En användare loggar in på ett system för att få tillgång till datorn och filerna på nätverket. I Windows finns det flera sätt som en inloggning kan ske på lokalt och på distans. Systemadministratörer måste hålla reda på inloggningstyperna för att hålla sig uppdaterade om eventuella säkerhetsproblem i organisationens nätverk.
Följande är en lista över de typer av inloggningar, tillsammans med deras koder, som finns i Windows säkerhetshändelselogg:
Interaktiv (inloggningstyp 2)
Den här typen av inloggning inträffar när en användare loggar in på datorn.
Nätverk (inloggningstyp 3)
Denna typ av inloggning sker när en användare eller dator loggar in på datorn via nätverket.
Batch (inloggningstyp 4)
Denna typ av inloggning används av batchservrar. Schemalagda uppgifter körs för en användares räkning utan mänsklig inblandning.
Tjänst (inloggningstyp 5)
Den här typen av inloggning används för tjänster och tjänstkonton som loggar in för att köra en tjänst.
Lås upp (Inloggningstyp 7)
Denna typ av inloggning sker när en användare låser upp sin dator.
Nätverksklartext (Inloggningstyp 8)
Den här typen av inloggning sker när en användare eller dator loggar in på datorn från nätverket, och lösenordet skickas i klartext.
NewCredentials (inloggningstyp 9)
Denna typ av inloggning sker när en användare använder kommandot ”RunAs” för att köra ett program.
RemoteInteractive (inloggningstyp 10)
Den här inloggningstypen inträffar när en användare får fjärråtkomst till datorn via RDP-program som Fjärrskrivbord, Fjärrhjälp eller Terminal Services.
CachedInteractive (inloggningstyp 11)
Denna typ av inloggning registreras när en användare loggar in på datorn utan att behöva kontakta domänkontrollanten, eftersom nätverksuppgifterna är lokalt lagrade på datorn.
Loggar med händelse-ID 4624 och 4625 genereras varje gång en inloggning på en lokal dator lyckas eller misslyckas.
Granskning av inloggningsaktivitet med ADAudit Plus
ADAudit Plus övervaknings- och granskningsfunktioner för användarinloggning ger aktivitetsrapporter i realtid. Administratörer kan granska, övervaka och visa förkonfigurerade rapporter centralt och schemalägga rapporter som ska levereras till deras inkorg.
För att få inloggningsrapporter,
- Logga in på ADAudit Plus-webbkonsolen.
- Klicka på fliken Rapporter → Lokal inloggning-utloggning.
Välj den rapport du vill ha och se information om för närvarande inloggade användare, inloggningsfel, datorers start- och avstängningstider med mera.
Få en inblick i några av ADAudit Plus-rapporterna genom att titta på skärmdumparna av (i) rapporten Inloggningsaktivitet, (ii) rapporten Användare som för närvarande är inloggade och (iii) rapporten Start och avstängning av dator nedan.
En rapport över användares inloggningsaktivitet i ADAudit Plus
Rapporten För närvarande inloggade användare i ADAudit Plus
Rapport över datorers start- och avstängningstider i ADAudit Plus
I dessa rapporter kan du få information som t.ex:
- Vem loggade in på arbetsstationen?
- När loggade användaren senast in på arbetsstationen?
- Vilken typ av inloggning var det?
- När startades och stängdes arbetsstationen senast?
Om ADAudit Plus
ADAudit Plus är ett verktyg för realtidsgranskning av Active Directory med över 200 rapporter och e-postvarningar, inklusive olika rapporter om inloggning och utloggning. De olika sätten att logga in på system kan särskiljas av ADAudit Plus, och detta kan hjälpa organisationen att förstå medarbetarnas beteende när det gäller IT och motverka både interna och externa attacker. Det är också en värdefull lösning för företag som måste följa efterlevnadskrav.
Det behöver inte alls vara komplicerat att hantera användarnas inloggningsaktivitet. Prova ADAudit Plus för granskning av alla dina arbetsstationer.