Cómo detectar la última fecha de inicio de sesión de cada usuario de Active Directory
Netwrix Auditor para Active Directory
- Ejecute Netwrix Auditor → Vaya a “Informes” → Despliegue la sección “Active Directory” → Acceda a “Active Directory – Estado en el Tiempo” → Seleccione “Cuentas de Usuario - Última Hora de Inicio de Sesión” → Haga clic en “Ver”.
Si desea recibir este informe por correo electrónico de manera regular, simplemente elija la opción "Suscribirse" y defina el horario y los destinatarios.
Aprende más sobre Netwrix Auditor para Active Directory
Auditoría Nativa
- Abra Powershell ISE.
- Cree un nuevo script con el siguiente código, definiendo el valor “$Path”, y luego ejecute el script.
$Path = 'C:\Temp\LastLogon.csv'
Get-ADUser -Filter {enabled -eq $true} -Properties LastLogonTimeStamp |
Select-Object Name,@{Name="Stamp"; Expression={[DateTime]::FromFileTime($_.lastLogonTimestamp).ToString('yyyy-MM-dd_hh:mm:ss')}} | Export-Csv -Path $Path –notypeinformation
- Abra el archivo generado por el script en MS Excel.
Ejemplo de Reporte:
Asegure su infraestructura identificando el último inicio de sesión de cada usuario en Active Directory
Revisar regularmente la información sobre la última fecha de inicio de sesión de cada usuario en Active Directory puede ayudarlo a detectar y eliminar vulnerabilidades en toda la infraestructura de TI de su organización. Cada vez que un usuario inicia sesión, el valor del atributo Last-Logon-Timestamp es fijado por el controlador de dominio. Con la fecha del último inicio de sesión en mano, los administradores de TI pueden identificar fácilmente cuentas inactivas y luego deshabilitarlas, minimizando así el riesgo de intentos no autorizados de iniciar sesión en los sistemas de TI de la organización. Auditar regularmente las fechas de último inicio de sesión de los usuarios en Active Directory es una manera eficiente de detectar cuentas inactivas y prevenir que se conviertan en cebo para atacantes.
Netwrix Auditor for Active Directory permite a los profesionales de TI obtener información detallada sobre toda la actividad en Active Directory, incluyendo la última hora de inicio de sesión para cada cuenta de usuario de Active Directory. La solución incluye informes preconstruidos y completos que simplifican supervisión de inicios de sesión y ayudan a los profesionales de TI a rastrear la última vez que los usuarios iniciaron sesión en el sistema. En particular, el informe de Cuentas de Usuario - Última Hora de Inicio de Sesión enumera todas las cuentas de usuario — tanto habilitadas como deshabilitadas — con la ruta y la última hora de inicio de sesión para cada cuenta. Este informe ayuda a los profesionales de TI a identificar cuentas inactivas que son posibles brechas de seguridad porque podrían ser utilizadas como cuentas traseras por atacantes. La función de suscripción a informes permite a los administradores de TI recibir el informe automáticamente por correo electrónico en el horario que especifiquen, facilitando la revisión regular de acuerdo con las mejores prácticas y permitiéndoles eliminar las vulnerabilidades del sistema de manera más eficiente.
Compartir en