Znajdowanie źródła nieudanych prób logowania

Inspekcja zdarzeń logowania w usłudze Active Directory (AD) jest obowiązkowym zadaniem. Powód jest oczywisty. Każda anomalia w raporcie inspekcji pomoże nam wykryć zagrożenia bezpieczeństwa na wiele sposobów. Zablokowanie konta pracownika po wielu niepowodzeniach logowania stanowi zagrożenie dla bezpieczeństwa danych firmy.

Nieudana próba logowania może zostać oznaczona jako jedno z największych zagrożeń bezpieczeństwa. Niepowodzenie logowania może być spowodowane po prostu przez pracownika, który zapomniał poświadczeń. W skrajnym scenariuszu może to być haker próbujący wejść do sieci przez legalne konto pracownika.

Dlatego ważne jest, aby przez cały czas śledzić nieudane próby logowania. Można to zrobić w usłudze AD za pomocą zasad inspekcji, jednak ADAudit Plus jest prostszym rozwiązaniem. ADAudit Plus — narzędzie do raportowania i inspekcji usługi Active Directory — zawiera ponad 200 wstępnie przygotowanych raportów inspekcji, a jeden z nich dotyczy zdarzeń nieudanych prób logowania. Wystarczy kilka kliknięć, aby uzyskać szczegółowe raporty dotyczące wszystkich ważnych zdarzeń związanych z usługą Active Directory.

Oto porównanie procedur znajdowania nieudanych prób logowania w natywnej usłudze AD i za pomocą programu ADAudit Plus.

Pobierz BEZPŁATNIE Bezpłatny 30-dniowy okres próbny z pełną funkcjonalnością

  • Metoda inspekcji natywnej usługi AD

  • Metoda z użyciem ADAudit Plus

ADAudit Plus to internetowe oprogramowanie do raportowania zmian w usłudze Windows Active Directory w czasie rzeczywistym umożliwiające przeprowadzanie inspekcji, śledzenie i tworzenie raportów dotyczących systemu Windows (Active Directory, logowanie/wylogowanie stacji roboczych, serwery plików i serwery), użytkowników archiwizujących NetApp i serwerów EMC, aby pomóc zaspokoić najważniejsze potrzeby w zakresie zabezpieczeń, inspekcji i zgodności. Śledź autoryzowane/nieautoryzowane zmiany w ramach zarządzania usługą AD, dostęp użytkowników, obiekty zasad grupy, grupy, komputery i jednostki organizacyjne. Śledź także każdą modyfikację plików i folderów oraz zmiany dostępu i uprawnień za pomocą ponad 200 szczegółowych raportów specyficznych dla danego zdarzenia i natychmiastowych alertów e-mail. Te raporty można eksportować do formatów XLS, HTML, PDF i CSV, co pomoże w ich interpretacji i informatyce śledczej.

ADAudit Plus pozwala administratorom zobaczyć wszystkie nieudane próby logowania z informacjami o tym, kto próbował się zalogować, na jaki komputer próbowano się zalogować, kiedy miało to miejsce i jaka była przyczyna niepowodzenia logowania.

  • Zaloguj się do programu ADAudit Plus ➔ Przejdź do karty Raporty ➔ Przejdź do obszaru Raporty o logowaniach użytkowników ➔ Przejdź do opcji Niepowodzenia logowania.

  • Wybierz domenę.

  • Wybierz opcję Eksportuj jako, aby wyeksportować raport w dowolnym z preferowanych formatów (CSV, PDF, HTML, CSVDE i XLSX).

  • Ten raport zawiera następujące informacje:

    1. Nazwa użytkownika konta, na które nie udało się zalogować

    2. Adres IP użytkownika

    3. Czas niepowodzenia logowania

    4. Komputer lub serwer, na którym logowanie się nie powiodło

    5. Przyczyna niepowodzenia logowania

Oto jak można śledzić nieudane próby logowania w ramach inspekcji natywnej.

  • Krok 1: Włącz inspekcję niepowodzeń logowania

  • Zaloguj się do kontrolera domeny z uprawnieniami administracyjnymi i uruchom Konsolę zarządzania zasadami grupy.

  • Kliknij prawym przyciskiem myszy odpowiedni Obiekt zasad grupy połączony z kontenerem kontrolerów domeny i wybierz Edytuj.

  • Rozwiń pozycję Konfiguracja komputera → Ustawienia systemu Windows → Ustawienia zabezpieczeń → Zasady lokalne → węzeł Zasady inspekcji.

  • Skonfiguruj zasady inspekcji w następujący sposób:

    1. Zarządzanie kontem: Powodzenie

    2. Inspekcja zdarzeń logowania na konto: Niepowodzenie

    3. Inspekcja zdarzeń logowania: Niepowodzenie

  • Krok 2: Przejrzyj zdarzenia w Podglądzie zdarzeń systemu Windows

    Po włączeniu inspekcji można przejrzeć dzienniki i zbadać zdarzenia, korzystając z Podglądu zdarzeń. Wykonaj następujące czynności:

  • Otwórz Podgląd zdarzeń

  • Rozwiń Dzienniki systemu Windows > Zabezpieczenia

  • Utwórz widok niestandardowy dla identyfikatora zdarzenia 4625. Ten identyfikator oznacza niepowodzenie logowania.

  • Kliknij dwukrotnie zdarzenie. Możesz wyświetlić szczegółowe informacje o aktywności, takie jak nazwa konta, data i godzina niepowodzenia logowania.

  • Metoda inspekcji natywnej usługi AD

  • Metoda z użyciem ADAudit Plus

ADAudit Plus to internetowe oprogramowanie do raportowania zmian w usłudze Windows Active Directory w czasie rzeczywistym umożliwiające przeprowadzanie inspekcji, śledzenie i tworzenie raportów dotyczących systemu Windows (Active Directory, logowanie/wylogowanie stacji roboczych, serwery plików i serwery), użytkowników archiwizujących NetApp i serwerów EMC, aby pomóc zaspokoić najważniejsze potrzeby w zakresie zabezpieczeń, inspekcji i zgodności. Śledź autoryzowane/nieautoryzowane zmiany w ramach zarządzania usługą AD, dostęp użytkowników, obiekty zasad grupy, grupy, komputery i jednostki organizacyjne. Śledź także każdą modyfikację plików i folderów oraz zmiany dostępu i uprawnień za pomocą ponad 200 szczegółowych raportów specyficznych dla danego zdarzenia i natychmiastowych alertów e-mail. Te raporty można eksportować do formatów XLS, HTML, PDF i CSV, co pomoże w ich interpretacji i informatyce śledczej.

ADAudit Plus pozwala administratorom zobaczyć wszystkie nieudane próby logowania z informacjami o tym, kto próbował się zalogować, na jaki komputer próbowano się zalogować, kiedy miało to miejsce i jaka była przyczyna niepowodzenia logowania.

  • Zaloguj się do programu ADAudit Plus ➔ Przejdź do karty Raporty ➔ Przejdź do obszaru Raporty o logowaniach użytkowników ➔ Przejdź do opcji Niepowodzenia logowania.

  • Wybierz domenę.

  • Wybierz opcję Eksportuj jako, aby wyeksportować raport w dowolnym z preferowanych formatów (CSV, PDF, HTML, CSVDE i XLSX).

  • Ten raport zawiera następujące informacje:

    1. Nazwa użytkownika konta, na które nie udało się zalogować

    2. Adres IP użytkownika

    3. Czas niepowodzenia logowania

    4. Komputer lub serwer, na którym logowanie się nie powiodło

    5. Przyczyna niepowodzenia logowania

Oto jak można śledzić nieudane próby logowania w ramach inspekcji natywnej.

  • Krok 1: Włącz inspekcję niepowodzeń logowania

  • Zaloguj się do kontrolera domeny z uprawnieniami administracyjnymi i uruchom Konsolę zarządzania zasadami grupy.

  • Kliknij prawym przyciskiem myszy odpowiedni Obiekt zasad grupy połączony z kontenerem kontrolerów domeny i wybierz Edytuj.

  • Rozwiń pozycję Konfiguracja komputera → Ustawienia systemu Windows → Ustawienia zabezpieczeń → Zasady lokalne → węzeł Zasady inspekcji.

  • Skonfiguruj zasady inspekcji w następujący sposób:

    1. Zarządzanie kontem: Powodzenie

    2. Inspekcja zdarzeń logowania na konto: Niepowodzenie

    3. Inspekcja zdarzeń logowania: Niepowodzenie

  • Krok 2: Przejrzyj zdarzenia w Podglądzie zdarzeń systemu Windows

    Po włączeniu inspekcji można przejrzeć dzienniki i zbadać zdarzenia, korzystając z Podglądu zdarzeń. Wykonaj następujące czynności:

  • Otwórz Podgląd zdarzeń

  • Rozwiń Dzienniki systemu Windows > Zabezpieczenia

  • Utwórz widok niestandardowy dla identyfikatora zdarzenia 4625. Ten identyfikator oznacza niepowodzenie logowania.

  • Kliknij dwukrotnie zdarzenie. Możesz wyświetlić szczegółowe informacje o aktywności, takie jak nazwa konta, data i godzina niepowodzenia logowania.

Poproś o wsparcie

Thanks

One of our solution experts will get in touch with you shortly.

    Proszę wprowadzić prawidłowy adres e-mail
  • Przez kliknięcie „Prześlij” zgadzasz się na przetwarzania danych osobowych zgodnie z naszą polityką prywatności.

Rozwiązanie do przeprowadzania audytu zmian i raportowania Active Directory w czasie rzeczywistym.

Rozpocznij darmowy okres próbny

Zoho Corporation Pvt. Ltd. Wszelkie prawa zastrzeżone.