Znajdowanie źródła nieudanych prób logowania

Zdarzenia logowania są jednymi z podstawowych zdarzeń, które należy monitorować w usłudze Active Directory. Powód jest oczywisty. Zdarzenia logowania pomagają wykrywać zagrożenia bezpieczeństwa na wiele sposobów. Przykładowo pracownik, który loguje się ze swojej stacji roboczej długo po godzinach pracy, może stanowić potencjalne zagrożenie wewnętrzne.

Nawet nieudane logowanie może oznaczać zagrożenie bezpieczeństwa. Użytkownik, któremu nie udało się zalogować, mógł po prostu zapomnieć hasła, ale może to być również ktoś, kto próbuje włamać się na legalne konto użytkownika. W takich przypadkach ważne jest prześledzenie źródła próby logowania. Można to zrobić w natywnej usłudze AD za pomocą zasad inspekcji, jednak ADAudit Plus jest prostszym rozwiązaniem. ADAudit Plus — narzędzie do raportowania i inspekcji usługi Active Directory — zawiera ponad 200 wstępnie przygotowanych raportów inspekcji, a jeden z nich dotyczy zdarzeń nieudanych prób logowania. Wystarczy kilka kliknięć, aby uzyskać szczegółowe raporty dotyczące wszystkich ważnych zdarzeń związanych z usługą Active Directory.

Oto porównanie procedur znajdowania źródła nieudanych prób logowania w natywnej usłudze AD i za pomocą programu ADAudit Plus.

Pobierz BEZPŁATNIE Bezpłatny 30-dniowy okres próbny z pełną funkcjonalnością
  • Metoda inspekcji natywnej usługi AD

  • Metoda z użyciem ADAudit Plus

Oto jak ADAudit Plus może pomóc w znalezieniu źródła nieudanych prób logowania

  • Krok 1: Włącz „Zasady inspekcji logowania” w usłudze Active Directory.
  • Krok 2: Uruchom ADAudit Plus
  • Znajdź kartę Raporty i przejdź do obszaru Raporty o logowaniu użytkowników, a następnie kliknij pozycję Niepowodzenia logowania.

    Spowoduje to wygenerowanie szczegółowego raportu zawierającego adres IP, czas logowania, kontroler domeny i przyczynę nieudanego logowania. Ten raport pomoże administratorowi zdecydować, czy nieudane logowanie należy uznać za zagrożenie bezpieczeństwa.

Oto jak można znaleźć źródło nieudanych prób logowania w natywnej usłudze AD.

  • Krok 1: Włącz zasady „Inspekcja zdarzeń logowania”
  • Otwórz „Menedżera serwerów” na serwerze Windows

  • W obszarze „Zarządzanie” wybierz „Zarządzanie zasadami grupy”, aby wyświetlić kosolę

  • Wybierz odpowiedni las, a następnie odpowiednią domenę

  • Utwórz nowy lub edytuj istniejący obiekt zasad grupy.

  • W edytorze zasad grupy przejdź do obszaru Konfiguracja komputera > Ustawienia systemu Windows > Ustawienia zabezpieczeń > Zasady lokalne > Zasady inspekcji.

  • W zasadach inspekcji wybierz „Inspekcja zdarzeń logowania” i włącz je w odniesieniu do zdarzenia „niepowodzenie”.

  • Krok 2: Znajdź źródło zdarzeń nieudanych prób logowania w podglądzie zdarzeń

    Podgląd zdarzeń będzie teraz rejestrował zdarzenie za każdym razem, gdy nastąpi nieudana próba logowania w domenie. Poszukaj zdarzenia o identyfikatorze 4625, które jest wyzwalane po zarejestrowaniu nieudanego logowania.

    Otwórz Podgląd zdarzeń w usłudze Active Directory i przejdź do obszaru Dzienniki systemu Windows > Zabezpieczenia. W okienku na środku jest lista wszystkich zdarzeń, które zostały skonfigurowane do inspekcji. Będzie trzeba przejrzeć zarejestrowane zdarzenia w poszukiwaniu nieudanych prób logowania. Po ich znalezieniu można kliknąć prawym przyciskiem myszy zdarzenie i wybrać Właściwości zdarzenia, aby uzyskać więcej szczegółów. W otwartym oknie można znaleźć adres IP urządzenia, z którego próbowano się zalogować.

Natywna inspekcja robi się zbyt skomplikowana?

Uprość raportowanie i inspekcję usługi Active Directory dzięki ADAudit Plus.

Pobierz BEZPŁATNIE Bezpłatny 30-dniowy okres próbny z pełną funkcjonalnością

  • Metoda inspekcji natywnej usługi AD

  • Metoda z użyciem ADAudit Plus

Oto jak ADAudit Plus może pomóc w znalezieniu źródła nieudanych prób logowania

  • Krok 1: Włącz „Zasady inspekcji logowania” w usłudze Active Directory.
  • Krok 2: Uruchom ADAudit Plus
  • Znajdź kartę Raporty i przejdź do obszaru Raporty o logowaniu użytkowników, a następnie kliknij pozycję Niepowodzenia logowania.

    Spowoduje to wygenerowanie szczegółowego raportu zawierającego adres IP, czas logowania, kontroler domeny i przyczynę nieudanego logowania. Ten raport pomoże administratorowi zdecydować, czy nieudane logowanie należy uznać za zagrożenie bezpieczeństwa.

Oto jak można znaleźć źródło nieudanych prób logowania w natywnej usłudze AD.

  • Krok 1: Włącz zasady „Inspekcja zdarzeń logowania”
  • Otwórz „Menedżera serwerów” na serwerze Windows

  • W obszarze „Zarządzanie” wybierz „Zarządzanie zasadami grupy”, aby wyświetlić kosolę

  • Wybierz odpowiedni las, a następnie odpowiednią domenę

  • Utwórz nowy lub edytuj istniejący obiekt zasad grupy.

  • W edytorze zasad grupy przejdź do obszaru Konfiguracja komputera > Ustawienia systemu Windows > Ustawienia zabezpieczeń > Zasady lokalne > Zasady inspekcji.

  • W zasadach inspekcji wybierz „Inspekcja zdarzeń logowania” i włącz je w odniesieniu do zdarzenia „niepowodzenie”.

  • Krok 2: Znajdź źródło zdarzeń nieudanych prób logowania w podglądzie zdarzeń

    Podgląd zdarzeń będzie teraz rejestrował zdarzenie za każdym razem, gdy nastąpi nieudana próba logowania w domenie. Poszukaj zdarzenia o identyfikatorze 4625, które jest wyzwalane po zarejestrowaniu nieudanego logowania.

    Otwórz Podgląd zdarzeń w usłudze Active Directory i przejdź do obszaru Dzienniki systemu Windows > Zabezpieczenia. W okienku na środku jest lista wszystkich zdarzeń, które zostały skonfigurowane do inspekcji. Będzie trzeba przejrzeć zarejestrowane zdarzenia w poszukiwaniu nieudanych prób logowania. Po ich znalezieniu można kliknąć prawym przyciskiem myszy zdarzenie i wybrać Właściwości zdarzenia, aby uzyskać więcej szczegółów. W otwartym oknie można znaleźć adres IP urządzenia, z którego próbowano się zalogować.

Natywna inspekcja robi się zbyt skomplikowana?

Uprość raportowanie i inspekcję usługi Active Directory dzięki ADAudit Plus.

Pobierz BEZPŁATNIE Bezpłatny 30-dniowy okres próbny z pełną funkcjonalnością

Poproś o wsparcie

Thanks

One of our solution experts will get in touch with you shortly.

    Proszę wprowadzić prawidłowy adres e-mail
  • Przez kliknięcie „Prześlij” zgadzasz się na przetwarzania danych osobowych zgodnie z naszą polityką prywatności.

Rozwiązanie do przeprowadzania audytu zmian i raportowania Active Directory w czasie rzeczywistym.

Rozpocznij darmowy okres próbny

Zoho Corporation Pvt. Ltd. Wszelkie prawa zastrzeżone.