Monitoreo en tiempo real de acciones de inicio de sesión del usuarios de Active Directory
El inicio de sesión del usuario en sus equipos de dominio es una actividad cotidiana que se realiza en cualquier empresa. Al principio, esto podría parecer un simple evento de Active Directory, pero los administradores asignados con diferentes funciones podrían utilizar estos valiosos datos para diversas necesidades de auditoría, cumplimiento y operativas. Las organizaciones requieren detalles de auditoría sobre los logs de inicio de sesión del usuario de Active Directory para una o más de las siguientes necesidades operativas.
Fallos de inicio de sesión
Actividad de inicio de sesión
en los controladores de dominio
Actividad de inicio de sesión
en los Member Servers y workstations
Actividad de inicio de sesión
Actividad reciente de
inicio de sesión del usuario
Último inicio de sesión
en las estaciones de trabajo
Monitorear el inicio de sesión RADIUS
en los equipos
- Verificar el ausentismo/ asistencia de los empleados en un determinado intervalo de auditoría / cada mes.
- Determinar el recuento total de usuarios que tienen acceso a la red de Active Directory en un instante dado.
- Detectar a los usuarios que acceden a las estaciones de trabajo o a los controladores de dominio a través de un equipo de red remoto.
- Determinar las horas pico de inicio de sesión de todos los usuarios del dominio.
- Ver quién ha iniciado sesión por última vez en un equipo de dominio crítico.
- Identificar si algún usuario (malintencionado) está intentando iniciar sesión en equipos en los que no tiene privilegios. (Por ejemplo: Los inicios de sesión del controlador de dominio / servidor miembro en Active Directory requerirán privilegios elevados).
- Ver el historial completo de inicio de sesión de cualquier usuario en el dominio, es decir, estar equipado con pruebas cuando se interroga a un empleado sospechoso, como los objetos de dominio de Active Directory tales como equipos, grupos y otras cuentas de usuario que el empleado ha administrado, accedido o modificado durante su asociación.
Además de las exigencias prácticas enumeradas, existen muchas más en una red de Active Directory que requieren información de auditoría sobre los inicios de sesión de las cuentas de dominio. Los informes de inicio de sesión de las cuentas de ADAudit Plus se pueden utilizar para superar los retos de auditoría de inicio de sesión de las cuentas. Proporciona una gran cantidad de informes preconfigurados en tiempo real para proporcionar respuestas a las preguntas de auditoría de inicio de sesión en el formato deseado y mejora la experiencia de auditoría de Active Directory. Los informes personalizados hacen que el software sea aún más codiciado, por ejemplo, cualquier acción de inicio de sesión se puede definir y visualizar como un informe.
¿Por qué Active Directory nativo no es suficiente para la auditoría de inicio de sesión del usuario?
Cada log de inicio de sesión de AD se registra continuamente en los logs de seguridad de los controladores de dominio (DC) de Active Directory. Estos datos registrados en los controladores de dominio de Active Directory nativos
- Requieren conocimientos especializados para su comprensión, ya que se deben entender los números de eventos específicos y su correlación con una acción de inicio de sesión.
- Es enorme en volumen: cada actividad de inicio de sesión en / por cualquier objeto de Active Directory se registra continuamente en el controlador de dominio y estos datos de logs de eventos se acumulan en gran volumen.
- Tienen acceso restringido: el controlador de dominio es un componente crítico de la infraestructura de Active Directory y el acceso está limitado a determinados usuarios administrativos.
Otras limitaciones de Active Directory nativo incluyen la incapacidad de los usuarios que no son administradores (como auditores, gestores y personal de recursos humanos) para supervisar cualquier acción de inicio de sesión deseada. Algunos eventos de inicio de sesión críticos, como el inicio de sesión en un controlador de dominio o servidor miembro, requieren alertas inmediatas o un monitoreo continuo. Esta información crítica, aunque se registra, no tiene una diferenciación o agrupación clara frente a un log de eventos normal y tiene una mayor posibilidad de quedar rezagada.
Supervise las actividades de inicio y cierre de sesión de los usuarios en tiempo real con ADAudit Plus
¡Gracias!
¡Tu descarga está en progreso y se completará en solo unos segundos!
Si tiene algún problema, descargue manualmente aquí
Solución de auditoría del inicio de sesión en Active Directory en tiempo real
Supervisar la actividad de inicio de sesión de las cuentas, un sistema a la vez, en toda una red de Active Directory es casi imposible. Los informes de auditoría del inicio de sesión del usuario en tiempo real de ADAudit Plus muestran las acciones de inicio de sesión del usuario en un único informe. Esto se puede ver desde una consola web central en poco tiempo. La información de inicio de sesión es muy importante para entender / identificar la autenticidad del inicio de sesión de los objetos de usuario en el dominio.
ADAudit Plus proporciona informes de inicio de sesión del usuario sobre fallos de inicio de sesión, actividad de inicio de sesión del controlador de dominio, actividad de inicio de sesión del Member Server, actividad de inicio de sesión de las estaciones de trabajo, actividad de inicio de sesión del usuario, actividad reciente de inicio de sesión del usuario y último inicio de sesión en estaciones de trabajo. Además, la solución de auditoría del inicio de sesión actúa como una herramienta indispensable para facilitar la auditoría de eventos de inicio de sesión específicos, la actividad de inicio de sesión actual y pasada y enumera todos los cambios relacionados con el inicio de sesión. Esto lo hace a través de una interfaz web fácil de comprender y muestra información estadística a través de tablas, gráficos y una vista de lista de informes preconfigurados e informes personalizados.
Informes de auditoría de ADAudit Plus sobre el inicio de sesión del usuario
Informes de fallos de inicio de sesión
Proporcionan información sobre los fallos de inicio de sesión y su motivo durante un periodo de tiempo específico. Se informa de los múltiples intentos fallidos de inicio de sesión en las cuentas de usuario en el periodo de tiempo seleccionado. Esto brinda a los administradores información sobre posibles ataques a cuentas "susceptibles de ataques de intrusos". En ellos se incluyen datos sobre cuándo se ha producido el fallo, la cuenta que ha fallado y las posibles razones del mismo.
Las razones del fallo de inicio de sesión pueden ser críticas, como un nombre de usuario incorrecto o una contraseña incorrecta, que son susceptibles de sufrir ataques. Los motivos que requieren la atención del administrador son "La contraseña ha caducado", "Cuenta desactivada/caducada/bloqueada" o "El administrador debe restablecer la contraseña de la cuenta". También se notifican otros motivos como "Restricción de tiempo en la estación de trabajo/la conexión", "La cuenta del nuevo equipo aún no se ha replicado" o "El equipo tiene una versión anterior a W2K" y "La hora de la estación de trabajo no está sincronizada con la hora de los controladores de dominio".
Una representación gráfica del número de fallos de inicio de sesión en relación con el motivo del fallo ayuda a los administradores a tomar decisiones rápidas y a administrar de manera eficiente.
Actividad de inicio de sesión en los controladores de dominio
Los controladores de dominio son los componentes críticos centrales en Active Directory desde donde se efectúan los cambios de AD. El inicio de sesión en el controlador de dominio está restringido a los usuarios privilegiados o administradores y la información completa sobre los intentos de inicio de sesión realizados por otros usuarios da a los administradores los datos necesarios para tomar medidas correctivas informadas. ADAudit Plus ayuda a proporcionar información sobre todos los usuarios que han iniciado sesión en cualquier controlador de dominio. Se proporcionan detalles como la hora de inicio de sesión, desde dónde inició sesión un usuario (nombre de equipo), el resultado exitoso o fallido del intento de inicio de sesión y el motivo del error, si lo hubiera.
Actividad de inicio de sesión en Member Servers y Workstations
Esta actividad proporciona información sobre el inicio de sesión de los usuarios en los Member Servers y Workstations seleccionados respectivamente. Ambos informes funcionan de forma similar al "Informe de actividad de inicio de sesión en controladores de dominio", lo que facilita el manejo y la comprensión del software.
Actividad de inicio de sesión
El informe de inicio de sesión del usuario proporciona datos de auditoría sobre el historial completo de inicio de sesión en los "Servers" o "Workstations" a los que ha accedido un usuario de dominio específico. El historial de inicio de sesión de objetos de usuario es muy importante para comprender el patrón de inicio de sesión de un usuario determinado y, en otros casos, para proporcionar una prueba registrada a los auditores / gestores de cualquier usuario.
Actividad reciente de inicio de sesión del usuario
Los administradores de sistemas tienen dudas o están preocupados por las irregularidades en el uso de la red por parte de los usuarios. Los intentos fallidos de inicio de sesión son un indicador o una medida para detectar una irregularidad. El informe de "Actividad reciente de inicio de sesión del usuario" de ADAudit Plus enumera todas las actividades de inicio de sesión exitosas y fallidas de los usuarios durante cualquier período de tiempo seleccionado. Además, también se proporciona el motivo del inicio de sesión fallido como una observación para tomar medidas correctivas.
En este informe se puede ver la lista de usuarios que han iniciado sesión con éxito en la red en un día determinado, cualquier fecha seleccionada o durante un período específico.
Último inicio de sesión en la estación de trabajo
Este informe muestra detalles sobre la hora del último inicio de sesión en una estación de trabajo o quipo por parte de todos los usuarios que han logrado iniciar sesión en un día. Puede utilizarse para determinar la ausencia o el estado de disponibilidad actual de los usuarios de la organización.
Monitorear el inicio de sesión RADIUS en los equipos
Audite el acceso a la red del servicio de usuario de marcado por autenticación remota (RADIUS) por cada usuario que inicie sesión en un equipo remoto. Con los informes sobre usuarios remotos como los inicios de sesión fallidos RADIUS (NPS) y el historial de inicio de sesión RADIUS (NPS), monitoree toda la autenticación RADIUS en Active Directory. Tenga en cuenta que actualmente sólo se admiten las actividades de inicio de sesión RADIUS a través de Network Policy Server (Windows Server 2008).