Windows laat u een drempel voor de accountvergrendeling instellen om te definiëren hoe vaak een gebruiker kan proberen aan te melden met een ongeldig wachtwoord voordat zijn account wordt vergrendeld. U kunt ook de duur van de accountvergrendeling definiëren met de instelling Account vergrendelen gedurende. Dit accountvergrendelingsbeleid helpt u bij het verdedigen van uw netwerk tegen pogingen tot het uitproberen van wachtwoorden en potentiële beveiligingsaanvallen. Een strikt beleid zou echter kunnen betekenen dat gebruikers minder pogingen ondernemen om wachtwoorden te herroepen waardoor hun accounts vaker wordt vergrendeld voor hen.
Windows genereert twee types gebeurtenissen die verwant zijn met accountvergrendelingen. Telkens wanneer een account vergrendeld raakt, wordt gebeurtenis-id 4740 gegenereerd op domeincontrollers. Telkens wanneer een account wordt ontgrendeld, wordt gebeurtenis-id 4767 gegenereerd. In deze handleiding gaan we ons richten op gebeurtenis-id 4740.
Gebeurtenis-id 4740 - Gebeurteniseigenschappen
Gebeurtenis-id 4740 - tabblad Details
Laten we de eigenschappen van deze gebeurtenis eens opsplitsen volgens Onderwerp, Vergrendelde account en Aanvullende informatie, zoals weergegeven op het tabblad Algemeen (afb. 1).
Beveiligings-id: de SID van de account die de vergrendelingsbewerking heeft uitgevoerd.
Accountnaam: de naam van de account die de vergrendelingsbewerking heeft uitgevoerd.
Accountdomein: het domein of de computernaam. De opmaken kunnen verschillen zodat de NETBIOS-naam, de volledige domeinnaam in kleine letters of in hoofdletters zijn opgenomen.
Voor goed gekende beveiligingsprincipals is dit veld "NT AUTHORITY" en voor lokale gebruikersaccounts zal dit veld de naam bevatten van de computer waarbij deze account hoort.
Aanmeldings-id: De aanmeldings-id helpt u bij het afstammen van deze gebeurtenissen met recente gebeurtenissen die mogelijk dezelfde aanmeldings-id bevatten (bijv. event ID 4625).
Beveiligings-id: De SID van de account die werd vergrendeld. Windows probeert SID's om te zetten en toont de accountnaam. Als de SID niet kan worden opgelost, zult u de brongegevens in de gebeurtenis zien.
Accountnaam: De naam van de account die werd vergrendeld.
Computernaam beller: De naam van de computeraccount (bijv. JOHN-WS12R2) waarvan de aanmeldingspoging werd gegenereerd.
Hoewel u een taak kunt koppelen aan het beveiligingslogboek en Windows kunt vragen om u een e-mail te sturen, is het ontvangen van een e-mail voor u beperkt wanneer gebeurtenis id 4740 wordt gegenereerd, en Windows mist de mogelijkheid om meer gedetailleerde filters.
Met een hulpprogramma zoals ADAudit Plus, kunt u niet alleen gedetailleerde filters toepassen om u te focussen op echte bedreigingen, maar u kunt ook in realtime via sms op de hoogte worden gebracht.
Maak gebruik van geavanceerde statistische analyse en technieken van machine learning voor het detecteren van afwijkend gedrag binnen uw netwerk.
Voldoe aan verschillende nalevingsnormen, zoals SOX, HIPAA, PCI, FISMA, DSS en GDPR, met gebruiksklare nalevingsrapporten.
Ga in minder dan 30 minuten van het downloaden van ADAudit Plus naar het ontvangen van waarschuwingen in realtime. Met meer dan 200 vooraf geconfigureerde rapporten en waarschuwingen, garandeert ADAudit Plus dat uw Active Directory veilig en conform.
