• 1

Auditoría del Directorio Activo de Windows en Tiempo Real

Registro de Acceso del Usuario (Inicio de Sesión del Usuario)

Esta solución de auditoría de Inicios de sesión de Usuarios, ayuda al seguimiento de las actividades de los usuarios en el ambiente de servidores de Windows como el número de veces de los inicios de sesión, historial de los registro de acceso, actividades de servicios de terminal.

Configuración GPO

Monitoree las modificaciones a la configuración de las Políticas de Grupo del Directorio Activo, conozca cada modificación en cualquiera de las más de 6000 configuraciones con los parámetros del antes y el después. Verifique el ausentismo/asistencia de los empleados en un intervalo determinado de tiempo/cada mes.

Modificaciones en Atributos

Visualice lo anterior y lo nuevo de cada modificación en los objetos del Directorio Activo como Usuarios, Computadoras, Grupos, GPO's, OU's, Configuración y Servidores DNS.

Archivando datos

¡Archive datos para Análisis Forense de 3 años, 5 años, o 7 años transcurridos! Obtenga reportes históricos y sálvelos en disco. 

Cumplimiento

Cubra los requerimientos de cumplimiento de SOX, HIPAA, GLBA, PCI-DSS, FISMA con los más de 200 reportes de auditoría configurados.

Reportes y Alertas

Audite los objetos del Directorio Activo con los más de 200 reportes preconfigurados incluidos con alertas vía correo al instante para cambios críticos.

 

 

Auditoría en Tiempo Real de las Acciones de Gestión de Usuarios

La supervisión de las acciones de gestión de usuarios en tiempo real y el mantenimiento de los registros de estas acciones realizadas por los usuarios, administradores y técnicos, ayudará a hacer más eficiente el funcionamiento de la organización. Los reportes de auditoría de la gestión de usuarios de ADAudit Plus tienen como propósito el facilitar la auditoría de estas acciones.

Delegar Actividades de Gestión de Usuarios al Equipo de Soporte

Entre las múltiples responsabilidades que un administrador atiende, la gestión de usuarios es una substancialmente importante. La rutina y carga de trabajo de las actividades del  directorio activo y consumen un tiempo que mantiene a administrador siempre comprometido. A fin de escapar de esta posición tan inconveniente, él delega roles a soporte técnico de TI o recursos del staff y se libera así mismo para enfocarse en otras funciones  de gestión de infraestructura más importantes.

La Delegación del Rol es solo la Mitad del Trabajo

Múltiples cuentas son creadas, eliminadas o modificadas en el dominio, mediante el delegar al personal de la mesa de ayuda, de lo anterior, es necesario saber de manera selectiva cuales fueron los cambios realizados a  los objetos de usuarios en el directorio activo. Adicionalmente cada empleado realiza cambios en diferentes etapas de su ciclo de vida y esto implica la generación de reportes y registros extensos. Es responsabilidad del administrador mantener la información al día de los cambios realizados por el personal a los objetos del directorio activo y reproducirlos cuando sea necesario. De ser de otro modo, el proceso de delegación de roles es considerado como incompleto.

Necesidad de Supervisar/auditar las Acciones del Usuario

Dar seguimiento a los cambios ocurridos en una organización es un requisito obligatorio de auditoria. Auditores y administrados requieren capturas instantáneas de fallos críticos, líneas de tendencia y otras actividades intencionales / no intencionales realizados por los usuarios a quienes se les delegó. Existe la necesidad de supervisar las acciones sobre una base periódica para cumplir con la seguridad y la gestión de infraestructura. Esto se facilita con una amplia variedad de reportes en tiempo real sobre la gestión de usuarios y gráficos característicos producidos en ADAudit Plus.

Información importante de auditoria para un Administrador

Los administradores deben saber el número de  nuevos empleados fueron agregados por HR y cuantos fueron agregados por el personal de soporte. También debe saber que modificaciones fueron hechas por un técnico seleccionado de la mesa de ayuda en un usuario, en un grupo o en equipos del dominio. Cuál es el historial de cambios hechos en un usuario seleccionado del dominio y otros cambios importantes relacionados.

Auditoría Efectiva sobre las Acciones de la gestión de Usuarios con ADAudit Plus

Los informes de auditoría sobre la gestión de usuarios de ADAudit Plus facilitan  la generación de reportes por fecha sobre las acciones de modificación del usuario. El producto está diseñado intuitivamente para extraer la información auditable de los logs de seguridad provenientes de visores de eventos  en los equipos controladores de dominio. Adicionalmente facilitan la disponibilidad de datos relevantes para un requerimiento de una auditoría interna. Los reportes de gestión de usuario del ADAudit Plus permiten al administrador, gerente de TI o  auditor de TI u  otros que utilicen la aplicación, realizar las siguientes funciones de auditoría en tiempo real:

  • Visualizar los cambios en el ciclo de vida de un objeto de usuario- creación, modificación o eliminación de un objeto del usuario.
  • Identificar  a un usuario administrador o no-administrador responsable de cambios realizados en una o más cuentas de dominio.
  • Visualizar reportes en específicos de cualquier o cada cambio en el directorio activo.
  • Monitorear cambios importantes y recientes en los usuarios de cuenta.
  • Dar seguimiento a los cambios de estatus de contraseña de los usuarios.
  • Identificar el último cambio o modificación que se ha realizado a una cuenta de usuario.
  • Exportar reportes en los formatos deseados: XLS, CSV, PDF Y HTML.
  • Mantener la contabilidad de las acciones realizadas por los administradores, técnicos de la mesa de ayuda, personal de recursos humanos o cualquier otro usuario seleccionado en la organización con reportes de la información archivada.

Las Acciones de Modificación Auditadas en Tiempo Real con ADAudit Plus

  • Cambios en el ciclo de vida del usuario.
  • Cambios en el estado de la contraseña.
  • Cambios de estado del usuario.
  • Última modificación del usuario.
  • Actividad administrativa del usuario.
  • Historial de acciones del usuario.

Cambios en el ciclo de vida del usuario como usuarios creados, modificados o eliminados. Estos cambios son extraídos y reportados por fecha con la ayuda de los siguientes reportes proporcionados en ADAudit Plus:

  • Usuarios Creados recientemente.
  • Usuarios Eliminados recientemente.
  • Usuarios Modificados recientemente.

Cambios en los estados de contraseña para usuarios como establecer o cambiar contraseña, cuentas bloqueadas y detalles del desbloqueo. Estos cambios son enlistados con los reportes sobre:

  • Usuarios con Establecimiento de contraseña Reciente.
  • Usuarios con Cambios de Contraseña Reciente.
  • Usuarios recientemente bloqueados
  • Usuarios recientemente desbloqueados.

Cambios de estado del usuario como usuarios habilitados o deshabilitado en cierto periodo de tiempo.

  • Usuarios recientemente habilitados.
  • Usuarios recientemente deshabilitados.

Otros informes de Gestión de Usuario

Últimas modificaciones en usuarios

Enlista la última propiedad modificada en todos los usuarios del dominio. Se incluyen la hora de la modificación y el usuario que la realizó.

Reporte de Actividad administrativa del Usuario

El reporte de gestión actividades del usuario enlista todas las acciones de gestión realizadas por cualquier usuario seleccionado o técnico en usuarios, equipos y grupos en el dominio. Esto muestra ampliamente las acciones ejecutadas por usuarios en la forma fácil y entendible de una gráfica de pie. Las acciones de gestión realizadas como el cambio de usuario de cuenta, eliminación, deshabilitación, habilitación, establecimiento de contraseña y desbloqueo de cuenta, acciones de gestión de equipo como cambio de cuenta de equipo, eliminación o habilitación y acciones de gestión de grupo realizadas en los grupos de distribución y de seguridad, son auditadas, reportadas y destacadas a través de gráficos.

Reportes de Historial de Usuario

Los reportes de historial de usuario proveen información sobre todas los acciones de modificación realizadas en un usuario durante su ciclo de vida. Los cambios a los que el Usuario es sujeto durante su ciclo de vida se reportan.

Calendarice reportes de Modificaciones al Directorio Activo

Monitorear la red del Directorio Activo de Windows de Microsoft es el mejor acercamiento que las organizaciones pueden seguir, de modo que se aborden los retos de un negocio creciente como los cambios inesperados/no atendidos, como por ejemplo en las políticas de Grupo, permisos de acceso, Computadoras, etc... Sin embargo es más fácil hablar que hacer. La razón es que el Directorio Activo es un bullicio de una enorme cantidad de rutina, con eventos de cambios esperados e inesperados. Las modificaciones que afectan a los usuarios y las realizadas a otros objetos del Directorio Activo son continuamente registradas en los registros de seguridad del Directorio Activo. Dada su enormidad, es difícil extraer estos datos mediante métodos nativos. Aún si uno intenta extraer esta información de los registros de eventos - que es una información invaluable e imperativa para una organización para frustrar cualquier amenaza inminente seguridad - dar seguimiento y hacer la información disponible a las personas correctas en el tiempo correcto es una tarea ruda en sí misma!

 Por esta razón los administradores imaginan soluciones para:

  • Visualizar en tiempo real los reportes de modificaciones del Directorio Activo.

  • Automatizar "la información modificada del Directorio Activo" para las personas correctas sin la necesidad de una extracción manual.

  • Proveer opciones para visualizar las modificaciones al Directorio Activo desde cualquier lugar en el dominio y en un formato que sea conveniente para su interpretación.

  • Notificar automáticamente , preferentemente con funcionalidades para calendarizarlos.

 ManageEngine ADAUDIT Plus entiende la necesidad de tener disponible la información de modificaciones (reportes en tiempo real) para las personas importantes. Además de proveer un medio fácil de extraer la correcta información del evento de modificación en relación a eventos deseable / indeseables , permite al administrador el enviar esto vía correo a uno o más destinatarios específicos en tiempos calendarizados. Más allá de los Reportes calendarizados es posible visualizar las modificaciones al Directorio Activo actualizadas en tiempo real en la interfaz web muy conveniente de ADaudit Plus.

 El calendarizar los reportes es una funcionalidad acompañada de gran flexibilidad en ADAudit Plus y es completamente a discreción del administrador.

 Ventajas de la generación de reportes y entrega automática

  • Se presenta un lista no limitada de las ventajas de la automatización en la entrega calendarizada de reportes por ADAudit Plus:

  • La extracción de reportes se puede calendarizar para tiempos definidos reduciendo el tiempo y esfuerzo invertido en extraer los reportes de forma manual.

  • Una notificación vía correo reduce la necesidad de iniciar sesión en el Portal de ADAudit Plus. Esto da la oportunidad a los Administradores de permitir a usuarios como auditores, gerentes de TI, y analistas de la mesa de ayuda a visualizar uno o más reportes de modificaciones directo desde sus buzones.

  • Los reportes pueden ser vistos al momento por los administradores y otros usuarios designados. Esto permite al administrador ejercer control continuo sobre los cambios que ocurren en el Directorio Activo.

  • La habilidad para configurar la frecuencia de la extracción de reportes y sus notificaciones – por hora, diaria semanal o mensualmente – es muy conveniente. Esta amplia gama de opciones de calendarización, aunado al mecanismo de alertas optimiza la eficiencia operativa del administrador.

  • El historial de todos los reportes generados se mantiene en la base de datos de ADAudit, siendo una referencia de valor que reduce la necesidad de procedimientos repetitivos de búsqueda.

  • ADAudit posee múltiples formatos de almacenamiento (que incluyen csv, html, pdf o xls) permitiendo un respaldo organizado  de los reportes calendarizados en un servidor de archivos específico.

  • Los reportes entregados en los buzones son ya una fuente de respaldo secundaria.

ADAudit Plus realiza el trabajo sucio de extraer la información de registros de eventos desde los Controladores de Dominio del Directorio Activo. La funcionalidad de calendarizar de ADAudit Plus facilita la extracción y entrega automática de la información en relación a las modificaciones en los tiempos deseados, esto es un lujo para deleitarse.

Monitoreo en Tiempo Real de las Acciones de Registro de Acceso (Inicio de Sesión) de los Usuarios

El iniciar sesión en los equipos de dominio, en el día a día, es una actividad común que ocurre en cualquier empresa. En otro contexto pudiera parecer un simple evento del Directorio Activo pero para los administradores asignados, con distintos roles, la información que se deriva de esto, se puede utilizar para diversas auditorías, cumplimiento, y necesidades operativas. Las organizaciones requieren detalles de auditoría en tiempo real en relación a los inicios de sesión de Usuarios para una o más necesidades operativas que se mencionan:

  • Verificar el absentismo/asistencia de los empleados en un intervalo dado de tiempo/cada mes.
  • Determinar el total de usuarios que tienen acceso a la Red del Directorio Activo en un momento dado.
  • Usuarios puntuales que tienen acceso a las Estaciones de Trabajo o a los Controladores de Dominio mediante un equipo remoto.
  • Determinar horas picos de inicio de sesión para todos los usuarios en el dominio.
  • Identificar quien ha tenido el último registro de acceso  a un equipo crítico del dominio.
  • Se validará si algún usuario (malicioso) está intentando realizar un inicio de sesión en las máquinas en la que el/ella no tiene privilegios para hacerlo. (Por ejemplo: un inicio de Sesión en Controlador de Dominio/Servidor Miembro en el Directorio Activo requerirá privilegios elevados).
  • Visualizar el historial completo de cualquier usuario en el dominio, por ejemplo: Contar con evidencia cuando se cuestione a un empleado sospechoso, los objetos de dominio del Directorio Activo como computadoras, grupos y otras cuentas de usuario, que el empleado ha administrado, accedido o modificado durante su conexión.

Adicionalmente a lo ya listado, existen muchas más requerimientos prácticos en la red del Directorio Activo que necesitan información auditable en relación a los inicios de sesión de las cuentas de dominio. Los reportes de Registro de Acceso de las cuentas de ADAudit Plus pueden utilizarse muy ventajosamente para superar los retos que implica una auditoría de registro de Accesos. Provee reportes pre-configurados en tiempo real para responder a los cuestionamientos que se dan dentro de una auditoría de este tipo, en el formato deseado, optimizando la experiencia de la auditoría del Directorio Activo. La funcionalidad de los reportes personalizados hacen al software mucho más solicitado, dado que es posible que cualquier acción de registro de Acceso pueda ser definida y vista como a un reporte.

¿Por qué el Directorio Activo se considera insuficiente para las Auditorías de los Registros de Acceso?

Cada detalle de un inicio de sesión es registrado de manera continua en los registros de seguridad de los Controladores de Dominio del Directorio Activo. Esta información registrada en los Controladores de Dominio del Directorio

  • Requiere un nivel de expertise para entender lo que implica – entendimiento  de número de eventos específicos y su correlación con la acción de registro de Acceso.
  • Es grande en volumen – cada actividad de inicio de sesión/por cualquier objeto del Directorio Activo es registrado de manera continua en el Controlador de Dominio y este registro de eventos se acumula hasta llegar a ser un gran volumen de información.
  • Se tiene  acceso restringido – El Controlador de Dominio en un componente crítico de la infraestructura del Directorio Activo y el acceso es limitado a usuarios administrativos selectos.

Otras limitaciones del Directorio Activo nativo incluyen la imposibilidad de tener usuarios no administradores como los auditores, gerentes y personal de recursos humanos para dar seguimiento a cualquier acción deseada de registro de Acceso. Algunos eventos críticos de los registros de Acceso como tener un inicio de sesión a un Controlador de Dominio o Servidor Miembro requieren alertas inmediatas o supervisión continua. Esta información crítica aunque es registrada no tiene la diferenciación o agrupamiento necesario de un registro de eventos normal y se tienen una mayor posibilidad de ser desatendida.

Solución de Auditoría de Registros de Acceso en Tiempo Real

Dar seguimiento a las actividades de inicio de sesión de cuenta, dentro de una red entera de Directorio  Activo es casi imposible, de un sistema a la vez. Los reportes de auditoría del registro de Acceso de usuario en tiempo real de ADAudit Plus listan todas las acciones de inicio de sesión de los usuarios un único reporte. Esto es posible visualizarlo desde una consola central web en una fracción de tiempo. En la información de registro de Acceso es muy importante se entienda/identifique la autenticidad del registro de los objetos de usuarios en el dominio.

AdAudit Plus provee Reportes de Registro de Acceso en relación a inicios de sesión fallidas, Actividades de Registro de Acceso de Controladores de Dominio, Servidores Miembro, Estaciones de Trabajo, Usuarios, Actividades Recientes, y último Registro de Acceso en Estaciones de Trabajo. Más allá todavía,  la solución de auditoría de Inicios de Sesión actúa como una herramienta indispensable para facilitar la auditoría de registros de eventos específicos, de actividades de registro de Acceso actuales y anteriores, listando todas las modificaciones a es registros. Todo esto mediante un interfaz web entendible que despliega información estadística mediante cuadros, gráficas y una vista de listados de reportes pre configurados y personalizables.

Reportes de Auditoría de los Registros de Acceso en ADAudit Plus


  • Reporte de Registros de Acceso Fallidos
  • Actividad de Registro de Acceso en Controladores de Dominio
  • Actividad de Registro de Acceso en Servidores Miembros
  • Actividad de Registro de Acceso en Estaciones de Trabajo
  • Actividad de Registro de Acceso del Usuario
  • Actividad Reciente de Registro de Acceso del Usuario
  • Último Registro de Acceso a las Estaciones de Trabajo
  • Registros de Acceso RADIUS en Computadoras


Reporte de Registros de Acceso Fallidos

El Reporte de Registros de Acceso Fallidos provee información en relación a los inicio de sesión fallidos y a la razón por la cual se dió, en un periodo de tiempo seleccionado. Se reporta los múltiples intentos con inicio de sesión fallidos en las cuentas de usuarios. Esto proporciona información a los administradores de posibles ataques a cuentas “susceptibles de ataques por intrusos”. La información de Registro de Accesos fallidos, se proporciona tanto si falla un inicio de sesión o el registro de Acceso a una cuenta, así como las causas posibles de la falla.

logon-failuresLas razones del Registro de Acceso fallido, pudieran ser críticas como un Mal Nombre de Usuario, una Mala Contraseña que son susceptibles de ataques. Razones que requieren ser atendidas por el Administrador son “Contraseña Expirada”, “Cuenta deshabilitada/expirada/bloqueada” o “El Administrador debe restablecer la contraseña en la cuenta”. También se informan otras razones como “Restricción en Estación de Trabajo/Tiempo de Inicio de Sesión, “La Cuenta de Nuevo Equipo no ha sido replicada todavía” o “La computadora es pre-w2k” y “El tiempo en la estación de trabajo no está en sincronía con el tiempo de los Controladores de Dominio”.

Se proporciona una representación Gráfica del número de Inicios de Sesión fallidos VS la razón de la falla, apoyando al administrador a tomar decisiones rápidas y administrar de manera efectiva.

Actividad de Registro de Acceso en Controladores de Dominio

domain-controller-logon-activity

Los controladores de Dominio son componentes críticos centrales en el Directorio Activo de donde se efectúan las modificaciones a este. El Registro de Acceso al Controlador de  Dominio se restringe a usuarios Administradores o Privilegiados y se tiene un completo registro de los intentos de inicio de sesión realizados por otros usuarios, para mantener equipados a los administradores con la información necesaria para tomar medidas correctivas. ADAudit Plus apoya proveyendo información de todos los usuarios que se han tenido un inicio de sesión de cualquier Controlador de Dominio seleccionado. Se reportan los detalles, como el tiempo de inicio de sesión, de donde se realizó (Nombre de la Máquina), el éxito o la falla de este intento de registro de Acceso y la razón de la falla, si esta ocurre.

Actividad de Registro de Acceso en Servidores Miembros y Estaciones de Trabajo

domain-controller-logon-activityLa Actividad de Registro de Acceso en Servidores Miembros y Estaciones de Trabajo proveen información en relación al inicio de sesión del usuario en Servidores Miembro o Estaciones de Trabajo. Ambos reportes funcionan de manera similar al Reporte de “Actividad de Registro de Acceso en Controladores de Dominio”  haciendo el manejo y entendimiento del softwate una suave brisa.

 

 Actividad de Registro de Acceso del Usuario

user-logon-activity

El reporte de Registro de Acceso del Usuario provee información auditable del historial completo de los inicios de sesión en los “Servidores” o “Estaciones de Trabajo” que se acceden por un Usuario de dominio seleccionado. El historial de los registros de Acceso de los objetos es muy importante para entender el patrón de inicio de sesión para un usuario seleccionado y en otros casos para proporcionar pruebas registradas a auditores/gerentes sobre cualquier usuario.

Actividad Reciente de Registro de Acceso del Usuario

recent-user-logon-activity

El administrador del Sistema se preocupa o duda de las irregularidades en el uso de la red por los usuarios. Los intentos fallidos de inicio de sesión es un indicador o medida que puntualiza una irregularidad. El reporte de Actividad Reciente de Registro de Acceso del Usuario de ADAudit Plus lista todas las actividades de registro de Acceso exitosas y fallidas dentro de un lapso de tiempo seleccionado. Se provee la razón de la falla para remarcar esto, y tomar medidas correctivas.

Lista los usuarios que iniciaron sesión en la red de manera exitosa en un día dado, de cualquier fecha o sobre un periodo de tiempo determinado.

 

Último Registro de Acceso a las Estaciones de Trabajo

last-logon-on-workstations

Este reporte lista información en relación al tiempo del último registro de Acceso a una Estación de Trabajo o Computadora, de todos los usuarios que han iniciado sesión de manera exitosa. Este reporte  pudiera determinar ausentismo o el estatus de disponibilidad actual de los usuarios en la organización.

Monitoree el Registro de Acceso RADIUS en Computadoras

radius-user-logon-activityAudite el acceso de los Servicios de Autenticación Remota de llamadas de usuarios (RADIUS) por un usuario que inicia sesión en una computadora remota. Con reportes de usuarios con registro de Acceso remoto como  Registro de Acceso fallido RADIUS e Historial de Registro de Acceso RADIUS (NPS), supervise todas las autenticaciones RADIUS en el Directorio Activo. Es importante hacer notar, que actualmente, solo se soportan las actividades del registro de Acceso RADIUS vía el Servidor de Políticas de Red (Windows Server 2008).

 

 

 

video testimonio

Algunos de Nuestros Clientes de AD-Audit Plus