Audit-Berichte zu Benutzeranmeldungen in Echtzeit
- Anmeldefehler im Active Directory („Log-on Failure Report“)
- Beliebte Angriffsziele von Cyber-Attacken („Intruder Attack Susceptible Report“)
- Anmeldeaktivitäten auf den Domain-Controllern („Logon Activity on Domain Controllers Report”)
- Anmeldeaktivitäten auf Member-Servern und Workstations („Logon Activity on Member Servers and Workstations“)
- Benutzeranmeldeaktivitäten („User Logon Activity“)
- Letzte Anmeldeaktivitäten durch Benutzer („Recent User Logon Activity)
- An mehreren Computern angemeldete Benutzer („Users Logged into Multiple Computers“)
- Letzte Anmeldung bei Workstation („Last Logon on Workstation“)
- RADIUS-Anmeldungen auf Computern überwachen („Remote Authentication Dial-In User Service Logon Report“)
Anmeldefehler im Active Directory („Log-on Failure Report“)
Der „Logon Failure Report“ von ADAudit Plus gibt in Echtzeit Auskunft über Anmeldefehler in einem bestimmten Zeitraum und mögliche Fehlerursachen dafür. Benutzerkonten, bei denen gleich mehrere Anmeldeversuche fehl geschlagen sind (Bad Log-on Attempts), werden ebenfalls erfasst. Das liefert Administratoren wertvolle Hinweise auf beliebte Angriffsziele (Konten) von Cyber-Attacken. Der Bericht enthält zudem weitere Informationen wie den Zeitpunkt des Fehlers, das Konto des fehlgeschlagenen Anmeldeversuchs sowie mögliche Fehlerursachen.
Einige Gründe für Anmeldefehler, wie ein falscher Benutzername (Bad User Name) oder ein falsches Passwort (Bad Password) können durchaus kritisch sein, da sie auf einen möglichen Angriff hinweisen. Doch auch andere Fehlerursachen machen eine Reaktion des Administrators erforderlich, beispielsweise „Kennwort ist abgelaufen“, „Konto wurde deaktiviert/ist abgelaufen/wurde abgemeldet“ oder „Administrator muss Passwort zurücksetzen“.
Neben diesen Fehlerursachen listet der „Log-on Failure Report“ von ADAudit Plus auch folgende Gründe auf:
- Probleme mit Workstation oder Anmeldezeit („Workstation/Logon time restriction“)
- Nicht replizierter Account ("New computer account has not replicated yet”)
- Unterschiedliche Uhrzeit auf der Workstation und den Domain-Controllern („Time in workstation is not in sync with the time in Domain Controllers”)
Eine grafische Darstellung der Anmeldefehler nach Fehlerursache erleichtert es, schnell die richtigen Entscheidungen für die AD-Verwaltung zu treffen.
Beliebte Angriffsziele von Cyber-Attacken („Intruder Attack Susceptible Report“)
Mit ADAudit Plus können Administratoren einfach erkennen, welche Benutzerkonten besonders oft zum Ziel von Angriffen werden. Dazu stehen detaillierte Informationen über den Zeitpunkt des Anmeldeversuchs, das betroffene Konto und die Abweisungsgründe zur Verfügung.
Anmeldeaktivitäten auf den Domain-Controllern („Logon Activity on Domain Controllers Report”)
Domain-Controller spielen eine zentrale, sicherheitsrelevante Rolle im Active Directory: Sie sind der Ort, an dem AD-Änderungen ausgeführt werden. Daher ist die Anmeldung auf Domain-Controllern privilegierten oder Admin-Benutzern vorbehalten. Der Bericht „Anmeldung auf einem Domain Controller“ zeigt auf einen Blick, wer zu welchem Zeitpunkt versucht hat, sich auf dem jeweiligen Domain-Controller einzuloggen. Zudem zeigt ADAudit Plus, ob dieser Versuch erfolgreich war oder aus welchem Grund er fehlgeschlagen ist. Das verschafft Administratoren eine ideale Informationsgrundlage, um geeignete Gegenmaßnahmen zu ergreifen.
Anmeldeaktivitäten auf Member-Servern und Workstations („Logon Activity on Member Servers and Workstations“)
Diese Reports geben Auskunft darüber, welche Benutzer sich auf einem ausgewählten Member-Server beziehungsweise Arbeitsplatz angemeldet haben. Beide Berichte sind ähnlich aufgebaut wie der „Logon Activity on Domain Controllers Report“, um die Arbeit mit der Software so einfach wie möglich zu gestalten.
Benutzeranmeldeaktivitäten („User Logon Activity“)
Für eine schnelle Identifikation verdächtiger Unregelmäßigkeiten im Benutzerverhalten, beispielsweise mehrere fehlgeschlagene Anmeldeversuche innerhalb kürzester Zeit, bietet ADAudit Plus Administratoren einen Einblick in die Anmeldehistorie sowie die letzten Anmeldungen eines Benutzers. Der Bericht „User Logon Activity“) liefert detaillierte und vollständige Audit-Informationen zu den Log-ons bestimmter Anwender auf Servern oder Arbeitsplätzen (Workstations) und kann von Auditoren und Managern bei Bedarf als revisionssicherer Nachweis verwendet werden.
Letzte Anmeldeaktivitäten durch Benutzer („Recent User Logon Activity“)
Mit dem „Recent User Logon Activity“-Report in ADAudit Plus erhalten Systemadministratoren einen Überblick über alle erfolgreichen und fehlgeschlagenen Anmeldeaktivitäten in einem bestimmten Zeitraum. Bei fehlgeschlagenen Anmeldeversuchen gibt der Bericht zudem Informationen zur Fehlerursache und gibt Empfehlungen für geeignete Gegenmaßnahmen.
Administratoren können sich auf Wunsch auch eine Liste aller Benutzer anzeigen lassen, die sich an einem bestimmten Tag oder in einem bestimmten Zeitraum erfolgreich im Netzwerk angemeldet haben.
An mehreren Computern angemeldete Benutzer („Users Logged into Multiple Computers“)
Das Active Directory ermöglicht es Domain-Usern, sich gleichzeitig an mehreren Computern anzumelden. Um diese Anmeldungen nachvollziehen zu können, benötigen Administratoren, Auditoren und Manager erweiterte Tools. Nur so lässt sich sicherstellen, dass die Ressourcen wie gewünscht genutzt werden.
Der „Users Logged into Multiple Computers“-Bericht liefert Daten zur letzten Anmeldung eines Benutzers / mehrerer Benutzer an mehreren Computern innerhalb eines bestimmten Zeitraums. Diese Informationen helfen, gezielt Benutzer zu identifizieren, die sich an mehreren Computern anmelden.
Letzte Anmeldung bei Workstation („Last Logon on Workstation“)
Dieser Bericht in ADAudit Plus zeigt auf einen Blick, welche Benutzer sich an einem bestimmten Tag erfolgreich bei einer Workstation oder einem Computer angemeldet haben. Dadurch lässt sich beispielsweise der aktuelle Verfügbarkeitsstatus der Anwender im Unternehmen ermitteln. Zudem können Administratoren mit diesem Report den letzten fehlgeschlagenen Anmeldeversuch bei einer Workstation ermitteln.
RADIUS-Anmeldungen auf Computern überwachen („Remote Authentication Dial-In User Service Logon Report“)
Dieser Bericht zeigt, welche Benutzer von Remote-Computern aus auf das Netzwerk zugegriffen haben. Administratoren erhalten so einen schnellen Überblick über „Remote Authentication Dial-In User Service (RADIUS)“-Anmeldefehler (RADIUS Logon Failures (NPS)), die Anmeldehistorie (RADIUS Logon History (NPS)) sowie alle Authentifizierungen von Remote-Anwendern im Active Directory. Momentan unterstützt ADAudit Plus RADIUS-Anmeldeaktivitäten via Network Policy Server (Windows Server 2008).