Как проверить успешный вход / выход из системы и неудачные входы в Active Directory

Цель этого поста - определить процесс аудита успешных или неудачных попыток входа и выхода в сеть с использованием политик аудита

Цель этого поста - определить процесс аудита успешных или неудачных попыток входа и выхода в сеть с использованием политик аудита.

«Аудит событий входа в систему» ​​и «Аудит событий входа в учетную запись», предназначенные для мониторинга событий входа в систему / выхода из системы, по умолчанию отключены. Требуется включить эти политики вручную. Прежде чем изучать, как включить эти политики, важно кратко о них узнать.

Политика аудита событий входа в систему определяет аудит каждой попытки пользователя войти в систему или выйти из нее с компьютера. События входа в учетную запись на контроллерах домена создаются для действий учетной записи домена, тогда как эти события на локальных компьютерах создаются для действий учетной записи локального пользователя.

Аудит Политика входа в учетную запись учетной записи определяет аудит каждого события, генерируемого на компьютере, который используется для проверки попыток пользователя войти в систему или выйти из нее с другого компьютера. Такие события входа в систему создаются и хранятся на контроллере домена, когда учетная запись пользователя домена аутентифицируется на этом контроллере домена. Для учетных записей локальных пользователей эти события генерируются и сохраняются на локальном компьютере, когда локальный пользователь проходит проверку подлинности на этом компьютере.

Как включить «Аудит событий входа в систему»

    • Запустите команду gpmc.msc, чтобы открыть консоль управления групповой политикой.

msc, чтобы открыть консоль управления групповой политикой

    • Если вы хотите применить это ко всему домену, щелкните правой кнопкой мыши на объекте домена и выберите Создать объект групповой политики в этом домене, и связать его здесь….

Если вы хотите применить это ко всему домену, щелкните правой кнопкой мыши на объекте домена и выберите Создать объект групповой политики в этом домене, и связать его здесь…

Примечание. Если вы не хотите применять это для всего домена, вы можете выбрать любое подразделение, а не домен.

    • Введите новое имя объекта групповой политики, как показано на рисунке ниже.

Введите новое имя объекта групповой политики, как показано на рисунке ниже

    • Создан новый объект групповой политики «Отчеты о выходе из системы». Щелкните правой кнопкой мыши по этому и выберите опцию Edit

Щелкните правой кнопкой мыши по этому и выберите опцию Edit

    • Откроется новое окно редактора управления групповыми политиками (GPME).
    • Теперь в разделе « Конфигурация компьютера» перейдите в узел «Политики» и разверните его как
      Политики -> Настройки Windows -> Настройки безопасности -> Локальные политики -> Политика аудита
    • На правой панели GPME дважды щелкните «Аудит событий входа в систему» ​​или щелкните правой кнопкой мыши -> Свойства в «Аудит событий входа в систему»
    • Откроется новое окно свойств «Аудит событий входа в систему» . Установите флажки «Успех» и «Сбой» и нажмите «ОК»

Установите флажки «Успех» и «Сбой» и нажмите «ОК»

  • Теперь запустите gpupdate / force, чтобы обновить объект групповой политики.

Теперь мы успешно включили «Аудит событий входа в систему»

Как включить «Аудит событий входа в аккаунт»

    • Запустите команду gpmc.msc, чтобы открыть консоль управления групповой политикой.

msc, чтобы открыть консоль управления групповой политикой

    • Теперь разверните узел «Контроллеры домена», щелкните правой кнопкой мыши «Политика контроллеров домена по умолчанию» и нажмите «Изменить» .

Теперь разверните узел «Контроллеры домена», щелкните правой кнопкой мыши «Политика контроллеров домена по умолчанию» и нажмите «Изменить»

Примечание. Вы также можете создать свой собственный объект групповой политики, как мы это делали для «Аудита событий входа в систему», если вы не хотите редактировать Политику контроллеров домена по умолчанию.

    • Откроется новое окно редактора управления групповыми политиками (GPME).
    • В окнах GPME разверните узел «Конфигурация компьютера», перейдите на узел «Политики» и разверните его как Политики -> Параметры Windows -> Параметры безопасности -> Локальные политики -> Политика аудита.
    • На правой панели GPME дважды щелкните «Аудит событий входа в учетную запись» или щелкните правой кнопкой мыши -> «Свойства» в «Аудит событий входа в учетную запись».
    • Откроется новое окно свойств «Аудит событий входа в учетную запись». Установите флажки «Успех» и «Сбой» и нажмите «ОК»

Установите флажки «Успех» и «Сбой» и нажмите «ОК»

  • Теперь запустите gpupdate / force, чтобы обновить объект групповой политики.

Теперь мы успешно включили «Аудит событий входа в учетную запись»

Идентификаторы событий для «Аудит событий входа в систему» ​​и «Аудит событий входа в учетную запись» приведены ниже.

Идентификаторы событий для «Аудит событий входа в систему» ​​и «Аудит событий входа в учетную запись» приведены ниже

* Операционная система для вышеуказанных идентификаторов - Windows Server 2008 или выше

Проблемы с собственным аудитом

Собственный аудит Active Directory имеет многочисленные недостатки. Для одного события генерируется несколько событий, и очень сложно найти конкретное событие в большом пуле событий. Просмотр событий также занимает много места на диске для хранения событий в течение длительного времени.

LepideAuditor - лучший способ отслеживать вход / выход из системы в Active Directory

Lepide-х Аудит Active Directory Решение преодолевает ограничения встроенного аудита и предоставляет самый простой способ отслеживать все действия входа / выхода пользователей Active Directory. Lepide-х   Аудит Active Directory   Решение преодолевает ограничения встроенного аудита и предоставляет самый простой способ отслеживать все действия входа / выхода пользователей Active Directory Рисунок 1: Отчет об успешном входе пользователя в систему

Рисунок 2: Отчет о неудачной регистрации Рисунок 2: Отчет о неудачной регистрации

LepideAuditor for Active Directory очень легко установить и настроить для аудита Active Directory и групповой политики вашего домена. Вы можете скачать бесплатную пробную версию и проверить свои собственные.

Вы должны проверить эти идентификаторы событий в журналах безопасности, чтобы отслеживать успешный вход / выход из системы и неудачные попытки входа. Все вышеупомянутые процедуры проверки успешного и неудачного входа / выхода из системы в Active Directory могут быть упрощены с помощью LepideAuditor для Active Directory , Благодаря этому вы можете упростить весь процесс аудита и, таким образом, поддерживать защищенную среду AD.