使用者登入到其域計算機是在任何企業都會發生的日常活動。一開始,這看起來可能是一個簡單的Active Directory事件,但配置設定有不同角色的管理者可将這個寶貴的資料用于各種稽核、合規和操作需求。企業需要有關“AD使用者登入日志”的稽核詳情以滿足以下一個或多個操作需求。
- 驗證給定稽核間隔/每個月的員工缺勤/出勤。
- 确定在給定時刻可以通路Active Directory網絡的使用者總數。
- 找到通過遠端網絡計算機通路工作站或域控制器的使用者。
- 确定域中所有使用者的峰值登入次數。
- 檢視是誰最後登入到關鍵域計算機。
确定是否有任何使用者(不法之徒)正嘗試登入到他/她并不具備權限的計算機。(例如:Active Directory中的域控制器登入/成員伺服器登入将需要提升權限。)
檢視域中任何使用者的完整登入曆史,即當您懷疑可疑的員工以及計算機、組和員工在任職期間管理、通路或修改的其他使用者帳戶等Active Directory域對象時要有證據。
除了列出來的這些項,Active Directory網絡中還有更多實際需求需要有關域帳戶登入的稽核資訊。ADAudit Plus帳戶登入報表可友善地用于克服帳戶登入稽核挑戰。它提供許多實時的預配置報表,這些報表以所需的格式提供有關登入稽核問題的答案并增強Active Directory稽核體驗。自定義報表工具讓該軟體更受歡迎,例如,可以定義任何登入操作并作為報表來檢視。
使用者登入日志
為什麼本機Active Directory被認為不足以進行使用者登入稽核?
每個‘AD登入日志’都會連續記錄在Active Directory域控制器(DC)的安全日志中。此資料記錄在本機Active Directory域控制器中
- 需要具備專門知識才能了解,因為它涉及對特定事件編号的了解及其與登入操作的關聯。
- 數量龐大 - Active Directory對象上的每個登入活動連續記錄在域控制器中,此事件日志資料累積為巨量的資料。
- 限制通路 - 域控制器是Active Directory基礎設施的關鍵元件,僅限所選的管理使用者通路。
本機Active Directory的其他限制包括:稽核員、經理和人力資源職員等非管理使用者無法跟蹤任何所需的登入操作。有些關鍵登入事件(例如,登入到域控制器或成員伺服器)需要立即發出即時告警或持續監控。雖然此關鍵資訊已記錄,但未與普通事件日志區分開來或分組,有較大的可能會被忽視。
Active Directory
實時Active Directory登入稽核解決方案
為整個Active Directory網絡跟蹤帳戶登入活動(一次為一個系統跟蹤)幾乎是不可能的。ADAudit Plus的實時使用者登入稽核報表在單個報表中列出所有使用者登入操作。然後隻需花一點時間即可從一個中央Web控制台檢視。登入資訊對于了解/确定域中使用者對象的登入真實性非常重要。
ADAudit Plus提供有關登入失敗、域控制器登入活動、成員伺服器登入活動、工作站登入活動、使用者登入活動、最近使用者登入活動以及最後一次登入工作站等方面情況的使用者登入報表。此外,該登入稽核解決方案也是一個不可或缺的工具,使得特定登入事件、目前和過去登入活動的稽核變得容易,并可列出所有與登入相關的變化。它通過易于了解的Web界面來實作,并通過圖表、圖形以及内置自定義報表的清單視圖來顯示統計資訊。
登入活動
ADAudit Plus有關使用者登入的稽核報表
- 登入失敗報表
- 域控制器上的登入活動
- 成員伺服器上的登入活動
- 工作站上的登入活動
- 使用者登入活動
- 最近使用者登入活動
- 最後一次登入工作站
- 計算機上的RADIUS登入
ADAudit Plus
登入失敗報表
登入失敗報表提供有關所選時期内的登入失敗的資訊以及登入失敗原因。報表所選時期内使用者帳戶的多次登入失敗嘗試。這樣就可讓管理者了解"易受入侵者攻擊"帳戶的資訊和可能發生的攻擊。報表有關登入失敗的資訊(例如,何時發生登入失敗、登入失敗的帳戶以及可能的失敗原因)。
登入失敗原因很重要,例如,容易受到攻擊的不安全使用者名和不安全密碼。需要管理者關注的原因包括:"密碼已過期"、"帳戶被禁用/已過期/已鎖定"或"管理者應重置帳戶密碼"。還會報表其他原因,例如:"工作站/登入時間限制"、"新計算機帳戶還未複制"或"計算機是pre-w2k"以及"工作站中的時間未與域控制器中的時間同步"。
登入失敗次數和失敗原因的圖示可幫助管理者迅速做出決定和有效管理。
登入失敗報表
域控制器上的登入活動
域控制器是Active Directory中的關鍵中心元件,AD更改在其中生效。域控制器登入僅限于有權限或管理者使用者,有關其他使用者登入嘗試的完整資訊可幫助管理者采取明智的糾正措施。ADAudit Plus幫助提供有關已登入到任何標明域控制器的所有使用者的資訊。報表登入時間、使用者從哪裡登入(裝置名稱)、登入嘗試是成功還是失敗以及失敗原因(如有)等詳情。
AD域使用者登入資訊
成員伺服器和工作站上的登入活動
成員伺服器和工作站上的使用者登入活動成員伺服器和工作站上的登入活動報表提供有關分别登入到所選成員伺服器或工作站的使用者的資訊。這兩個報表功能類似于"域控制器上的登入活動報表",讓使用者更容易使用和了解軟體。
使用者登入活動
使用者登入報表提供有關所選域使用者通路"伺服器"或"工作站"的完整登入曆史的稽核資訊。使用者對象登入曆史對于了解所選使用者的登入模式非常重要,它還可為稽核員/經理提供有關任何使用者的記錄證明。
最近使用者登入活動
系統管理者懷疑/擔心使用者違規使用網絡。失敗的登入嘗試是發現違規行為的一個名額或一種度量方法。ADAudit Plus的"最近使用者登入活動"報表列出在任何標明時期内使用者的所有成功和失敗登入活動。此外,還會将失敗登入的原因作為備注列出,以便采取糾正措施。
可從這個報表中檢視某一天、任何標明日期或所選期間成功登入網絡的使用者清單。
最後一次登入工作站