Active Directory 审核流程定义

Active Directory 审核至关重要，原因很简单：Active Directory (AD) 控制着您的 IT 王国的钥匙。如果没有可靠的 Active Directory 审核，您的组织将面临代价高昂的安全漏洞、业务中断和合规性失败的风险。

但真正有效的 Active Directory 审核究竟涉及哪些内容，以及如何在不使有限的 IT 资源负担过重或超出预算的情况下实现这一目标？该博客提供了您需要的答案。

什么是 Active Directory 审核以及它为何如此重要？

Active Directory 存储有关用户和计算机及其权限的关键数据，并提供关键的身份验证和授权服务来控制对 IT 生态系统及其资源的访问。此外，Active Directory 组策略可以集中管理用户和计算机，控制从 Windows 更新到密码要求再到允许的身份验证协议的所有内容。

因此，毫不夸张地说，保持 Active Directory 的健康和安全对于您的企业本身至关重要。只要不正确地删除用户帐户、错误地更改组成员资格或未经授权地修改组策略，就可能导致代价高昂的后果：安全漏洞、数据丢失、业务中断、合规处罚等等。

有效的 Active Directory 审核是避免这些令人不快的结果的关键。例如，能否及时发现特权帐户的异常活动或帐户锁定的激增可能意味着阻止攻击和遭受严重安全事件之间的区别。可靠的 Active Directory 审核策略的关键组成部分包括：

• 完整、及时的数据收集 - 立即掌握所有相关详细信息对于及时发现、调查和响应威胁至关重要。特别是，每个事件都有 5 个 W：谁、什么、何时、何地和发起工作站。
• 数据标准化 - 将各种来源的数据标准化为通用格式，可以加快事件检测和调查的速度。
• 关联和分析 - 由于现代 IT 生态系统复杂且动态，因此了解正在发生的事情可能非常具有挑战性。为了能够识别浩瀚活动中的真正威胁，IT 专业人员需要能够快速、准确地关联和分析跨系统的活动，例如，了解特定用户正在做什么以及他们构成的威胁有多大。
• 清晰高效的报告 - 为了能够正确审核 Active Directory，IT 专业人员需要能够针对各种主题快速创建易于理解的报告：有效权限、域控制器配置、 GPO 发生变化等等。
• 实时警报 - 及时了解威胁对于遏制损害至关重要。理想情况下，警报应与主动措施相结合，例如防止对关键对象进行更改以及对已知威胁模式进行自动响应，例如禁用表现出与勒索软件相关的行为的帐户。

Active Directory 审核在混合环境中重要吗？

是的！如今，许多组织都使用混合模型，其中使用 Azure AD Connect 将其本地 Active Directory 同步到云。在这些情况下，Active Directory 中的不当更改或活动肯定不仅会影响您的本地环境，还会影响您的云 IT 生态系统。

例子很容易找到。如果从本地 AD 中删除用户帐户，该删除操作将同步到云，并且用户的 Azure AD 帐户很快也将不复存在，从而使他们无法访问 SharePoint Online、Teams 等。成功的本地密码喷射攻击可以使攻击者在 Azure AD 中获得立足点。混合的本地服务帐户可用于破坏 Azure AD。有效的 Active Directory 审核可以帮助您发现这些不需要的事件，并在遭受业务中断或违规之前采取行动。

那么，如何启用 Active Directory 审核呢？

从 Windows 2000 开始，Microsoft 提供了九种基本审核设置（本地策略\审核策略），并且这些设置仍然可用。不过，Windows Vista 和 Windows Server 2008 中引入了高级审核策略设置（安全设置\高级审核策略配置）；使用 53 项高级策略设置，您可以定义更细粒度的审核策略。

重要提示：Microsoft 建议不要同时使用基本审核策略设置和高级设置，因为这样做可能会导致审核报告出现“意外结果”。

您可以通过本地设备上的本地安全策略管理单元 (secpol.msc) 或使用组策略来访问高级审核策略设置。高级审核策略设置分为以下几类：

• 账户登录
• 帐户管理
• 详细追踪
• DS访问
• 登录/注销
• 对象访问
• 政策变化
• 特权使用
• 系统
• 全局对象访问审核

Active Directory 审核策略中应包含哪些数据？

由于组织有不同的优先级和策略，因此没有明确的 Active Directory 审核中需要包含的具体内容列表。然而，总体目标是发现可能对您的组织构成威胁的活动，这意味着监视可能产生严重影响、超出正常基线或违反既定政策的活动。同时，警报疲劳是一种非常现实的风险，因此您需要确保专注于 IT 环境中每天发生的大量活动中真正重要的一小部分事件。

例如，对企业管理员等强大管理组的更改本身就有风险，而且通常也很少发生。因此，仔细审核这些组的每一项更改可能是有意义的。其他小组，例如为确保各个部门的团队配置一致而创建的小组，可能需要进行更细致的审核，只对真正不寻常的修改发出警报。同样，如果您的 IT 团队需要调查文件共享中内容的每次删除，他们可能很快就会陷入困境，但文件删除的激增绝对值得审核，因为它可能表明勒索软件或其他攻击正在进行中。

概括地说，以下是您想要包含在 Active Directory 审核范围中的一些关键内容：

• 组策略更改 - 对组策略对象 (GPO) 的一次不当更改可能会导致您的安全状况出现巨大差距，例如，允许无限制地尝试猜测帐户密码、启用用户设备上的命令提示符，或允许远程计算机上的身份不明的用户连接到网络共享。
• 对特权组的更改 - Active Directory 内置特权组（例如企业管理员或域管理员）的成员资格为用户提供了环境中的巨大权力。大多数组织还创建自己的特权组来管理高度敏感的数据或应用程序。显然，监控这些群体的成员资格或权利的任何变化至关重要。
• 特权帐户的活动——当然，仅仅监控特权组本身是不够的；您还需要审核这些团体的成员实际上在做什么。管理员可能会意外或故意滥用其帐户，从而对您的组织造成严重损害。此外，特权帐户是攻击者接管的主要目标。除了用户帐户之外，请务必密切关注所有具有提升权限的服务帐户。
• 用户帐户锁定 - 用户帐户锁定可能会导致关键业务流程停止。此外，帐户锁定激增可能是网络受到暴力攻击的迹象。
• 创建新用户帐户 - 创建新的 Active Directory 用户帐户为您的 IT 环境打开了许多访问大门，包括您的云资源（如果您将本地 AD 同步到 Azure）广告。
• 域控制器更改—域控制器 (DC) 是 Active Directory 实际运行的地方。不当的更改可能会导致登录缓慢、性能不佳甚至灾难性中断。此外，DC 还存储关键的 NTDS.dit 文件，该文件记录了关键的 AD 数据，包括您的用户、组、计算机、密码哈希值和目录配置，因此您需要警惕窃取它的尝试。
• Active Directory 登录活动 - 跟踪用户登录/注销活动对于安全性和合规性至关重要。同样重要的是能够监控较旧且风险较高的 NTLM 身份验证协议的使用，以及能够发现利用 Kerberos 漏洞的尝试，这可能表明 Golden Ticket 和 Pass-the-Ticket 攻击。
• Azure AD 登录 - 如果您有混合环境，则还需要跟踪 Azure AD 登录活动。理想情况下，您希望轻松关联，使您能够了解本地和云 IT 生态系统中的所有登录和登录活动。
• Azure AD 角色更改 - Azure AD 角色（例如全局管理员、条件访问管理员和团队管理员）使用户能够管理关键的 Azure AD 资源。为分配给这些角色的所有用户打开 Azure AD 多重身份验证 (MFA) 是最佳实践，但这还不够；您还需要密切关注 Azure AD 角色的更改，以防流氓管理员或黑客试图声称他们升级权限。

Microsoft 提供了有关如何实施特定高级审核策略设置以收集所需的 Active Directory 审核数据的指南。

原生审计工具是否足够？

Microsoft 确实提供了有用的 Active Directory 审核功能。由于它们是免费的，因此被广泛使用。然而，它们在上述所有三个领域都有局限性：数据收集；数据标准化、关联和分析；以及报告和警报。以下是一些主要缺点：

• 审核日志非常分散。为了准确了解 Active Directory 活动，管理员必须分析启用审核的每个域控制器上的安全事件日志。
• 审核日志不完整。 Active Directory 的关键方面（例如组策略）要么经过部分审核，要么根本没有经过审核。例如，本机事件日志记录 GPO 已修改，但不捕获更改了哪些特定设置。
• 日志数据可能很嘈杂且难以解释。事件通常包含不相关或模糊的信息，例如 GUID，而不是可识别的对象名称。另外，单个审核事件可以在日志中生成多个事件。
• 日志数据可能是短暂的。目录审核信息被写入高度活跃且定期被覆盖的安全事件日志中。
• 事件查看器受到限制。您可以使用 Windows 事件查看器查看 Active Directory 审核策略收集的数据。您可以过滤事件，但只能按某些设定条件进行过滤，例如时间段、来源、ID、用户和计算机。要利用事件条目中的任何其他数据，您需要花时间构建 XML 查询。您还可以使用PowerShell来探索审计数据；当然，这一选择也需要大量时间和专业知识。
• 报告和警报是有限的。使用本机工具时，本地和云工作负载之间的警报不一致、不灵活且难以设置。
• 了解混合环境需要手动关联。如前所述，Active Directory 会影响 Azure Active Directory，因此了解整个 IT 生态系统中的活动至关重要。对于本机选项，这通常需要手动尝试关联来自两个不同审核系统的活动：Active Directory 域控制器日志和 Microsoft 365 审核流。

SIEM 可以帮助进行 Active Directory 审核吗？

安全信息和事件管理 (SIEM) 工具（例如 Splunk 和 Microsoft Azure Sentinel）是功能强大的系统，旨在聚合和分析来自许多不同来源的安全数据。例如，他们通常可以接受并关联来自网络设备、Sysmon 等低级终结点审核工具、本地 Active Directory 审核日志以及 Microsoft 365 平台中的活动数据的数据。

然而，SIEM 系统可能非常昂贵、配置复杂并且操作起来具有挑战性。此外，在较大的组织中，它们通常由安全团队专门管理，因此 AD 管理员很少或根本无法访问数据。

此外，SIEM 系统会聚合和分析安全事件，但不会产生安全事件。因此，它们面临着本机 Active Directory 审核中固有的相同噪音问题和盲点。

Active Directory 审核还有其他选项吗？

是的！许多组织选择投资专门构建的 Active Directory 审核解决方案。这些系统通常从本地 Active Directory 生成独立的审核信息，以克服本机审核数据收集中的差距。例如，它们可以提供有关更改前后值的详细信息，并查明仍在使用旧 NTLM 协议的用户或应用程序，以便您可以将它们配置为使用更强大的 Kerberos 协议。

此外，第三方解决方案通常提供预构建的仪表板和报告，以简化掌握活动的工作，以及易于配置的警报，实时通知您可疑活动。许多功能使您能够快速回滚不需要的更改，以弥补安全漏洞并避免业务中断。有些解决方案甚至使您能够主动阻止对最关键的 AD 对象进行更改，例如域管理员等强大的组。

拥有混合 IT 环境的组织将希望寻找一种解决方案，能够从本地 Active Directory 日志和 Microsoft 365 统一审核日志中提取审核事件，将它们规范化并组合到单个审核流中，并提供统一的审核事件视图。整个 IT 生态系统。

此外，第三方解决方案还可以帮助您避免警报疲劳并快速发现对您业务的真正威胁。例如，在当今高度动态的组织中，每天都可能雇用新员工。您不想浪费宝贵的 IT 团队时间来检查每个新帐户 - 但发现流氓后门帐户的创建至关重要。使用第三方解决方案，您也许能够创建一个警报，排除负责配置工作的服务帐户的合法活动，从而立即将您的注意力集中在可疑的用户帐户创建上。

最后，如果您使用专门构建的 Active Directory 审核解决方案，请确保您可以确保该工具本身不会受到损害或滥用。例如，您不希望获得该工具管理帐户访问权限的恶意行为者能够对您的 IT 生态系统进行更改，然后通过更改或删除审核解决方案中的记录来掩盖他们的踪迹。因此，请确保您选择的解决方案具有可靠的防御措施，包括所有系统登录、对其配置或操作的所有更改以及所有清除记录的尝试的清晰日志。

结论

Active Directory 审核是一项多方面的挑战，但它对于安全性、业务连续性、用户生产力、法规遵从性和其他关键业务目标绝对至关重要。虽然 Microsoft 提供了宝贵的免费 Active Directory 审核功能，但投资正确的第三方解决方案可以节省宝贵的 IT 团队时间，同时实现更好、更快的威胁检测，帮助企业避免违规、停机和合规处罚，从而物有所值。