Echtzeitüberwachung von Benutzeranmeldungsaktionen
Benutzeranmeldungen an Domänencomputern zählen zu den häufigsten Aktivitäten eines jeden Unternehmens. Oberflächlich betrachtet mag dies wie ein einfaches Active-Directory-Ereignis erscheinen, das keinen weiteren Gedanken wert ist. Allerdings können Administratoren unterschiedlicher Rollen die dabei gesammelten Daten für facettenreiche Audit-, Compliance- und betriebliche Zwecke einsetzen. Organisationen benötigen Überwachungsdetails aus den Protokollen der AD-Benutzeranmeldung unter anderem für nachstehende betriebliche Zwecke.
Anmeldungsfehlschläge
Anmeldungsaktivität bei Domänencontrollern
Anmeldungsaktivität bei Mitgliedsservern und Workstations
Benutzer-Anmeldungsaktivitäten
Letzte Benutzer-Anmeldungsaktivität
Letzte Anmeldung an Workstations
RADIUS-Anmeldung an Computern überwachen
- Prüfen Sie Abwesenheit/Anwesenheit Ihrer Mitarbeiter in bestimmten zeitlichen Abständen/monatlich.
- Ermitteln Sie die Gesamtanzahl sämtlicher Benutzer, die zu einem gegebenen Zeitpunkt Zugriff auf das Active-Directory-Netzwerk genießen.
- Erkennen Sie Benutzer, die über externe Netzwerkcomputer auf Workstations oder Domänencontroller zugreifen.
- Ermitteln Sie Anmeldungs-Spitzenzeiten sämtlicher Benutzer der Domäne.
- Finden Sie heraus, wer sich zuletzt bei einem kritischen Domänencomputer angemeldet hat.
- Ermitteln Sie, ob Benutzer versucht haben, sich an Geräten anzumelden, für die sie keine Berechtigungen besitzen. (Beispiel: Domänencontroller-/Mitgliedsserver-Anmeldungen in Active Directory benötigen erhöhte Berechtigungen.)
- Rufen Sie den gesamten Anmeldungsverlauf beliebiger Nutzer der Domäne ab. Verschaffen Sie sich beispielsweise Nachweise über verdächtiges Verhalten eines Mitarbeiters, und rufen Sie Active-Directory-Domänenobjekte wie Computer, Gruppen und andere Benutzerkonten ab, die vom betreffenden Mitarbeiter im Verlauf seiner Tätigkeit administriert, aufgerufen oder verändert wurden.
Zusätzlich zu den nur wenigen genannten Beispielen gibt es zahllose weitere praktische Anforderungen an Active-Directory-Netzwerke, bei denen Audit-/Überwachungsdaten zu Domänenkontenanmeldungen unerlässlich sind. ADAudit-Plus-Kontoanmeldungsberichte können sich bei facettenreichen Herausforderungen rund um Prüfung von Kontoanmeldungen als äußerst nützlich erweisen. Die Softwarelösung bietet zahlreiche vorkonfigurierte Berichte, die Antworten auf Anmeldungsüberwachungsfragen im gewünschten Format liefern und Active-Directory-Überwachung deutlich einfacher gestalten. Maßgeschneiderte Berichte bilden ein weiteres Überzeugungsmerkmal der Software – beispielsweise lassen sich sämtliche Anmeldungsaktionen definieren und als Berichte abrufen.
Warum eignet sich Active Directory im Urzustand nicht wirklich zur Nutzeranmeldungsüberwachung?
AD-Anmeldungsprotokolle werden grundsätzlich in den Sicherheitsprotokollen des Active-Directory-Domänencontrollers (DC) aufgezeichnet. Diese in nativen Active-Directory-Domänencontrollern aufgezeichneten Daten
- Setzen spezielles Fachwissen zum Verstehen voraus – z. B. Bedeutung unterschiedlicher Ereignisnummern und deren Beziehungen zu Anmeldungsaktionen.
- Können einen gewaltigen Umfang erreichen – jede einzelne Anmeldungsaktivität an einem/durch ein Active-Directory-Objekt wird permanent im Domänencontroller protokolliert; diese Ereignisprotokolldaten können sich in Windeseile zu einem nahezu undurchdringlichen Datenkonvolut auswachsen.
- Können nicht ohne weiteres abgerufen werden – der Domänencontroller ist eine wichtige Komponente der Active-Directory-Infrastruktur, wird daher nur für ausgewählte administrative Benutzer freigegeben.
Zu weiteren Einschränkungen der nativen Active-Directory-Struktur zählt auch, dass es Benutzern ohne Administratorberechtigungen (wie Auditoren, Managern und Personalwesen) nicht möglich ist, bestimmte Anmeldungsaktionen zu verfolgen. Bestimmte kritische Anmeldungsereignisse wie Anmeldungen an einem Domänencontroller oder Mitgliedsserver benötigen sofortige Alarmierungen oder kontinuierliche Überwachung. Solche wichtigen Daten unterscheiden sich nicht von einem regulären Ereignisprotokolleintrag, werden nicht entsprechend abgehoben, können daher leichter übersehen werden.
Verfolgen von Benutzer-Abmeldungsaktivitäten in Echtzeit mit ADAudit Plus
Vielen Dank!
Your download is in progress and it will be completed in just a few seconds!
If you face any issues, download manually here
Real Time Active Directory Logon Audit Solution
Tracking account logon activity, one system at a time for an entire Active Directory network is next to impossible. Real-time user logon audit reports from ADAudit Plus lists all user logon actions in a single report. This can be viewed from a central web console at the fraction of time. Logon information is very important to understand / identify the authenticity of logon of user objects in the domain.
ADAudit Plus provides User Logon Reports on Logon Failures, Domain Controller Logon Activity, Member Server Logon Activity, Workstation Logon Activity, User Logon Activity, Recent User Logon Activity, and Last Logon on WorkStations. Further, the logon audit solution acts as an indispensable tool to facilitate audit of specific logon events, current and past logon activity and lists all logon related changes. This it does through an easily understandable web interface and displays statistical information through charts, graphs and a list view of canned and customized reports.
Audit Reports from ADAudit Plus on User Logon
Logon Failure Report
Logon Failure Report provides information on the login failures and the reason for logon failure over a selected period of time. Multiple logon failure attempts on User accounts in the selected period of time is reported. This equips administrators with information on possible attacks on "intruder attack susceptible" accounts. Information on logon failure alike when a logon failure occurred, logon failed account, and possible failure reasons is reported.
Logon Failure Reasons could be critical like a Bad User Name, Bad password which are susceptible to attacks. Reasons which require Administrator attention are "Password has expired", "Account disabled/expired/ locked-out" or "Administrator should reset the password on the account". Other reasons like "Workstation/Logon time restriction", "New computer account has not replicated yet" or "computer is pre-w2k" and "Time in workstation is not in sync with the time in Domain Controllers" are also reported.
A Graphical representation on the number of logon failures against the reason of the failure assists Administrators to take quick decisions and administer effectively.
Logon Activity on Domain Controllers
Domain Controllers are the central critical components in the Active Directory from where AD changes are effected. Domain Controller logon is restricted to privileged or Admin users and complete information on logon attempts done by other users equips administrators to take informed corrective measures. ADAudit Plus helps provide information on all users who have logged on on any selected Domain Controller. Details like the time of logon, from where a user logged on(Machine Name), the success or failure of the logon attempt and the reason for failure if any is reported.
Logon Activity on Member Servers and Workstations
Logon Activity on Member Servers and WorkStations provide information on user logon into selected Member Servers or Workstations respectively. Both the reports function similar to the "Logon activity report on Domain Controllers" making the handling and understanding of the software a breeze.
User Logon Activity
User logon report provides audit information on the complete
logon history on the "Servers" or "Workstations" accessed by a selected Domain User. User object Logon history is very important to understand the logon pattern for a selected user and in other instances to provided a recorded proof to auditors / managers on any User.
Recent User Logon Activity
System administrator are either doubtful / concerned about the irregularities in the usage of the network by users. Failed logon attempts is an indicator or a measure to spot an irregularity. The "Recent user logon activity" report from ADAudit Plus lists all the successful and failed logon activities by users over any selected time period. Further the reason for a failed logon is also provided as a remark for taking corrective measures.
List of users successfully logging into the network on a given day, any selected date or over a selected period can be viewed from this report.
Last Logon on WorkStation
This report lists information on the time of last logon on to a Workstation or Computer, by all users who have successfully logged on a day. This report could be used determine absenteeism or current availability status of users in the organization.
Monitor RADIUS Logon on Computers
Audit the Remote Authentication Dial-In User Service (RADIUS) network access by user logged on remote computer. With reports on remote logged users like RADIUS Logon Failures (NPS) and RADIUS Logon History (NPS), monitor all RADIUS authentication in Active Directory. Please note that currently RADIUS logon activities via Network Policy Server (Windows Server 2008) is only supported.
Erfüllen Sie alle Auditing- und IT-Sicherheits-Anforderungen mit ADAudit Plus. Jetzt herunterladen.
Vielen Dank!
Your download is in progress and it will be completed in just a few seconds!
If you face any issues, download manually here