Die Konsolen-Anmeldeverfolgung zeichnet alle Anmeldeaktivitäten (interaktive Anmeldungen und Terminaldienste-Anmeldungen) in einer zentralen Datenbank auf und dient der Überwachung der Anmeldungsnutzung auf Workstations und Servern. Die gesammelten Informationen können über die Web-Reports abgefragt werden, um Informationen zu erhalten wie
• Welcher Benutzer hat sich auf welchem Computer angemeldet
• Wie lange der Benutzer angemeldet war
• Kumulative Informationen wie z.B. wie lange ein Benutzer im Laufe eines Zeitraums angemeldet war
Anforderungen
Diese Funktion funktioniert durch Abfangen von Audit-Erfolgsereignissen, die in das Sicherheitsereignisprotokoll geschrieben werden, wenn Audit-Anmeldeereignisse in der lokalen Sicherheitsrichtlinie des überwachten Hosts aktiviert ist. Daher müssen einige Voraussetzungen erfüllt sein, bevor die Anmeldeverfolgung ordnungsgemäß funktionieren kann. Einzelheiten finden Sie unter Anforderungen.
|
Windows zeichnet An- und Abmeldeaktivitäten nur auf dem Host auf, auf dem sich der Benutzer tatsächlich anmeldet. Wenn Sie das An- und Abmelden aller Benutzer in einer Domänenumgebung überwachen wollen, müssen Sie die EventSentry Agent auf allen Computern, auf denen sich Benutzer anmelden können, einschließlich aller Arbeitsstationen. Sie werden nicht in der Lage sein, alle An- und vor allem Abmeldeaktivitäten zu verfolgen, indem Agenten nur auf dem/den Domänencontroller(n) installiert werden. Dies ist keine Einschränkung von EventSentry, sondern von Windows selbst. |
Gesammelte Daten
EventSentry sammelt die folgenden Anmeldeinformationen auf allen unterstützten Windows-Plattformen:
Bereich |
Beschreibung |
Anmeldungs-Typ |
"Konsole" oder "Terminaldienste" |
Anmelde-ID |
Eine eindeutige hexadezimale Zahl, die die Anmeldung an der Maschine identifiziert |
Computer |
Der Computer, auf dem sich der Benutzer angemeldet hat |
Gruppe |
Die Gruppe, in der der Computer Mitglied ist |
Benutzername |
Benutzername des Benutzers, der sich an-/abgemeldet hat |
Bereich |
Domäne (oder Computername) des Benutzers, der sich an-/abgemeldet hat |
Logon-Privilegien |
ob der Benutzer ein lokaler Administrator ist |
Login Datum / Uhrzeit |
Datum und Uhrzeit, zu der sich der Benutzer angemeldet hat |
Abmeldedatum/-zeit |
Datum und Uhrzeit der Abmeldung des Benutzers |
Dauer |
Die Zeitspanne, in der der Benutzer angemeldet war |
Datenschutz
Da das Sammeln von Anmeldedaten die Aktivitäten eines Benutzers bis zu einem gewissen Grad nachverfolgt, müssen Sie dennoch sicherstellen, dass das Sammeln dieser Daten nicht die geltenden Unternehmensrichtlinien oder Gesetze beeinträchtigt oder gegen diese verstößt.
Konfiguration
Alle Benutzer verfolgen (mit Ausnahmen)
Wählen Sie "Alle Benutzer außer den unten aufgeführten verfolgen", um alle Anmeldungen zu überwachen. Um Benutzer auszuschließen, klicken Sie auf die Schaltfläche "+" und geben Sie den Benutzernamen oder einen Teil des auszuschließenden Benutzernamens an.
Nur ausgewählte Benutzer verfolgen
Wählen Sie "Nur unten aufgeführte Benutzer verfolgen" und klicken Sie auf die Schaltfläche +, um Benutzer, die verfolgt werden sollen, zur Liste hinzuzufügen.
Nur administrative Benutzeranmeldungen verfolgen
Wenn dieses Kontrollkästchen aktiviert ist, wird eine Konsolenanmeldung nur dann verfolgt, wenn der sich anmeldende Benutzer Teil der lokalen Gruppe "Administratoren" ist - entweder direkt oder durch verschachtelte Gruppenmitgliedschaft.
Aktivieren der Anmeldeverfolgung im Betriebssystem
Da die Anmeldeverfolgung im Betriebssystem aktiviert sein muss, können Sie den Agent so konfigurieren, dass er automatisch aktiviert wird, wenn er nicht bereits aktiviert ist. Bitte beachten Sie die Anforderungen für weitere Informationen.
Datenbank
Wählen Sie eine Datenbankaktion, in der die Anmeldedaten gespeichert werden sollen.
RDP Gateway Servers
Bei der Verwendung von RDP-Gateway-Servern kann %PRODUCT% die tatsächliche Remote-IP-Adresse des Clients melden, der sich über den Gateway-Server verbindet. Dies erfordert die folgenden Anforderungen:
1. Das Ereignisprotokoll "Microsoft-Windows-TerminalServices-Gateway" wird auf dem RDP-Gateway-Server überwacht und die Ereignisse werden in dieselbe Collector-aktivierte Datenbank geschrieben, die auch für die Konsolenverfolgung verwendet wird.
2. Der Collector ist aktiviert.
Wenn die oben genannten Voraussetzungen erfüllt sind, sollte die Spalte "Remote-IP" im Konsolenbericht die tatsächliche IP-Adresse des Remote-Clients anzeigen, der die RDP-Verbindung initiiert, und nicht die IP-Adresse des RDP-Gatewayservers.
