• 1

Monitoreo en Tiempo Real de las Acciones de Registro de Acceso (Inicio de Sesión) de los Usuarios

El iniciar sesión en los equipos de dominio, en el día a día, es una actividad común que ocurre en cualquier empresa. En otro contexto pudiera parecer un simple evento del Directorio Activo pero para los administradores asignados, con distintos roles, la información que se deriva de esto, se puede utilizar para diversas auditorías, cumplimiento, y necesidades operativas. Las organizaciones requieren detalles de auditoría en tiempo real en relación a los inicios de sesión de Usuarios para una o más necesidades operativas que se mencionan:

  • Verificar el absentismo/asistencia de los empleados en un intervalo dado de tiempo/cada mes.
  • Determinar el total de usuarios que tienen acceso a la Red del Directorio Activo en un momento dado.
  • Usuarios puntuales que tienen acceso a las Estaciones de Trabajo o a los Controladores de Dominio mediante un equipo remoto.
  • Determinar horas picos de inicio de sesión para todos los usuarios en el dominio.
  • Identificar quien ha tenido el último registro de acceso  a un equipo crítico del dominio.
  • Se validará si algún usuario (malicioso) está intentando realizar un inicio de sesión en las máquinas en la que el/ella no tiene privilegios para hacerlo. (Por ejemplo: un inicio de Sesión en Controlador de Dominio/Servidor Miembro en el Directorio Activo requerirá privilegios elevados).
  • Visualizar el historial completo de cualquier usuario en el dominio, por ejemplo: Contar con evidencia cuando se cuestione a un empleado sospechoso, los objetos de dominio del Directorio Activo como computadoras, grupos y otras cuentas de usuario, que el empleado ha administrado, accedido o modificado durante su conexión.

Adicionalmente a lo ya listado, existen muchas más requerimientos prácticos en la red del Directorio Activo que necesitan información auditable en relación a los inicios de sesión de las cuentas de dominio. Los reportes de Registro de Acceso de las cuentas de ADAudit Plus pueden utilizarse muy ventajosamente para superar los retos que implica una auditoría de registro de Accesos. Provee reportes pre-configurados en tiempo real para responder a los cuestionamientos que se dan dentro de una auditoría de este tipo, en el formato deseado, optimizando la experiencia de la auditoría del Directorio Activo. La funcionalidad de los reportes personalizados hacen al software mucho más solicitado, dado que es posible que cualquier acción de registro de Acceso pueda ser definida y vista como a un reporte.

¿Por qué el Directorio Activo se considera insuficiente para las Auditorías de los Registros de Acceso?

Cada detalle de un inicio de sesión es registrado de manera continua en los registros de seguridad de los Controladores de Dominio del Directorio Activo. Esta información registrada en los Controladores de Dominio del Directorio

  • Requiere un nivel de expertise para entender lo que implica – entendimiento  de número de eventos específicos y su correlación con la acción de registro de Acceso.
  • Es grande en volumen – cada actividad de inicio de sesión/por cualquier objeto del Directorio Activo es registrado de manera continua en el Controlador de Dominio y este registro de eventos se acumula hasta llegar a ser un gran volumen de información.
  • Se tiene  acceso restringido – El Controlador de Dominio en un componente crítico de la infraestructura del Directorio Activo y el acceso es limitado a usuarios administrativos selectos.

Otras limitaciones del Directorio Activo nativo incluyen la imposibilidad de tener usuarios no administradores como los auditores, gerentes y personal de recursos humanos para dar seguimiento a cualquier acción deseada de registro de Acceso. Algunos eventos críticos de los registros de Acceso como tener un inicio de sesión a un Controlador de Dominio o Servidor Miembro requieren alertas inmediatas o supervisión continua. Esta información crítica aunque es registrada no tiene la diferenciación o agrupamiento necesario de un registro de eventos normal y se tienen una mayor posibilidad de ser desatendida.

Solución de Auditoría de Registros de Acceso en Tiempo Real

Dar seguimiento a las actividades de inicio de sesión de cuenta, dentro de una red entera de Directorio  Activo es casi imposible, de un sistema a la vez. Los reportes de auditoría del registro de Acceso de usuario en tiempo real de ADAudit Plus listan todas las acciones de inicio de sesión de los usuarios un único reporte. Esto es posible visualizarlo desde una consola central web en una fracción de tiempo. En la información de registro de Acceso es muy importante se entienda/identifique la autenticidad del registro de los objetos de usuarios en el dominio.

AdAudit Plus provee Reportes de Registro de Acceso en relación a inicios de sesión fallidas, Actividades de Registro de Acceso de Controladores de Dominio, Servidores Miembro, Estaciones de Trabajo, Usuarios, Actividades Recientes, y último Registro de Acceso en Estaciones de Trabajo. Más allá todavía,  la solución de auditoría de Inicios de Sesión actúa como una herramienta indispensable para facilitar la auditoría de registros de eventos específicos, de actividades de registro de Acceso actuales y anteriores, listando todas las modificaciones a es registros. Todo esto mediante un interfaz web entendible que despliega información estadística mediante cuadros, gráficas y una vista de listados de reportes pre configurados y personalizables.

Reportes de Auditoría de los Registros de Acceso en ADAudit Plus


  • Reporte de Registros de Acceso Fallidos
  • Actividad de Registro de Acceso en Controladores de Dominio
  • Actividad de Registro de Acceso en Servidores Miembros
  • Actividad de Registro de Acceso en Estaciones de Trabajo
  • Actividad de Registro de Acceso del Usuario
  • Actividad Reciente de Registro de Acceso del Usuario
  • Último Registro de Acceso a las Estaciones de Trabajo
  • Registros de Acceso RADIUS en Computadoras


Reporte de Registros de Acceso Fallidos

El Reporte de Registros de Acceso Fallidos provee información en relación a los inicio de sesión fallidos y a la razón por la cual se dió, en un periodo de tiempo seleccionado. Se reporta los múltiples intentos con inicio de sesión fallidos en las cuentas de usuarios. Esto proporciona información a los administradores de posibles ataques a cuentas “susceptibles de ataques por intrusos”. La información de Registro de Accesos fallidos, se proporciona tanto si falla un inicio de sesión o el registro de Acceso a una cuenta, así como las causas posibles de la falla.

logon-failuresLas razones del Registro de Acceso fallido, pudieran ser críticas como un Mal Nombre de Usuario, una Mala Contraseña que son susceptibles de ataques. Razones que requieren ser atendidas por el Administrador son “Contraseña Expirada”, “Cuenta deshabilitada/expirada/bloqueada” o “El Administrador debe restablecer la contraseña en la cuenta”. También se informan otras razones como “Restricción en Estación de Trabajo/Tiempo de Inicio de Sesión, “La Cuenta de Nuevo Equipo no ha sido replicada todavía” o “La computadora es pre-w2k” y “El tiempo en la estación de trabajo no está en sincronía con el tiempo de los Controladores de Dominio”.

Se proporciona una representación Gráfica del número de Inicios de Sesión fallidos VS la razón de la falla, apoyando al administrador a tomar decisiones rápidas y administrar de manera efectiva.

Actividad de Registro de Acceso en Controladores de Dominio

domain-controller-logon-activity

Los controladores de Dominio son componentes críticos centrales en el Directorio Activo de donde se efectúan las modificaciones a este. El Registro de Acceso al Controlador de  Dominio se restringe a usuarios Administradores o Privilegiados y se tiene un completo registro de los intentos de inicio de sesión realizados por otros usuarios, para mantener equipados a los administradores con la información necesaria para tomar medidas correctivas. ADAudit Plus apoya proveyendo información de todos los usuarios que se han tenido un inicio de sesión de cualquier Controlador de Dominio seleccionado. Se reportan los detalles, como el tiempo de inicio de sesión, de donde se realizó (Nombre de la Máquina), el éxito o la falla de este intento de registro de Acceso y la razón de la falla, si esta ocurre.

Actividad de Registro de Acceso en Servidores Miembros y Estaciones de Trabajo

domain-controller-logon-activityLa Actividad de Registro de Acceso en Servidores Miembros y Estaciones de Trabajo proveen información en relación al inicio de sesión del usuario en Servidores Miembro o Estaciones de Trabajo. Ambos reportes funcionan de manera similar al Reporte de “Actividad de Registro de Acceso en Controladores de Dominio”  haciendo el manejo y entendimiento del softwate una suave brisa.

 

 Actividad de Registro de Acceso del Usuario

user-logon-activity

El reporte de Registro de Acceso del Usuario provee información auditable del historial completo de los inicios de sesión en los “Servidores” o “Estaciones de Trabajo” que se acceden por un Usuario de dominio seleccionado. El historial de los registros de Acceso de los objetos es muy importante para entender el patrón de inicio de sesión para un usuario seleccionado y en otros casos para proporcionar pruebas registradas a auditores/gerentes sobre cualquier usuario.

Actividad Reciente de Registro de Acceso del Usuario

recent-user-logon-activity

El administrador del Sistema se preocupa o duda de las irregularidades en el uso de la red por los usuarios. Los intentos fallidos de inicio de sesión es un indicador o medida que puntualiza una irregularidad. El reporte de Actividad Reciente de Registro de Acceso del Usuario de ADAudit Plus lista todas las actividades de registro de Acceso exitosas y fallidas dentro de un lapso de tiempo seleccionado. Se provee la razón de la falla para remarcar esto, y tomar medidas correctivas.

Lista los usuarios que iniciaron sesión en la red de manera exitosa en un día dado, de cualquier fecha o sobre un periodo de tiempo determinado.

 

Último Registro de Acceso a las Estaciones de Trabajo

last-logon-on-workstations

Este reporte lista información en relación al tiempo del último registro de Acceso a una Estación de Trabajo o Computadora, de todos los usuarios que han iniciado sesión de manera exitosa. Este reporte  pudiera determinar ausentismo o el estatus de disponibilidad actual de los usuarios en la organización.

Monitoree el Registro de Acceso RADIUS en Computadoras

radius-user-logon-activityAudite el acceso de los Servicios de Autenticación Remota de llamadas de usuarios (RADIUS) por un usuario que inicia sesión en una computadora remota. Con reportes de usuarios con registro de Acceso remoto como  Registro de Acceso fallido RADIUS e Historial de Registro de Acceso RADIUS (NPS), supervise todas las autenticaciones RADIUS en el Directorio Activo. Es importante hacer notar, que actualmente, solo se soportan las actividades del registro de Acceso RADIUS vía el Servidor de Políticas de Red (Windows Server 2008).

 

 

 

video testimonio

Algunos de Nuestros Clientes de AD-Audit Plus