ManageEngine ADAudit Plus 是一款實時變更審計和報表軟體,可強化您的Active Directory (AD) 安全基礎架構。它擁有超過250個内置報表,可讓您詳細了解AD中發生的情況,例如對對象及其屬性所做的所有更改。這可以包括對使用者、計算機、組、網絡共享等的更改。ADAudit Plus 通過監控域中的特權使用者活動、跟蹤工作站上的登入和登出以及提供對AD帳戶鎖定的可見性來實作這一點。
ADAudit Plus
使用者登入報表類别具有16個預配置報表,通過與使用者登入、登入失敗、使用者登入多台計算機等相關的稽核資訊提供詳細資訊。
在本系列的這篇文章中,我們将讨論使用者登入類别中的第一個報表,即登入失敗報表。
任何IT管理者都必須稽核AD中的登入事件,因為失敗的登入嘗試可能表明域記憶體在潛在威脅。看起來很簡單的登入失敗可能由以下原因引起:
- 真正忘記登入賬戶與密碼的員工
- 攻擊者試圖通過被盜用的使用者帳戶暴力破解網絡
監視AD域中的失敗登入至關重要。
讓我們來認識一下小鄧,他是一位IT管理者,他想要跟蹤所有登入嘗試失敗的使用者,并找出這些事件背後的來源和詳細資訊。
問題:如何對登入失敗事件進行實時跟蹤、查找其來源并檢視關鍵詳細資訊
解決方案: ADAudit Plus 幫助小鄧提供有關所有失敗登入的使用者詳情報表,其中包含他們嘗試登入的人員和位置、登入失敗的原因、嘗試登入的時間等資訊。
登入報表
該報告還為小鄧提供:
- 登入失敗的帳戶的使用者名。
- 使用者的 IP 位址。
- 發生故障的計算機。
- 登入失敗的原因,例如密碼錯誤。
- 登入失敗發生的時間。
提供有關故障的詳細資訊。例如,有關“錯誤密碼”的具體細節,例如:Kerberos預認證失敗。
此外,小鄧可以對生成的報表執行以下操作:
1. 選擇導出為以任何首選格式(CSV、PDF、HTML 和 XLS)生成報告。
2. 安排這些報告在自動定期報告的首選時間運作,并将其發送到他的電子郵件位址。
3. 使用報告中可用的添加和删除列連結來選擇其他屬性。
4. 通過選擇多個域生成報表。
登入失敗報表可以根據三個類别進一步分類:
a) 基于使用者的登入失敗
登入失敗事件
此報表根據使用者提取所有登入失敗事件。您可以單擊與單個使用者關聯的“計數”,并進一步深入了解與其登入失敗事件相關的詳細資訊,例如使用者名、用戶端 IP 位址、用戶端主機名、域控制器和登入時間。
b) 由于密碼錯誤導緻的失敗
密碼錯誤
在此報告中,單擊計數後,報告将提取所有失敗原因為Bad Password的登入失敗事件,以及其他屬性,如使用者名、用戶端 IP 位址、用戶端主機名、域控制器和登入時間。
c) 使用者名錯誤導緻的失敗
使用者名錯誤
在此報告中,單擊計數後,報告将提取失敗原因為錯誤使用者名的所有登入失敗事件 以及其他屬性,例如使用者名、用戶端 IP 位址、用戶端主機名、域控制器和登入時間。