none
Auditoria de conta de usuário RRS feed

  • Pergunta

  • Boa tarde.

    Gostaria de saber como devo proceder para auditar uma conta de usuário?

    Pergunto porque temos uma politica que após 3 tentativas com senha incorreta, a conta bloqueia.

    Porém temos uma conta (diretoria) que sempre esta bloqueando de madrugada. 

    Preciso descobrir de onde estão tentando fazer o logon.

    Podem ajudar?



    Anderson Hoffmann - Analista de TI - MCP | MTA | MCDST | MCSA | MCTS | MOS | ITILv3F | ISFS | CLOUDF | CI-SCS | Microsoft Specialist



    sexta-feira, 6 de fevereiro de 2015 15:51

Respostas

  • Anderson vc pode registrar os eventos 4625 Logon, ele registra se o usuário tentou acessar com usuário ou senha errada.

    Este registro irá retornar o Nome da máquina que esta tentando acessar, data e hora e usuário.

    Basta você ir Ferramentas Administrativas - Local Security Police - Local Policy - E botão direito em ' Audit logon events Properties' Propriedade escolha á opção Failure. Botão Aplicar

    Você pode registrar também "Audit Account logon events" e "Audit account management"

    Após fazer isso você verá os eventos na guia Security do Event Viewer.

    Aqui na empresa eu recebo todo dia um relatório capturando essas informações.

     

    sexta-feira, 6 de fevereiro de 2015 20:07

Todas as Respostas

  • Opa Anderson,

    Dentro da Default Domain Controller policy >> Configuração de Computador >> Configuração do Windows >> Configurações de Segurança >> Políticas Locais >> Política de Auditoria

    A Auditoria de Gerenciamento de Conta já deve mostrar quando a conta foi bloqueada e de onde (IP, se eu nao me engano);

    Depois, basta procurer nos logs de segurança de todos os controladores de domínio para verificar quando a conta foi bloqueada.

    De qualquer forma uma dica: Ele trocou a senha recentemente? verifique se existe alguma tarefa agendada configurada com a senha dele. Outra coisa que tem acontecido muito é alguém trocar a senha e não mudar a configuração de Active Sync do Celular. O cellular tenta autenticar até travar a senha. Neste caso, reconfigure o active sync dos dispositivos móveis, se ele costuma conectar em algum exchange ou outro serviço dentro da rede com sua conta de usuário.


    Cláudio Costa - http://claudio-costa.blogspot.com

    sexta-feira, 6 de fevereiro de 2015 19:14
    Moderador
  • Anderson vc pode registrar os eventos 4625 Logon, ele registra se o usuário tentou acessar com usuário ou senha errada.

    Este registro irá retornar o Nome da máquina que esta tentando acessar, data e hora e usuário.

    Basta você ir Ferramentas Administrativas - Local Security Police - Local Policy - E botão direito em ' Audit logon events Properties' Propriedade escolha á opção Failure. Botão Aplicar

    Você pode registrar também "Audit Account logon events" e "Audit account management"

    Após fazer isso você verá os eventos na guia Security do Event Viewer.

    Aqui na empresa eu recebo todo dia um relatório capturando essas informações.

     

    sexta-feira, 6 de fevereiro de 2015 20:07
  • A ideia da Fabiana é melhor mesmo do que auditar o Gerenciamento de Conta. Só complementando uma informação, existe uma diferença do logon events para o account logon eventos. Os dois registram as tentativas de logon, mas o Logon Events registra as tentativas locais de logon. Os eventos vão ser registrados na estação em que o logon foi tentado. O Account Logon Events, nos Controladores de Domínio, vai registrar todas as tentativas de logon que chegaram nos controladores domínio via rede. Acho que esta é a melhor opção para o que você quer. 

    O Account Management não vai registrar a tentativa de logon, apenas o momento que ela foi alterada (bloqueada). Acho que o Audit Account Logon é a melhor saída, pois já vai te mostrar todas as vezes que a tentativa foi negada. 


    Cláudio Costa - http://claudio-costa.blogspot.com

    sábado, 7 de fevereiro de 2015 13:41
    Moderador
  • Pessoal!

    Muito obrigado pelas dicas!

    Irei segui-las ;-)


    Anderson Hoffmann - Analista de TI - MCP | MTA | MCDST | MCSA | MCTS | MOS | ITILv3F | ISFS | CLOUDF | CI-SCS | Microsoft Specialist

    terça-feira, 10 de março de 2015 13:09