Hur man granskar Kerberos-autentiseringshändelser i Active Directory

Starta din kostnadsfria provperiod

Kerberos ersatte NT LAN Manager (NTLM) som standardautentiseringen för Windows OS, vilket är ett mycket snabbare och säkrare alternativ. IT-administratörer kan aktivera Kerberos-autentisering, som gör det möjligt att registrera händelser som skapas under denna process. Administratörer kan övervaka dessa händelser för att hålla ett vakande öga på både lyckade och misslyckade inloggningsaktiviteter för användare som loggar in på domänen. Plötsliga avvikande förändringar, t.ex. ett ovanligt stort antal misslyckade inloggningsförsök, kan bland annat tyda på en råstyrkeattack. Fortsätt läsa för att få reda på hur man granskar Kerberos-autentiseringshändelser:

Steg för att aktivera granskning med hjälp av Group Policy Management Console (GPMC):

  1. Tryck på Start, sök efter och öppna Group Policy Management Console eller kör kommandot gpmc.msc.
Hur man granskar processpårning
  1. Högerklicka på den domän eller organisationsenhet (OU) som du vill granska och klicka på Skapa en GPO i denna domän och länka den här.
Hur man upptäcker vem som låste upp ett användarkonto
  1. Namnge Grupprincipobjekt (GPO) på lämpligt sätt.
  2. Högerklicka på nyligen skapad eller redan befintlig GPO, och välj Redigera.
Hur man upptäcker vem som låste upp ett användarkonto
  1. I Group Policy Management Editor, i vänster ruta, går du till Datorkonfiguration → Principer → Windows-inställningar → Säkerhetsinställningar → Konfiguration av avancerad granskningsprincip → Granskningsprinciper → Kontoinloggning.
Hur man upptäcker vem som låste upp ett användarkonto
  1. I den högra rutan ser du en lista över principer som finns under Kontoinloggning. Dubbelklicka på Granska Kerberos-autentiseringstjänst och markera rutorna märkta med Konfigurera följande granskningshändelser: Lyckad och Misslyckad.
Hur man upptäcker vem som låste upp ett användarkonto
  1. Utför samma åtgärder för principen Granska Kerbero-åtgärder för serviceärende.
Hur man upptäcker vem som låste upp ett användarkonto
  1. Klicka på Tillämpa och klicka sedan på OK.
  2. Gå tillbaka till Group Policy Management Console, och i den vänstra rutan högerklickar du på OU som GPO var länkad till och klickar på Uppdatering av grupprincip. Detta steg säkerställer att de nya inställningarna för grupprincip tillämpas direkt i stället för att vänta på nästa schemalagda uppdatering.
Hur man upptäcker vem som låste upp ett användarkonto

Steg för att se Kerberos-autentiseringshändelser med hjälp av loggbok

När stegen ovan har slutförts kommer Kerberos-autentiseringshändelser att lagras i loggboken. Dessa händelser kan visas i loggboken genom att utföra följande åtgärder på domänkontrollanten (DC):

  1. Tryck på Start, sök efter Loggbok och klicka för att öppna den.
  2. In den vänstra rutan i fönstret Loggbok, går du till Windows-logg ⟶ Säkerhet.
  3. Här kommer du att hitta en lista över alla Säkerhetshändelser som är loggade i systemet.
Hur man upptäcker vem som låste upp ett användarkonto
  1. I den högra rutan, under Säkerhet, klickar du på Filtrera nuvarande logg.
Hur man upptäcker vem som låste upp ett användarkonto
  1. I popup-fönstret anger du önskat Händelse-ID*, som refereras i tabellen nedan, i fältet som är märkt <Alla händelse-ID:n>.

* Följande händelse-ID:n genereras för de angivna händelserna:

Händelse-IDUnderkategoriHändelsetypBeskrivning
4768Kerberos-autentiseringstjänstLyckad eller felKerberos-autentiseringsärende (TGT) förfrågades
4769Kerberos-åtgärder för serviceärendeLyckad eller felEtt Kerberos-servicesärende förfrågades
4770Kerberos-åtgärder för serviceärendeLyckadEtt Kerberos-servicesärende förnyades
4771Kerberos-autentiseringstjänstFelDet gick inte att autentisera Kerberos i förväg
4772Kerberos-autentiseringstjänstFelDet gick inte att förfråga Kerberos-autentiseringsärende
4773Kerberos-åtgärder för serviceärendeFelDet gick inte att förfråga ett Kerberos-servicesärende
  1. Klicka på OK. Detta kommer att ge dig en lista över förekomster av det aktuella händelse-ID:t.
  2. Dubbelklicka på händelse-ID:t för att se dess Egenskaper.
Hur man upptäcker vem som låste upp ett användarkonto

Begränsningar i inbyggd granskning av Active Directory (AD):

  • En administratör skulle behöva söka efter varje händelse-ID för att visa dess egenskaper. Detta är mycket opraktiskt och tidskrävande, även för små organisationer.
  • Inga användbara insikter erhålls med hjälp av inbyggd granskning. Om administratören vill övervaka eller meddelas i händelse av plötslig ökning i inloggningsaktivitet eller avvikande användarbeteende är det inte möjligt att använda inbyggd granskning.
  • Kerberos-autentiseringshändelser kunde loggas på någon DC i domänen. En administratör skulle behöva övervaka händelser på varje DC, vilket är en orimlig mängd arbete. Ett centraliserat verktyg där man kan övervaka alla händelser kommer att minska belastningen enormt.

ManageEngine ADAudit Plus är ett granskningsverktyg i Active Directory som hjälper till att övervaka användarinloggningsaktivitet med hjälp av Kerberos-autentiseringshändelser. Du kan också upptäcka eventuella säkerhetshot med hjälp av rapporter om avvikande inloggningsaktivitet och automatisera responsen på sådana hot.

Ladda ner en 30-dagars kostnadsfri provversion

Steg för att granska Kerberos-autentiseringstjänst med hjälp av ManageEngine ADAudit Plus

  1. Ladda ned och installera ADAudit Plus.
  2. Steg om hur du konfigurerar granskning av din domänkontrollant finns här.
  3. Öppna ADAudit Plus-konsolen och logga in som administratör och navigera till Rapporter → Active Directory → Användarhantering → Användarinloggningsaktivitet.
1
 

Få djupare insikt i inloggningar som sker i din organisation och förstå när och varifrån varje inloggning ägde rum.

2
 

Övervaka användare inloggade på flera datorer för att upptäcka säkerhetsrisker i din organisation eftersom det kan hända att en tredjepart kan få åtkomst till användarkontot för att få kontroll.

3
 

Övervaka och erhåll rapporter om all inloggningsaktivitet på DC:er, medlemssrevrar och arbetsstationer.

Hur man upptäcker vem som låste upp ett användarkonto

Få djupare insikt i inloggningar som sker i din organisation och förstå när och varifrån varje inloggning ägde rum.
Övervaka användare inloggade på flera datorer för att upptäcka säkerhetsrisker i din organisation eftersom det kan hända att en tredjepart kan få åtkomst till användarkontot för att få kontroll.
Övervaka och erhåll rapporter om all inloggningsaktivitet på DC:er, medlemssrevrar och arbetsstationer.

Fördelar med att använda ADAudit Plus:

  • ADAudit Plus gör det möjligt för dig att granska och spåra användarinloggningsaktivitet i ditt nätverk i realtid och hjälper till att upptäcka potentiellt skadliga aktiviteter.
  • Skydda din AD från säkerhetshot genom att ta emot varningar om avvikande aktivitet. Incidenter som en ovanligt hög volym inloggningsförsök, inloggningar som sker vid ovanliga tidpunkter eller första gången en användare får fjärråtkomst till en värd är tecken på att nätverket har äventyrats.
  • Avslöja orsaken till upprepade kontoutelåsningar med hjälp av analysverktyg för kontoutelåsning, som hjälper dig att upptäcka och lösa kontoutelåsningar snabbare.
Ladda ner en 30-dagars kostnadsfri provversion

Related How to

ADAudit Plus