Active Directory和 AD组策略是任何 Microsoft Windows 环境的基础元素,因为它们在用户帐户管理、身份验证、授权、访问管理和操作中发挥着关键作用。因此,适当地 Active Directory 审计对于网络安全和合规性都至关重要。例如,组织需要知道谁创建了新帐户,并通过查看用户和管理组成员的行为来密切关注访问权限。
但是,默认情况下,Active Directory 不会审核所有安全事件,您必须启用对重要事件的审核,以便将它们记录在安全事件日志中。本文提供在 Active Directory 环境中设置审核的建议。
Active Directory审计
一、AD 审计入门
1、使用审计策略
指定要跟踪的系统事件和用户活动,使用 Active Directory 组策略中的审核策略设置。例如,您可以在禁用用户账户或输入错误密码时记录所有事件。与其他组策略设置一样,审核是使用组策略管理控制台 (GPMC) 中的组策略管理编辑器 (GPME) 工具配置的。请注意,默认情况下,对于加入域的设备,事件类别的审核设置,设置为相对较低的最低级别,应进行细粒度审核。在域控制器上,审核通常会得到增强,但不一定达到您希望默认跟踪的级别。
要审核 Active Directory,您可以使用基本(本地)安全审核策略设置或高级安全审核策略设置,从而实现细粒度审核。Microsoft 不建议同时使用这两种方法,因为这会导致“审计报告中出现意外结果”。在大多数情况下,当您打开高级审核时,旧版审核将被忽略,即使您稍后关闭了高级审核。因此,如果您当前未执行任何审核,建议使用高级审核。
可以通过计算机配置>策略 à Windows 设置>安全设置>本地策略 à 审计策略来设置基本策略。
高级策略设置可在计算机配置>策略 → Windows 设置>高级审核策略配置>审核策略下找到。
AD域审计策略
2、审计政策范围
您可以为整个域和单个组织单位 (OU) 定义审核策略。请注意,在 OU 级别配置的设置具有比域级别设置更高的优先级,并且在发生冲突时将被覆盖。您可以使用auditpol命令行程序检查生成的策略。
3、配置安全日志
您还需要使用事件日志记录策略设置指定安全日志的大小和其他属性。要通过 GPME 更改设置,可以调整计算机配置>策略> Windows 设置>安全设置>事件日志,然后双击策略名称,例如“最大安全日志大小策略”或“保留安全日志”。根据 Microsoft 的说法,现代操作系统版本的推荐最大日志大小为 4Gb,所有日志的推荐最大总大小为 16Gb。您可以使用事件查看器查看日志。
安全日志
4、跟踪哪些 AD 安全日志事件
有效审计的关键是知道要记录哪些事件。如果您跟踪的事件太多,您的日志将充满噪音干扰,影响判断,以至于难以分析,而且它们会很快覆盖自己。但是,如果您未能跟踪关键事件,您将无法检测恶意活动并调查安全事件。以下是建议的跟踪事件以达到适当的平衡。
❶审核账户登录事件
要检测未经授权地域登录尝试,有必要审核登录事件——成功和失败。审核账户登录事件提供了一种跟踪身份验证事件的方法,例如 NTLM 和 Kerberos 身份验证。它不应与审核登录事件混淆,后者定义了对每个用户尝试登录或注销计算机的审核,如下一节所述。
以下是高级审核账户登录事件策略的推荐设置:
审核凭证验证:失败
审核 Kerberos 身份验证服务:成功、失败
审核 Kerberos 服务票证操作:失败
审核其他账户登录事件:成功、失败
请注意,域控制器上不会跟踪注销事件,除非您实际登录到该特定域控制器。
登录事件
❷审核登录事件
此策略可以记录登录或注销本地计算机的所有成功和失败尝试,无论是使用域账户还是本地帐户。此信息对于入侵者检测和事件后取证很有用。Microsoft 提供了可以记录的各种事件 ID的描述。
推荐的最低高级设置是:
审计账户锁定:成功、失败
审计组成员:成功
审核注销:成功、失败
审核登录:成功、失败
审计特殊登录:成功、失败
AD域账户管理
❸帐户管理
仔细监控用户账户的所有更改有助于将业务中断和系统不可用的风险降至最低。
至少,建议将基本审计账户管理策略设置为“成功”。如果您使用高级审核策略,请将它们设置如下:
审计应用程序组管理:成功、失败
审计计算机账户管理:成功
审计分发组管理:成功
审计其他客户管理事件:成功
审计安全组管理:成功
审计用户账户管理:成功、失败
❹目录服务访问
当您需要查看某人何时访问具有自己的系统访问控制列表(例如,OU)的 AD 对象时才监控此内容。在这种情况下,建议配置以下设置:
审核目录服务访问:成功、失败
审核目录服务更改:成功、失败
❺对象访问
当您需要查看某人何时使用特权访问、复制、分发、修改或删除文件服务器上的文件时才进行审核。启用此设置会生成大量安全日志条目,因此仅当您对该数据有特定用途时才使用它。推荐的高级设置是:
审核详细文件共享:失败
审计文件共享:成功、失败
审计其他对象访问事件:成功、失败
审核可移动存储:成功、失败
访问对象身份验证
❺政策变化
对 GPO 的不当更改可能导致安全事件和违反数据隐私要求。为降低风险,请设置以下高级设置:
审计政策变更:成功,失败
审核身份验证策略更改:成功、失败
审核 MPSSVC 规则级策略更改:成功、失败
审核其他策略更改事件:失败
❻特权使用
当您要跟踪正在使用的每个用户权限实例时才启用此功能。启用此策略可能会在您的安全日志中生成大量条目,因此只有在您对该数据有特定用途时才这样做。要启用此策略,请配置以下内容:
审计敏感权限使用:成功、失败
过程跟踪(有时称为详细跟踪)
仅在高级审计策略中可用,此设置侧重于与流程相关的审计事件,例如流程创建、流程终止、句柄复制和间接对象访问。它对事件调查很有用,但它会生成大量安全日志,因此只有在您对数据有特定用途时才启用它。推荐的设置是:
审计 PNP 活动:成功
审核流程创建:成功
❼系统
明智的做法是记录所有启动、关闭或重新启动计算机的尝试,以及进程或程序执行其无权执行的操作的所有尝试,例如试图更改您的设置的恶意软件计算机。推荐的高级设置是:
审核安全状态更改:成功、失败
审计其他系统事件:成功、失败
审计系统完整性:成功,失败
审计安全系统扩展:成功
ADAudit Plus
以上就是分享给大家的一些AD域审计知识,其过程非常繁琐,极大增加了管理员的工作压力,并且其中还存在着很多无法进行判断分析的模糊日志。因此目前企业的AD域审计工作我们都利用工具来完成。
ADAudit Plus是一款活动目录变更和报告软件。通过提取windows中的安全日志,对活动目录中的所有活动及操作进行判断。明确AD域内谁干了什么,谁没干什么。对用户的一些删除,创建,修改,重置等动作进行统计。通过相关分析确定用户行为是否合规。
在日常工作中为了工作的正常进行,管理员经常需要对权限进行相应分配。但用户分配到权限后,很可能因为误操或有意破坏,在活动目录中执行非合法行操作。这时我们即可通过ADAudit Plus对windows安全日志进行分析,通过生成的各类报表轻松锁定权限所有人,以便对其进行处理。
ADAudit Plus对企业AD域的安全维护具有重要作用。其生成的海量报表完全让用户行为可视化。轻松解决企业AD管理合规问题。