ManageEngine ADAudit Plus是一款实时变更审计和报告软件,可增强您的Active Directory(AD)安全基础架构。借助 250 多个内置报告,它提供了有关 AD 中发生的情况的精细见解,例如对对象及其属性所做的所有更改,可能包括对用户、计算机、组、网络共享等的更改。ADAudit Plus 通过监视域中的特权用户活动、跟踪工作站上的登录和注销以及提供对 AD 帐户锁定的可见性来实现此目的。
接下来,我们了解一下ADAudit Plus提供的众多报告中的“用户登录报告”。这个类别具有 16 个预配置的报告,这些报告通过与用户登录、登录失败、用户登录到多台计算机等相关的审核信息提供精细的详细信息。
在本文中,我们将讨论“用户登录”类别中的第一个报告,即“登录失败”报告。
对于 IT 管理员来说,审核 AD 中的登录事件至关重要,因为登录尝试失败可能表示存在潜在威胁。看似简单的登录失败可能是由以下任一原因导致的:
· 真正忘记登录凭证的员工
· 攻击者试图通过合法但遭到入侵的用户帐户暴力破解网络
为了防止攻击者的非法入侵,监视 AD 中失败的登录尝试至关重要。
James是一名 IT 管理员,他希望跟踪登录尝试失败的所有用户,并找出这些事件背后的来源和详细信息。
问题:如何跟踪失败的登录尝试、查找其来源以及查看关键详细信息
解决方案:ADAudit Plus 帮助 James 提取有关所有失败登录尝试的报告,其中包含他们尝试登录的人员及其位置、登录失败的原因、尝试登录的时间等信息。如下图所示:
该报告还为James提供了:
1. 登录失败的帐户的用户名。
2. 用户的 IP 地址。
3. 发生故障的计算机。
4. 登录失败的原因,例如密码错误。
5. 登录失败发生的时间。
6. 提供有关故障的详细信息的消息。例如,有关“错误密码”的特定详细信息,例如 Kerberos 预身份验证失败。
此外,James 可以对生成的报告执行以下操作:
1. 选择“导出为”以合适的格式(CSV、PDF、HTML 和 XLS)生成报告。
2. 安排这些报告按照自动定期报告设定的时间运行,并将其发送到他的电子邮件地址。
3. 使用报告中可用的“添加”和“删除”列链接选择其他属性。
4. 通过选择多个域生成报告。
登录失败报告可以根据三个类别进一步分类:
a)基于用户的登录失败
此报告根据用户提取所有登录失败事件。您可以单击与单个用户关联的“计数”,并进一步深入了解与其登录失败事件相关联的详细信息,例如用户名、客户端 IP 地址、客户端主机名、域控制器和登录时间。
b) 由于密码错误而导致的失败
在此报告中,单击“计数”后,报告将提取失败原因为“密码错误”的所有登录失败事件,以及其他属性,如用户名、客户端 IP 地址、客户端主机名、域控制器和登录时间。
c) 由于用户名错误而导致的故障
在此报告中,单击“计数”时,报告将提取失败原因为“用户名错误”的所有登录失败事件以及其他属性,如用户名、客户端 IP 地址、客户端主机名、域控制器和登录时间。
想要了解 ManageEngine ADAudit Plus 如何帮助您监控和保护AD域环境吗?详情可移步至卓豪官网观看产品工程师的个性化演示。