows

    Después de habilitar la auditoría, puede usar el Visor de eventos para ver los registros e investigar eventos. Siga los pasos que se mencionan a continuación:

  • Abra el Visor de eventos

  • Expanda Registros de Windows > Seguridad

  • Cree una vista personalizada para ID de evento 4625. Este ID significa error de inicio de sesión.

  • Haga doble clic en el evento. Puede ver información detallada sobre la actividad, como el nombre de la cuenta, la fecha y la hora del error de inicio de sesión.

¿La auditoría nativa se está volviendo demasiado trabajo?

Simplifique la auditoría y los informes de Active Directory con ADAudit Plus.

Obtenga su prueba gratuita Prueba gratuita totalmente funcional de 30 días