下面列出了审核Active Directory环境时一些最常见的认知错误。
一、失败的用户登录尝试
通常情况下,IT管理员无法跟踪那些未能成功登录到公司网络资源的用户。所以大家常见的一种误解是,由于用户未能登录到公司网络,所以他们将无法访问内部网络资源,因此也不会对组织的网络安全构成威胁。
值得一提的是这些失败的登录尝试恰恰可以作为分析网络安全攻击的一个极好的指标。
二、分析失败的登录尝试可以帮助您
衡量密码策略管理的有效性
如果发现用户登录失败次数非常多,比较普遍,可能表明公司密码策略不太严格。监控失败的登录尝试有助于组织衡量和加强活动目录密码管理策略,防止不必要的用户帐户锁定事件发生,降低网络安全风险。
发现经常忘记密码的用户
跟踪登录尝试事件便于发现那些疏于管理账户密码的用户,不重视自己的账户密码可能会给整个组织带来网络安全威胁。 组织应定期举办网络安全培训课程,向员工说明如果违反组织密码策略将会带来什么样的严重后果。
检测持续的暴力攻击行为
任何密码猜测攻击(例如暴力破解)都会使用试错法来发现正确的密码组合或密钥。 来自同一 IP 地址的持续失败登录尝试是发现攻击者恶意访问您网络资源的一个可靠指标。
三、卓豪ADAudit Plus能帮助您什么?
用户登录失败报告审计
审核和统计失败的用户登录尝试报告,包括哪些用户账户何时何地以及从何处登录的详细信息。
根据 IP 地址、登录时间和用户名等信息检查和定位多次失败的登录尝试。
当监控到短时间内有多次失败的登录尝试时立即触发响应机制抵制威胁。
