Comment faire pour vérifier les mappages IP de l'utilisateur sur un serveur AD
Resolution
Ce document explique comment vérifier les mappages IP de l'utilisateur sur le serveur d'annonces.
Sur le serveur publicitaire, nous devons créer un affichage personnalisé et filtrer avec l'ID d'événement 4624.
ID d'événement 4624
Cet événement est généré lors de la création d'une session de connexion. Il est généré sur l'ordinateur qui a été accédé. Cet événement est contrôlé par la stratégie de sécurité définissant les événements d'ouverture de session d'audit.
Maintenant que vous avez votre journal centralisé, vous pouvez configurer la façon dont vous souhaitez afficher les informations. Considérez que vous pourriez avoir des milliers d'événements différents enregistrés, avec des centaines d'ID d'événement. Vous ne voudriez pas essayer de passer au crible tous ces événements à la recherche de ces événements qui répondent à un ID d'événement spécifique. Tu n'as pas à faire ça!
Cliquez sur l'une des vérifications. Là, vous devriez être en mesure d'afficher le nom d'utilisateur ainsi que l'adresse IP qui lui est associée.
Voici l'exemple de journal d'audit:
Un compte a été connecté avec succès.
Objet :
ID de sécurité: null sid
Nom du compte:-
Domaine de compte:-
Identifiant de connexion: 0x0
Type d'ouverture de session: 3
Nouvelle ouverture de session:
ID de sécurité: CSSPAN\administrator
Nom du compte: administrateur
Domaine de compte: CSSPAN
ID d'ouverture de session: 0x19383cb1
GUID d'ouverture de session: {00000000-0000-0000-0000-000000000000}
Informations sur le processus:
ID du processus: 0x0
Nom du processus:-
Informations réseau:
Nom du poste de travail: CHNLAB-FW57
Adresse réseau source: 10.50.243.57
Port source: 33960
Informations d'authentification détaillées:
Processus d'ouverture de session: NTLMSSP
Package d'authentification: NTLM
Services en transit:-
Nom du package (NTLM uniquement): NTLM v2
Longueur de clé: 128
Les champs objet indiquent le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service tel que le service serveur ou d'un processus local tel que Winlogon. exe ou services. exe.
Le champ type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau).
Les nouveaux champs d'ouverture de session indiquent le compte pour lequel la nouvelle ouverture de session a été créée, c'est-à-dire le compte qui a été connecté.
Les champs réseau indiquent l'origine d'une demande d'ouverture de session distante. Le nom du poste de travail n'est pas toujours disponible et peut être laissé en blanc dans certains cas.
Les champs informations d'authentification fournissent des informations détaillées sur cette demande d'ouverture de session spécifique.
-Le GUID d'ouverture de session est un identificateur unique qui peut être utilisé pour corréler cet événement avec un événement KDC.
-Les services transités indiquent quels services intermédiaires ont participé à cette demande d'ouverture de session.
-Le nom du paquet indique quel sous-protocole a été utilisé parmi les protocoles NTLM.
-La longueur de la clé indique la longueur de la clé de session générée. Ce sera 0 si aucune clé de session n'a été demandée