Monitoraggio in tempo reale delle operazioni di accesso utente

L’accesso degli utenti ai loro computer di dominio è un’attività giornaliera che avviene in ogni azienda. All’inizio, questa sembra un semplice evento di Active Directory, ma gli amministratori che ricoprono vari ruoli potrebbero utilizzare questi preziosi dati per diverse esigenze di controllo, conformità ed esigenze operative. Le organizzazioni necessitano dei dettagli di controllo dei ‘registri di accesso utente AD’ per una o più delle seguenti esigenze operative.

Logon Failures

Logon Failures

Logon Activity on Domain Controllers

Logon Activity on Domain Controllers

Logon Activity on Member Servers and Workstations

Logon Activity on Member Servers and Workstations

User Logon Activity

User Logon Activity

Recent User Logon Activity

Recent User Logon Activity

Last Logon on Workstations

Last Logon on Workstations

Monitor RADIUS Logon on Computers

Monitor RADIUS Logon on Computers

  • Verificare su base mensile l'assenteismo/presenza dei dipendenti in un determinato intervallo di controllo.
  • Verificare il numero totale di utenti che ha accesso alla rete Active Directory in un dato instante.
  • Individuare gli utenti che accedono alle workstation o controller di dominio attraverso un computer di rete remoto.
  • Determinare le ore di punta degli accessi per tutti gli utenti nel dominio.
  • Visualizzare chi si è connesso per ultimo a un computer di dominio critico.
  • Identificare se un utente (malintenzionato) sta tentando di accedere a macchine per le quali non ha privilegi. (Ad esempio: gli accessi al controller di dominio / al server membri in Active Directory richiedono privilegi elevati).
  • Visualizzare lo storico completo di accesso di qualsiasi utente nel dominio. Raccogli prove quando interroghi un dipendente sospetto, oggetti di dominio di Active Directory come computer, gruppi e altri account utente che il dipendente ha amministrato, a cui ha avuto accesso o che ha modificato durante la sua associazione.

Oltre alle suddette operazioni, vi sono molte altre esigenze pratiche in una rete Active Directory che necessitano delle informazioni di controllo sugli accessi all’account di dominio. I report di accesso all'account di ADAudit Plus possono essere utilizzati in modo vantaggioso per superare le difficoltà di controllo degli accessi all'account. Fornisce numerosi report preconfigurati in tempo reale per dare risposte alle domande del controllo accessi nel formato desiderato e migliora l'esperienza di controllo di Active Directory. La funzionalità di reportistica personalizzata rende il software ancora più richiesto, in quanto ogni azione di accesso può essere definita e visualizzata come un report.

Perché Active Directory nativo è considerato insufficiente per il controllo degli accessi utente?

Ogni ‘registro di accesso AD’ viene continuamente registrato nei registri di sicurezza dei controller di dominio di Active Directory. Questi dati registrati nel controller di dominio di Active Directory nativo

  • Richiedono competenza per essere compresi poiché implicano la comprensione di un numero di eventi specifico e la loro correlazione a un'operazione di accesso.
  • Hanno un volume enorme. Ogni attività di accesso a/da parte di qualsiasi oggetto di Active Directory viene registrato di continuo nel controller di dominio e questi dati del registro eventi si sommano a un volume enorme di dati.
  • Hanno accesso limitato. Il controller di dominio è un componente critico dell'infrastruttura di Active Directory e l'accesso è limitato a determinati utenti con privilegi amministrativi.

Tra le altre limitazioni di Active Directory nativo vi è l’incapacità degli utenti non amministratori, come i revisori, i manager e gli addetti alle risorse umane di tener traccia di ogni azione di accesso desiderata. Alcuni eventi di accesso critico, quale l'accesso a un controller di dominio o al server membri necessitano di avvisi immediati o di un controllo costante. Queste informazioni critiche, seppur registrate, non si raggruppano né si differenziano da un normale registro eventi e la probabilità di trascurarle è maggiore.

Soluzione di controllo accessi di Active Directory in tempo reale

Il controllo dell’attività di accesso all’account di un sistema alla volta per un’intera rete Active Directory è quasi impossibile. I report di controllo degli accessi utente in tempo reale di ADAudit Plus elencano tutte le azioni di accesso dell’utente in un solo report, che può essere visualizzato da una console Web centrale secondo orari frazionati. Le informazioni di accesso sono molto importati per capire/identificare l'autenticità dell’accesso degli oggetti utenti al dominio.

ADAudit Plus offre Report di accesso utente in caso di errori di accesso, attività di accesso al controller di dominio, attività di accesso al server membri, attività di accesso alla workstation, attività di accesso utente, attività di accesso utente recente e ultimo accesso alle workstation. Inoltre, la soluzione per il controllo degli accessi funge da strumento indispensabile per facilitare il controllo di eventi di accesso specifici, attività di accesso attuale e passata, ed elenca tutte le modifiche relative all'accesso. Tutto questo avviene tramite un’interfaccia Web facilmente comprensibile che visualizza informazioni statistiche tramite grafici e un elenco di report predefiniti e report personalizzati..

Report di controllo di ADAudit Plus sull'accesso utente

Report degli errori di accesso

Il report degli errori di accesso fornisce informazioni sugli errori di accesso e il relativo motivo durante un determinato periodo. Sono anche registrati i vari tentativi di accesso non riusciti agli account utente nel periodo di tempo selezionato. In questo modo gli amministratori si dotato delle informazioni legate a possibili attacchi su account "suscettibili di attacchi ad opera di intrusi". Vengono inoltre registrate le informazioni sugli errori di accesso relative all’ora in cui l'errore di accesso si è verificato, l’account su cui si è verificato e le possibili motivazioni.

La motivazione dell'errore di accesso potrebbe essere un’informazione critica, come nome utente e password non validi che sono suscettibili di attacchi. Le motivazioni che richiedono l’attenzione dell’amministratore sono “Password scaduta”, “Account disabilitato/scaduto/bloccato” o “L’amministratore dovrebbe ripristinare la password dell'account”. Vengono registrate anche altre motivazioni, quali “Workstation/restrizione del tempo di accesso”, “Il nuovo account computer non è stato ancora replicato” o “il computer è pre-w2k” e “L’orario della workstation non è sincronizzato con l’orario dei controller di dominio”.

Una rappresentazione grafica del numero di errori di accesso rispetto al motivo dell'errore aiuta gli amministratori a prendere decisioni rapide e ad amministrare efficacemente.

Attività di accesso ai controller di dominio

I controller di dominio sono i componenti critici centrali di Active Directory da dove vengono apportate le modifiche AD. L'accesso al controller di dominio è limitato agli utenti amministratori o utenti con privilegi, e le complete informazioni sui tentativi di accesso da parte di altri utenti consentono agli amministratori di adottare misure correttive informate. ADAudit Plus fornisce informazioni su tutti gli utenti che hanno eseguito l’accesso su un controller di dominio selezionato. Vengono registrati dettagli quali l’ora di accesso, la provenienza dell'accesso (nome macchina), il tentativo riuscito o meno di accesso e il motivo dell'errore.

Attività di accesso ai server membri e alle workstation

L’attività di accesso ai server membri e alle workstation fornisce informazioni sugli accessi utente rispettivamente a determinati server membri o workstation. Entrambi i report funzionano come i “Report sull'attività di accesso sui controller di dominio” semplificando straordinariamente l’utilizzo e la comprensione del software.

Attività di accesso utente

Il report di accesso utente fornisce informazioni di controllo su tutto lo storico di accesso sui “Server" o "Workstation" alle quali ha avuto accesso un determinato utente di dominio. Lo storico di accesso dell’oggetto utente è molto importante per capire il modello di accesso di un determinato utente, e in altere istanze per fornire a revisori/manager una prova registrata riguardo l'utente.

Attività di accesso utente recente

L’amministratore di sistema ha dubbi e preoccupazioni sulle irregolarità nell’utilizzo della rete da parte degli utenti. I tentativi di accesso non riusciti sono un indicatore o una misura per individuare un’irregolarità. Il report “Attività di accesso utente recente” di ADAudit Plus elenca tutte le attività di accesso riuscite o non da parte degli utenti durante un periodo di tempo selezionato. Inoltre, viene indicato anche il motivo dell'accesso non riuscito come spunto per adottare misure correttive.

 

Nel report è possibile visualizzare l'elenco degli utenti che si connettono correttamente alla rete in un dato giorno, qualsiasi data selezionata o durante un periodo selezionato.

Ultimo accesso alla workstation

Questo report elenca le informazioni sull’ora dell’ultimo accesso su una workstation o computer, da parte di tutti gli utenti che hanno eseguito correttamente l’accesso in un giorno. Questo report viene utilizzato per determinare l'assenteismo o lo stato di disponibilità corrente degli utenti nell’organizzazione.

Monitoraggio dell'accesso RADIUS sui computer

Controllo dell'accesso alla rete RADIUS (Remote Authentication Dial-In User Service) da parte dell’utente che ha effettuato l'accesso sul computer remoto. Con i report sugli accessi effettuati in remoto dagli utenti, quali Errori di accesso RADIUS (NPS) e Storico di accesso RADIUS (NPS), è possibile monitorare tutta l’autenticazione RADIUS in Active Directory. Si noti che attualmente sono supportate sole le attività di accesso RADIUS tramite server dei criteri di rete (server Windows 2008).