Come controllare gli eventi di autenticazione Kerberos in Active Directory

Inizia la tua prova gratuita

Kerberos ha sostituito NT LAN Manager (NTLM) come autenticazione predefinita per i sistemi operativi Windows, poiché consiste in un'alternativa molto più veloce e sicura. Gli amministratori IT possono attivare il controllo dell'autenticazione Kerberos, che consente di registrare gli eventi creati durante questo processo. Gli amministratori possono monitorare questi eventi per tenere d'occhio le attività di accesso non riuscite o riuscite degli utenti che accedono al dominio. Eventuali cambiamenti anomali improvvisi, come un numero insolitamente elevato di tentativi di accesso non riusciti, potrebbero indicare la possibilità di un attacco di forza bruta e altre problematiche. Continua a leggere per scoprire come controllare gli eventi di autenticazione Kerberos:

I passaggi per abilitare il controllo usando Console Gestione Criteri di gruppo (GPMC):

Premi Start, cerca e apri la Console Gestione Criteri di gruppo oppure esegui il comando gpmc.msc.

Come controllare il tracciamento del processo

Fai clic con il tasto destro del mouse sul dominio o sull'unità organizzativa (OU) che vuoi controllare e quindi fai clic su Crea un oggetto Criteri di gruppo in questo dominio e collegalo qui.

Come rilevare chi ha sbloccato un account utente

Assegna un nome appropriato all'oggetto Criteri di gruppo (GPO).
Fai clic con il pulsante destro del mouse sul GPO appena creato o già esistente e scegli Modifica.

Nell'Editor Gestione Criteri di gruppo, nel riquadro a sinistra, passa a Configurazione computer → Criteri → Impostazioni di Windows → Impostazioni di sicurezza → Configurazione criteri di controllo avanzati → Criteri di controllo → Accesso account.

Nel riquadro di destra viene visualizzato un elenco di criteri che si trovano sotto Accesso account. Fai doppio clic su Controllo del servizio di autenticazione Kerberos e seleziona le caselle Configura i seguenti eventi di controllo: Successo ed Errore.

Esegui le stesse azioni per il criterio Controllo operazioni ticket del servizio Kerberos.

Fai clic su Applica e poi su OK.
Torna alla Console Gestione Criteri di gruppo e, nel riquadro di sinistra, fai clic con il pulsante destro del mouse sull'unità organizzativa a cui è stato collegato l'oggetto Criteri di gruppo, quindi fai clic su Aggiornamento criteri di gruppo. Questo passaggio garantisce che le nuove impostazioni dei Criteri di gruppo vengano applicate immediatamente, anziché attendere il successivo aggiornamento programmato.

Passi per visualizzare gli eventi di autenticazione Kerberos utilizzando il Visualizzatore eventi

Una volta completati i passaggi sopra descritti, gli eventi di autenticazione Kerberos saranno memorizzati nel registro eventi. Questi eventi possono essere visualizzati nel Visualizzatore eventi eseguendo le seguenti azioni sul controller di dominio (DC):

Premi Start, cerca Visualizzatore eventi e fai clic per aprirlo.
Nella finestra Visualizzatore eventi, nel riquadro di sinistra, spostati su Registri di Windows ⟶ Sicurezza.
Qui troverai un elenco di tutti gli eventi di sicurezza registrati nel sistema.

Nel riquadro di destra, in Sicurezza, fai clic su Filtra registro corrente.

Nella finestra a comparsa, inserisci l'ID evento* desiderato, come indicato nella tabella seguente, nel campo <Tutti gli ID evento>.

* Per gli eventi indicati vengono generati i seguenti ID evento:

ID evento	Sottocategoria	Tipo di evento	Descrizione
4768	Servizio di autenticazione Kerberos	Successi ed errori	È stato richiesto un ticket di autenticazione Kerberos (TGT)
4769	Operazioni di controllo del ticket di servizio Kerberos	Successi ed errori	È stato richiesto un ticket di servizio Kerberos
4770	Operazioni di controllo del ticket di servizio Kerberos	Successo	È stato rinnovato un ticket di servizio Kerberos
4771	Servizio di autenticazione Kerberos	Errore	Pre-autenticazione Kerberos non riuscita
4772	Servizio di autenticazione Kerberos	Errore	Una richiesta di ticket di autenticazione Kerberos non è andata a buon fine
4773	Operazioni di controllo del ticket di servizio Kerberos	Errore	Una richiesta di ticket di servizio Kerberos non è andata a buon fine

Fai clic su OK. In questo modo si ottiene un elenco di occorrenze di quell'ID evento.
Fai doppio clic sull'ID evento per visualizzarne le proprietà.

Limitazioni del controllo nativo di Active Directory (AD):

L'amministratore dovrebbe cercare ogni ID evento per visualizzarne le proprietà. Si tratta di un'operazione altamente impraticabile e dispendiosa in termini di tempo, anche per le piccole organizzazioni.
Il controllo nativo non fornisce indicazioni utili. Se l'amministratore vuole monitorare o essere avvisato in caso di picchi improvvisi nelle attività di accesso o di comportamenti anomali degli utenti, farlo con il controllo nativo non è possibile.
Gli eventi di autenticazione Kerberos possono essere registrati su qualsiasi controller di dominio. L'amministratore dovrebbe monitorare gli eventi su ogni controller di dominio, il che rappresenta una mole di lavoro eccessiva. Uno strumento centralizzato per monitorare tutti gli eventi ridurrà enormemente il carico.

ADAudit Plus di ManageEngine è uno strumento di controllo di Active Directory che può aiutare a monitorare l'attività di accesso degli utenti utilizzando gli eventi di autenticazione Kerberos. È inoltre possibile rilevare possibili minacce alla sicurezza con rapporti sulle attività di accesso anomale e automatizzare le risposte a tali minacce.

Scarica la versione di prova gratuita di 30 giorni

Passaggi per il controllo dell'autenticazione Kerberos con ADAudit Plus di ManageEngine

Scarica e installa ADAudit Plus.
Trova i passaggi per configurare il controllo sul tuo controller di dominio qui.
Apri la console di ADAudit Plus e accedi come amministratore, quindi passa a Report → Active Directory → User Management → User Logon Activity.

Ottieni una visione più approfondita degli accessi che avvengono nella tua organizzazione e individua il momento e la posizione da cui è avvenuto ogni accesso.

Monitora gli utenti connessi a più computer per rilevare i rischi di sicurezza nell'organizzazione, poiché una terza parte potrebbe accedere all'account utente per ottenere il controllo.

Monitora e ottieni report su tutte le attività di accesso ai controller di dominio, ai server membri e alle workstation.

Ottieni una visione più approfondita degli accessi che avvengono nella tua organizzazione e individua il momento e la posizione da cui è avvenuto ogni accesso.
Monitora gli utenti connessi a più computer per rilevare i rischi di sicurezza nell'organizzazione, poiché una terza parte potrebbe accedere all'account utente per ottenere il controllo.
Monitora e ottieni report su tutte le attività di accesso ai controller di dominio, ai server membri e alle workstation.

Vantaggi dell'utilizzo di ADAudit Plus:

ADAudit Plus consente di verificare e tracciare in tempo reale le attività di accesso degli utenti alla rete e aiuta a rilevare le attività potenzialmente dannose.
Proteggi il tuo AD dalle minacce alla sicurezza ricevendo avvisi sulle attività anomale. Incidenti come un volume insolitamente elevato di tentativi di accesso, accessi effettuati in orari insoliti o la prima volta che un utente accede a un host da remoto sono segnali di compromissione della rete.
Scopri il motivo dei ripetuti blocchi dell'account utilizzando Account Lockout Analyzer che ti aiuta a individuare e risolvere più rapidamente i blocchi.