Contoso 當(dāng)前要監(jiān)視數(shù)量巨大的失敗域登錄嘗試。根據(jù)其環(huán)境的不同，其他一些事件無關(guān)緊要。配置這些設(shè)置時(shí)，他們確定的最好方法是，首先以一個(gè)相對(duì)較嚴(yán)格的設(shè)置開始，然后持續(xù)減少它的嚴(yán)格程度，直到一些非實(shí)質(zhì)警告的數(shù)量減少。目前，他們監(jiān)視的是 10 分鐘時(shí)間段中發(fā)生 10 次失敗登錄的所有情況。這些數(shù)字在所有環(huán)境中可能都是不同的。

帳戶治理
帳戶治理審核用于確定何時(shí)創(chuàng)建、更改或刪除了用戶或組。這種審核可用于確定何時(shí)創(chuàng)建了安全主要對(duì)象，以及誰執(zhí)行了該任務(wù)。

作為“成員服務(wù)器和域控制器基準(zhǔn)策略”的一部分，帳戶治理中的成功和失敗都應(yīng)啟用審核。因此，應(yīng)該會(huì)看到安全日志中記錄的下列事件 ID。

表 3：事件日志中的帳戶治理事件

事件 ID 說明
624
創(chuàng)建了用戶帳戶

625
用戶帳戶類型更改

626
啟用了用戶帳戶

627
嘗試進(jìn)行了密碼更改

628
設(shè)置了用戶帳戶密碼。

629
禁用了用戶帳戶

630
刪除了用戶帳戶

631
創(chuàng)建了啟用安全的全局組

632
添加了啟用安全的全局組成員

633
刪除了啟用安全的全局組成員

634
刪除了啟用安全的全局組

635
創(chuàng)建了禁用安全的本地組

636
添加了啟用安全的本地組成員

637
刪除了啟用安全的本地組成員

638
刪除了啟用安全的本地組

639
更改了啟用安全的本地組

641
更改了啟用安全的全局組

642
更改了用戶帳戶

643
更改了域策略

644
鎖定了用戶帳戶


使用安全日志項(xiàng)可診斷下面的帳戶治理事件：

• 用戶帳戶的創(chuàng)建
事件 ID 624 和 626 表明何時(shí)創(chuàng)建和啟用了用戶帳戶。假如帳戶創(chuàng)建限定在組織中的特定個(gè)人，則可使用這些事件表示是否有未授權(quán)的個(gè)人創(chuàng)建了用戶帳戶。

• 更改了用戶帳戶密碼
假如不是該用戶修改密碼，可能表明該帳戶已被另一用戶占用。請(qǐng)查看事件 ID 627 和 628，它們分別表明嘗試進(jìn)行了密碼更改以及密碼更改成功。請(qǐng)查看具體信息，確定是否是另一個(gè)帳戶執(zhí)行了該更改，該帳戶是否是重置用戶帳戶密碼的技術(shù)支持部門或其他服務(wù)部門的成員。

• 更改了用戶帳戶狀態(tài)
某個(gè)攻擊者在攻擊過程中，可能會(huì)通過禁用或刪除帳戶來嘗試掩蓋攻擊。出現(xiàn)的所有事件 ID 629 和 630 都應(yīng)仔細(xì)研究，確保這些是授權(quán)的事務(wù)處理。另外，還要查看發(fā)生事件 ID 626 之后短時(shí)間內(nèi)發(fā)生的事件 ID 629。這可能表明一個(gè)已禁用的帳戶被啟用，被使用，然后又再次被禁用。

• 安全組的修改
成員身份更改為 Domain Administrator、 Administrator、Operator 組的任何成員，或更改為被委派了治理功能的自定義全局組、通用組或域本地組，這些情況都應(yīng)進(jìn)行復(fù)查。對(duì)于全局組成員身份修改，請(qǐng)查找事件 ID 632 和 633。對(duì)于域本地組成員身份修改，請(qǐng)查看事件 ID 636 和 637。

• 帳戶鎖定
鎖定帳戶時(shí)，系統(tǒng)會(huì)在主域控制器 (PDC) 模擬器操作主機(jī)上記錄兩個(gè)事件。一個(gè)事件為 644，表示帳戶名已被鎖定；然后記錄事件 642，表示該用戶帳戶已更改為表明帳戶現(xiàn)已鎖定。此事件只會(huì)記錄在 PDC 模擬器上。


因?yàn)?Contoso 是一個(gè)較大的企業(yè)，所以天天有大量的帳戶要維護(hù)。監(jiān)視所有這些事件會(huì)導(dǎo)致環(huán)境中產(chǎn)生太多的警告，而這些警告不必全部進(jìn)行合理的解決。

對(duì)象訪問
在基于 Windows 2000 的網(wǎng)絡(luò)中，使用系統(tǒng)訪問控制列表 (SACL) 可為所有對(duì)象啟用審核。SACL 包含了一個(gè)用戶和組列表，其中用戶和組等對(duì)象的操作都要進(jìn)行審核。用戶在 Windows 2000 中可操作的每個(gè)對(duì)象幾乎都有一個(gè) SACL。這些對(duì)象包括 NTFS 文件系統(tǒng)驅(qū)動(dòng)器上的文件和文件夾、打印機(jī)和注冊(cè)表項(xiàng)。

查看更多 動(dòng)易Cms教程  動(dòng)易Cms模板