Lacak login akun yang berhasil menggunakan fitur audit Windows Server - Bagaimana-Untuk

Lacak login akun yang berhasil menggunakan fitur audit Windows Server

Meskipun otentikasi logon Windows dapat memberikan beberapa wawasan dan jaminan tentang siapa yang masuk, mungkin tidak bijaksana untuk mengandalkan ini saja. Idealnya, Anda harus memiliki alat audit dan pemantauan terus-menerus yang melaporkan dan mengingatkan aktivitas logon yang tidak normal dan penguncian akun. 'Cara' berikut ini memberikan ikhtisar cepat tentang cara melacak login yang berhasil menggunakan fitur Audit Server Windows, yang paling tidak akan membuat Anda berpisah di sana.
Sistem Operasi Windows Server memungkinkan administrator untuk melihat siapa yang telah masuk ke jaringan.

Prosedurnya sangat sederhana:

1. Konfigurasikan pengaturan kebijakan ‘Peristiwa log masuk akun’ dan ‘Peristiwa log masuk audit’
2. Lihat ID peristiwa yang relevan di log Keamanan Windows

7 Langkah total

Langkah 1: Buka Konsol Manajemen Kebijakan Grup


Buka Konsol Manajemen Kebijakan Grup (Mulai> Alat Administratif> Manajemen Kebijakan Grup).

Langkah 2: Klik kanan kebijakan Pengontrol Domain Default


Luaskan ke Hutan> Domain> domain> Pengontrol Domain. Klik kanan kebijakan Pengontrol Domain Default; klik Edit.

Langkah 3: Perluas ke Konfigurasi Komputer


Di Editor Manajemen Kebijakan Grup, perluas Konfigurasi Komputer> Kebijakan> Pengaturan Windows> Pengaturan Keamanan> Kebijakan Lokal. Pilih Kebijakan Audit.

Langkah 4: Klik dua kali pada 'Acara log masuk akun audit'


Klik dua kali peristiwa masuk akun Audit. Di jendela Properti akun log masuk akun Audit, pilih Tentukan pengaturan ini dan pilih Sukses di bawah Audit upaya ini. Klik Terapkan dan OK.

Langkah 5: Klik dua kali pada 'Acara log masuk audit'


Klik dua kali Acara masuk audit. Di jendela Properti akun log masuk akun Audit, pilih Tentukan pengaturan ini dan pilih Sukses di bawah Audit upaya ini. Klik Terapkan dan OK.

Langkah 6: Buka Windows Event Viewer


Buka Windows Event Viewer (Mulai> Alat Administratif> Event Viewer). Buka Log Windows dan pilih Keamanan.

Langkah 7: Filter untuk ID acara 4624


Di Peraga Peristiwa, filter untuk ID peristiwa 4624. Beberapa ID yang relevan adalah:

4624 - Akun berhasil masuk
4634 - Sebuah akun keluar
4647 - Logoff yang dimulai pengguna
4768 - Tiket otentikasi Kerberos (TGT) diminta
4769 - Tiket layanan Kerberos diminta
4770 - Tiket layanan Kerberos diperbarui
4776 - Pengontrol domain berusaha untuk memvalidasi kredensial untuk akun

Audit log masuk proaktif sangat penting. Ini memastikan keamanan, membantu mengidentifikasi masalah manajemen sistem dan umumnya merupakan praktik yang baik. Meskipun penting untuk secara reaktif memeriksa log keamanan Windows, jika Anda melakukan ini, kemungkinan besar Anda sudah terlambat dan insiden telah terjadi. Mengikuti langkah-langkah ini akan memberi Anda tingkat audit proaktif ekstra yang akan membantu meningkatkan keamanan Anda.