Apoyo
 
Nosotros: + 1888 720 9500
Estados Unidos: +1888791 1189
Internacional: +1925924 9500
Aus: +1800 631268
Reino Unido: 0800 028 6590
CN: +86400660 8680

Marcación interna directa: +1 408 916 9892

Obtener cotización

El primer paso para realizar un seguimiento de los eventos de inicio y cierre de sesión es habilitar la auditoría. Puede indicarle a Windows el conjunto específico de cambios que desea supervisar para que solo estos eventos se registren en el registro de seguridad.

Para verificar el historial de inicio de sesión del usuario en Active Directory, habilite la auditoría siguiendo los pasos a continuación:

  • 1 Ejecute  gpmc.msc (Consola de administración de políticas de grupo). 
  • 2 Cree un  nuevo GPO.
  • 3 Haga clic en  Editar  y vaya a  Configuración del equipo> Políticas> Configuración de Windows> Configuración de seguridad> Configuración avanzada de políticas de auditoría> Políticas de auditoría. En Políticas de auditoría, encontrará configuraciones específicas para Inicio / cierre de sesión e Inicio de sesión de cuenta.
    Inicio / cierre de sesión:
    • Auditar inicio de sesión> Definir> Éxito y fracaso.
    • Cierre de sesión de auditoría> Definir> Correcto.
    • Auditar otros eventos de inicio / cierre de sesión> Definir> Éxito.
    Inicio de sesión de cuenta:
    • Audite el servicio de autenticación Kerberos> Definir> Correcto y error.
  • 4 Para vincular el nuevo GPO a su dominio, haga clic con el botón derecho  . Seleccione  Vincular un GPO existente  y elija el GPO que creó.

De forma predeterminada, Windows actualiza la Política de grupo cada 90 minutos; Si desea que los cambios se reflejen de inmediato, puede forzar una actualización en segundo plano de todas las configuraciones de la directiva de grupo ejecutando el siguiente comando en el símbolo del sistema de Windows:

gpupdate / force

Ahora, cuando cualquier usuario inicie o cierre sesión, la información se registrará como un evento en el registro de seguridad de Windows.

Para ver los eventos, abra el Visor de eventos y vaya a  Registros de Windows> Seguridad . Aquí encontrará detalles de todos los eventos para los que ha habilitado la auditoría. Puede definir el tamaño del registro de seguridad aquí, así como elegir sobrescribir los eventos más antiguos para que los eventos recientes se registren cuando el registro esté lleno.

Seguimiento de inicio de sesión de usuario, cierre de sesión, directorio activo

Comprender los ID de eventos asociados con la actividad de inicio y cierre de sesión.

  • Id. De suceso 4624: se inició sesión correctamente en una cuenta.

    This event records every successful attempt to log on to the local computer. It includes critical information about the logon type (e.g. interactive, batch, network, or service), SID, username, network information, and more. Monitoring this particular event is crucial as the information regarding logon type is not found in DCs.

  • Event ID 4634 - An account was logged off.

    This event signals the end of a logon session.

  • Event ID 4647 - User initiated logoff.

    This event, like event 4634, signals that a user has logged off; however, this particular event indicates that the logon was interactive or RemoteInteractive (remote desktop).

  • Event ID 4625 - An account failed to log on.

    This event documents every failed attempt to log on to the local computer, including information on why the logon failed (bad username, expired password, expired account, etc.) which is useful for security audits.

    All the event IDs mentioned above have to be collected from individual machines. If you're not concerned with the type of logon or when users log off, you can simply track the following event IDs from your DCs to find users' logon history.

  • Event ID 4768 - A Kerberos authentication ticket (TGT) was requested.

    This event is generated when the DC grants an authentication ticket (TGT). That means a user has entered the correct username and password, and their account passed status and restriction checks. If the ticket request fails (account is disabled, expired, or locked; attempt is outside of logon hours; etc.), then this event is logged as a failed logon attempt.

  • Event ID 4771 - Kerberos pre-authentication failed.

    This event means that the ticket request failed, so this event can be considered a logon failure.

Probablemente haya notado que la actividad de inicio de sesión y cierre de sesión se indica mediante diferentes ID de evento. Para unir estos eventos, necesita un identificador común .

El ID de inicio de sesión es un número (único entre reinicios) que identifica la sesión de inicio de sesión iniciada más recientemente. Cualquier actividad posterior se informa con este ID. Al asociar los eventos de inicio y cierre de sesión con el mismo ID de inicio de sesión, puede calcular la duración del inicio de sesión.

Limitaciones de las herramientas de auditoría nativas.

  • Todos los eventos de inicio y cierre de sesión locales solo se registran en el registro de seguridad de equipos individuales (estaciones de trabajo o servidores Windows) y no en los controladores de dominio (DC).
  • Los eventos de inicio de sesión registrados en los DC no contienen información suficiente para distinguir entre los distintos tipos de inicio de sesión, a saber, interactivo, interactivo remoto, red, lote, servicio, etc.
  • Los eventos de cierre de sesión no se registran en los DC. Esta información es vital para determinar la duración del inicio de sesión de un usuario en particular.

Esto significa que debe recopilar información de los controladores de dominio, así como de las estaciones de trabajo y otros servidores de Windows para obtener una descripción general completa de todas las actividades de inicio y cierre de sesión dentro de su entorno. El proceso es laborioso y rápidamente puede volverse frustrante.

Una forma más sencilla de auditar la actividad de inicio de sesión.

Entonces, ¿qué pasaría si hubiera una forma más fácil de auditar la actividad de inicio de sesión? Una herramienta como ADAudit Plus audita eventos de inicio de sesión específicos, así como la actividad de inicio de sesión actual y pasada para proporcionar una lista de todos los cambios relacionados con el inicio de sesión.

Con ADAudit Plus, puede ver instantáneamente informes sobre 
  • Historial de inicio de sesión de usuario
  • Historial de inicio de sesión del controlador de dominio
  • Historial de inicio de sesión del servidor de Windows
  • Historial de inicio de sesión de la estación de trabajo

Esta información se proporciona en una interfaz web fácilmente comprensible que muestra información estadística a través de cuadros, gráficos y una vista de lista de informes personalizados y personalizados.


Informe de actividad de inicio de sesión de usuario

Informe de actividad de inicio de sesión de usuario

   Informe de actividad de inicio de sesión de usuario


Error de inicio de sesión de auditoría de Active Directory
ADAudit Plus es una herramienta de auditoría de cambios de Active Directory en tiempo real basada en la web que le ayuda a,

Para obtener más información sobre cómo ADAudit Plus puede ayudarlo con todas sus necesidades de auditoría de Active Directory, visite: aquí

Hacer un seguimiento de la actividad de inicio de sesión de sus usuarios es fundamental para detectar posibles amenazas internas y brechas de seguridad.

Los pasos anteriores responden a las siguientes preguntas de supervisión de inicio de sesión:

  • Cómo verificar el historial de inicio de sesión del usuario en Active Directory 2012 
  • Cómo verificar el historial de inicio de sesión del usuario en Windows Server 2012
  • Cómo verificar el historial de inicio de sesión del usuario de Windows 10 
  • Cómo verificar el historial de inicio de sesión del usuario en Active Directory
  • Cómo verificar el historial de inicio de sesión del usuario en Active Directory 2008
  • Cómo verificar el historial de inicio de sesión de la computadora 

¿La auditoría nativa se está volviendo un poco excesiva?

Pruebe la herramienta de monitoreo de inicio de sesión ADAudit Plus para auditar, rastrear y responder instantáneamente a acciones maliciosas de inicio de sesión y cierre de sesión.

Pruebe ADAudit Plus gratis
 

ADAudit Plus cuenta con la confianza de