Windows登录审核远远超出了本机Windows安全性

 

Windows登录审核 是满足各种安全性和合规性需求的重要活动。 企业可能需要完整而准确的登录审核才能:

  • 执行准确的取证
  • 证明他们正在保护数据免遭未经授权的访问–符合法规要求
  • 验证任何员工的出勤/工作时间
  • 监视特定的会话类型,例如远程桌面会话或VPN会话
  • 快速查看谁最近一次登录到特定计算机
  • 轻松识别不允许访问的失败登录尝试
  • 查看域中任何用户或计算机的完整登录历史记录

审核Windows登录事件

但是,登录会话审核可能很棘手。 本机事件日志很难理解,也太麻烦而无法手动审核。过度 可以记录200个不同的事件日志 –信息事件,警告,错误还是安全事件。 Windows不仅会在用户物理登录到系统时生成这些事件,还会在从远程计算机访问共享资源时生成这些事件。

事件查看器及其缺点

从Windows Server 2008开始,这些事件日志以基于XML的日志格式进行了重新设计。例如, 用户登录事件为4624, 一个帐户 登录失败是4625, 和 使用显式凭据尝试登录的次数为4648。
关于事件日志,大多数管理员都熟悉的图形用户界面工具是Windows Event Viewer,但请记住,Microsoft并未将Event Viewer设计为审核解决方案,这一点很重要。它旨在仅向IT专业人员提供集中式应用程序,以便在其中查看事件数据。

  • 太多细节 –事件数量的大小,以及它们进入的速度,意味着很难在类似大海捞针的日志条目中找到任何东西。
  • 没有足够的帮助 –事件日志记录是关于合并原始事件数据并使其集中可用的。但是要发现甚至简单的事情,不仅需要浏览事件日志数据,还需要做更多的工作。它需要对多个日志条目中的特定字段值进行细致的研究,所有这些都会使您“摸索”到可能的答案。
  • 太手工了– 尽管事件查看器确实利用了某些“自动化”功能,例如WMI筛选或利用任务计划程序发送警报,但总的来说,事件查看器需要手动工作才能获取所需的审核数据。
  • 不便于审核 –审核员喜欢提出具体问题。要获得看似简单的问题的答案,需要进行一些复杂的筛选,事件合并以及挖掘事件结果以找到答案。实际上,Event Viewer并不是专门为满足审核员的需求而设计的;没有日志访问权限可以授予外部审核员运行自己的查询的能力,没有智能的方法来查询事件数据,并且数据本身是在操作系统级别而不是在审核员级别显示的可以洞悉环境中实际发生的事情。

由于每台服务器上的大量单独日志中都包含大量数据, 管理员不得不学习更有效的方法 检索他们正在寻找的特定信息。

如何报告Windows登录事件

用户锁 提供了整个网络中所有Windows登录活动的广泛会话审核和报告,这远远超出了Microsoft在Windows Server和Active Directory审核中提供的范围。代理部署轻而易举,定价使中小型企业和企业都可以负担得起。

使用UserLock:

  • 记录并报告所有用户连接事件,以提供 中央审计 遍及整个网络
  • 详细报告 可以针对选定的时间段,用户和组在任何或所有会话类型上生成
  • 筛选和排序审核 仅显示与您业务最相关的结果
  • 实现 防篡改审核 因为所有管理员活动本身都经过严格审核和安全归档
  • 得到 可扩展审计 无论您有100个用户还是100,000个用户都可以使用

超越审核Windows登录的范围

 

当然,对于任何认真保护登录访问权限的企业来说,仅进行审计是不够的。通过UserLock,可以轻松保护所有Windows登录活动。

  • 启用自定义 两因素认证 在Windows登录,RDP和VPN连接上
  • 结合 基于登录上下文的限制
  • 得到 实时可见性 进入所有用户活动
  • 远程互动 直接从控制台访问任何用户会话。

因此,如果您希望更好地保护Windows登录名
除了简单的密码和本机审核之外,

立即下载UserLock的功能齐全的免费试用版.

分享这个帖子 :

 头像

克里斯(Chris)是IS Decisions的DirecteurGénéral助理。 IS Decisions软件为组织提供了行之有效的解决方案,可帮助保护Windows Active Directory网络免受外部攻击和内部威胁。

由miniOrange保护