作为在IT环境中管理安全性和合规性的一部分,审核和跟踪AD域用户帐户中发生的所有变动至关重要。用户帐户中有一些重要的变动,您必须考虑审核与用户帐户相关的所有AD域事件,以识别和防止潜在的安全威胁。其中一些事件是创建新用户帐户、删除用户帐户、启用/禁用用户帐户、用户帐户权限更改等。通过持续监控对Active Directory中的用户帐户所做的更改(其中一些可能未经授权或疏忽),您可以在未来克服潜在的AD域安全漏洞。

如何审核 Active Directory 用户账户更改?_信息安全

安全漏洞

使用本机 Active Directory 审计工具

首先使用下面提到的步骤启用“用户账户管理”审计策略。

①转到“管理工具”

②从主“域控制器”,打开“组策略管理”控制台

③创建新GPO或编辑现有 GPO。建议创建一个新的 GPO,将其链接到域并进行编辑。

④在左侧面板中,通过右键单击域名创建一个新的GPO。

⑤单击“在此域中创建 GPO,并在此处链接”。

⑥在屏幕上显示的“新建 GPO”窗口中,给一个名称(例如:管理用户帐户),然后单击“确定”。

⑦右键单击出现在左窗格中的新GPO,单击上下文菜单中的“编辑”。

⑧然后将在屏幕上显示“组策略管理编辑器”。

⑨转到“计算机配置”➔“Windows设置”➔“安全设置”➔“高级审计策略配置”➔“审计策略”设置“审计用户帐户管理”策略。

⑩选择“帐户管理”策略,该策略将显示其所有子策略。

⑪双击“审核用户账户管理”策略以打开其“属性”窗口。

注意: 在“高级审核策略配置”而不是“本地策略”中配置上述策略,因为需要在“本地策略”中启用所有帐户管理策略会产生大量的事件日志。

⑫Active Directory 审核策略账户管理

在策略属性中,选择“定义这些策略设置”复选框。根据您的审计尝试要求,选择任何一个或两个选项(成功和失败)。

⑬审核 AD域帐户管理属性

⑭单击“应用”,然后单击“确定”关闭属性窗口。

⑮直接更新组策略以反映整个域的新更改

⑯在“命令提示符”中运行以下命令:GP更新/强制

如何审核 Active Directory 用户账户更改?_用户账户_02

审计策略

以上便是启用“用户账户管理”审计策略的具体步骤,但光凭AD域自身所带审计策略并不足以对域内用户的行为进行高效审计,因此目前很多企业更多的是利用第三方工具来对AD域进行审计。接下来就给大家介绍一款来自卓豪的AD域审计工具——ADAudit Plus

如何审核 Active Directory 用户账户更改?_右键_03

用户行为监控

卓豪的ADAudit Plus是一款AD域变更审计与报表软件,它能对AD域内用户的行为进行跟踪,通过生成的各类报表对用户行为进行分析。发现异常行为或恶意操作,实时进行报警,让域内用户行为真正的可视化。对网络合规性的审计有非常大的帮助。相比以往管理员通过域控制器对域内用户行为审查,ADAudit Plus不仅增加了审查效率,还能通过对域内的关联事件进行分析,彻底的对域用户的各类行为进行有效审计。

如何审核 Active Directory 用户账户更改?_右键_04

ADAudit Plus

企业网络用户行为的规范对网络信息安全非常重要,因此用户行为的审计自然不可避免。它不仅对网络信息安全具有很大的帮助,更给企业网络合规性的审计提供重要支持。