在Active Directory中跟踪用户帐户更改将有助于您确保IT环境的安全和合规性。在考虑用户帐户时,可能会有许多不同的更改需要注意。例如具有大量权限的新用户,删除的用户帐户,启用或禁用的用户帐户等等。如果用户出于恶意目的进行了这些更改,则可能会导致数据泄漏。您可以通过持续监视不需要的或未经授权的用户帐户更改来防止此类内部威胁。在本文中,您将学习如何在本地和使用Lepide Active Directory Auditor来审核Active Directory中的用户帐户更改。
步骤1:“用户帐户管理”审核策略
执行以下步骤以启用“用户帐户管理”审核策略:
- 转到“管理工具”,然后在主“域控制器”上打开“组策略管理”控制台。
- 在“组策略管理”中,创建一个新的GPO或编辑一个现有的GPO。建议创建一个新的GPO,将其链接到域并进行编辑。
- 要创建新的GPO,请在左侧面板中右键单击域名,然后单击“在此域中创建GPO,然后在此处链接”。它在屏幕上显示“ New GPO”窗口。提供一个名称(在本例中为用户帐户管理),然后单击“确定”。
- 新的GPO出现在左窗格中。右键单击它,然后在上下文菜单中单击“编辑”。屏幕上出现“组策略管理编辑器”。
- 在此窗口中,您必须设置“审核用户帐户管理”策略。为此,请导航至“计算机配置”➔“ Windows设置”➔“安全设置”➔“高级审核策略配置”➔“审核策略”。
- 选择“帐户管理”策略以列出其所有子策略。双击“审核用户帐户管理”策略以打开其“属性”窗口
注意:建议不要在“高级审核策略配置”中配置以上策略,而不配置“本地策略”。这是因为您必须在“本地策略”中启用所有帐户管理策略,这将生成大量事件日志。为了将噪声降至最低,应首选“高级审核策略配置”。
图1:“审核用户帐户管理”策略
- 在策略属性中,单击以选中“定义这些策略设置”复选框。然后,选择“成功”和“失败”尝试复选框。您可以根据需要选择一个或两个选项。在我们的案例中,我们要选择两个选项,因为我们要审核成功和失败的尝试。图2:“审核用户帐户管理”策略的属性
- 单击“应用”,然后单击“确定”以关闭属性窗口。
- 建议立即更新组策略,以便可以将新更改应用于整个域。在“命令提示符”中运行以下命令:
Gpupdate / force
在下图中,您可以看到“ Gpupdate”命令正在运行。
图3:更新组策略
步骤2:通过事件查看器跟踪用户帐户更改
要跟踪Active Directory中用户帐户的更改,请打开“ Windows事件查看器”,然后转到“ Windows日志”➔“安全性”。使用右窗格中的“筛选当前日志”选项查找相关事件。
以下是与用户帐户管理相关的一些事件:
- 事件ID 4720显示已创建用户帐户。
- 事件ID 4722显示已启用用户帐户。
- 事件ID 4740显示用户帐户已被锁定。
- 事件ID 4725显示用户帐户已禁用。
- 事件ID 4726显示用户帐户已删除。
- 事件ID 4738显示用户帐户已更改。
- 事件ID 4781显示帐户名称已更改。
在我们的实验室环境中,我们启用了禁用的用户帐户。下图显示了事件的属性窗口的屏幕截图(事件ID 4722)。启用帐户的用户名显示在“主题➔帐户名”字段中,而帐户启用时间显示在“已记录”字段中。
图4:已启用用户帐户
要查看已启用帐户的用户名,您必须向下滚动事件的属性窗口的侧栏。在下图中,您可以在“目标帐户➔帐户名称”字段下看到用户的名称。
图5:启用了帐户的用户名