Monitoreo en tiempo real de las acciones de inicio de sesión de usuario
Los usuarios registrándose en sus computadores de dominio es una actividad del día a día que ocurre en cualquier empresa. En un principio, esto puede parecer un evento simple de active directory, pero los administradores asignados con roles variados podrían utilizar esta información valiosa para diversas necesidades de auditoria, cumplimiento y operación. Las Organizaciones requieren detalles de auditoria sobre los “logs de inicio de sesión del usuario AD” para una o más de las necesidades de operación que aparecen abajo.
Logon Failures
Logon Activity on Domain Controllers
Logon Activity on Member Servers and Workstations
User Logon Activity
Recent User Logon Activity
Last Logon on Workstations
Monitor RADIUS Logon on Computers
- Verificar el ausentismo / asistencia de empleados en un intervalo dado para auditoría/ cada mes.
- Determinar el conteo total de usuarios que tienen acceso a la red de active directory en un instante dado
- Ubicar usuarios que acceden a sus controladores de workstation o dominios a través de una computadora de red remota.
- Determinar los tiempos pico de inicio de sesión para todos los usuarios en el dominio.
- Ver quién ha sido el último inicio de sesión a una computadora de dominio crítico.
- Identificar si cualquier usuario (miscreant) está intentando iniciar sesión en máquinas en donde el/ella no tiene privilegios. (Por ejemplo: Inicios de sesión de controlador de dominio. /inicios de sesión de servidores miembro en un active directory que requerirán privilegios elevados).
- Ver el historial completo de inicio de sesión de cualquier usuario en el dominio.
Adicional a estos pocos elementos enlistados, hay muchas más demandas prácticas en una red de directorio activo que requieren información de auditoria en inicios de sesión de dominio o cuentas. Los informes de inicio de sesión de la cuenta ADAudit pueden ser utilizados ventajosamente para sobreponerse ante retos de auditoría de inicio de sesión. Le proveen al huésped informes pre-configurados en tiempo real para dar respuestas a las preguntas sobre auditoría de inicio de sesión en el formato deseado y mejoran la experiencia de auditoría de active directory. La facilidad de hacer informes personalizados hace que el software sea aún más buscado, por ejemplo, cualquier acción de inicio de sesión puede ser definida y vista como un informe.
¿Por qué se considera a Native Active Directory insuficiente para la auditoría de inicio de sesión de usuario?
Cada 'log de inicio de sesión AD ' está siendo continuamente registrada en los logs de seguridad de los controladores de dominio de directorio activo (DCs). Esta información es registrada en los controladores de dominio native active directory.
- Requiere experticia entenderlo ya que involucra – entendimiento de números específicos de evento y su correlación a la acción de inicio de sesión.
- Es de volumen grande - cada actividad de inicio de sesión en/alrededor de cualquier objeto de directorio activo está siendo continuamente registrada en el controlador de dominio y esta información de event logs se apila hasta tener un gran volumen de información.
- Tiene acceso restringido – el controlador de dominio es un componente crítico de la infraestructura active directory y el acceso es limitado unos usuarios administrativos seleccionados.
Otras limitaciones del native active directory incluyen la inhabilidad para usuarios no-administradores como auditores, gerentes y personal de recursos humanos para hacer seguimiento de cualquier acción deseada de inicio de sesión. Algunos eventos críticos de inicio de sesión como iniciar sesión en un controlador de dominio o servidor miembro requieren alertas inmediatas o monitoreo continuo. Esta información crítica a través de inicios de sesión no tiene una diferenciación o un agrupamiento de un event log normal y tiene mayores posibilidades de ser desatendido.
Solución de auditoría de inicio de sesión en active directory en tiempo real.
Hacerle seguimiento a la actividad de inicio de sesión, un sistema a la vez para una red entera de active directory es casi imposible. Los informes de auditoría en tiempo real de usuarios de ADAudit Plus enlistan todas las acciones de inicio de sesión de un usuario en un único informe. Esto puede verse de una consola web central en una fracción del tiempo. La información de inicio de sesión es muy importante de entender/identificar la autenticidad del inicio de sesión de objetos del usuario en el dominio.
ADAudit Plus provee informes de inicio de sesión de usuario sobre fallos en el inicio de sesión, actividad de inicio de sesión del controlador de dominio, actividad de inicio de sesión de servidor miembro, actividad de inicio de sesión en la workstation, actividad de inicio de sesión del usuario, actividad reciente de inicio de sesión del usuario y el último inicio de sesión en las estaciones de trabajo. Además, la solución de auditoría de inicio de sesión actúa como una herramienta indispensable para facilitar la auditoría de eventos de inicio de sesión específicos, actividad actual y pasada de inicio de sesión y enlista todos los cambios relacionados al inicio de sesión. Esto se hace a través de una interfaz web y muestra información estadística a través de tablas, gráficas y una lista deinformes predefinidos y personalizados.
Informes de auditoría de ADAudit Plus sobre el inicio de sesión del usuario.
Informe de fallo en el inicio de sesión
El informe de fallo en inicio de sesión suministra información acerca de los fallos en el inicio de sesión y la razón por la cual ocurrieron en un periodo seleccionado de tiempo. Se informa sobre los múltiples intentos fallidos de inicio de sesión en cuentas de usuario en un periodo de tiempo seleccionado. Esto dota a los administradores con información sobre ataques posibles en cuentas “susceptibles al ataque de intrusos”. La información sobre inicios de sesión fallidos de la misma manera cuando un fallo en el inicio de sesión ha ocurrido, cuenta con inicio de sesión fallido y las razones posibles para el fallo se informa.
Las razones para un inicio de sesión fallido podrían ser críticas como un nombre de usuario deficiente, una contraseña deficiente que es más susceptible a ataques. Las razones que requieren la atención del administrador son “la contraseña ha expirado”, “la cuenta ha sido deshabilitada/expirada/ se encuentra bloqueada” o “el administrador debería reestablecer la contraseña en la cuenta”. Otras razones como “inicio de sesión/Workstation tiene una restricción de tiempo”, “Nueva cuenta en la computadora no se ha replicado aún” o “la computadora se encuentra pre-w2k” y “el tiempo en la workstation no está sincronizado con el tiempo de los controladores de dominio” también son informados.
Una representación gráfica sobre el número de fallos de inicio de sesión contra la razón del fallo ayuda a los administradores a tomar decisiones rápidamente y administrar efectivamente.
Actividad de inicio de sesión en controladores de dominio
Los controladores de dominio son los componentes centrales críticos de un active directory y donde los cambios AD son efectuados. El inicio de sesión de controlador de dominio es restringido a usuarios privilegiados o administradores y la información completa sobre intentos de inicio de sesión realizados bien sea por otros usuarios, dota a los administradores para poder tomar medidas correctivas informadas. ADAudit Plus ayuda a suministrar información sobre todos los usuarios que han iniciado sesión en cualquier controlador de dominio seleccionado. Los detalles como el tiempo de inicio de sesión, de dónde el usuario ha hecho el inicio de sesión (nombre de la maquina), el éxito o fallo en el intento de inicio de sesión y la razón del fallo si alguno es reportado.
Actividad de inicio de sesión en servidores miembros y workstations
La actividad de inicio de sesión en servidores miembro y workstations suministra información sobre el inicio de sesión del usuario en servidores miembros o workstations seleccionados respectivamente. Ambos informes funcionan de forma similar al “informe de actividad de inicio de sesión en controladores de dominio” haciendo que el manejo y el entendimiento del software sea muy fácil.
Actividad de inicio de sesión de usuario
Un informe de inicio de sesión de usuario suministra información de auditoría en el historial completo
de inicios de sección en los “servidores” o “workstations” que son accedidos por un usuario de dominio seleccionado. El historial de inicio de sesión de objeto de usuario es muy importante para entender el patrón de inicio de sesión para un usuario seleccionado y en otras instancias, para proveer una prueba registrada para los auditores/ administradores o cualquier usuario.
Actividad reciente de inicio de sesión de usuario
Los administradores de sistema están o dudosos/preocupados acerca de las irregularidades en el uso de la red por parte de los usuarios. Los intentos fallidos de un inicio de sesión son un indicador o una medida para encontrar una irregularidad. El informe de la “actividad reciente de inicio de sesión de usuario” de ADAudit Plus enlista todas las actividades exitosas y fallidas de inicio de sesión de usuarios sobre cualquier periodo de tiempo seleccionado. Adicional a esto, la razón por la cual ha habido un intento fallido de inicio de sesión es suministrada como una advertencia para tomar medidas correctivas.
La lista de usuarios iniciando sesión exitosamente en una red en un día dado, cualquier fecha seleccionada o sobre un periodo de tiempo seleccionado puede verse en este informe.
Último inicio de sesión en la workstation
Este informe enlista información sobre la hora del último inicio de sesión en una workstation o computadora de parte de todos los usuarios que han iniciado sesión exitosamente en un día. Este informe puede usarse para determinar el ausentismo o el estado actual de disponibilidad de usuarios en la organización.
Monitoreo de inicio de sesión RADIUS en computadoras
Auditar el servicio de usuario de autenticación dial-in (RADIUS) de acceso a la red por un usuario con sesión iniciada en una computadora remota. Con informes sobre usuarios con sesión iniciada de forma remota como inicios de sesión fallidos RADIUS (NPS) así como historial de inicio de sesión (NPS), monitoreo de toda la autenticación RADIUS en active directory. Por favor tome nota de que actualmente las actividades de inicio de sesión RADIUS vía servidor de política de red (Servidor Windows 2008) es el único respaldado.