Active Directory 审核指南

Active Directory 提供对于强大的访问治理至关重要的帐户管理、身份验证和授权服务。因此，适当的 Active Directory 审核对于网络安全和遵守需要强大访问管理的法规至关重要。

例如，为了及时检测内部威胁，组织需要不断监视新帐户和安全组的创建以及对现有用户和组的任何修改，因为这些更改可能会提供未经授权的访问权限，而这些权限可能会被帐户所有者或攻击者滥用。危害他们的账户。他们还必须密切关注登录尝试和目录更改等用户活动，并识别不活动用户和计算机帐户等安全漏洞。

但是，Active Directory 默认情况下不会审核所有安全事件 — 您必须显式启用对重要事件的审核，以便将它们记录在安全事件日志中并可包含在审核报告和警报中。

本文提供了在 Active Directory 环境中设置审核的建议，并使用 Netwrix 审核策略最佳实践作为参考。

AD 审计入门

Active Directory (AD) 审核是收集和分析有关 AD 对象和组策略的数据的过程。组织执行 AD 审核以主动提高安全性、及时检测和响应威胁并保持 IT 运营平稳运行。

使用审核策略

要指定要跟踪的系统事件和用户活动，您可以使用 Active Directory 组策略中的审核策略设置。您可以指定要审核的事件类型，并为每种类型选择设置。例如，您可以记录禁用用户帐户或输入错误密码时的所有事件。

与其他组策略设置一样，审核是使用组策略管理控制台 (GPMC) 中的组策略管理编辑器 (GPME) 工具进行配置。请注意，加入域的设备的审核设置默认设置在相对较低的级别，因此应该对其进行细化。在域控制器 (DC) 上，审核通常更加可靠，但可能仍达不到您所需的级别。

要审核 Active Directory，您可以使用基本（本地）安全审核策略设置或高级安全审核策略设置，这可以实现更精细的设置。 Microsoft 不建议同时使用两者，因为这可能会导致“审计报告出现意外结果”。在大多数情况下，当您打开高级审核时，基本审核将被忽略，即使您稍后关闭高级审核也是如此。 如果您当前未执行任何审核，建议使用高级审核。

• 可以通过以下方式设置基本策略：计算机配置 > 策略 > Windows 设置 > 安全设置 > 本地策略 >审计政策。
• 高级策略设置可在计算机配置 > 策略 > Windows 设置 > 高级审核策略配置 > 审核策略下找到。

审计政策范围

您可以为整个域和单个组织单位 (OU) 定义审核策略。请注意，在 OU 级别配置的设置具有比域级别设置更高的优先级，并且在发生冲突时将覆盖它。您可以使用auditpol命令行实用程序检查生成的策略。

配置安全日志

您还需要使用事件日志记录策略设置指定安全日志的最大大小和其他属性。要通过 GPME 更改设置，请导航至计算机配置> 策略> Windows 设置> 安全设置>事件日志和双击策略名称。根据 Microsoft 的说法，现代操作系统版本的建议最大日志大小为 4Gb，所有日志的建议最大总大小为 16Gb。您可以使用事件查看器查看日志。

要跟踪哪些 AD 安全日志事件

有效审核的关键是了解要记录哪些事件。如果您跟踪太多事件，您的日志将充满噪音，以至于难以分析，并且很快就会被覆盖。但如果您无法跟踪关键事件，您将无法检测恶意活动并调查安全事件。以下是建议跟踪的事件，以达到适当的平衡。

审核帐户登录事件

要检测未经授权的登录域尝试，有必要审核登录事件（成功和失败）。 审核帐户登录事件提供了一种跟踪身份验证事件的方法，例如 NTLM 和 Kerberos 身份验证。它不应与审核登录事件相混淆，后者定义了对每个用户尝试登录或注销计算机的审核，如下所述。

以下是高级审核帐户登录事件政策的建议设置：

• 审核凭证验证：失败
• 审核 Kerberos 身份验证服务：成功、失败
• 审核 Kerberos 服务票证操作：失败
• 审核其他帐户登录事件：成功、失败

请注意，除非您实际登录到该特定 DC，否则不会在域控制器上跟踪注销事件。

审核登录事件

此策略可以记录所有成功和失败的登录或注销本地计算机的尝试，无论是通过域帐户还是本地帐户。此信息对于入侵者检测和事件后取证非常有用。 Microsoft 提供了可记录的各种事件 ID 的说明。

推荐的最低高级设置为：

• 审核帐户锁定：成功、失败
• 审核组成员资格：成功
• 审核注销：成功、失败
• 审核登录：成功、失败
• 审核特殊登录：成功、失败

帐户管理

仔细监控用户帐户的所有更改有助于最大限度地降低业务中断和系统不可用的风险。

建议至少将基本审核帐户管理政策设置为“成功”。如果您使用高级审核策略，请使用以下设置：

• 审核申请组管理：成功、失败
• 审核计算机帐户管理：成功
• 审核分发组管理：成功
• 审核其他帐户管理事件：成功
• 审核安全组管理：成功
• 审核用户帐户管理：成功、失败

目录服务访问

仅当您需要查看某人何时访问具有自己的系统访问控制列表（例如 OU）的 AD 对象时，才监视此情况。在这种情况下，建议配置以下设置：

• 审核目录服务访问：成功、失败
• 审核目录服务更改：成功、失败

对象访问

仅当您需要查看某人何时使用权限访问、复制、分发、修改或删除文件服务器上的文件时，才进行审核。启用此设置可能会生成大量安全日志条目，因此仅当您对该数据有特定用途时才使用它。推荐的高级设置是：

• 审核详细文件共享：失败
• 审核文件共享：成功、失败
• 审核其他对象访问事件：成功、失败
• 审核可移动存储：成功、失败

政策变化

对组策略对象 (GPO) 的不当更改可能会导致安全事件和违反数据隐私规定。为了降低风险，请设置以下高级设置：

• 审计政策变更：成功、失败
• 审核身份验证策略更改：成功、失败
• 审核 MPSSVC 规则级政策变更：成功、失败
• 审核其他政策变更事件：失败

特权使用

仅当您想要跟踪正在使用的用户权限的每个实例时才打开此选项。启用此策略可能会在安全日志中生成大量条目，因此仅当您对该数据有特定用途时才这样做。要启用此策略，请配置以下内容：

• 审核敏感权限使用：成功、失败

流程跟踪（有时称为详细跟踪）

此设置仅在高级审核策略中可用，重点关注与流程相关的审核事件，例如流程创建、流程终止、句柄复制和间接对象访问。它对于事件调查很有用，但它会在安全日志中生成大量条目，因此仅当您对数据有特定用途时才启用它。推荐设置为：

• 审核 PNP 活动：成功
• 审核流程创建：成功

系统

明智的做法是记录所有启动、关闭或重新启动计算机的尝试，以及进程或程序执行其无权执行的操作的所有尝试，例如尝试更改计算机设置的恶意软件。电脑。推荐的高级设置是：

• 审核安全状态更改：成功、失败
• 审核其他系统事件：成功、失败
• 审核系统完整性：成功、失败
• 审核安全系统扩展：成功

AD 审核最佳实践表格顶部

通过审核 Active Directory，您可以识别并修复有毒情况（例如攻击者可利用的深层嵌套组和直接分配的权限）来获取对您的网络资源的访问权限，从而降低安全风险。 以下最佳实践可以帮助您提高 AD 审核的效率：

全面了解您的 AD 环境。

首先获取以下问题的答案：

• 您有多少个帐户和组？
• 您有哪些 GPOS 和其他关键 Active Directory 对象？
• 谁拥有您的 DC 和 OU 的权限？

优先考虑你的努力。

组织通常从三个地方开始：

• 特权 AD 访问 - 检查 GPO 等关键对象。
• 大型群组 - 评估大型群组（例如域用户和所有人）的访问权限。
• 特权用户访问 - 确定哪些用户具有提升的访问权限，可以通过域管理员等强大组中的成员身份，也可以通过嵌套组成员身份等更间接的方法。

让合适的利益相关者参与进来。

确定哪些业务用户了解谁应该有权访问哪些内容。例如，特定部门的经理可能知道其团队成员需要访问哪些 IT 资源才能完成工作，以及为什么以某种方式设置权限。

定期审查小组成员资格。

首先，确保只有正确的用户才是域管理员和企业管理员的成员。严格限制这些组中的成员身份将降低流氓管理员滥用其特权访问的风险。同样重要的是，它最大限度地减少了对手可能入侵并立即获得域控制权的帐户数量。

其次，让企业主验证其组中是否有合适的成员，并且该组只能访问其所需的资源。

定期重复这些审查。

不断改进您的 AD 审核流程

一旦实施了 AD 审核的首要任务，就可以继续进行下一个领域。例如，一旦您建立了对组成员资格的定期审查，就开始审核对 AD 密码的更改。

下一步

制定正确的审计政策是一个良好的开端，但这只是成功的一半。您还需要能够分析您收集的数据。不幸的是，现代 IT 环境非常复杂和繁忙，日志常常变得太大而无法有效筛选，审计日志甚至可以覆盖自身。单一用途的软件工具可以帮助完成特定任务，但拼凑而成的解决方案无法提供数据安全所需的全面可见性。

借助 Netwrix Active Directory 安全解决方案，您可以端到端地保护您的 Active Directory。它将使您能够：

• 发现 Active Directory 中的安全风险并优先考虑缓解措施。
• 强化整个 IT 基础设施的安全配置。
• 及时检测并遏制高级威胁，例如 DCSync、NTDS.dit 提取和金票攻击。
• 使用自动警报选项立即响应已知威胁。
• 通过快速 Active Directory 恢复最大限度地减少业务中断。

常问问题

如何启用 AD 对象审核？

要启用 Active Directory 对象审核，您可以：

• 在域控制器上配置审核策略以记录所有用户的指定事件。
• 在特定对象上配置审核 ACL (SACL) 以监视对其的特定更改。

如何 如何为域控制器配置审核策略设置？

1. 打开组策略管理控制台。
2. 右键单击默认域控制器策略并选择编辑。
3. 导航到计算机配置 > 策略 > Windows 设置 > 安全设置 > 高级审核策略配置 > 审核策略。
4. 指定要监视的每个事件类别的审核设置并保存更改。
5. 要么等待策略自动更新，要么自己在 DC 上运行 gpupdate 以立即更新策略。

使用 Windows 事件查看器查看捕获的事件。

如何配置特定 AD 对象的审核？

1. 打开 Active Directory 用户和计算机。
2. 导航到您要监控的对象并将其打开。
3. 转到安全选项卡。
4. 单击高级按钮。
5. 转到审核选项卡。
6. 点击添加。
7. 选择您要监控的属性。
8. 单击确定关闭每个窗口，直到返回 ADUC 主屏幕。