Benutzeranmeldeaktionen in Echtzeit überwachen

Anmeldungen von Benutzern an Domänencomputern zählen in jedem Unternehmen zu den häufigsten Aktivitäten. Oberflächlich betrachtet mag dies wie ein einfaches Active-Directory-Ereignis erscheinen, das keinen weiteren Gedanken wert ist. Allerdings können Administratoren unterschiedlicher Rollen die dabei gesammelten Daten für umfangreiche Audit-, Compliance- sowie andere betriebliche Zwecke einsetzen. Unternehmen benötigen Monitoring-Details aus den AD-Benutzeranmeldungsprotokollen unter anderem für die folgenden betriebliche Zwecke.

Fehlgeschlagene Anmeldungen

Fehlgeschlagene Anmeldungen

Anmeldungen an Domänencontrollern

Anmeldungen an Domänencontrollern

Anmeldungen an Member-Servern und Workstations

Anmeldungen an Member-Servern und Workstations

Benutzeranmeldeaktivitäten

Benutzeranmeldeaktivitäten

Letzte Benutzeranmeldung

Letzte Benutzeranmeldung

Letzte Anmeldung an Workstations

Letzte Anmeldung an Workstations

RADIUS-Anmeldung an Computern überwachen

RADIUS-Anmeldung an Computern überwachen

  • Prüfen Sie die Abwesenheit/Anwesenheit Ihrer Mitarbeiter in bestimmten zeitlichen Abständen/monatlich.
  • Ermitteln Sie die Gesamtanzahl aller Benutzer, die zu einem bestimmten Zeitpunkt Zugriff auf das Active-Directory-Netzwerk haben.
  • Erkennen Sie Anwender, die über externe Netzwerkcomputer auf Workstations oder Domänencontroller zugreifen.
  • Ermitteln Sie Zeiten mit Anmeldungsspitzen aller Benutzer der Domäne.
  • Finden Sie heraus, wer sich zuletzt an einem besonders wichtigen Domänencomputer angemeldet hat.
  • Ermitteln Sie, ob Benutzer versucht haben, sich an Geräten anzumelden, zu denen sie keine Berechtigungen besitzen. (Beispiel: Domänencontroller-/Member-Server-Anmeldungen in Active Directory benötigen erweiterte Berechtigungen.)
  • Rufen Sie den gesamten Anmeldungsverlauf von beliebigen Benutzern einer Domäne ab. Im Falle von ungewöhnlichen Aktivitäten eines Mitarbeiters können Sie so beispielsweise Nachweise beschaffen oder Active-Directory-Domänenobjekte wie Computer, Gruppen und andere Benutzerkonten abrufen, die von diesem Mitarbeiter im Verlauf seiner Tätigkeit administriert, aufgerufen oder verändert wurden.

Neben den genannten Beispielen gibt es zahlreiche weitere praktische Anforderungen an Active-Directory-Netzwerke, bei denen Audit-/Monitoring-Daten zu Domänenkontenanmeldungen unerlässlich sind. Die Kontoanmeldungsberichte von ADAudit Plus können sich bei zahlreichen Herausforderungen rund um die Prüfung von Kontoanmeldungen als äußerst nützlich erweisen. Die Software-Lösung bietet zahlreiche vorkonfigurierte Berichte, die Antworten auf Fragen zu Anmeldeaudits im gewünschten Format liefern und das Monitoring des Active Directory deutlich einfacher gestalten. Maßgeschneiderte Berichte sind ein weiterer Vorteil der Software – beispielsweise lassen sich alle Anmeldeaktionen definieren und als Berichte abrufen.

Warum eignet sich das Active Directory alleine nicht wirklich zur Überwachung von Benutzeranmeldungen?

AD-Anmeldeprotokolle werden grundsätzlich in den Sicherheitsprotokollen des Active-Directory-Domänencontrollers (DC) aufgezeichnet. Diese in nativen Active-Directory-Domänencontrollern aufgezeichneten Daten:

  • setzen spezielles Fachwissen voraus, um sie verstehen zu können – z. B. Bedeutung unterschiedlicher Ereignisnummern und deren Beziehungen zu den Anmeldeaktionen.
  • können einen gewaltigen Umfang erreichen – jede einzelne Anmeldeaktivität an einem/durch ein Active-Directory-Objekt wird permanent im Domänencontroller protokolliert; diese Ereignisprotokolldaten können innerhalb kürzester Zeit zu einem unüberschaubaren Datenwust werden.
  • können nicht ohne weiteres abgerufen werden – der Domänencontroller ist eine wichtige Komponente der Active-Directory-Infrastruktur und wird daher nur für ausgewählte Admin-Benutzer freigegeben.

Eine weitere Einschränkung der nativen Active-Directory-Struktur ist, dass es Anwendern ohne Administratorberechtigungen (wie Auditoren, Managern und Mitarbeitern aus dem Personalwesen) nicht möglich ist, bestimmte Anmeldeaktionen zu verfolgen. Bestimmte kritische Anmeldeereignisse wie Anmeldungen an einem Domänencontroller oder Member-Server machen sofortige Alarmierungen oder eine kontinuierliche Überwachung erforderlich. Da sich solche wichtigen Daten nicht von einem regulären Ereignisprotokolleinträgen unterscheiden, werden sie nicht entsprechend hervorgehoben und können daher leichter übersehen werden.

Active-Directory-Anmelde-Audit in Echtzeit

Die Nachverfolgung aller Anmeldeaktivitäten eines kompletten Active-Directory-Netzwerks mit all seinen Systemen ist nahezu unmöglich. Die Benutzeranmeldeberichte in Echtzeit von ADAudit Plus listen alle Anmeldeaktionen von Anwendern übersichtlich in einem einzigen Bericht auf. Solche Berichte lassen sich über eine zentrale Konsole im Handumdrehen abrufen. Anmeldedaten sind unverzichtbar, wenn es darum geht, die Rechtmäßigkeit und Echtheit von Benutzeranmeldungen in der Domäne zu erfassen.

ADAudit Plus bietet Berichte zu fehlgeschlagenen Anmeldungen, -Anmeldeaktivitäten an Domänencontroller, Member-Servern und Workstations, Benutzeranmeldeaktivitäten, letzte Benutzeranmeldeaktivitäten sowie die letzten Anmeldungen an Workstations. Darüber hinaus erweist sich die Anmelde-Audit-Lösung auch als unverzichtbares Werkzeug zur Auditierung bestimmter Anmeldeereignisse, aktueller und vergangener Anmeldeaktivitäten sowie aller anmelderelevanten Änderungen. Diese Informationen werden in einer benutzerfreundlichen Weboberfläche präsentiert, die statistische Daten mit Diagrammen, Grafiken sowie in Listen aufbereitet oder in vorkonfigurierten oder individuellen Berichten darstellt.

Audit-Berichte zu Benutzeranmeldungen in ADAudit Plus

Bericht über fehlgeschlagene Anmeldungen

Der Bericht über fehlgeschlagene Anmeldungen liefert Informationen zu nicht erfolgreichen Anmeldungen und deren Ursache in einem bestimmten Zeitraum. Auch wiederholt fehlgeschlagene Anmeldungen an Benutzerkonten im gewünschten Zeitraum werden gemeldet. Diese Daten liefern Administratoren wichtige Informationen zu möglichen Angriffen auf nachlässig abgesicherte Konten. Informationen zu Anmeldefehlschlägen inklusive Zeitpunkt, betroffenem Konto und möglichen Ursachen für das Scheitern des Anmeldeversuchs werden angezeigt.

Angaben wie „falscher Benutzername“ oder „falsches Kennwort“ können auf Versuche hindeuten, sich unerlaubten Zugriff auf ein Konto zu verschaffen. Gründe wie „Kennwort abgelaufen“, „Konto deaktiviert/abgelaufen/gesperrt“ oder Aufforderungen zum Zurücksetzen des Kennworts, die der Aufmerksamkeit des Administrators bedürfen, werden nicht mehr übersehen. Auch zusätzliche und hilfreiche Informationen wie „Workstation-/Anmeldungszeitbeschränkung“, „Neues Computerkonto noch nicht repliziert“, „Computer-Betriebssystem vor Windows 2000“ oder „Workstation-Zeit nicht mit Domänencontroller-Zeit synchron“ werden gemeldet.

Eine grafische Darstellung von fehlgeschlagenen Anmeldungen und deren Ursache hilft Administratoren, rechtzeitig Entscheidungen zu treffen und die erforderlichen Schritte einzuleiten.

Anmeldeaktivitäten bei Domänencontrollern

Domänencontroller sind zentrale Active-Directory-Komponenten, die zahlreiche AD-Änderungen auslösen können. Daher ist die Anmeldung an Domänencontrollern privilegierten Anwendern oder Benutzern mit Administratorrechten vorbehalten. Angaben zu Anmeldungsversuchen durch andere Anwender liefern wichtige Informationen zu Versuchen, sich unberechtigt Zugang zu verschaffen. ADAudit Plus liefert Informationen zu allen Anwendern, die sich an beliebigen Domänencontrollern angemeldet oder dies versucht haben. Details wie Zeitpunkt und Ursprung der Anmeldung (Computername), Erfolg oder Scheitern der Anmeldung sowie der Grund für eine fehlgeschlagene Anmeldung werden gemeldet.

Anmeldungsaktivität bei Member-Servern und Workstations

Angaben zur Anmeldungsaktivität bei Member-Servern und Workstations liefern Informationen zu Nutzeranmeldungen an ausgewählten Member-Servern oder Workstations. Dieser Bericht sowie der verwandte Bericht „Anmeldeaktivität bei Domänencontrollern“ sorgen für schnelle, übersichtliche und leicht verständliche Informationen.

Benutzeranmeldeaktivitäten

Der Bericht zu den Benutzeranmeldungen liefert Informationen zum vollständigen Anmeldeverlauf von Servern oder Workstations, die von einem bestimmten Domänenbenutzer aufgerufen wurden. Der Benutzerobjekt-Anmeldeverlauf ist zum Verständnis des Anmeldeverhaltens eines bestimmten Anwenders sehr wichtig und erweist sich auch bei anderen Gelegenheiten als äußerst nützlich, bei denen zum Beispiel Auditoren/Managern Nachweise vorgelegt werden müssen.

Letzte Anmeldeaktivitäten von Benutzern

Systemadministratoren sollten Unregelmäßigkeiten bei der Netzwerknutzung durch Anwender und andere Mitarbeiter grundsätzlich im Auge behalten. Fehlgeschlagene Anmeldeversuche können dabei wichtige Anhaltspunkte liefern. Der Bericht „Letzte Benutzeranmeldeaktivität“ von ADAudit Plus listet alle erfolgreichen und fehlgeschlagenen Benutzeranmeldeaktivitäten in einem beliebigen Zeitraum auf. Zusätzlich werden auch Ursachen fehlgeschlagener Anmeldungen angegeben, die eine wichtige Grundlage für Korrekturmaßnahmen bilden können.

Mit diesem Bericht lassen sich erfolgreiche Netzwerkanmeldungen an einem bestimmten Tag oder in einem bestimmten Zeitraum in einer übersichtlichen Listendarstellung abrufen.

Letzte Anmeldung an Workstations

Dieser Bericht informiert über den Zeitpunkt der letzten Anmeldung an Workstations oder Computern durch alle Nutzer, die sich an einem Tag erfolgreich angemeldet haben. Der Bericht lässt sich auch zum Bestimmen von Abwesenheit oder Anwesenheit der Anwender im Unternehmen einsetzen.

RADIUS-Anmeldung an Computern überwachen

Überwachen Sie den RADIUS-Netzwerkzugriff (Remote Authentication Dial-In User Service) über externe Computer. Mit Berichten zu extern angemeldeten Benutzern überwachen Sie RADIUS-Anmeldefehlschläge (NPS), RADIUS-Anmeldeverlauf (NPS) und die gesamte RADIUS-Authentifizierung in Active Directory. Bitte beachten Sie, dass derzeit nur RADIUS-Anmeldeaktivitäten per NPS (Network Policy Server, Windows Server 2008) unterstützt werden.

Erfüllen Sie alle Auditing- und IT-Sicherheits-Anforderungen mit ADAudit Plus. Jetzt herunterladen.

  • Bitte geben Sie eine gültige E-Mail-Adresse ein.
  •  
  •  
    Wenn Sie auf „Holen Sie sich Ihre kostenlose Testversion“ klicken, erklären Sie sich mit der Verarbeitung personenbezogener Daten entsprechend unserer Datenschutzerklärung einverstanden.

Vielen Dank!

Your download is in progress and it will be completed in just a few seconds!
If you face any issues, download manually here