Die Netzwerkanmeldeverfolgung sammelt eine Vielzahl von Informationen über erfolgreiche und fehlgeschlagene Anmeldungen in einem Netzwerk. Die Netzwerkanmeldeverfolgung ist in einer Vielzahl von Szenarien nützlich:
•Einhaltung gesetzlicher Vorschriften
•Überprüfung der Netzwerksicherheit
•Fehlerbehebung
•Netzwerk-Anmeldestatistik
Mit den gesammelten Daten können z.B. die folgenden Statistiken / Berichte erstellt werden:
•Häufigste Gründe für fehlgeschlagene Anmeldungen
•Server/Workstations mit den meisten fehlgeschlagenen Anmeldungen
•Häufigste Anmeldungsarten (z.B. Dienst, interaktiv, etc.)
•Protokollverteilung (z.B. NTLM vs. Kerberos)
•und vieles mehr
Fehlgeschlagene Anmeldungen
Dokumentiert alle Authentifizierungen von Benutzern an Domänencontrollern. Beachten Sie, dass jedes Mal, wenn sich ein solcher Benutzer bei seiner eigenen Arbeitsstation oder seinem eigenen Mitgliedsserver anmeldet, eine Netzwerkanmeldung bei einem DC erzeugt wird, da die Arbeitsstation des Benutzers auf den Domänencontroller unter den Anmeldedaten des Benutzers zugreifen muss, um Gruppenrichtlinien/Benutzerkonfiguration anzuwenden.
Ereignis-IDs |
Fehlgeschlagene Anmeldungen
Windows 2003 und älter 672, 675, 676, 680, 681
Windows Vista, Windows 2008 und später 4768, 4771, 4776 |
Netzwerk-Anmeldungen
Dokumentiert alle Authentifizierungen von Benutzern an Domänencontrollern. Beachten Sie, dass jedes Mal, wenn sich ein solcher Benutzer bei seiner eigenen Arbeitsstation oder seinem eigenen Mitgliedsserver anmeldet, eine Netzwerkanmeldung bei einem DC erzeugt wird, da die Arbeitsstation des Benutzers auf den Domänencontroller unter den Anmeldedaten des Benutzers zugreifen muss, um Gruppenrichtlinien/Benutzerkonfiguration anzuwenden.
Ereignis-IDs |
Netzwerk-Anmeldungen
Windows 2003 und älter 672, 673, 680
Windows Vista, Windows 2008 und später 4768, 4769, 4776 |
Anmeldungen nach Typ
Dokumentiert alle Anmeldungen an überwachten Servern. Es bietet Folgendes:
• Vollständige Aufzeichnung aller Zugriffsversuche auf den Computer, unabhängig von der Art des verwendeten Kontos
• Art der Anmeldung und Anmeldevorgang
• IP-Adresse und Name des Client-Rechners
Event IDs |
Logons By Type
Windows 2003 und älter 528-537, 539, 540
Windows Vista, Windows 2008 und später 4624, 4625 |
Ereignisse nach Schweregrad filtern
Aufgrund der hohen Anzahl von Ereignissen, die von Windows generiert werden, kann diese Funktion eine große Anzahl von Ereignissen aufzeichnen. Sie können die Option "Schweregrad" auf "Nur Prüfungsfehler" einstellen, um die Anzahl der von dieser Funktion erfassten Ereignisse zu reduzieren. Wenn Sie gesetzlich zur Erfassung dieser Daten verpflichtet sind, sollten Sie sich bei Ihrem Compliance Officer (und/oder Audit-Anforderungen) erkundigen, um sicherzustellen, dass Sie diese Einstellung ändern können und trotzdem konform bleiben.
Anmeldungen nach Computerkonten sammeln
Netzwerkanmeldungen durch Computerkonten können eine große Anzahl von Datensätzen in der Datenbank ausmachen und die Berichterstattung verwässern. Deaktivieren Sie das Kontrollkästchen, um alle Audit-Ereignisse zu ignorieren, die von Computer-Accounts stammen.
Zusätzlichen Hostnamen oder Reverse-Lookup über DNS durchführen
Wenn die im Anmeldeereignis enthaltene Anmelde-ID (gilt nur für Audit-Erfolgsereignisse) mit einer früheren Anmeldesitzung verknüpft (korreliert) werden kann, dann werden IP-Adresse und/oder Hostnamen inkludiert. Für den Fall, dass nur der Hostname oder die IP-Adresse verfügbar sind, wird ein DNS (Reverse) Lookup durchgeführt, um die fehlenden Informationen zu sammeln.
Da DNS-Daten, vor allem wenn DHCP IP-Adressen involviert sind, nicht immer 100% genau sind, sollte man sich nicht nur auf diese Daten verlassen.
Logon GUIDs
Erfasst die Anmelde-GUID, die bei einigen Anmeldeereignissen verfügbar ist, und nimmt sie in die Suchergebnisse auf. Die Erfassung von Anmelde-GUIDs ist im Allgemeinen nicht erforderlich, da sie für die forensische Analyse wenig Nutzen bringt, aber die Leistung des Collectors in Netzwerken, die in kurzer Zeit viele Anmelde-GUIDs erzeugen, erheblich beeinträchtigen kann.
