ManageEngine ADAudit Plus 是一款实时变更审计和报表软件,可强化您的Active Directory (AD) 安全基础架构。它拥有超过250个内置报表,可让您详细了解AD中发生的情况,例如对对象及其属性所做的所有更改。这可以包括对用户、计算机、组、网络共享等的更改。ADAudit Plus 通过监控域中的特权用户活动、跟踪工作站上的登录和注销以及提供对AD帐户锁定的可见性来实现这一点。
ADAudit Plus
用户登录报表类别具有16个预配置报表,通过与用户登录、登录失败、用户登录多台计算机等相关的审核信息提供详细信息。
在本系列的这篇文章中,我们将讨论用户登录类别中的第一个报表,即登录失败报表。
任何IT管理员都必须审核AD中的登录事件,因为失败的登录尝试可能表明域内存在潜在威胁。看起来很简单的登录失败可能由以下原因引起:
- 真正忘记登录账户与密码的员工
- 攻击者试图通过被盗用的用户帐户暴力破解网络
监视AD域中的失败登录至关重要。
让我们来认识一下小邓,他是一位IT管理员,他想要跟踪所有登录尝试失败的用户,并找出这些事件背后的来源和详细信息。
问题:如何对登录失败事件进行实时跟踪、查找其来源并查看关键详细信息
解决方案: ADAudit Plus 帮助小邓提供有关所有失败登录的用户详情报表,其中包含他们尝试登录的人员和位置、登录失败的原因、尝试登录的时间等信息。
登录报表
该报告还为小邓提供:
- 登录失败的帐户的用户名。
- 用户的 IP 地址。
- 发生故障的计算机。
- 登录失败的原因,例如密码错误。
- 登录失败发生的时间。
提供有关故障的详细信息。例如,有关“错误密码”的具体细节,例如:Kerberos预认证失败。
此外,小邓可以对生成的报表执行以下操作:
1. 选择导出为以任何首选格式(CSV、PDF、HTML 和 XLS)生成报告。
2. 安排这些报告在自动定期报告的首选时间运行,并将其发送到他的电子邮件地址。
3. 使用报告中可用的添加和删除列链接来选择其他属性。
4. 通过选择多个域生成报表。
登录失败报表可以根据三个类别进一步分类:
a) 基于用户的登录失败
登录失败事件
此报表根据用户提取所有登录失败事件。您可以单击与单个用户关联的“计数”,并进一步深入了解与其登录失败事件相关的详细信息,例如用户名、客户端 IP 地址、客户端主机名、域控制器和登录时间。
b) 由于密码错误导致的失败
密码错误
在此报告中,单击计数后,报告将提取所有失败原因为Bad Password的登录失败事件,以及其他属性,如用户名、客户端 IP 地址、客户端主机名、域控制器和登录时间。
c) 用户名错误导致的失败
用户名错误
在此报告中,单击计数后,报告将提取失败原因为错误用户名的所有登录失败事件 以及其他属性,例如用户名、客户端 IP 地址、客户端主机名、域控制器和登录时间。