6 个最佳 Active Directory 审核工具

正在寻找最好的 Active Directory 审核工具来跟踪和报告 AD 更改？那就别再看了。

在本指南中，我将向您展示适用于 Active Directory 和 Windows Servers 的最佳审核工具。

Active Directory 审核可以帮助您检测可疑活动并防止安全漏洞。此外，它们对于确保您满足安全合规性和审计要求至关重要。

目录：

• Active Directory 专业工具包
• ManageEngine AD审计增强版
• 任务变更审核员
• 网络审计员
• 莱皮德审计员
• Specops 密码审计器
• 如何审核 Active Directory？
• Active Directory 审核的重要性

最好的 Active Directory 审核工具

以下是我的首选：

1.Active Directory专业工具包

包括 200 多个 Active Directory 用户、计算机、组、组策略和安全报告。 Active Directory 报告对于审核和合规性要求至关重要。除了有关 Active Directory 对象的报告之外，您还可以创建 NTFS 权限和组报告。这可以帮助您确定 Active Directory 中的哪些人有权访问哪些内容。

该工具非常易于使用，只需单击几下鼠标即可创建报告。

例如，要查看最近更改密码的所有用户，请单击用户报告 -> 在过去 7 天（30 或 60 天）内更改密码的用户。

如果您需要一个简单的报告工具，那么这是最实惠的解决方案之一。但它目前确实缺乏一些审核功能，例如谁修改了 Active Directory 中的对象。

AD Pro 工具包包括以下功能：

• 上次登录审核：创建有关用户上次通过网络身份验证的时间的报告。
• 密码审核报告：错误的密码尝试和上次更改的密码。
• 非活动用户：查找一段时间内未登录的帐户。
• 组成员身份：报告获取所有用户的组成员身份，并查找嵌套组。
• 审核服务帐户：扫描您的网络并查找正在使用服务帐户的位置。
• 计划报告：创建计划任务并获取每日、每周或每月报告。
• 审核本地管理员权限：扫描所有计算机以查找谁拥有本地管理员权限。

价钱：

AD Pro 工具包的单个许可证售价为 299 美元，站点许可证售价为 599 美元。

下载免费试用版

2. ManageEngine AD审计增强版

ManageEngine AD Audit Plus 是一个基于 Web 的 Active Directory 审核和报告工具。 ManageEngine ADAudit Plus 提供对 Windows Server 内所有活动的全面可见性，包括 Azure 登录、帐户锁定分析、文件访问等等。

ManageEngine 是一家信誉良好的软件公司，在开发用户友好型系统方面拥有 20 多年的经验。尤其是这款产品，赢得了多项奖项，包括最佳性价比奖、最佳功能集奖和 Trust Radius 颁发的最佳关系奖。

ManageEngine ADAudit Plus 功能包括：

• Active Directory (AD)：监督登录、锁定等。
• Azure AD：跟踪 Azure 登录和组成员身份更改。
• 文件服务器：监控文件访问和权限。
• Windows Server：分析本地登录、文件完整性和安全性。
• Windows 工作站：监控活动时间、USB 活动等。

价钱 ：

ManageEngine ADAudit Plus 最基本的版本是完全免费的，而标准版的价格为每年 525 美元，专业版本的起价为 945 美元。

网站 ：

https://www.manageengine.com/products/active-directory-audit/

3. 任务变更审核员

Change Auditor 是 Quest 推出的一款全面的 AD 审核工具，该公司销售众多用于网络安全和数据管理的软件解决方案。 Quest Change Auditor 程序专注于实时审核，提供深入的数据和安全威胁监控，帮助您快速识别 Active Directory (AD) 中的任何可疑活动。

Quest Change Auditor 包括以下功能：

• 混合安全监控：审核 AD 和 Azure AD 中的所有安全更改。
• 威胁检测：及早识别系统面临的威胁，以防止网络犯罪攻击。
• 威胁防御：阻止未经授权的用户对您的群组进行更改。
• 取证报告：跟踪对 AD 和 Azure AD 所做的每项更改。
• 标准化 5W 审核详细信息：将神秘数据日志转换为正常格式。
• 实时警报：重大变化和可疑模式的即时通知。
• 帐户锁定：简化帐户锁定问题的故障排除。

价钱 ：

Quest Change Auditor 的定价信息不可用；您必须直接向公司索取。

网站：

https://www.quest.com/change-auditor/

4.Netwrix审计员

Netwrix Auditor 提供对 Active Directory (AD) 和组策略的完整可见性，以便您永远不会忽视未经授权的活动。您将立即知道谁删除了帐户、用户何时重置密码以及谁在您的 AD 中滥用了权限。

该应用程序可作为本地工具和虚拟设备使用。它拥有令人印象深刻的业绩记录，国王夏威夷航空和安联保险等知名企业都在其业务中使用了它。

Netwrix 审计包括以下功能：

• 全面的更改审核：识别 Active Directory 和组策略中的每项更改，并提供有关所发生事件的详细信息。
• 登录审核：监督成功和失败登录的访问控制。
• 报告当前配置：查看用户和群组的当前状态。
• Active Directory 安全性和合规性：查看现成的安全性和合规性报告。
• 组策略监控：了解审核策略设置的更改。
• 委派用户访问权限审核：允许某些数据所有者批准和拒绝权限。

价钱：

Netwrix Auditor 提供 20 天免费试用。然后，价格为每位用户 9.50 美元起。

网站 ：

https://www.netwrix.com/auditor.html

5.Lepid审计员

使用 Lepide（一种用户友好的 AD 审核工具）一目了然地查看所有关键的 Active Directory 更改和安全问题。该平台使您可以轻松了解 AD 安全的“谁、什么、何时、何地”，以便您可以快速响应威胁并保护易受攻击的数据免遭内部滥用。

您可以启动浏览器内的 Lepide 演示，看看该平台如何为您的业务运作。

莱皮德具有以下特点：

• 风险评估：详细了解您的 AD 安全性和数据泄露的可能性。
• 威胁检测：通过机器学习异常发现进行实时报告，以更快地检测威胁。
• Active Directory 监控：持续更新您的 AD 登录名和权限。
• 有效的权限分析：对可能导致数据泄露的权限更改发出警报。
• 安全事件调查：深入的审核日志可简化安全审核。
• 合规性监控：预定义报告，详细说明从 HIPAA 到 GDPR 等合规性法规。

价钱：

Lepide 每个许可证起价 229 美元，并提供 14 天免费试用。

网站 ：

https://www.lepide.com/lepideauditor/

6. 斯派普斯

正在寻找专门用于监控 Active Directory 帐户中与密码相关的漏洞的工具？尝试 Specops Password Auditor，这是一个可免费下载的只读程序。

下载该程序后，您将可以访问分析 AD 上密码策略的深入报告。您可以使用这些报告来调整您的用户密码，并确保您的知识产权在 Active Directory 登录后更加安全。

Specops 密码审核器具有以下功能：

• 密码报告：查看密码政策的个性化报告，以确定它们是否鼓励用户创建安全密码。
• 域密码策略：分析 AD 的域密码策略。
• 细粒度密码策略：为用户帐户密码创建创建定义的规则。
• 密码漏洞：识别弱密码和不遵守最小密码长度的用户帐户。
• 暴力攻击：针对模拟攻击测试您的密码策略以确定漏洞。

价钱 ：

Specops 密码审核器完全免费下载。

网站：

https://specopssoft.com/product/specops-password-auditor/

如何审核 Microsoft Active Directory

步骤 1. 启用审核策略

审核 Active Directory 的第一步是定义要审核和报告的事件。然后，您将使用组策略管理控制台来配置所需的审核策略设置。

建议在默认域策略中配置审核策略设置，如果需要，您也可以创建新的 GPO。

1. 打开组策略管理控制台。

2. 创建新的 GPO 或修改现有的 GPO。

3. 浏览至计算机配置 -> 策略 -> Windows 设置 -> 安全设置 -> 高级审核策略配置。

您将看到控制审核策略的几个类别的列表。您将需要查看每项策略并确定您的组织需要哪些策略。

请参阅以下资源以了解有关审核策略设置的更多信息。

步骤 2. 收集事件日志

启用审核后，它将在域控制器和其他系统上生成事件日志（取决于启用的策略）。您可以通过打开域控制器上的事件查看器来查看日志，如下图所示。

任何人都没有时间打开和查看每个事件日志。这就是为什么您需要安装第三方审核工具，如本文中列出的工具。

第三方审核工具将收集所有事件日志并创建易于阅读的报告。

上面的屏幕截图显示了最近的用户登录活动。如果没有第三方审核工具，这是不可能实现的。

要了解有关启用哪些审核策略的更多信息，请参阅以下内容：

• Active Directory 日志 - 要启用和审核的建议事件的汇总列表。
• 监控 Active Directory 是否存在泄露迹象 - 一篇 Microsoft 文章，详细介绍了不同的审核策略设置。

Active Directory 审核的重要性

审核 Active Directory 中的用户更改

您知道谁删除了用户或最近修改了管理员帐户吗？

跟踪用户更改是必须的，并且应该定期审查。恶意行为者可能会更改用户帐户，了解这些更改的发生者和时间对于调查至关重要。

审核组策略更改

组策略控制加入域的系统上的策略设置。如果配置不正确且未经测试，对 GPO 的一项小更改可能会导致各种问题。但哪个 GPO 被修改了，又被谁修改了呢？

GPO 更改存储在域控制器上的安全事件日志中。寻找一个可以监视这些日志并针对 GPO 更改创建易于阅读的审核报告的工具。

登录审核和报告

您知道为什么员工要在下班后登录吗？

审核登录失败和成功的用户登录非常重要。大量失败的登录尝试可能是对您的网络的攻击，您需要能够快速报告并发现这些登录峰值。

此外，大多数组织都会要求提供审核登录报告。例如，人力资源部想知道某个员工最后一次登录其计算机的时间。

审核组成员资格和用户访问权限

谁修改了域管理员组？

Active Directory 组用于授予一组用户对文件、应用程序和系统的访问权限。有人可以将用户添加到组中，该组授予他们对所有工作站的管理员权限或对文件和文件夹的完全权限。您需要能够跟踪组更改、谁修改了组、时间以及添加或删除了哪些用户。

Windows 文件共享审核

谁删除了共享文件夹中的所有文件？

这句话总是让人抓狂。他们要求知道谁从文件服务器中删除了特定文件。如果没有开启审核和正确的成人化工具，这是不可能的。

立即检测密码更改

你能检测到暴力密码攻击吗？

当许多帐户尝试在短时间内更改密码时，这可能表明存在暴力密码攻击。黑客可以使用自定义工具和脚本发起攻击，试图猜测数十万个帐户的密码。一个好的审核工具可以快速检测密码更改并向您发送通知。

审核谁拥有特权访问权限（管理员权限）

您知道谁拥有特权访问权限吗？您是工作站或笔记本电脑的本地管理员吗？

这些类型的权限很容易失控。拥有一个可以扫描计算机系统并检查 Active Directory 中的组成员身份的工具至关重要。

概括

在本文中，我回顾了当今市场上最好的 Active Directory 审核工具。正如您所看到的，有许多工具可供选择，它们各有优缺点。最好的审核工具将取决于您的要求，最好下载并测试各种选项。要了解有关审核策略设置的更多信息，请参阅我有关 Windows 审核策略最佳实践的文章。