Hoe u de bron van mislukte aanmeldingspogingen kunt vinden

Aanmeldingsgebeurtenissen behoren tot de belangrijkste gebeurtenissen die in de gaten moeten worden gehouden in Active Directory. De reden is voor de hand liggend. Aanmeldingsgebeurtenissen helpen op meerdere manieren om beveiligingsrisico's te detecteren. Als werknemers bijvoorbeeld lang na kantoortijd vanaf hun werkplek inloggen, kan dat een potentiële bedreiging van binnenuit zijn.

Zelfs een mislukte aanmelding kan een beveiligingsrisico markeren. Het kan zijn dat een gebruiker die zich niet kan aanmelden gewoon het wachtwoord vergeten is, maar het kan ook iemand zijn die probeert in te breken in een legitieme gebruikersaccount. In dergelijke gevallen wordt het belangrijk om de bron van de aanmeldpoging te achterhalen. Het kan worden gedaan in systeemeigen AD met behulp van auditbeleid, maar ADAudit Plus biedt een eenvoudigere oplossing. ADAudit Plus, een Active Directory hulpprogramma voor audit en rapportage, beschikt over 200+ voorverpakte auditrapporten, waaronder mislukte aanmeldingsgebeurtenissen. Met een paar klikken hebt u gedetailleerde rapporten over alle belangrijke Active Directory gebeurtenissen.

Hier volgt een vergelijking van het vinden van de bron van mislukte aanmeldingspogingen met systeemeigen AD en met het gebruik van ADAudit Plus.

Gratis downloaden

Gratis 30 dagen volledig functionele proefperiode

  • Met systeemeigen AD-controle

  • Met ADAudit Plus

Dit is hoe ADAudit Plus u kan helpen om de bron van mislukte aanmeldingspogingen te vinden

  • Stap 1: Schakel 'Aanmeldingsbeleid controleren' in Active Directory in.
  • Stap 2: Start ADAudit Plus

  • Vind het Rapporten tabblad en navigeer naar Aanmeldingsrapporten voor gebruikers en klik op Aanmeldingsfouten.

    hoe-u-de-bron-van-mislukte-inlogpogingen-kunt-vinden-3

    Dit genereert een gedetailleerd rapport met het IP-adres, de aanmeldingstijd, de domeincontroller en de reden voor de mislukte aanmelding. Aan de hand van dit rapport kan de beheerder bepalen of de mislukte aanmelding als een beveiligingsrisico moet worden beschouwd.

U kunt de bron van mislukte aanmeldingspogingen in systeemeigen AD als volgt vinden.

  • Stap 1: Schakel het beleid 'Aanmeldingsgebeurtenissen audit' in

  • Open 'Serverbeheer' op uw Windows server

  • Selecteer onder 'Beheren' de optie 'Groepsbeleidsbeheer' en start de 'console Groepsbeleidbeheer'.

  • Navigeer naar Forest > Domein > Uw domein > Domeincontrollers.

  • Maak een nieuw groepsbeleidsobject of u kunt een bestaand groepsbeleidsobject bewerken.

  • In de groepsbeleid editor navigeert u naar Computerconfiguratie > Windows instellingen > Beveiligingsinstellingen > Lokaal beleid > Controlebeleid.

  • Selecteer in Controlebeleid de optie 'Aanmeldingsgebeurtenissen audit' en schakel deze in voor 'mislukt'.

    hoe-u-de-bron-van-mislukte-inlogpogingen-kunt-vinden-1
  • Stap 2: Gebruik Logboeken om de bron van mislukte aanmeldingsgebeurtenissen te vinden

    Het logboek registreert nu een gebeurtenis zodra er een mislukte aanmeldingspoging in het domein plaatsvindt. Zoek naar gebeurtenis-ID 4625 die wordt geactiveerd wanneer een mislukte aanmelding wordt geregistreerd.

    hoe-u-de-bron-van-mislukte-inlogpogingen-kunt-vinden-2

    Open Logboeken in Active Directory en navigeer naar Windows logboeken> Beveiliging. In het middelste venster worden alle gebeurtenissen weergegeven die zijn ingesteld voor de audit. U moet de geregistreerde gebeurtenissen doorlopen om te zoeken naar mislukte aanmeldingspogingen. Zodra u ze hebt gevonden, kunt u met de rechtermuisknop op de gebeurtenis klikken en gebeurtenis eigenschappen selecteren voor meer details. In het venster dat wordt geopend, vindt u het IP-adres van het apparaat waarmee u zich probeert aan te melden.

Wordt systeemeigen audit een beetje te veel?

Vereenvoudig Active Directory audit en -rapportage met ADAudit Plus.

Ontvang uw gratis proefversie 30 dagen volledig functionele proefperiode

  • Met systeemeigen AD-controle

  • Met ADAudit Plus

Dit is hoe ADAudit Plus u kan helpen om de bron van mislukte aanmeldingspogingen te vinden

  • Stap 1: Schakel 'Aanmeldingsbeleid controleren' in Active Directory in.
  • Stap 2: Start ADAudit Plus

  • Vind het Rapporten tabblad en navigeer naar Aanmeldingsrapporten voor gebruikers en klik op Aanmeldingsfouten.

    hoe-u-de-bron-van-mislukte-inlogpogingen-kunt-vinden-3

    Dit genereert een gedetailleerd rapport met het IP-adres, de aanmeldingstijd, de domeincontroller en de reden voor de mislukte aanmelding. Aan de hand van dit rapport kan de beheerder bepalen of de mislukte aanmelding als een beveiligingsrisico moet worden beschouwd.

U kunt de bron van mislukte aanmeldingspogingen in systeemeigen AD als volgt vinden.

  • Stap 1: Schakel het beleid 'Aanmeldingsgebeurtenissen audit' in

  • Open 'Serverbeheer' op uw Windows server

  • Selecteer onder 'Beheren' de optie 'Groepsbeleidsbeheer' en start de 'console Groepsbeleidbeheer'.

  • Navigeer naar Forest > Domein > Uw domein > Domeincontrollers.

  • Maak een nieuw groepsbeleidsobject of u kunt een bestaand groepsbeleidsobject bewerken.

  • In de groepsbeleid editor navigeert u naar Computerconfiguratie > Windows instellingen > Beveiligingsinstellingen > Lokaal beleid > Controlebeleid.

  • Selecteer in Controlebeleid de optie 'Aanmeldingsgebeurtenissen audit' en schakel deze in voor 'mislukt'.

    hoe-u-de-bron-van-mislukte-inlogpogingen-kunt-vinden-1
  • Stap 2: Gebruik Logboeken om de bron van mislukte aanmeldingsgebeurtenissen te vinden

    Het logboek registreert nu een gebeurtenis zodra er een mislukte aanmeldingspoging in het domein plaatsvindt. Zoek naar gebeurtenis-ID 4625 die wordt geactiveerd wanneer een mislukte aanmelding wordt geregistreerd.

    hoe-u-de-bron-van-mislukte-inlogpogingen-kunt-vinden-2

    Open Logboeken in Active Directory en navigeer naar Windows logboeken> Beveiliging. In het middelste venster worden alle gebeurtenissen weergegeven die zijn ingesteld voor de audit. U moet de geregistreerde gebeurtenissen doorlopen om te zoeken naar mislukte aanmeldingspogingen. Zodra u ze hebt gevonden, kunt u met de rechtermuisknop op de gebeurtenis klikken en gebeurtenis eigenschappen selecteren voor meer details. In het venster dat wordt geopend, vindt u het IP-adres van het apparaat waarmee u zich probeert aan te melden.

Wordt systeemeigen audit een beetje te veel?

Vereenvoudig Active Directory audit en -rapportage met ADAudit Plus.

Ontvang uw gratis proefversie 30 dagen volledig functionele proefperiode

Gerelateerde instructies

Request Support

Thanks

One of our solution experts will get in touch with you shortly.

    Voer een geldige e-mail-ID in
  • Wanneer u op 'Verzenden' klikt, gaat u akkoord met de verwerking van persoonlijke gegevens conform ons Privacybeleid

Zoho Corporation Pvt. Ltd. Alle rechten voorbehouden.