最新AD审核策略汇总Word下载.docx
《最新AD审核策略汇总Word下载.docx》由会员分享,可在线阅读,更多相关《最新AD审核策略汇总Word下载.docx(14页珍藏版)》请在冰豆网上搜索。
∙创建、更改或删除用户帐户或组。
∙重命名、禁用或启用用户帐户。
∙设置或更改密码。
∙默认值:
o域控制器上的成功。
审核目录服务访问
该安全设置确定是否审核用户访问那些指定自己的系统访问控制列表(SACL)的ActiveDirectory对象的事件。
默认情况下,在“默认域控制器组策略对象(GPO)”中该值设置为无审核,并且在该值没有任何意义的工作站和服务器中,它保持未定义状态。
注意,通过使用某个ActiveDirectory对象“属性”对话框中的“安全”选项卡,可以设置该对象的SACL。
该操作与审核对象访问相同,只不过它仅应用于ActiveDirectory对象而不是文件系统和注册表对象。
默认值:
∙域控制器上的成功。
∙未定义成员计算机。
审核对象访问
该安全设置确定是否审核用户访问某个对象的事件,例如文件、文件夹、注册表项、打印机等,它们都有自己特定的系统访问控制列表(SACL)。
要将该值设置为“无审核”,请在该策略设置的“属性”对话框中,选中“定义这些策略设置”复选框,然后取消选中“成功”和“失败”复选框。
注意,在某个文件系统对象“属性”对话框中的“安全”选项卡上,可以设置该对象的SACL。
无审核。
审核系统事件
当用户重新启动或关闭计算机时或者对系统安全或安全日志有影响的事件发生时,该安全设置确定是否予以审核。
∙成员服务器上无审核。
上周在客户那里遇到了一件很郁闷的事,AD中的几个重要帐户被莫名其妙的删除了,而且很不幸的是其中之一正是OCS2007以及MOSS2007的服务帐户。
结果可想而知,由于即时消息系统以及内网外网门户协作平台全部瘫痪,IT部从早上就开始不断接到求助电话。
面对突然发生的灾难,IT管理员针对不同的恢复级别以及服务中断时间可能会有N种恢复方法,这些包括:
整个目录数据库的恢复、删除对象的恢复、OCS服务的恢复的以及MOSS的恢复等。
但是今天博文的重点不是上面所说的修复过程,因为就事情本身这首先是一个管理问题而后才是一个技术问题,或者说如果没有完善的管理规章基础再好的技术也不能发挥他应有的作用。
我们可以将整个事情简单的划分为4个步骤:
事件发现->
故障分析->
故障排除->
日志审核。
今天要介绍的就是其中的最后一步,如何通过日志查找引起此次故障的源头,看看是谁动了你的活动目录。
配置活动目录审核
在审核用户操作以前,我们首先需要在策略中开启审核设置,然后系统日志中才会记录相应的操作
帐户管理作为审核对象,因为在AD审核中,我们需要记录的操作,如:
创建帐户、删除帐户、禁用帐户、重设密码等都在这个范畴里。
配置审核用户操作
配置过对DC的审核后,我们可以对需要进行审核的帐户以及审核的操作进行设置
首先打开AD用户和计算机,在查看中打开高级功能选项,在默认设置下是无法对审核进行设置的
我要在域内配置审核,因此在ocstest.test上点击属性,在实际应用中,我们也可以对某个重要OU容器进行审核
默认策略对DomainUsers组进行审核,也就是审核所有用户的操作,为了方便演示我将系统审核项目删除,并且添加一条对于用户董君的审核记录
在审核项目管理员还可以对审核的对象和属性进一步进行筛选,这样做的好处是可以降低DC的压力
首先做一个删除用户的操作
在日志的安全性日志中经过刷新出现如下新日志。
打开这条日志,我们发现刚才的操作已经被审核日志记录下来了,通过日志我们可以知道,在2008年10月27日中午13:
47:
09秒用户jun.dong删除了用户fumin
并且我们可以发现由于刚才的日志,现在系统只记录用户jun.dong的帐户管理操作了
我们再对用户重设密码,看看日志是否记录
审核日志依然完整无误的记录了我的操作
除了帐户删改等操作,审核日志还记录了很多事件ID供管理员查找
下面列举一些常见的也比较有用的事件ID
帐户管理事件
∙624:
用户帐户已创建。
∙627:
用户密码已更改。
∙628:
用户密码已设置。
∙630:
用户帐户已删除。
∙631:
全局组已创建。
∙632:
成员已添加至全局组。
∙633:
成员已从全局组删除。
∙634:
全局组已删除。
∙635:
已新建本地组。
∙636:
成员已添加至本地组。
∙637:
成员已从本地组删除。
∙638:
本地组已删除。
∙639:
本地组帐户已更改。
∙641:
全局组帐户已更改。
∙642:
用户帐户已更改。
∙643:
域策略已修改。
∙644:
用户帐户被自动锁定。
∙645:
计算机帐户已创建。
∙646:
计算机帐户已更改。
∙647:
计算机帐户已删除。
∙648:
禁用安全的本地安全组已创建。
∙649:
禁用安全的本地安全组已更改。
∙650:
成员已添加至禁用安全的本地安全组。
∙651:
成员已从禁用安全的本地安全组删除。
∙652:
禁用安全的本地组已删除。
∙653:
禁用安全的全局组已创建。
∙654:
禁用安全的全局组已更改。
∙655:
成员已添加至禁用安全的全局组。
∙656:
成员已从禁用安全的全局组删除。
∙657:
禁用安全的全局组已删除。
∙658:
启用安全的通用组已创建。
∙659:
启用安全的通用组已更改。
∙660:
成员已添加至启用安全的通用组。
∙661:
成员已从启用安全的通用组删除。
∙662:
启用安全的通用组已删除。
∙663:
禁用安全的通用组已创建。
∙664:
禁用安全的通用组已更改。
∙665:
成员已添加至禁用安全的通用组。
∙666:
成员已从禁用安全的通用组删除。
∙667:
禁用安全的通用组已删除。
∙668:
组类型已更改。
∙684:
管理组成员的安全描述符已设置。
登录事件ID
∙528:
用户成功登录到计算机。
∙529:
登录失败。
试图使用未知的用户名或已知用户名但错误密码进行登录。
∙530:
试图在允许的时间外登录。
∙531:
试图使用禁用的帐户登录。
∙532:
试图使用已过期的帐户登录。
∙533:
不允许登录到指定计算机的用户试图登录。
∙534:
用户试图使用不允许的密码类型登录。
∙535:
指定帐户的密码已过期。
∙536:
NetLogon服务没有启动。
∙537:
由于其他原因登录尝试失败。
∙538:
用户的注销过程已完成。
∙539:
试图登录时,该帐户已锁定。
∙540:
用户成功登录到网络。
∙541:
本地计算机与列出的对等客户端身份(已建立安全关联)之间的主要模式Internet密钥交换(IKE)身份验证已完成,或者快速模式已建立了数据频道。
∙542:
数据频道已终止。
∙543:
主要模式已终止。
筛选日志
进行过上面的操作以后,我们已经对系统的审核进行了简单的设置,通过日志可以发现谁对活动目录做了什么操作,但是在一个大中型目录结构中管理员依然要面对庞大的事件记录日志,要发现某个记录依然要耗费大量精力,这是日志的筛选功能就可以派上用途了
点击查看选择筛选选项
我们要查找安全日志所以在事件来源处选择Security事件类别中选择帐户管理,博友可以举一反三对其他事件进行筛选
通过这个设置我们就将用户jun.dong的所有帐户删除操作列出来了,一目了然。
升级会员 