Monitorowanie w czasie rzeczywistym akcji logowania użytkowników

Logowanie się przez użytkowników do komputerów w ich domenach to codzienna czynność w każdym przedsiębiorstwie. Na początku może to wyglądać na prostą czynność Active Directory, ale administratorzy, którym przypisano różne role, mogą wykorzystać te cenne dane na potrzeby rozmaitych inspekcji, zapewnienia zgodności i do celów operacyjnych. Organizacje wymagają szczegółowych informacji o dziennikach logowania użytkowników AD dla jednego lub wielu z poniższych celów operacyjnych.

Raporty z niepowodzeń logowania

Raporty z niepowodzeń logowania

Działania logowania do kontrolerów domeny

Działania logowania do kontrolerów domeny

Działania logowania do serwerów członkowskich i stacji roboczych

Działania logowania do serwerów członkowskich i stacji roboczych

Działania logowania użytkownika

Działania logowania użytkownika

Niedawne działania logowania użytkownika

Niedawne działania logowania użytkownika

Ostatnie zalogowanie na stacji roboczej

Ostatnie zalogowanie na stacji roboczej

Monitorowanie logowania RADIUS na komputerach

Monitorowanie logowania RADIUS na komputerach

  • Kontroli nieobecności/obecności pracowników w danym interwale inspekcji/każdego miesiąca.
  • Sprawdzenia całkowitej liczby użytkowników mających dostęp do sieci Active Directory w danym momencie.
  • Znalezienia użytkowników uzyskujących dostęp do stacji roboczych lub kontrolerów domeny przez dostęp z komputera zdalnego.
  • Ustalenia czasów najczęstszego logowania się przez wszystkich użytkowników w domenie.
  • Sprawdzenia tożsamości ostatniego zalogowanego użytkownika krytycznego komputera< domeny.
  • Zidentyfikowania, czy żaden użytkownik (Intruz) nie próbuje zalogować się na urządzenia, do których nie ma uprawnień. (Na przykład: logowania do kontrolerów domeny/logowania do serwerów członkowskich w Active Directory wymagają podwyższonych uprawnień).
  • Wyświetlania np. pełnej historii logowania dowolnego użytkownika w domenie (co pozwala na zgromadzenie dowodów przed przesłuchaniem podejrzanego pracownika), obiektów domeny Active Directory (takich jak komputery, grupy oraz inne konta użytkowników), do których dany pracownik miał dostęp, które administrował lub modyfikował.

Poza kilkoma wymienionymi zastosowaniami istnieje wiele innych praktycznych potrzeb w sieci Active Directory, które wymagają informacji z inspekcji o logowaniach do kont w domenie. Raporty z logowania do kont ADAudit Plus mogą być wykorzystane do przezwyciężenia wyzwań stawianych przez kwestie inspekcji logowania do kont. Zapewnia wiele wstępnie skonfigurowanych raportów w czasie rzeczywistym, które dostarczają odpowiedzi na pytania związane z inspekcją logowania w potrzebnym formacie, usprawniając możliwości przeprowadzania inspekcji Active Directory. Możliwość tworzenia dostosowanych raportów powoduje, że program staje się jeszcze przydatniejszy, na przykład dowolna akcja logowania może zostać zdefiniowana i wyświetlona jako raport.

Dlaczego natywna usługa Active Directory jest uznawana za niewystarczającą do przeprowadzania inspekcji logowania użytkowników?

Każdy dziennik logowania AD jest rejestrowany w sposób ciągły w dziennikach zabezpieczeń kontrolerów domeny (DC) usługi Active Directory. Te dane rejestrowane w natywnych kontrolerach domeny usługi Active Directory

  • Wymagają doświadczenia do ich interpretacji, ponieważ wymagają zrozumienia numerów określonych zdarzeń oraz ich powiązania z daną akcją logowania.
  • Zajmują bardzo dużo miejsca — każde logowanie do/przez dowolny obiekt usługi Active Directory jest zapisywany w sposób ciągły w kontrolerze domeny, przez co dane rejestrowane w dzienniku zdarzeń narastają do bardzo dużego rozmiaru.
  • Mają ograniczony dostęp — kontroler domeny to krytyczny składnik infrastruktury usługi Active Directory i dostęp do niego jest ograniczony do wybranych użytkowników administracyjnych.

Inne ograniczenia natywnej infrastruktury usługi Active Directory obejmują brak możliwości śledzenia potrzebnych akcji logowania przez użytkowników nie będących administratorami, takich jak audytorzy, kierownicy czy personel działu kadr. Pewne krytyczne wydarzenia logowania, takie jak zalogowanie się do kontrolera domeny lub serwera członkowskiego wymagają natychmiastowych alertów lub ciągłego monitorowania. Te krytyczne informacje są wprawdzie rejestrowane w dzienniku, ale nie można wprowadzić ich rozróżnienia lub grupowania z normalnego dziennika zdarzeń, więc istnieje większe prawdopodobieństwo, że zostaną zignorowane.

Rozwiązanie do inspekcji logowania Active Directory w czasie rzeczywistym

Śledzenie działań logowania do konta, po jednym systemie na raz dla całej sieci usługi Active Directory jest praktycznie niemożliwe. Raporty z inspekcji logowania użytkowników w czasie rzeczywistym tworzone przez ADAudit Plus podają wszystkie akcje logowania użytkownika w pojedynczym raporcie. Mogą być błyskawicznie przeglądane w centralnej konsoli sieci Web. Informacje o logowaniu są niezbędne do zrozumienia/zidentyfikowania tego, czy logowanie obiektów użytkownika w domenie jest autentyczne.

ADAudit Plus zapewnia raporty z logowania użytkowników dla niepowodzeń logowania, działań logowania kontrolera domeny, działań logowania serwera członkowskiego, działań logowania stacji roboczych, ostatnich działań logowania użytkownika, oraz ostatniego logowania na stacje robocze. Ponadto rozwiązanie inspekcji logowania działa jako nieocenione narzędzie do ułatwiania inspekcji określonych wydarzeń logowania, aktualnych i dawnych wydarzeń logowania oraz pokazuje wszystkie zmiany związane z logowaniem. Zapewnia to przez łatwy do zrozumienia interfejs sieci Web, wyświetlając informacje statystyczne w formie wykresów, grafik oraz list w gotowych, dostosowywanych raportach.

Raporty z inspekcji logowania użytkowników w ADAudit Plus

Raporty z niepowodzeń logowania

Raport z niepowodzeń logowania dostarcza informacji o nieudanych logowaniach oraz przyczynach niepowodzeń logowania w wybranych okresach. Pokazuje on wiele prób nieudanego logowania na konta użytkowników w wybranym okresie. Daje to administratorom informację o możliwych atakach na konta podatne na atak. Podawane są informacje o nieudanym logowaniu, takie jak kiedy ono wystąpiło, na jakie konto, oraz możliwe przyczyny, dla których logowanie się nie powiodło.

Przyczyny błędnego logowania mogą być krytyczne, Takie jak nieprawidłowa nazwa użytkownika, nieprawidłowe hasło, które są podatne na ataki. Przyczyny wymagające uwagi ze strony administratora to "hasło wygasło", "konto wyłączone/wygasło/zablokowane" lub "administrator powinien zresetować hasło konta". Raport podaje również inne przyczyny, takie jak "Ograniczenie czasu logowania/stacji roboczej", "Nowe konto na komputerze nie zostało jeszcze skopiowane", albo "Komputer jest sprzed W2K" czy "Czas na stacji roboczej nie jest zsynchronizowany z czasem na kontrolerach domeny".

Graficzne przedstawienie liczby nieudanych logowań wraz z przyczyną niepowodzenia pomaga administratorom w podejmowaniu szybkich decyzji i efektywnej administracji.

Działania logowania do kontrolerów domeny

Kontrolery domeny to krytyczne centralne składniki usługi Active Directory, z których wdrażane są zmiany AD. Możliwość zalogowania do kontrolera domeny jest ograniczona do użytkowników uprzywilejowanych lub administratorów, a pełne informacje o próbach logowania ze strony innych użytkowników umożliwiają administratorom podjęcie świadomych działań korygujących. ADAudit Plus pomaga w zapewnieniu informacji o wszystkich użytkownikach, którzy byli zalogowani do dowolnego wybranego kontrolera domeny. W raporcie przedstawiane są szczegółowe informacje takie jak godzina logowania, nazwa maszyny, z której użytkownik się logował, czy próba logowania powiodła się czy też nie, oraz przyczyna ewentualnego niepowodzenia.

Działania logowania do serwerów członkowskich i stacji roboczych

Działania logowania do serwerów członkowskich i stacji roboczych zapewniają informacje o logowaniu przez użytkowników na wybrane serwery członkowskie lub stacje robocze. Oba raporty działają podobnie do "Raportu działań logowania do kontrolerów domeny", przez co obsługa i zrozumienie oprogramowania jest proste.

Działania logowania użytkownika

 Raport logowania użytkownika zapewnia informacje z inspekcji o pełnej historii logowania do serwerów lub stacji roboczych, do których uzyskiwał dostęp wybrany użytkownik domeny. Historia logowania obiektu użytkownika jest bardzo istotna w celu zrozumienia wzorca logowania dla wybranego użytkownika oraz w innych przypadkach w celu zapewnienia zarejestrowanych dowodów działań dowolnego użytkownika audytorom/menedżerom.

Niedawne działania logowania użytkownika

Administratorzy systemu mają czasem wątpliwości lub są zaniepokojeni nieprawidłowościami w wykorzystaniu sieci przez użytkowników. Nieudane próby zalogowania to pewien wskaźnik lub metoda zauważenia nieprawidłowości. Raport "niedawnych działań logowania użytkownika" ADAudit Plus podaje wszystkie udane i nieudane próby logowania przez użytkowników w wybranym okresie. Ponadto podane są również przyczyny niepowodzenia logowania, w celu umożliwienia podjęcia działań korygujących.

W raporcie tym można zobaczyć listę użytkowników, którzy zalogowali się z powodzeniem do sieci w danym dniu, w dowolnym wybranym dniu lub w wybranym okresie.

Ostatnie zalogowanie na stacji roboczej

Raport ten podaje informacje o godzinie ostatniego zalogowania do stacji roboczej lub komputera przez wszystkich użytkowników, którym powiodło się logowanie w danym dniu. Raport ten może być wykorzystany do ustalenia nieobecności w pracy lub stanu dostępności użytkowników w danej organizacji.

Monitorowanie logowania RADIUS na komputerach

Dokonuj inspekcji dostępu do sieci przez usługę telefonujących użytkowników zdalnego uwierzytelniania (RADIUS) przez użytkownika zalogowanego na komputerze zdalnym. Raporty o zdalnych zalogowanych użytkowników, takie jak niepowodzenia logowania RADIUS (NPS) oraz historia logowania RADIUS (NPS) monitorują każde uwierzytelnianie RADIUS do usługi Active Directory. Należy zauważyć, że aktualnie obsługiwane są wyłącznie działania logowania RADIUS przez serwer zasad sieciowych (Windows Serwer 2008).
Najważniejsze funkcje

Inspekcja oraz monitorowanie serwera plików Windows

Bezpiecznie śledź serwery plików pod kątem dostępu, zmian dokumentów związanych z plikami i strukturą folderów, udostępniania i uprawnień. Znajdź odpowiedź na cztery podstawowe pytania — kto dokonał jakiej zmiany na serwerze plików, kiedy i skąd.

Monitorowanie Active Directory

Zautomatyzuj monitorowanie i raportowanie Active Directory (AD), aby uzyskać panoramiczną widoczność wszystkich zmian wprowadzonych do obiektów AD i ich atrybutów.

Śledzenie akcji administracyjnych użytkowników w czasie rzeczywistym

Dzięki raportom z inspekcji zmian AD w czasie rzeczywistym można śledzić cykl życia obiektu użytkownika, monitorować konta AD, historię użytkowników i natychmiast śledzić zmiany administracyjne użytkowników.

Zmień powiadomienia dla Active Directory

Otrzymuj alerty bezpieczeństwa z Active Directory i powiadomienia o krytycznych zmianach za pośrednictwem poczty e-mail/SMS-a za pomocą narzędzia ManageEngine ADAudit Plus z powiadomieniem o zmianach w czasie rzeczywistym.

Śledzenie zmiany atrybutu obiektu usługi Active Directory

Możesz prowadzić inspekcję zmian obiektów AD i wyświetlać wartości atrybutów „Przed”/„Po” wraz ze szczegółowymi raportami inspekcji dotyczącymi autora akcji, tego, na czym polegała akcja, kiedy została podjęta i jej lokalizacji. Otrzymuj bieżące informacje o nieupoważnionych działaniach i alerty o każdej modyfikacji atrybutu.

Raporty inspekcji logowania użytkowników w czasie rzeczywistym

Śledzenie w czasie rzeczywistym logowania użytkownika, wylogowania, powodzenia, niepowodzenia w Active Directory, na serwerze plików i serwerze członków; przeglądanie historii logowania, zdalne logowania w raportach z inspekcji logowania użytkownika.