AD域审核常见误区（二）

一、没有关注登陆类型

员工登录计算机有多种方式。最常见的有：

在分析登录事件时，应该将这些登录类型作为参考信息，进而深入了解员工行为。通过AD域审核，它可以提供的重要信息包括：哪些员工在家工作、谁使用服务登录等。持续关注员工的登陆方式，有助于时刻了解员工的登陆活动。

ADAudit Plus 如何帮助您呢？

❶监控和报告所有类型的用户登录行为，包括交互式、远程、本地和网络登录。

❷通过监控所有员工登录数据的缓存交互登录，找到在异地工作的员工。

二、依赖微软默认的密码和账户锁定设置

大多数企业不会更改微软提供的默认密码和帐户锁定设置。然而，这些默认设置可能并不适合每个企业。由不合适的策略引起的最常见的安全问题有：

应定期修改密码和帐户锁定策略，并评估其有效性。任何策略的设置都必须要考虑以下因素:

①员工或用户数

解决帐户锁定问题需要付出很大的时间和金钱成本。当企业中有数百或数千名员工时，严格的策略设置变得非常不切实际。

②数据存储的敏感性

数据的安全级别与存储和处理的关键业务信息的性质成正比。

③帐户锁定审查人员的使用

使用帐户锁定分析器有助于快速识别和解决密码过期和帐户锁定问题，尤其对于大量员工账户被锁时尤其有用。

ADAudit Plus 如何帮助您呢？

❶审核每个账户锁定事件以及关键细节如锁定时间、机器和用户登录历史等。

❷通过分析多个Windows组件如服务、应用程序、计划任务、RADIUS登录、OWA/动态同步和故障驱动器映射等来锁定问题，

三、未能实施最低特权原则

最低特权原则(POLP)是一种信息安全概念，即为用户提供执行其工作职责所需的最小权限等级或许可。提供过多或不需要的访问权限和许可级别将有可能成为攻击者的入侵点。

企业中应用最低特权原则（POLP）的几大好处：

①降低内部潜在漏洞的威胁

POLP 增加了额外的安全层，确保即使当恶意行为者获得对某位员工的访问权限时，他们也无法利用该员工权限之外的任何东西，因此必须定期查找和回滚授予用户的任何过度权限。

②限制勒索软件的传播

基于用户角色授予其对敏感数据的访问权限，包括对系统设置的权限、对注册表配置的更改权限等，从而降低恶意软件的传播几率，并给管理员赢得宝贵的时间来遏制它。

③加强数据安全保护措施

限制对关键设备、应用程序和服务器的“写入”和“执行”权限，这样做能够大幅降低被入侵的风险。

④有助于遵守法规要求

包括HIPAA、GDPR、CCPA和 PCI DSS在内的众多法规要求企业严格的保护隐私安全，即在“最低特权”的原则上向员工提供必要的访问权限。

ADAudit Plus如何帮到您？

❶跟踪每次在安全组中添加或删除新用户的情况。

❷查找并分析对AD域，FSMO角色等的高风险更改。

❸维护用户权限并可对新旧访问控制列表（ACL）值发生变化的详细信息进行跟踪。