-
Mit Native AD Auditing
-
Mit ADAudit Plus
Führen Sie die Schritte 1 und 2 aus dem Abschnitt über die systemeigene Überwachung (Native AD Auditing) aus, um die Überwachungsrichtlinie zu aktivieren und die Überwachung der Anmeldung und Abmeldung zu ermöglichen.
Melden Sie sich als Administrator bei der ADAudit Plus-Webkonsole an.
Klicken Sie auf die Kartei Berichte. Wählen Sie im Abschnitt Lokale Anmeldung/Abmeldung im linken Fensterbereich den Bericht “Anmeldeaktivität”.
- Der Bericht über die Anmeldeaktivitäten in ADAudit Plus zeigt die Anmeldeversuche zusammen mit dem Benutzernamen, der Anmeldezeit, dem Namen der Arbeitsstation, der Art der Anmeldung und anderen Beispielen an.
-
Hier sind einige der Einschränkungen gelistet, die zu beachten sind, wenn man die nativen Überprüfungsmethoden zur Erstellung eines Berichts über die Benutzeraktivitäten in Active Directory verwendet:
Jeder Domänencontroller zeigt eine andere Anmeldezeit an, da sich die Daten nicht wiederholen.
Es ist ein komplexer Prozess, die erforderlichen Daten inmitten des Datenlärms zu erhalten.
-Es ist schwierig, den Bericht für verschiedene Zeitzonen und Datumsformate zu erstellen.
- Mit ADAudit Plus ist es einfach, die Benutzeraktivitäten in Active Directory mit nur wenigen Klicks zu verstehen, und sie werden in einer einfachen und intuitiv gestalteten Benutzeroberfläche angezeigt. Echtzeit-Warnungen für ungewöhnliche Aktivitäten, basierend auf den von der Organisation festgelegten Schwellenwerten, können potenzielle Cyberangriffe von Insidern auf die Organisation identifizieren und abwehren.
Schritt 1: Aktivieren der Überwachungsrichtlinie
Gehen Sie zu Start → Alle Programme → Verwaltungstools
Öffnen Sie die Verwaltungskonsole für Gruppenrichtlinien.
Gehen Sie zu Forest → Domäne → Ihre Domäne → Domänencontroller.
Sie können entweder ein vorhandenes Gruppenrichtlinienobjekt bearbeiten oder ein neues Objekt erstellen.
Navigieren Sie im Verwaltungseditor für Gruppenrichtlinien zu Computerkonfiguration → Richtlinien → Windows-Einstellungen → Sicherheitseinstellungen → Erweiterte Überwachungsrichtlinienkonfiguration → Überwachungsrichtlinien → Anmelden/Abmelden.
Schritt 2: Anmeldung/Abmeldung aktivieren
Gehen Sie zurück zur Computerkonfiguration. Navigieren Sie zu Windows-Einstellungen → Sicherheitseinstellungen → Erweiterte Überwachungsrichtlinienkonfiguration → Überwachungsrichtlinie → Anmeldung/Abmeldung.
Aktivieren Sie dort die Erfolgs- und Misserfolgsprüfung für Anmeldungsüberwachung, Abmeldungsüberwachung und Überwachung anderer An-und Abmeldungsereignisse.
Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole und wählen Sie das von Ihnen bearbeitete oder erstellte GPO aus. Fügen Sie unter Sicherheitsfilterung die Benutzer hinzu, deren Anmeldungen überwacht werden sollen. Sie können auch die Anmeldungen aller Domänenbenutzer überprüfen, indem Sie “Alle Benutzer” auswählen. Um eine Gruppe von Domänenbenutzern zu überwachen, können Sie die spezifische(n) Gruppe(n) hinzufügen.
Schritt 3: Verwenden Sie den Active Directory Event Viewer, um die Protokolle zu überprüfen
Öffnen Sie den Event Viewer und navigieren Sie zu Windows-Protokolle → Sicherheit.
Suchen Sie nach den Ereignis-IDs 4624 (Konto wurde angemeldet), 4634 (Konto wurde abgemeldet), 4647 (vom Benutzer initiierte Abmeldung), 4800 (Arbeitsstation wurde gesperrt) und 4801 (Arbeitsstation wurde entsperrt).
Klicken Sie auf der rechten Seite auf “Aktuelles Protokoll filtern”, um die Protokolle auf der Grundlage von Ereignis-IDs oder des Zeitraums, für den die Informationen benötigt werden, zu filtern.
Wird Ihnen das Native Auditing ein wenig zu viel?
Vereinfachen Sie die Prüfung von Verteilergruppen und die Berichterstattung mit ADAudit Plus.
Erhalten Sie Ihre kostenlose Testversion 30-Tage-Testversion mit vollem Funktionsumfang