Identity Management

Active Directory: Die WAHRE Datumsangabe der letzten Anmeldung ermitteln

 

In der Welt der Identitäts- und Zugriffsverwaltung (IAG) spielt das Datum der letzten Anmeldung eine zentrale Rolle. Mit dieser Information kann beispielsweise überprüft werden, ob ein ehemaliger Mitarbeiter sich möglicherweise nach seinem Ausscheiden noch einmal im Unternehmensnetzwerk angemeldet hat. Ganz allgemein lässt sich sagen: Um die Existenz von ruhenden Konten (also Konten, die über einen festgelegten Zeitraum hinweg aktiviert, aber nicht genutzt wurden) umfassend kontrollieren zu können, ist das Datum der letzten Anmeldung elementar und dient gleichermaßen der Einhaltung von IT-Richtlinien und der Kostenreduzierung.

Active Directory, aufgrund seiner weiten Verbreitung, ist ein klassisches Beispiel für die Nutzung dieses Datums der letzten Anmeldung. Wenn man allerdings die Eigenschaften eines Benutzerkontos detailliert auf der Administrationsoberfläche betrachtet, kann man feststellen, dass diese Information in zwei unterschiedlichen Attributen erscheint: „lastLogon“ und „lastLogonTimestamp“.

Warum erscheint diese Information zweimal?

Welche sollte für die Zugriffsanalyse bevorzugt werden?

Domänencontroller(s)

Fast systematisch und vor allem in größeren Unternehmen wird die Active Directory-Domäne des Unternehmens von mehreren Domänencontrollern verwaltet, um die Kontinuität der Dienste und eine bessere Ressourcenverwaltung zu gewährleisten. Diese Domänencontroller synchronisieren die Informationen in regelmäßigen Abständen miteinander. Dies wird als Domänencontroller-Replikation bezeichnet. Wenn sich ein Benutzer mit seinem Windows-Konto anmeldet, wird er auf einem dieser Domänencontroller authentifiziert.

Datum der letzten Anmeldung
Das Datum und die Uhrzeit der Anmeldung werden dann neben anderen Informationen aufgezeichnet. In Active Directory erscheinen diese Daten in zwei Attributen, die sich jeweils unterschiedlich verhalten:

  • lastLogon: Die letzte Anmeldung des Benutzers am Domänencontroller. Diese Daten werden nicht repliziert.

  • lastLogonTimestamp: Wert, der auf allen Domänencontrollern repliziert wird. Dieser Wert wird bei der Benutzeranmeldung aktualisiert, wenn die Differenz zu lastLogon größer als ca. 14 Tage ist („ca.“, da es sich konkret um “14 Tage minus einen zufällig generierten Prozentsatz von 5 Tagen” handelt, basierend auf den Standardeinstellungen in Active Directory).

Welcher Wert ist zu wählen?
Für die Zwecke der Zugriffsanalyse wird empfohlen, mit lastLogonTimestamp zu arbeiten, da dieser Wert im Laufe der Zeit eine stabilere Information liefert (trotz einer möglichen maximalen Lücke von 14 Tagen, standardmäßig). Wenn Sie unbedingt das genaue Datum der letzten Anmeldung eines Benutzers benötigen, müssten Sie alle lastLogon-Werte aus verschiedenen Domänen sammeln und dann einen Mechanismus implementieren, um den jüngsten Wert zu speichern. Im Allgemeinen wird allerdings die Wahl von lastLogonTimestamp für IAG aufgrund der Ausgewogenheit zwischen der Zuverlässigkeit der Informationen und der Geschwindigkeit der Verfügbarkeit bevorzugt.

 

Previous
Active Directory: LDIF - eine Extraktion, um sie alle zu beherrschen
Next
Mainframe & RACF: Sicherheit in der Zeit der Dinosaurier

Zugehörige Artikel

Mainframe & RACF: Sicherheit in der Zeit der Dinosaurier
Active Directory: LDIF - eine Extraktion, um sie alle zu...
Cybersecurity im Gesundheitswesen: “Neben dem finanziellen Aspekt spielen auch Humanressourcen...

Ähnliche Resourcen

DIGITAL TRUST UND DIE ROLLE VON PRIVILEGED ACCESS MANAGEMENT WP
Webinar-Serie: Identity & Access Control Fully loaded!
Zero-Trust-Cybersecurity