ManageEngine ADAudit Plus是一款實時變更審計和報告軟體,可增強您的Active Directory(AD)安全基礎架構。借助 250 多個内置報告,它提供了有關 AD 中發生的情況的精細見解,例如對對象及其屬性所做的所有更改,可能包括對使用者、計算機、組、網絡共享等的更改。ADAudit Plus 通過監視域中的特權使用者活動、跟蹤工作站上的登入和登出以及提供對 AD 帳戶鎖定的可見性來實作此目的。
接下來,我們了解一下ADAudit Plus提供的衆多報告中的“使用者登入報告”。這個類别具有 16 個預配置的報告,這些報告通過與使用者登入、登入失敗、使用者登入到多台計算機等相關的稽核資訊提供精細的詳細資訊。
在本文中,我們将讨論“使用者登入”類别中的第一個報告,即“登入失敗”報告。
對于 IT 管理者來說,稽核 AD 中的登入事件至關重要,因為登入嘗試失敗可能表示存在潛在威脅。看似簡單的登入失敗可能是由以下任一原因導緻的:
· 真正忘記登入憑證的員工
· 攻擊者試圖通過合法但遭到入侵的使用者帳戶暴力破解網絡
為了防止攻擊者的非法入侵,監視 AD 中失敗的登入嘗試至關重要。
James是一名 IT 管理者,他希望跟蹤登入嘗試失敗的所有使用者,并找出這些事件背後的來源和詳細資訊。
問題:如何跟蹤失敗的登入嘗試、查找其來源以及檢視關鍵詳細資訊
解決方案:ADAudit Plus 幫助 James 提取有關所有失敗登入嘗試的報告,其中包含他們嘗試登入的人員及其位置、登入失敗的原因、嘗試登入的時間等資訊。如下圖所示:
該報告還為James提供了:
1. 登入失敗的帳戶的使用者名。
2. 使用者的 IP 位址。
3. 發生故障的計算機。
4. 登入失敗的原因,例如密碼錯誤。
5. 登入失敗發生的時間。
6. 提供有關故障的詳細資訊的消息。例如,有關“錯誤密碼”的特定詳細資訊,例如 Kerberos 預身份驗證失敗。
此外,James 可以對生成的報告執行以下操作:
1. 選擇“導出為”以合适的格式(CSV、PDF、HTML 和 XLS)生成報告。
2. 安排這些報告按照自動定期報告設定的時間運作,并将其發送到他的電子郵件位址。
3. 使用報告中可用的“添加”和“删除”列連結選擇其他屬性。
4. 通過選擇多個域生成報告。
登入失敗報告可以根據三個類别進一步分類:
a)基于使用者的登入失敗
此報告根據使用者提取所有登入失敗事件。您可以單擊與單個使用者關聯的“計數”,并進一步深入了解與其登入失敗事件相關聯的詳細資訊,例如使用者名、用戶端 IP 位址、用戶端主機名、域控制器和登入時間。
b) 由于密碼錯誤而導緻的失敗
在此報告中,單擊“計數”後,報告将提取失敗原因為“密碼錯誤”的所有登入失敗事件,以及其他屬性,如使用者名、用戶端 IP 位址、用戶端主機名、域控制器和登入時間。
c) 由于使用者名錯誤而導緻的故障
在此報告中,單擊“計數”時,報告将提取失敗原因為“使用者名錯誤”的所有登入失敗事件以及其他屬性,如使用者名、用戶端 IP 位址、用戶端主機名、域控制器和登入時間。
想要了解 ManageEngine ADAudit Plus 如何幫助您監控和保護AD域環境嗎?詳情可移步至卓豪官網觀看産品工程師的個性化示範。