「运维有小邓」Active Directory 审核指南

Active Directory和 AD组策略是任何 Microsoft Windows 环境的基础元素,因为它们在用户帐户管理身份验证、授权、访问管理和操作中发挥着关键作用。因系统运维主要做什么此,适当地 Ac安全事件感悟分享tive Directory 审计对于网络安全和合规性都至关重要。例如,windows更新有必要吗组织需要知道谁创建了新帐户,并通过查看用户和管理组成员的行为来密切关注访问权限。

但是,默认情况下,Active Directory 不会审核所有安全事件,您必microsoft edge须启用对重要事件的审核,以便将它们记录在安全事件日志中。本文提供在 Active D身份验证irectory 环境中设置审核的建议。

Active Directory审计

系统/运维、AD 审计入门

1、使用审计策略

指定要跟踪的系统事件和用户活动,使用 Active Directory安全事件是什么软件 组策略中的审核策略设置。例如,您可以在禁用用户账户或输入错误密码时记录所有事件。与其他组策略设置一样,审核是使用组策略管理控制台 (GPMC) 中的组策略管理编辑器 (GPME)身份验证器谷歌 工具配microsoft远程桌面置的。请注意,默认microsoft登录一直加载情况下,对于加入域的设备,事件类别的审核设置,设置为相对较低的最低级别,应进行细粒度审核。在域控制器上,审核通常会安全事件分享得到增强,但不一定达到您希望默认跟踪的级别。

要审核 Active Directory,您可以使用基本(本地)安全审核策略设置或高级安全审核策略设置,从而实现细粒度审核。Microsoft 不建议同时使用这两种方法,因为这会导致“审计报告中出现意microsoft登录一直加载外结果”。在大多数情况下安全事件案例,当您打开高级审核时,旧版审核将被忽略,即使您稍后关闭了高级审核。因此,如果您当前未执行任何审核,建议使用microsoft远程桌面高级审核。

可以通过计算机配置>策略 Windows 设置>安全设置>本地策略 审计策略来设置基本策略。

高级策microsoft登录一直加载略设置可在计算机配置>策略 → Windows 设置>高级审核策略配置>审核策略下找到。


                                            「运维有小邓」Active Directory 审核指南

AD域审计策略

2、审计政策范围

您可以为整个域和单个组织单位 (OU) 定义审核策略。请注意,在 OU 级别系统运维工程配置的设置具有比域级别设置更高的优先级,并且在发生冲突时将被覆盖。您可以使用auditpol命令行程序检查生windows11有必要升级吗成的策略。

3、配置安全日志

您还需要使用事件日志记录策略设置指定安全日志的大小和其他属性。要通过 GPME 更身份验证app改设置,可以调身份验证器谷歌整计算机配置>策略> Windows 设置>安全设置>事件日志,然后双击策略名称,例如“最大安全日志大小策略”或“保留安全日志”。根据 Microsoft 的说法,现代操作系统版本的推荐最大日志大小为 4Gb,所有日志的推荐最大总大小为 16Gb。您windows怎么激活可以使用事件查看器查看日志。


                                            「运维有小邓」Active Directory 审核指南

安全日志

4、跟踪哪些 AD 安全日志事件microsoft是什么意思

有效审计的关键是知道要记录哪microsoft365些事件。如果您跟踪的事件太多,您身份验证出现问题的日志将充满噪音干扰,影响判断,以至于难以分析,而且它们会很快覆盖自己。但是,如果您未能跟踪关键事件,您将无法检测恶意活动并调查安全事件。以下是建议的跟踪事件以达到适当的平衡。

❶审核账户登录事件

要检测未经授权地域登录尝试,有必要审核登录事件——成功和失败。审核账户登录事件提供了一种跟系统运维工作内容踪身份验证事件的方法,例如 NTLM 和 Ker安全事件案例beros 身份验证。它不应与审核登录事件混淆,后者定义了对每个用户尝试登录或注销计算机的审核,如下一节所述。

以下是高级审核账户登录事件策略的microsoft账户推荐设置:

审核凭证验证:失败

审核 Kerberos 身份验证服务:成功、失败

microsoft账户核 Kerberos 服务票证操作:失败

审核其他账户登录事件:成功、失败

请注意,域控制器windows更新有必要吗上不会跟踪注销事件,除非您实际登录到该特定域控制器。


                                            「运维有小邓」Active Directory 审核指南

登录事件

❷审核登录事件

此策略可以记录登录系统运维主要做什么或注销本地计算安全事件分享机的所有成功和失败尝试,无论是使用域账户还是本地帐户。此microsoft账户登录一直转圈信息对于入侵者检测和事件安全事件是指什么后取证很有用。Microsoft 提供了可以记录的各microsoft账号注册种事件 ID的描述。

推荐的最低高microsoft账户登录一直转圈级设置是:

审计账户锁定:成功、失败

审计组成员:成功

审核注销:成功、失败

审核登录:成功、失败

审计特殊登录:成功、失败


                                            「运维有小邓」Active Directory 审核指南

AD域账户管理

❸帐户系统运维主要做什么管理

仔细监控用户账户的所有更改有助于将业务中断和系统不可用的风险降至最低。

至少,建议将基本审计账户管理策略设置为“成功”。如系统/运维果您使用高级审核策略,请将它们设置如下:

审计应用程序组管理:成功、失败

审计计算机账户管理:成功

审计分发组管理:成microsoft账户

审计其他客户管理事件:成功

审计安全组管理:成功

审计用户账户管理:成功、失败

❹目录服务访问

当您需要查看某人何时访问具有自己的系统访问控制列表(例如,OUwindows键是哪个)的 AD 对象时才监控此内容。在这种情况下,建议配置以下设置:身份验证器谷歌

审核目录服务访问:成功、失败

审核目录服务更改:成功、失败

❺对象访问

当您需要查看某人安全事件何时使用特权访问、复制、分发、修改或删除文件服务器上的文件时才进行审核。启用此设置会生成大量安全日志条目,因此仅当windows10您对该数据有windows11有必要升级吗特定用途时才使用它。推荐的高级设置是:

审核详细文件共享:失败

审计文件共享:成功、失败

审计其他对象访问事件:成功、失败

审核可移动存储:成功、失败


                                            「运维有小邓」Active Directory 审核指南

访问对象身份验证

❺政策变化

对 GPO 的不当更改可能导致安全事件和违反数据隐私要求。为降低风险,请设置以下高级设置:

审计政策变更:成功,失败

审核身份验证策略更改:成功、失系统/运维

审核 MPSSVC 规则级策略更改:成功、失败

审核其他策略更改事件:失败

❻特权使用

当您要跟踪正在使用的每个用户microsoft是什么意思权限实例时才启用此功能。启用此策略可能会在您的安全日志中生成大量条目,因此只有在您对该数据有特定用途时才这样做。要启用此策略,请配置以下内容:

审计敏感权限使用:成功、失败

过程跟踪(有时称为详细跟踪)

仅在高级审计策略中可用,此设置侧重于与流程相关的审计windows10事件,例如流程创建、流windows11有必要升级吗程终止、句柄复制和间接对象访问。它对事件安全事件反思调查很有用,但身份验证器它会生成大系统运维是干嘛的量安全日志,安全事件是指什么因此只有在您对数据有特定身份验证器安卓版下载用途时才启用它。推荐的设置是:

审计 PNP 活动:成功

审核流程创建:成功

❼系统

明智的做法是记录所microsoft账户有启动、关闭或重新启动计算机的尝试,以及进程或程序执行其无权执行的操作的所有尝试,例如试图更改您的设置的恶意软件计算机。推荐的高级设置是:

审核安全状态更改:成功、失败

审计其他系统事件:成功、失败

审计系统完整性:成功,失败

审计安全系统扩展:成功


                                            「运维有小邓」Active Directory 审核指南

ADAudit Plus

以上就是分享给大家的一些AD域审计知识,其过程非常繁琐,microsoft edge极大增加了管理员的工作压力,并且其中还存在着很多无法进行判断分析的模糊日志。因此目前企业的AD域审计工作我们都利用工具windows10激活密钥来完成。身份验证出现问题是怎么回事

ADAudit Plus是一款活动目录变更和报告软件。通过提取windows中的安全日志,对活动目录中microsoft远程桌面的所有活动及操作进行判断。明确AD域内谁干了什么,谁没干什么。对用户的一些删除,创建,修改,重置等动作进行统计。通过相关分析确定用户行为是否合规。

在日常工作中为了安全事件记录怎么删除工作的正常进行,管理员经常需要对权限进行相应分配。但安全事件用户分配到权限后,很可能因为误操或有意破坏,在活动目录中执行非合法行操作。这时我们即可通过A系统运维是干嘛的DAudit Plus对window身份验证出现问题s安全日志进行分析,通过安全事件级别分类生成的各类报表轻松锁定权限所有人,以便对其进行处理。

ADAudit Plus对企业AD域的安全维护具有重要作用安全事件。其生成的海量报表完全让用户行为可视化。轻松解决企业AD管理合安全事件记录怎么删除规问题。