在 Active Directory (AD) 中,组策略是一种安全工具,可对网络中的所有计算机和用户进行集中管理和控制。管理员可以允许、拒绝或限制用户访问某些资源、运行脚本、启用或禁用审核,并在设备上执行大量其他操作,因此对组策略所做的任何更改都至关重要,任何未经授权的更改都可能导致毁灭性的安全漏洞。
Windows 本机审核
使用组策略管理控制台启用审核的步骤
在域控制器 (DC) 上执行以下操作:
- 按“开始”,搜索并打开组策略管理控制台 (GPMC),或运行命令gpmc.msc。
- 右键单击要审核的域或组织单位 (OU),然后单击“在此域中创建 GPO 并在此处链接”。注意:如果已创建组策略对象 (GPO),请单击“链接现有 GPO”。
- 根据需要命名GPO。
- 右键单击 GPO,然后选择“编辑”。
- 在组策略管理编辑器的左窗格中,导航到“计算机配置”>“策略”>“Windows 设置”>“安全设置”>“高级审核策略配置”>“DS Access >审核策略”。
- 在右窗格中,您将看到DS Access下的策略列表。双击“Active Directory 服务更改”,然后选中标记为“配置以下审核事件”、“成功”和“失败”的框。
- 单击“应用”,然后单击“确定”。
- 导航到“计算机配置”>“策略”>“Windows 设置”>“安全设置”>“高级审核策略配置”>“审核策略>对象访问”。
- 在右窗格中,你将看到“对象访问”下的策略列表。双击“审核文件服务器托管网系统”,然后选中标记为“配置以下审核事件”、“成功”和“失败”的框。
- 返回到组策略管理控制台,在左窗格中,右键单击链接了 GPO 的所需 OU,然后单击“组策略更新”。此步骤可确保立即应用新的组策略设置,而不是等待下一次计划刷新。
启用此策略后,每当修改组策略对象时,事件都会记录在 DC 的安全日志上。
使用 ADSI Edit 配置 groupPolicyContainer 对象审核的步骤
在域控制器上执行以下操作:
- 单击“开始”,搜索“ADSI Edit”,右键单击它,然后选择“以管理员身份运行”。
- 在左窗格中,右键单击“ADSI 编辑”,然后选择“连接到”。
- 在新窗口中,确保将“名称”设置为“默认命名上下文”,并且“路径”中提到的域名是要审核的域。
- 单击“确定”。
- 双击“默认命名上下文”,然后导航到“DC=domain,DC=com”>“CN=System”>“CN=Policies”。
- 右键单击CN=Policies,然后选择属性。
- 转到“安全”选项卡,然后单击“高级”按钮。
- 转到“审核”选项卡,然后单击“添加”按钮。
- 单击“选择主体”并搜索“所有人”,然后单击“确定”。
- 单击“类型”下拉列表,然后选择“成功”。单击“应用于”下拉列表,然后选择“此对象和所有后代对象”。
- 向下滚动并选中标记为“创建 groupPolicyContainer对象”和“删除 groupPolicyContainer 对象”的框,然后单击“确定”关闭“审核条目”窗口。单击“确定”关闭“高级安全设置”窗口。单击“确定”关闭属性窗口。
审核 SYSVOL 文件夹的步骤
所有组策略文件都存储在域控制器的 SYSVOL 文件夹中,因此,为了审核对 GPO 的更改,需要审核此文件夹。在域控制器上执行以下操作:注意:如果您无权访问 DC,请通过网络共享访问 SYSVOL 文件夹。
- 打开 Windows 资源管理器并导航到C: > Windows > SYSVOL >域。
- 右键单击“策略”文件夹,然后选择“属性”。
- 转到“安全”选项卡,然后单击“高级”按钮。
- 选择“审核”选项卡,然后单击“添加”按钮。
- 单击“选择主体”,搜索“所有人”,然后单击“确定”。
- 单击“类型”下拉列表,然后选择“全部”。单击“应用于”下拉列表,然后选择“此文件夹、子文件夹和文件”。
- 单击“显示高级权限”,然后选中标记为“完全控制”的框。
- 单击“确定”。
使用事件查看器查看组策略更改事件的步骤
完成上述步骤后,对任何 GPO 所做的更改都将记录为事件。可以按照以下步骤在事件查看器中查看:
- 按“开始”,搜索“事件查看器”,然后单击将其打开。
- 在“事件查看器”窗口的左窗格中,导航到“Windows 日志>安全性”。
- 在这里,您将找到系统中记录的所有安全事件的列表。
- 在右窗格中的“安全性”下,单击“筛选当前日志”。
- 在弹出窗口中,在标有“所有事件 ID”的字段中输入所需的事件 ID*。
|
事件 ID |
事件类型 |
描述 |
|
5136 |
成功 |
修改了目录服务对象。 |
|
5137 |
成功 |
已创建目录服务对象。 |
|
5138 |
成功 |
目录服务对象已取消删除。 |
|
5139 |
成功 |
目录服务对象已移动。 |
|
5141 |
成功服务器托管网 |
已删除目录服务对象。 |
- 单击“确定”。这将为您提供输入的事件 ID 的匹配次数列表。
- 双击事件 ID 以查看其属性(说明)。
创建组策略对象时,将记录事件 5137。除其他外,以下详细信息记录在事件属性中:
- 已修改对象的可分辨名称。
- 请求操作的帐户的 SID 和名称。
- 已修改的对象属性。
- 对 GPO 执行的操作类型,即是否在 GPO 中添加或删除了值。
本机审核的局限性
- 若要跟踪关键事件,管理员必须搜索每个事件 ID 并查看其属性。即使对于小型组织来说,这也是非常不切实际的。
- 本机审计提供的洞察力是不够的。即使管理员跟踪事件,他们仍然无法知道更改是否是非典型用户行为的标志。
- 上面提到的事件仅显示 GPO 的名称,而不显示已修改的 GPO 的旧值和新值。
- 可以从域中的任何 DC 执行组策略更改。管理员必须监视每个 DC 上的事件,这是工作量过大。一个集中的工具来监控来自所有DC的事件将大大减少工作量。
使用ADAudit Plus审核组策略更改的步骤
- 打开ADAudit Plus控制台并以管理员身份登录。
- 导航到“报告”> Active Directory > GPO 管理>最近修改的 GPO。
与本机审计相比,使用ADAudit Plus的优势:
- 提供对域中每个DC所做的组策略更改的详细见解,获取有关 GPO 更改的人员、时间和内容的全面报告,并实时更新。
- 通过按 GPO 设置更改分组的报告,您可以查看每个 GPO 子类别的更详细、不同的报告。例如,密码策略、帐户锁定策略、管理模板、用户权限分配等。
- 查看对组策略的访问控制列表(ACL)所做的更改,并在“组策略权限更改”下查看新旧 ACL 值。
服务器托管,北京服务器托管,服务器租用 http://www.fwqtg.net
机房租用,北京机房租用,IDC机房托管, http://www.fwqtg.net
以下是一个使用lua-web-utils和proxy的下载器程序: — 首先安装lua-web-utils库 local lwu = require “lwu” — 获取服务器 local f服务器托管网unction get_proxy() loca…
