首页 > 其他分享 >如何审核 Active Directory 中的 Kerberos 身份验证事件

如何审核 Active Directory 中的 Kerberos 身份验证事件

时间:2024-01-24 14:35:11浏览次数:36  
标签:登录 单击 Kerberos 身份验证 事件 Active 审核

Kerberos 取代了 NT LAN Manager(NTLM)作为 Windows 操作系统的默认身份验证,是一种更快、更安全的替代方案。IT 管理员可以启用对 Kerberos 身份验证的审核,从而允许记录在此过程中创建的事件。管理员可以监视这些事件,以密切关注登录到域的用户的失败和成功登录活动。任何突如其来的异常变化(例如异常多的登录尝试失败次数)都可能表明存在暴力威胁的可能性,等等。请继续阅读,了解如何审核 Kerberos 身份验证事件:

Windows 本机审核

使用组策略管理控制台 (GPMC) 启用审核的步骤:

  1. 按“开始”,搜索并打开组策略管理控制台,或运行命令 gpmc.msc。
  2. 右键单击要审核的域或组织单位(OU),然后单击“在此域中创建 GPO,并在此处链接”。

如何审核 Active Directory 中的 Kerberos 身份验证事件_Active Directory

  1. 根据需要命名组策略对象(GPO)。
  2. 右键单击新创建的或已存在的 GPO,然后选择“编辑”。
  3. 在组策略管理编辑器的左窗格中,导航到“计算机配置”→“策略”→“Windows 设置”→“安全设置”→“高级审核策略配置”→“审核策略→帐户登录”。

如何审核 Active Directory 中的 Kerberos 身份验证事件_Active Directory_02


  1. 在右窗格中,你将看到“帐户登录”下的策略列表。双击“审核 Kerberos 身份验证服务”,然后选中标记为“配置以下审核事件:”、“成功”和“失败”的框。
  2. 对策略审核 Kerberos 服务票证操作执行相同的操作。
  3. 单击“应用”,然后单击“确定”。
  4. 返回到组策略管理控制台,在左窗格中,右键单击链接了 GPO 的 OU,然后单击“组策略更新”。此步骤可确保立即应用新的组策略设置,而不是等待下一次计划刷新。

如何审核 Active Directory 中的 Kerberos 身份验证事件_身份验证_03

使用事件查看器查看 Kerberos 身份验证事件的步骤

完成上述步骤后,Kerberos 身份验证事件将存储在事件日志中。通过在域控制器(DC)上执行以下操作,可以在事件查看器中查看这些事件:

  1. 按“开始”,搜索“事件查看器”,然后单击将其打开。
  2. 在“事件查看器”窗口的左侧窗格中,导航到“Windows 日志”⟶“安全”。
  3. 在这里,您将找到系统中记录的所有安全事件的列表。

如何审核 Active Directory 中的 Kerberos 身份验证事件_活动目录_04


  1. 在右侧窗格中的“安全性”下,单击“筛选当前日志”。

如何审核 Active Directory 中的 Kerberos 身份验证事件_活动目录_05


  1. 在弹出窗口中,在标有<所有事件 ID>的字段中输入所需的事件 ID*,如下表所示。

* 为给定事件生成以下事件 ID:

事件 ID

子领域

事件类型

描述

4768

Kerberos 身份验证服务

成功与失败

请求了 Kerberos 身份验证票证 (TGT)

4769

Kerberos 服务票证操作

成功与失败

请求了 Kerberos 服务票证

4770

Kerberos 服务票证操作

成功

Kerberos 服务票证已续订

4771

Kerberos 身份验证服务

失败

Kerberos 预身份验证失败

4772

Kerberos 身份验证服务

失败

Kerberos 身份验证票证请求失败

4773

Kerberos 服务票证操作

失败

Kerberos 服务票证请求失败

  1. 单击“确定”。这将为您提供该事件 ID 的匹配项列表。
  2. 双击事件 ID 以查看其属性。

如何审核 Active Directory 中的 Kerberos 身份验证事件_活动目录_06

Active Directory(AD)本机审核的局限性:

  • 管理员必须搜索每个事件 ID 才能查看其属性。即使对于小型组织来说,这也是非常不切实际和耗时的。
  • 使用本机审核不会提供任何有用的见解。如果管理员想要监视登录活动或异常用户行为突然激增或收到通知,则本机审核是不可能的。
  • Kerberos 身份验证事件可以记录在域中的任何 DC 上。管理员必须监视每个 DC 上的事件,这是工作量过大。监控所有事件的集中式工具将大大减少负载。

使用ADAudit Plus审核Kerberos身份验证的步骤

  1. 下载并安装ADAudit Plus。
  2. 在域控制器上配置审核。
  3. 打开ADAudit Plus控制台,以管理员身份登录,然后导航到“Active Directory→用户管理”→“用户登录活动”→“报告”。

如何审核 Active Directory 中的 Kerberos 身份验证事件_活动目录_07

使用ADAudit Plus的优点:

  • ADAudit Plus使您能够实时审核和跟踪网络中的用户登录活动,并帮助检测潜在的恶意活动。
  • 通过接收有关异常活动的警报来保护您的 AD 免受安全威胁,异常大量的登录尝试、在异常时间发生的登录或用户首次远程访问主机等事件都是网络中入侵的迹象。
  • 使用帐户锁定分析器发现重复帐户锁定的原因,这有助于更快地发现和解决。

ADAudit Plus是一个Active Directory审计工具,可以帮助使用Kerberos身份验证事件监控用户登录活动,您还可以通过异常登录活动报告来检测可能的安全威胁,并自动响应此类威胁。

标签:登录,单击,Kerberos,身份验证,事件,Active,审核
From: https://blog.51cto.com/u_15668869/9395645

相关文章

  • 如何审核 Active Directory 中的组策略更改
    在ActiveDirectory(AD)中,组策略是一种安全工具,可对网络中的所有计算机和用户进行集中管理和控制。管理员可以允许、拒绝或限制用户访问某些资源、运行脚本、启用或禁用审核,并在设备上执行大量其他操作,因此对组策略所做的任何更改都至关重要,任何未经授权的更改都可能导致毁灭性的......
  • 2. Vue3源码解析之 reactive
    前言我们知道Vue3中声明响应式是通过reactive和ref这两个函数,下面我们通过案例先来看下reactive是如何实现的。案例首先引入reactive和effect两个函数,之后声明obj响应式对象,接着又执行effect函数,该函数传入了一个匿名函数,最后两秒后又修改obj.name值。<!DOC......
  • 解决No dashboards are active for the current data set
    出现这个页面 尝试了这个博主的所有方法还是不对【解决方案汇总】Nodashboardsareactiveforthecurrentdataset.Probablecauses-CSDN博客解决的最终方法:在terminal下,将目录切换到所运行代码的这一级目录中,再运行  tensorboard--logdir=logs就可以了......
  • 在写css样式的时候,hover,active,focus等先后顺序应该是什么样的
    在写css样式的时候,hover,active,focus等先后顺序应该是什么样的在CSS样式表中,当针对链接或者按钮等元素设置不同状态(如hover、active、focus)时,推荐的书写顺序是按照它们之间覆盖关系和用户交互的逻辑顺序进行排列。以下是一般情况下建议的顺序:/*链接的基本样式*/a:link{/......
  • Windows: AD active directory
     gpmc.mscgpms.mscstandsforGroupPolicyManagementConsole,ItisaMicrosoftManagementConsole(MMC)snap-inthatprovidesasingleadministrativetoolformanagingGroupPolicyacrossanorganization.TheGroupPolicyManagementConsoleisusedtoc......
  • mysql_native_password 身份验证插件在未来版本中移除
    自MySQL8.0.34起,mysql_native_password身份验证插件已被弃用,并可能在MySQL的未来版本中移除。移除意味着:Javajdbc配置文件以及后端大数据的账号密码,必须更改为caching_sha2_password认证模式,否则无法连接MySQL数据库。如果业务系统今后升级MySQL8.0,这块需要加以适配。如果......
  • [ABC163E] Active Infants
    思路第一次看题很快就能想到贪心。一个大的值无非放到左边和右边,哪边增加的多放到哪边。但是有可能存在两边增加的一样的情况,同时不同的选择会影响以后的数值,所以贪心是错误的。既然是对后面的数值有影响,那就是明显的DP。先排个序,从大到小,然后每次先选未选过的最大的,枚举其在左......
  • VUE框架Vue3下使用watch监听reactive下的数据变化并使深度监视起效------VUE框架
    <template><h1>{{data.counter}}</h1><button@click="data.counter++">按一下加一</button><h1>{{data.a.b.c.d.counter1}}</h1><button@click="data.a.b.c.d.counter1++">按一下加一&l......
  • kerberos协议
    内网认证-kerberoskrbtgt用户:这个用户是创建域时系统自动创建的一个账户,它是KDC的服务账户,其密码是系统随机创建,该账户无法正常登录主机。身份认证请求1.Client向域控发起身份认证请求,请求包含了用户名。域控的KDC的AS查询AD数据库,找到对应用户的NTLMHASH。2.AS响应两个消息......
  • vue3的ref、reactive、toRef、toRefs
    用处:用于在setup中创建响应式变量导出:import{ref,reactive,toRef,toRefs}from'vue'区别:ref用来定义基础数据类型,String,Number,Boolean,Symbol;通过Object.defineProperty()的get和set来实现响应式;js操作数据需要.value,模版中读取不需要.valuereactive用来定义......