任何组织中的 IT 管理员都负责跟踪用户活动并确保没有内部威胁。为了履行这些职责,他们必须监控员工在其工作站上访问的应用程序或软件;如果不跟踪这一点,员工可能会有意或无意地运行任何类型的恶意软件,不仅会导致设备受损,还可能使整个企业网络处于危险之中。在 Active Directory(AD)环境中,此跟踪称为审核进程跟踪。
Windows 本机审核
使用组策略管理控制台 (GPMC) 启用审核的步骤
在域控制器 (DC) 上执行以下操作:
- 按“开始”,搜索并打开组策略管理控制台或运行命令 gpmc.msc。
- 右键单击要审核的域或组织单位 (OU),然后单击“在此域中创建 GPO,并在此处链接它”。
- 根据需要命名 GPO。
- 右键单击 GPO,然后选择“编辑”。
- 在组策略管理编辑器的左窗格中,导航到“计算机配置”→“策略”→“Windows 设置”→“安全设置”→“高级审核策略配置”→“审核策略→详细跟踪”。
- 在右窗格中,你将看到“详细跟踪”下的策略列表。双击“审核进程创建”,然后选中标记为“配置以下审核事件”、“成功”和“失败”的框。对审核进程终止执行相同的操作。
- 单击“应用”,然后单击“确定”。
- 返回到组策略管理控制台,在左窗格中,右键单击链接了 GPO 的所需 OU,然后单击“组策略更新”。此步骤可确保立即应用新的组策略设置,而不是等待下一次计划刷新。
启用此策略后,每当创建或退出进程时,都会在 DC 的安全日志中记录事件。
使用事件查看器查看这些事件的步骤
完成上述步骤后,事件将存储在事件日志中。可以按照以下步骤在事件查看器中查看:
- 按“开始”,搜索“事件查看器”,然后单击将其打开。
- 在“事件查看器”窗口的左窗格中,导航到“Windows 日志→安全性”。
- 在这里,您将找到系统中记录的所有安全事件的列表。
- 在右窗格中的“安全性”下,单击“筛选当前日志”。
- 在弹出窗口中,在标有<所有事件 ID> 的字段中输入所需的事件 ID*。
*为给定事件生成以下事件 ID:
事件 ID | 子领域 | 事件类型 | 描述 |
4688 | 审计流程创建 | 成功 | 已创建一个新进程。 |
4696 | 审计流程创建 | 成功 | 已分配主令牌进行处理。 |
4689 | 审核流程终止 | 成功 | 进程已退出。 |
- 单击“确定”。这将提供输入的事件 ID 的出现列表。
- 双击事件 ID 以查看其属性(说明)。
创建进程时记录事件 4688。事件属性中记录了以下详细信息:
- 请求“创建进程”操作的帐户的名称和 SID
- 创建的新进程的进程 ID、完整路径和名称
当您必须处理组织中的数千台设备时,上述方法是不现实的,因为管理员必须手动查找每个事件才能查看其详细信息。
使用 ADAudit Plus审核流程跟踪的步骤
- 下载并安装ADAudit Plus。
- 在域控制器上配置审核。
- 打开控制台并以管理员身份登录。
- 导航到“服务器审核”→“进程跟踪”→已创建新进程
还可以跟踪进程终止。导航到“服务器审核”→“进程跟踪”→新进程已退出。
与本机审计相比,使用ADAudit Plus的优势:
- 获取有关进程创建和终止的即时信息报告,而不是手动搜索事件 ID。
- 监视执行的所有程序,并发现谁启动了该进程,程序是在哪台计算机上启动的,该进程的启动时间等等。
- 详细跟踪组织中用户设置的所有计划任务。
- 在一个集中式平台中获取对 Active Directory 所做的所有更改的精选报告。
- 更轻松地满足合规性法规,包括 SOX、HIPAA、GLBA、PCI-DSS、FISMA 和 GDPR。
ADAudit Plus是一个全面的AD审计工具,使管理员能够毫不费力地审计进程的创建和终止事件,还可以轻松跟踪所有计划任务的创建、删除和修改。
Active Directory(AD)审计最佳实践
Active Directory (AD) 资源容易受到来自外部威胁和恶意内部人员的威胁。如果威胁者成功访问通过卑鄙的方法处理敏感数据,可能会危及您的整个业务。审核 AD 环境可建立问责制和允许查看信息,例如谁修改了什么、何时修改以及从何处修改。这样一来,您就可以发现并响应AD中未经授权的操作并保护您的关键业务数据。遵循这些最佳实践,有效地审核 AD 并无缝运行 IT 运营。
- 确定审计目标
- 启用基本审核策略
- 监视 AD 对象修改
- 寻找妥协的迹象
- 审核密码更改
- 杠杆账户锁定策略
- 为日志数据分配足够的空间
确定审计目标
映射 AD 环境,并对服务器、工作站、组策略对象 (GPO) 和其他 AD 对象执行详细评估,以确定组织的审核目标。确定需要审核的最关键事件,并在要跟踪的活动、资源和对象与它们可以根据审核设置生成的事件量之间取得适当的平衡。
启用基本审核策略
确保所有域控制器都启用了高级审核策略设置,以审核登录活动、帐户管理、对象访问、策略更改、权限使用、进程跟踪等。记录此数据后,您将对 AD 中发生的所有关键活动进行审计跟踪。此数据可用于进一步分析,以增强组织的安全性。
监视 AD 对象修改
必须监视对关键用户、计算机、组、组织单位、GPO、架构和灵活的单一主操作角色所做的更改,因为入侵者可能会滥用这些对象来访问组织中的敏感资源。除了审核策略之外,还可以配置系统访问控制列表以确保启用对象级审核。
寻找妥协的迹象
留意入侵迹象,以便在威胁者执行未经授权的操作时发现威胁者。这有助于通过快速、自动的响应来减轻造成的损害。一些示例包括异常登录、未经授权的文件和文件夹活动以及权限提升。
审核密码更改
强大的密码策略对抵御外部威胁大有帮助。启用密码复杂性、强制执行定期密码更改以及使用不可逆加密存储密码将增强您的 AD 安全性。此外,审核和跟踪所有密码更改和重置,以发现恶意内部人员的可疑活动。
杠杆账户锁定策略
仔细定义帐户锁定策略设置,以最大程度地减少组织中的帐户锁定。经常被锁定的用户可能表示不良行为者试图访问你的资源。通过审核,您可以仔细检查过多的帐户锁定,并识别试图暴力进入网络的入侵者。
为日志数据分配足够的空间
在域中配置事件日志大小和保留设置,以防止由于存储不足和覆盖而丢失重要的审核数据。安全日志数据对于识别性能趋势和做出明智的安全决策至关重要。存档审核日志数据有助于满足多项合规性法规,包括 GDPR 和 HIPAA。
标签:AD,单击,Directory,事件,Active,审核,进程,跟踪 From: https://blog.51cto.com/u_15668869/9430358