Назад | Перейти на главную страницу

Ведение журнала всех неудачных попыток аутентификации в Active Directory

Мне нужно регистрировать все неудачные попытки аутентификации в моем домене Active Directory. Внешнее приложение связывается с MS AD через LDAPS и использует AD для запросов аутентификации пользователей.

Когда используется неправильный пользователь или пароль, я не вижу событий аудита в средстве просмотра событий DC (Журналы Windows> Безопасность).

Я протестировал базовые сценарии, чтобы попытаться понять, что подвергается аудиту:

  1. RDP к DC с использованием действительного имени пользователя, но неправильного пароля. Новых событий аудита нет. Зачем?
  2. RDP к DC с использованием несуществующего имени пользователя. Да! Ошибка аудита регистрируется с идентификатором события 4625 «Неизвестное имя пользователя или неверный пароль».
  3. RDP к DC с использованием «тестового» имени пользователя, которое существует в AD, но учетная запись отключена. Новых событий аудита нет. Зачем?

Как я могу регистрировать все перечисленные выше события? В конечном итоге мне нужно регистрировать неудачные попытки аутентификации из внешнего приложения, которое аутентифицируется в моем AD с использованием учетных данных домена.

Нужно ли мне включать расширенный аудит?

Необходима ли пересылка событий?

Чтобы включить ведение журнала неудачных попыток, вам необходимо использовать «Расширенная конфигурация политики аудита» в редакторе управления групповой политикой, чтобы включить регистрацию успешных и неудачных попыток входа в систему.

  1. Перейдите в «Пуск> Выполнить» и введите gpmc.msc, затем нажмите OK.
  2. Щелкните правой кнопкой мыши «Политика домена по умолчанию» и выберите «Изменить».
  3. Перейдите в «Конфигурация компьютера> Политики> Параметры Windows> Параметры безопасности> Конфигурация расширенной политики аудита> Политики аудита> Вход / выход».
  4. Установите для параметра «Аудит входа в систему» ​​значение «Успех» и «Ошибка».
  5. Закройте Управление групповой политикой.

Это позволит регистрировать успешные и неудачные попытки входа в систему. Если вы хотите регистрировать только неудачные попытки, просто выберите Failure only на шаге 4.