How to Audit Successful Logon/Logoff and Failed Logons in Active Directory

Audit account logon events

Event IDDescription
4768 A Kerberos authentication ticket (TGT) was requested
4769 A Kerberos service ticket was requested
4770 A Kerberos service ticket was renewed
4771 Kerberos pre-authentication failed
4774 An account was mapped for logon
4776 The domain controller attempted to validate the credentials for an account

*Operating System for above ids – Windows Server 2008 or higher

Test Case – Here, we will search Event ID 4648 to get the particular record.

How-to: ловим мертвые души в домене active directory. как узнать, когда пользователь последний раз входил в систему

Когда количество пользователей в домене превышает несколько сотен, запомнить каждого становится непросто. А если доменная структура развитая и ее админит несколько человек, разобраться еще сложнее. Добавим к этому увольнения, повышения, переводы туда-сюда и хитрецов, которые пользуются учеткой, оставленной кем-то на время отпуска, и путаница достигнет критической отметки, за которой говорить о безопасности не приходится. Как побороть анархию?

Чтобы вовремя отключать неиспользуемые учетные записи, нужно знать, когда кто-то под ними заходил. Чаще всего если под учеткой никто не работал в течение пары месяцев, значит, человек уже уволился или перевелся. Поскольку все данные о попытках входа хранятся в свойствах пользователя Active Directory, отыскать мертвые души будет несложно.

Первым делом нужно включить отображение дополнительных свойств, это делается через меню View -> Advanced Features. Интересующие нас данные хранятся в атрибутах lastLogon и lastLogonTimestamp, а о неудачных попытках входа ты узнаешь из полей badPasswordTime и badPwdCount.

Если у тебя стоит один контроллер домена, эти данные тебя полностью устроят, но если нет, то возникнут проблемы. Значения lastLogon, badPasswordTime и badPwdCount не реплицируются между контроллерами, а отследить, на какой из них авторизовался пользователь, — та еще задачка.

Начиная с Windows Server 2008 в AD как раз для этих целей появились дополнительные атрибуты, которые решают проблему. Вот они:

  • msDS-FailedInteractiveLogonCount — общее количество ошибочных попыток логона в систему;
  • msDS-FailedInteractiveLogonCountAtLastSuccessfulLogon — количество фейловых попыток логона с момента последней успешной авторизации;
  • msDS-LastFailedInteractiveLogonTime — время последней неудачной попытки;
  • msDS-LastSuccessfulInteractiveLogonTime — время последней удачной попытки.

Эти атрибуты успешно реплицируются, и им можно верить при отслеживании логона, нужно только их включить. Для этого создай новый объект групповой политики и привяжи его к Domain Controllers. После этого в ветке Computer ConfigurationAdministrative TemplatesSystemKDC включай политику Provide information about previous logons to client computers. Теперь контроллеры будут собирать необходимые данные.

Чтобы полностью автоматизировать чистку, можешь написать небольшой скрипт, который будет проверять значения и, к примеру, слать тебе уведомление о том, что учетка истекла.

Похожее:  Kerberos - Справочный центр - Справочный центр Astra Linux

Issues with native auditing

The native auditing of Active Directory has numerous drawbacks. Multiple events are generated for a single event and it is very difficult to search for a particular event in the large pool of events. Event Viewer also consumes a lot of disk space to store the events for the long term.

All the above-mentioned procedure to audit successful and failed Logon / Logoff in Active Directory can be simplified with the help of Lepide Active Directory Auditor. With this, you can make the entire auditing process simple and thus helps to maintain a secure AD environment.

Step 1 – enable ‘audit logon events’

    • Run gpmc.msc command to open Group Policy Management Console
    • If you want to apply this on the whole domain then Right-click on the Domain Object and click on Create a GPO in this domain, and Link it here….

Note- If you do not want to apply this on the whole domain then you can select any OU rather selecting a domain.

    • Write a new GPO name as shown in below image
    • A new GPO “Logon Logoff Reports” created. Right click on this and click on Edit option
    • A new window of Group Policy Management Editor (GPME) will open.
    • Now under Computer Configuration go to Policies node and expand it as
      Policies -> Windows Settings -> Security Settings -> Local Policies -> Audit Policy
    • In the right hand panel of GPME, either Double click on “Audit logon events” or Right Click -> Properties on “Audit logon events”
    • A new window of “Audit logon events” properties will open. Check “Success” and “Failure” boxes and click “Ok”
  • Now, run gpupdate /force to update GPO

Now, we have successfully enabled “Audit Logon Events”

Step 2 – enable ‘audit account logon events’

    • Run gpmc.msc command to open Group Policy Management Console.
    • Now, expand Domain Controllers node, Right-click on the “Default Domain Controllers Policy” and click “Edit”.

Note- You can also create your own GPO as we did for “Audit Logon Events” in case you do not want to edit Default Domain Controllers Policy.

    • A new window of Group Policy Management Editor (GPME) will open.
    • In GPME windows, expand Computer Configuration, go to “Policies” node and expand it as Policies -> Windows Settings -> Security Settings -> Local Policies -> Audit Policy
    • In the right hand panel of GPME, either Double click on “Audit account logon events” or Right Click -> Properties on “Audit account logon events”
    • A new window of “Audit account logon events” properties will open. Check “Success” and “Failure” boxes and Click on “OK”
  • Now, run gpupdate /force to update GPO
Похожее:  — Войти в личный кабинет для юридических лиц

Now, we have successfully enabled “Audit account logon events”

Step 3 – search related event logs in event viewer

The event ids for “Audit logon events” and “Audit account logon events” are given below. You have to check these event ids in security logs to track successful logon / logoff and failed login attempts.

With adaudit plus, you can instantly view reports on

This information is provided on an easily understandable web interface that displays statistical information through charts, graphs, and a list view of canned and customized reports.

User logon activity report

Коды отказов kerberos

Код ошибки — Причина

6 — Имя пользователя не существует12 — Ограничение рабочей машины; ограничение времени входа в систему18 — Учетная запись деактивирована, заблокирована или истек срок ее действия23 — Истек срок действия пароля пользователя24 — Предварительная аутентификация не удалась; обычно причиной является неверный пароль32 — Истек срок действия заявки.

Коды ошибок ntlm

Код ошибки (десятичная система) — Код ошибки (16-ричная система) — Описание

3221225572 — C0000064 — Такого имени пользователя не существует3221225578 — C000006A — Верное имя пользователя, но неверный пароль3221226036 — C0000234 — Учетная запись пользователя заблокирована3221225586 — C0000072 — Учетная запись деактивирована3221225583 — C000006F — Пользователь пытается войти в систему вне обозначенного периода времени (рабочего времени)

3221225584 — C0000070 — Ограничение рабочей станции3221225875 — C0000193 — Истек срок действия учетной записи3221225585 — C0000071 — Истек срок действия пароля3221226020 — C0000224 — Пользователь должен поменять пароль при следующем входе в систему

Локальные события. вход и выход из системы (logon/logoff)

Event Id — Описание

528 или 4624 — Успешный вход в систему529 или 4625 — Отказ входа в систему – Неизвестное имя пользователя или неверный пароль530 или 4625 Отказ входа в систему – Вход в систему не был осуществлен в течение обозначенного периода времени531 или 4625 — Отказ входа в систему – Учетная запись временно деактивирована532 или 4625 — Отказ входа в систему – Срок использования указанной учетной записи истек533 или 4625 — Отказ входа в систему – Пользователю не разрешается осуществлять вход в систему на данном компьютере534 или 4625 или 5461 — Отказ входа в систему – Пользователь не был разрешен запрашиваемый тип входа на данном компьютере535 или 4625 — Отказ входа в систему – Срок действия пароля указанной учетной записи истек539 или 4625 — Отказ входа в систему – Учетная запись заблокирована540 или 4624 — Успешный сетевой вход в систему (Только Windows 2000, XP, 2003)

Похожее:  Личный Кабинет — Вконтакте Официальный сайт

События в аудит логах контроллеров доменов

Event ID — (Категория) — Описание

1) 675 или 4771(Аудит событий входа в систему)Событие 675/4771 на контроллере домена указывает на неудачную попытку войти через Kerberos на рабочей станции с доменной учетной записью. Обычно причиной этого является несоответствующий пароль, но код ошибки указывает, почему именно аутентификация была неудачной. Таблица кодов ошибок Kerberos приведена ниже.

2) 676, или Failed 672 или 4768(Аудит событий входа в систему)Событие 676/4768 логгируется для других типов неудачной аутентификации. Таблица кодов Kerberos приведена ниже.ВНИМАНИЕ: В Windows 2003 Server событие отказа записывается как 672 вместо 676.

3) 681 или Failed 680 или 4776(Аудит событий входа в систему)Событие 681/4776 на контроллере домена указывает на неудачную попытку входа в систему черезNTLM с доменной учетной записью. Код ошибки указывает, почему именно аутентификация была неудачной.Коды ошибок NTLM приведены ниже.ВНИМАНИЕ: В Windows 2003 Server событие отказа записывается как 680 вместо 681.

4) 642 или 4738(Аудит управления учетными записями)Событие 642/4738 указывает на изменения в указанной учетной записи, такие как сброс пароля или активация деактивированной до этого учетной записи. Описание события уточняется в соответствие с типом изменения.

5) 632 или 4728; 636 или 4732; 660 или 4756(Аудит управления учетными записями)Все три события указывают на то, что указанный пользователь был добавлен в определенную группу. Обозначены Глобальная (Global), Локальная (Local) и Общая (Universal) соответственно для каждого ID.

6) 624 или 4720(Аудит управления учетными записями)Была создана новая учетная запись пользователя

7) 644 или 4740(Аудит управления учетными записями)Учетная запись указанного пользователя была заблокирована после нескольких попыток входа

8) 517 или 1102(Аудит системных событий)Указанный пользователь очистил журнал безопасности

Типы входов в систему (logon types)

Тип входа в систему — Описание

2 — Интерактивный (вход с клавиатуры или экрана системы)3 — Сетевой (например, подключение к общей папке на этом компьютере из любого места в сети или IIS вход — Никогда не заходил 528 на Windows Server 2000 и выше. См. событие 540)

4 — Пакет (batch) (например, запланированная задача)5 — Служба (Запуск службы)7 — Разблокировка (например, необслуживаемая рабочая станция с защищенным паролем скринсейвером)8 — NetworkCleartext (Вход с полномочиями (credentials), отправленными в виде простого текст.

Часто обозначает вход в IIS с “базовой аутентификацией”)9 — NewCredentials10 — RemoteInteractive (Терминальные службы, Удаленный рабочий стол или удаленный помощник)11 — CachedInteractive (вход с кешированными доменными полномочиями, например, вход на рабочую станцию, которая находится не в сети)

1 Звезда2 Звезды3 Звезды4 Звезды5 Звезд (1 оценок, среднее: 5,00 из 5)
Загрузка...

Добавить комментарий

Ваш адрес email не будет опубликован.

Adblock
detector