So erkennen Sie die Quelle fehlgeschlagener Anmeldeversuche

Audits von Anmeldungsereignissen in Active Directory (AD) sind unabdingbar. Der Grund dafür ist klar. Eine Anomalie im Audit-Bericht hilft uns gleich mehrfach, Sicherheitsrisiken zu erkennen. Ein Mitarbeiterkonto, dass nach mehreren fehlgeschlagenen Anmeldungen gesperrt wird, stellt eine Bedrohung für die Datensicherheit im Unternehmen dar.

Fehlgeschlagene Anmeldeversuchen sind als eine der größten Sicherheitsbedrohungen anzusehen. Vielleicht hat bei der fehlgeschlagenen Anmeldung nur ein Mitarbeiter seine Zugangsdaten vergessen. In einem extremen Szenario könnte es sich um einen Hacker handeln, der über ein legitimes Mitarbeiterkonto auf das Netzwerk zugreift.

Daher ist es sehr wichtig, jederzeit alle fehlgeschlagenen Anmeldeversuche zu verfolgen. Das lässt sich zwar auch über AD-Tools verwirklichen, doch ADAudit Plus bietet eine einfachere Lösung. ADAudit Plus ist ein Audit- und Reporting-Tool für Active Directory mit über 200 vorgefertigten Audit-Berichten – einer davon behandelt fehlgeschlagene Anmeldungen. Mit nur wenigen Klicks erhalten Sie detaillierte Berichte zu allen wichtigen AD-Ereignissen.

Hier ein Vergleich der Verfahren zum Erkennen fehlgeschlagener Anmeldungen mit nativen AD-Tools oder mit ADAudit Plus.

KOSTENLOS herunterladen Kostenlose, voll funktionsfähige 30-tägige Probe

  • Mit nativer AD-Überwachung

  • Mit ADAudit Plus

ADAudit Plus ist eine webbasierte Software für Änderungs-Reporting unter Windows Active Directory in Echtzeit. Damit können Sie Server unter Windows (Active Directory, Anmeldungen/Abmeldungen bei Workstations, Dateiserver und Server), NetApp-Filern und EMC-Server überwachen, um die dringendsten Anforderungen an Sicherheit, Auditing und Compliance zu erfüllen. Verfolgen Sie befugte/unbefugte Änderungen am AD-Management, den Benutzerzugriff, GROs, Gruppen, Computer und OEs. Außerdem können Sie alle Änderungen an Dateien, Ordnern, Zugriffen und Berechtigungen verfolgen – mit mehr als 200 detaillierten, Ereignis-spezifischen Berichten und sofortigen E-Mail-Warnungen. Diese Berichte lassen sich in den Formaten XLS, HTML, PDF und CSV exportieren, was bei Interpretation und Computerforensik von Nutzen ist.

ADAudit Plus verleiht Administratoren die Möglichkeit, sämtliche fehlgeschlagenen Anmeldungsversuche einzusehen – komplett mit Informationen, wer die Anmeldung versuchte, mit welchem Gerät die Anmeldung versucht wurde, wann dies geschah und aus welchem Grund die Anmeldung fehlschlug.

  • Anmelden bei ADAudit Plus → Wechseln zur Registerkarte "Berichte" → Unter "Benutzeranmeldungsberichte" → Navigieren Sie zu "Fehlgeschlagene Anmeldungen".

  • Wählen Sie die Domäne aus.

  • Wählen Sie „Exportieren als“ zum Exportieren des Berichtes im gewünschten Format (CSV, PDF, HTML, CSVDE und XLSX).

  • Dieser Bericht liefert die folgenden Details::

    1. Benutzername des Kontos mit der fehlgeschlagenen Anmeldung.

    2. IP-Adresse des Benutzers

    3. Uhrzeit der fehlgeschlagenen Anmeldung.

    4. Den Computer/Server, bei dem der Fehlschlag aufgetreten ist.

    5. Gründe für die fehlgeschlagene Anmeldung.

So können Sie fehlgeschlagene Anmeldungsversuche mit nativen Audits überwachen

  • Schritt 1: Aktivieren von Audits für fehlgeschlagene Anmeldungen?

  • Melden Sie sich mit Administrator-Berechtigungen bei Ihrem Domänencontroller an und starten Sie die Konsole Gruppenrichtlinienmanagement.

  • Klicken Sie mit der rechten Maustaste auf das Gruppenrichtlinienobjekt, das mit dem Container des Domänencontrollers verknüpft ist, und wählen Sie Bearbeiten aus.

  • Erweitern Sie ComputerkonfigurationWindows-EinstellungenSicherheitseinstellungenLokale RichtlinienKnoten "Audit-Richtlinie".

  • Konfigurieren Sie die Audit-Richtlinien wie folgt:

    1. Kontomanagement: Erfolg

    2. Konto-Anmeldungsereignisse überwachen: Fehler

    3. Anmeldungsereignisse überwachen: Fehler

  • Schritt 2 – Ereignisse mit dem Windows Event Viewer anzeigen

    Nachdem Sie das Auditing aktiviert haben, können Sie die Protokolle mit dem Event Viewer durchsehen, um Ereignisse zu untersuchen. Führen Sie die folgenden Schritte aus:

  • Event Viewer öffnen

  • Erweitern Sie Windows-Protokolle > Sicherheit

  • Erstellen Sie eine spezifische Ansicht für Ereignis 4625. Diese ID steht für fehlgeschlagene Anmeldungen.

  • Doppelklicken Sie auf das Ereignis. Sie können detaillierte Informationen zu der Aktivität anzeigen, wie Kontoname sowie Datum und Uhrzeit der fehlgeschlagenen Anmeldung.

Wachsen Ihnen die nativen Audits ein wenig über den Kopf?

Mit ADAudit Plus machen Sie sich Active-Directory-Überwachung nebst Berichten deutlich einfacher..

Kostenlose Testversion herunterladen Kostenlose, voll funktionsfähige 30-Tage-Testversion

Zoho Corporation Pvt. Ltd. Alle Rechte vorbehalten.