Inicio de sesión de usuario

Monitoreo en tiempo real de las acciones de inicio de sesión del usuario

Los usuarios que inician sesión en sus computadoras de dominio es una actividad diaria que ocurre en cualquier empresa. Al principio, esto podría parecer un simple evento de Active Directory, pero los administradores asignados con diferentes roles podrían usar estos datos valiosos para diversas necesidades de auditoría, cumplimiento y operativas. Las organizaciones requieren detalles de auditoría sobre 'registros de inicio de sesión de usuario de AD' para una o más de las siguientes necesidades operativas.

Actividad reciente de inicio de sesión de usuario

Actividad reciente de inicio de sesión de usuario

Último inicio de sesión en estaciones de trabajo

Último inicio de sesión en estaciones de trabajo

Monitoree el inicio de sesión de RADIUS en las computadoras

Monitoree el inicio de sesión de RADIUS en las computadoras

Fallas de inicio de sesión

Fallas de inicio de sesión

Actividad de inicio de sesión en controladores de dominio

Actividad de inicio de sesión en controladores de dominio

Actividad de inicio de sesión en Servidores miembros y Estaciones de trabajo

Actividad de inicio de sesión en Servidores miembros y Estaciones de trabajo

Actividad de inicio de sesión del usuario

Actividad de inicio de sesión del usuario

Actividad reciente de inicio de sesión de usuario

Actividad reciente de inicio de sesión de usuario

Último inicio de sesión en estaciones de trabajo

Último inicio de sesión en estaciones de trabajo

Monitoree el inicio de sesión de RADIUS en las computadoras

Monitoree el inicio de sesión de RADIUS en las computadoras

Fallas de inicio de sesión

Fallas de inicio de sesión

Actividad de inicio de sesión en controladores de dominio

Actividad de inicio de sesión en controladores de dominio

Actividad de inicio de sesión en Servidores miembros y Estaciones de trabajo

Actividad de inicio de sesión en Servidores miembros y Estaciones de trabajo

  • Verifique el ausentismo / asistencia de los empleados en un intervalo de auditoría determinado / cada mes.
  • Determine el número total de usuarios que tienen acceso a la red de Active Directory en un instante determinado.
  • Ubique a los usuarios que acceden a Estaciones de trabajo o controladores de dominio a través de una computadora de red remota.
  • Determine los tiempos pico de inicio de sesión para todos los usuarios en el dominio.
  • Vea quién  inició sesión por última vez en una computadora de dominio crítica .
  • Identifique si algún usuario (delincuente) está intentando iniciar sesión en máquinas que no tiene privilegios. (Por ejemplo: los inicios de sesión del Controlador de dominio / inicios de sesión del Servidor miembro en Active Directory requerirán privilegios elevados).
  • Vea el  historial completo  de inicio de sesión de cualquier usuario en el dominio; ej.) Esté equipado con evidencia cuando interroga a un empleado sospechoso, objetos de dominio de Active Directory como computadoras, grupos y otras cuentas de usuario que el empleado administró, accedió o modificó durante su asociación.

Además de los pocos enumerados, existen muchas más demandas prácticas en una red de Active Directory que requieren información de auditoría sobre los inicios de sesión de la cuenta de dominio. Los informes de inicio de sesión ADAudit Plus se pueden usar de forma ventajosa para superar los desafíos de auditoría de inicio de sesión. Proporciona una gran cantidad de informes preconfigurados en tiempo real para proporcionar respuestas a preguntas de auditoría de inicio de sesión en el formato deseado y mejora la experiencia de auditoría de Active Directory. La función de informes personalizados hace que el software sea aún más buscado, por ejemplo, cualquier acción de inicio de sesión puede definirse y visualizarse como un informe.

¿Por qué Native Active Directory se considera insuficiente para la Auditoría de inicio de sesión del usuario?

Cada 'registro de inicio de sesión de AD' se registra continuamente en los registros de seguridad de los controladores de dominio de Active Directory (DC). Esta información se registró en los controladores de dominio de Active Directory nativos

  • Requiere experiencia para comprender, ya que implica: comprender números de eventos específicos y su correlación con una acción de inicio de sesión.
  • Es enorme en volumen: cada actividad de inicio de sesión en / por cualquier objeto de Active Directory se registra continuamente en el controlador de dominio y estos datos de registro de eventos acumulan un gran volumen de datos.
  • Tiene acceso restringido: el controlador de dominio es un componente crítico de la infraestructura de Active Directory y el acceso está limitado a los usuarios administrativos seleccionados.

Otras limitaciones del Directorio Activo nativo incluyen la incapacidad de los usuarios que no son administradores, como auditores, gerentes y personal de recursos humanos, para rastrear cualquier acción de inicio de sesión deseada. Algunos eventos de inicio de sesión críticos, como el inicio de sesión en un controlador de dominio o servidor miembro, requieren alertas inmediatas o monitoreo continuo. Esta información crítica, aunque haya iniciado sesión, no tiene una diferenciación o agrupación de un registro de eventos normal y tiene una mayor posibilidad de descuido.

Solución de auditoría de inicio de sesión de Active Directory en tiempo real

Seguir la actividad de inicio de sesión de la cuenta, un sistema a la vez para toda una red de Active Directory es casi imposible. Los informes de auditoría de inicio de sesión de usuarios en tiempo real de ADAudit Plus enumeran todas las acciones de inicio de sesión de los usuarios en un único informe. Esto se puede ver desde una consola web central en la fracción de tiempo. La información de inicio de sesión es muy importante para comprender / identificar la autenticidad del inicio de sesión de los objetos del usuario en el dominio.

ADAudit Plus proporciona informes de inicio de sesión de usuario sobre fallas de inicio de sesión, actividad de inicio de sesión de controlador de dominio, actividad de inicio de sesión de servidor miembro, actividad de inicio de sesión de estación de trabajo, actividad de inicio de sesión de usuario, actividad de inicio de sesión de usuario reciente y último inicio de sesión en WorkStations. Además, la solución de auditoría de inicio de sesión actúa como una herramienta indispensable para facilitar la auditoría de eventos de inicio de sesión específicos, la actividad de inicio de sesión actual y pasada y enumera todos los cambios relacionados con el inicio de sesión. Esto lo hace a través de una interfaz web fácilmente comprensible y muestra información estadística a través de cuadros, gráficos y una vista de lista de  informes enlatados y  personalizados .

Informes de auditoría de ADAudit Plus sobre inicio de sesión de usuario

Informe de falla de inicio de sesión

Informe de fallas de inicio de sesión proporciona información sobre las fallas de inicio de sesión y el motivo de la falla de inicio de sesión durante un período de tiempo seleccionado. Se informa de múltiples intentos de fallas de inicio de sesión en cuentas de usuario en el período de tiempo seleccionado. Esto proporciona a los  administradores información sobre posibles ataques a cuentas "susceptibles a ataques de intrusos". La información sobre el error de inicio de sesión por igual cuando se produce un error de inicio de sesión, se registra una cuenta fallida y posibles motivos de error.

Las razones de falla de inicio de sesión podrían ser críticas, como un nombre de usuario incorrecto, contraseña incorrecta, que son susceptibles a los ataques. Las razones que requieren la atención del Administrador son "La contraseña ha caducado", "Cuenta desactivada / expirada / bloqueada" o "El administrador debe restablecer la contraseña en la cuenta". También se informaron otras razones como "Restricción de estación de trabajo / tiempo de inicio de sesión", "Nueva cuenta de equipo no se ha replicado todavía" o "La computadora es pre-w2k" y "Tiempo en la estación de trabajo no está sincronizado con el tiempo en Controladores de dominio".

Una representación gráfica del número de fallas de inicio de sesión contra el motivo de la falla ayuda a los administradores a tomar decisiones rápidas y administrarlas de manera efectiva.

Actividad de inicio de sesión en controladores de dominio

Los controladores de dominio son los componentes críticos centrales en el Active Directory desde donde se efectúan los cambios de AD. El inicio de sesión del controlador de dominio está restringido a usuarios privilegiados o administradores y la información completa sobre los intentos de inicio de sesión realizados por otros usuarios equipa a los administradores para tomar medidas correctivas informadas. ADAudit Plus ayuda a proporcionar información sobre todos los usuarios que han iniciado sesión en cualquier controlador de dominio seleccionado. Detalles como la hora de inicio de sesión, desde donde un usuario inició sesión (Nombre del equipo), el éxito o el fracaso del intento de inicio de sesión y el motivo de la falla, si se informa.

Actividad de inicio de sesión en Servidores miembros y estaciones de trabajo

La Actividad de inicio de sesión en Servidores miembro y WorkStations proporciona información sobre el inicio de sesión del usuario en Servidores miembro o Estaciones de trabajo seleccionados, respectivamente. Ambos informes funcionan de manera similar al "Informe de actividad de inicio de sesión en controladores de dominio", lo que simplifica enormemente el manejo y la comprensión del software.

Actividad de inicio de sesión del usuario

El informe de inicio de sesión del usuario proporciona información de auditoría sobre el completo historial de inicio de sesión en los "Servidores" o "Estaciones de trabajo" a los que accede un Usuario de dominio seleccionado. Objeto del usuario El historial de inicio de sesión es muy importante para comprender el patrón de inicio de sesión de un usuario seleccionado y en otras instancias para proporcionar una prueba registrada a los auditores / gerentes de cualquier Usuario.

Actividad reciente de inicio de sesión de usuario

El administrador del sistema duda o está preocupado por las irregularidades en el uso de la red por parte de los usuarios. Los intentos fallidos de inicio de sesión son un indicador o una medida para detectar una irregularidad. El informe "Actividad de inicio de sesión de usuario reciente" de ADAudit Plus enumera todas las actividades de inicio de sesión exitosas y fallidas de los usuarios durante un período de tiempo seleccionado. Además, el motivo de un inicio de sesión fallido también se proporciona como una observación para tomar medidas correctivas.

En este informe se puede ver la lista de usuarios que iniciaron sesión correctamente en la red en un día determinado, cualquier fecha seleccionada o durante un período seleccionado.

Último inicio de sesión en WorkStation

Este informe muestra información sobre la hora del último inicio de sesión en una estación de trabajo o computadora, por todos los usuarios que han iniciado sesión correctamente en un día. Este informe podría usarse para determinar el ausentismo o el estado actual de disponibilidad de los usuarios en la organización.

Monitoree el inicio de sesión de RADIUS en las computadoras

Audite el acceso a la red del Servicio de usuario de acceso telefónico de autenticación remota (RADIUS) por el usuario que inició sesión en la computadora remota. Con informes sobre usuarios registrados a distancia como RADIUS Logon Failures (NPS) y RADIUS Logon History (NPS), supervise toda la autenticación RADIUS en Active Directory. Tenga en cuenta que actualmente las actividades de inicio de sesión de RADIUS a través de Network Policy Server (Windows Server 2008) solo son compatibles.

 

Clientes que confían en ADAudit Plus