如何审核 Active Directory 用户账户更改？

作为在IT环境中管理安全性和合规性的一部分，审核和跟踪AD域用户帐户中发生的所有变动至关重要。用户帐户中有一些重要的变动，您必须考虑审核与用户帐户相关的所有AD域事件，以识别和防止潜在的安全威胁。其中一些事件是创建新用户帐户、删除用户帐户、启用/禁用用户帐户、用户帐户权限更改等。通过持续监控对Active Directory中的用户帐户所做的更改（其中一些可能未经授权或疏忽），您可以在未来克服潜在的AD域安全漏洞。

 

正在上传…重新上传取消

安全漏洞

使用本机 Active Directory 审计工具

首先使用下面提到的步骤启用“用户账户管理”审计策略。

①转到“管理工具”

②从主“域控制器”，打开“组策略管理”控制台

③创建新GPO或编辑现有 GPO。建议创建一个新的 GPO，将其链接到域并进行编辑。

④在左侧面板中，通过右键单击域名创建一个新的GPO。

⑤单击“在此域中创建 GPO，并在此处链接”。

⑥在屏幕上显示的“新建 GPO”窗口中，给一个名称（例如：管理用户帐户），然后单击“确定”。

⑦右键单击出现在左窗格中的新GPO，单击上下文菜单中的“编辑”。

⑧然后将在屏幕上显示“组策略管理编辑器”。

⑨转到“计算机配置”➔“Windows设置”➔“安全设置”➔“高级审计策略配置”➔“审计策略”设置“审计用户帐户管理”策略。

⑩选择“帐户管理”策略，该策略将显示其所有子策略。

⑪双击“审核用户账户管理”策略以打开其“属性”窗口。

注意： 在“高级审核策略配置”而不是“本地策略”中配置上述策略，因为需要在“本地策略”中启用所有帐户管理策略会产生大量的事件日志。

⑫Active Directory 审核策略账户管理

在策略属性中，选择“定义这些策略设置”复选框。根据您的审计尝试要求，选择任何一个或两个选项（成功和失败）。

⑬审核 AD域帐户管理属性

⑭单击“应用”，然后单击“确定”关闭属性窗口。

⑮直接更新组策略以反映整个域的新更改

⑯在“命令提示符”中运行以下命令：GP更新/强制

审计策略

以上便是启用“用户账户管理”审计策略的具体步骤，但光凭AD域自身所带审计策略并不足以对域内用户的行为进行高效审计，因此目前很多企业更多的是利用第三方工具来对AD域进行审计。接下来就给大家介绍一款来自卓豪的AD域审计工具——ADAudit Plus

用户行为监控

卓豪的ADAudit Plus是一款AD域变更审计与报表软件，它能对AD域内用户的行为进行跟踪，通过生成的各类报表对用户行为进行分析。发现异常行为或恶意操作，实时进行报警，让域内用户行为真正的可视化。对网络合规性的审计有非常大的帮助。相比以往管理员通过域控制器对域内用户行为审查，ADAudit Plus不仅增加了审查效率，还能通过对域内的关联事件进行分析，彻底的对域用户的各类行为进行有效审计。

ADAudit Plus

企业网络用户行为的规范对网络信息安全非常重要，因此用户行为的审计自然不可避免。它不仅对网络信息安全具有很大的帮助，更给企业网络合规性的审计提供重要支持。