快速入门

架构

架构

活动目录（Active Directory）

活动目录审核

概述
配置AD域和DC
- 自动配置
- 手动配置
配置审核策略
- 自动配置
- 手动配置
配置对象级审核
- 自动配置
- 手动配置
配置事件日志设置
故障排除

ADFS审计

组策略对象审核

Azure AD配置

概述
功能比较：Azure App与M365
在ADAudit Plus中配置Azure AD
- 使用Azure AD Premium许可证
- 使用Microsoft 365许可证
ADAudit Plus的报告功能
- ADAudit Plus与Azure门户
- ADAudit Plus与PowerShell cmdlet的比较
跟踪的事件类别
Azure AD中的日志保留设置
故障排除

Azure AD DS审核

AD CS审核

Windows服务器

Windows服务器审核

可移动存储审核

文件完整性监视

PowerShell审核指南

用户会话录制

概述和步骤

文件服务器

Windows文件服务器审核

EMC服务器审核

EMC Isilon审核

症状学审计

华为OceanStor审计

概述
华为OceanStor V5系列
华为OceanStor 9000 V5
华为OceanStor Dorado All-Flash Storage和OceanStor混合闪存（V6系列）
在ADAudit Plus中添加设备
排除配置
故障排除

NetApp文件管理器审核

NetApp群集审核

日立NAS审计

亚马逊FSx审计指南

QNAP NAS审核指南

Windows工作站审核

事件收集疑难解答

概述
错误和解决方案

迁移

安全

安全规范

安全性强化

安全性强化

产品配置

服务帐户配置

SSL配置

安全日志设置

安全日志设置

Agent配置

单一登录

NTLM身份验证
SAML身份验证

端口

产品和系统端口

2FA配置

虚拟IP地址设置

虚拟IP地址设置

高可用性配置

AD审计手动配置对象级审核

手动配置对象级审核，以确保每当发生任何与 Active Directory 对象相关的活动时都会记录事件。

1. 为 OU、GPO、用户、组、计算机和联系人对象配置审核

使用域管理员凭据登录到具有 Active Directory 用户和计算机的任何计算机，→ Open ADUC。

单击“查看”并确保已启用“高级功能”。这将显示 Active Directory 用户和计算机中选定对象的高级安全设置。

右键单击“域→属性”→“安全性”→“高级→审核”→“添加”。
在“审核条目”窗口中，→选择主体：所有人→类型：成功→ 按照下表中的说明选择适当的权限。

注意：在选择适当的权限之前，使用“全部清除”可删除所有权限和属性。

审核条目编号	审核条目	访问	应用于
审核条目编号	审核条目	访问	Windows 服务器 2003	Windows Server 2008 及更高版本
1&2	OU型	创建组织单位对象删除组织单位对象	此对象和所有子对象	此对象和所有后代对象
1&2	OU型	写入所有属性删除修改权限	组织单位对象	后代组织单位对象
3&4	GPO的	创建 groupPolicyContainer 对象删除 groupPolicyContainer 对象	此对象和所有子对象	此对象和所有后代对象
3&4	GPO的	写入所有属性删除修改权限	groupPolicyContainer 对象	后代 groupPolicyContainer 对象
5&6	用户	创建用户对象删除用户对象	此对象和所有子对象	此对象和所有后代对象
5&6	用户	写入所有属性删除修改权限所有扩展权利	用户对象	后代 User 对象
7&8	群	创建组对象删除组对象	此对象和所有子对象	此对象和所有后代对象
7&8	群	写入所有属性删除修改权限所有扩展权利	对对象进行分组	后代组对象
9&10	计算机	创建计算机对象删除计算机对象	此对象和所有子对象	此对象和所有后代对象
9&10	计算机	写入所有属性删除修改权限所有扩展权利	计算机对象	后代 Computer 对象
11&12	联系	创建联系人对象删除联系人对象	此对象和所有子对象	此对象和所有后代对象
11&12	联系	写入所有属性删除修改权限	接触对象	后代 Computer 对象

活动目录审核配置审核-for-ou-gpo-usergroup-computer-contact-objects

图像显示：审核条目编号 1。

注意：必须启用所有 12 个审核条目。

2. 审核容器对象

登录到具有 Active Directory 服务接口管理单元的任何计算机 → 打开 ADSI 编辑控制台→右键单击“ADSI 编辑→连接到”。
在“连接设置”窗口中→在“选择已知命名上下文”下→选择“默认命名上下文”。
导航到左侧面板 → 单击“默认命名上下文”→右键单击“域可分辨名称”→选择属性→“安全”→“高级→审核”→“添加”。
在“审核条目”窗口中，→选择主体：所有人→类型：成功→ 按照下表中的说明选择适当的权限。

注意：在选择适当的权限之前，使用“全部清除”可删除所有权限和属性。

审核条目	访问	应用于
审核条目	访问	Windows 服务器 2003	Windows Server 2008 及更高版本
容器	写入所有属性删除修改权限	容器对象	后代容器对象

active-directory-audit-to-audit-container-objects

3. 配置密码设置对象的审核

登录到具有 Active Directory 服务接口管理单元的任何计算机 → 打开 ADSI 编辑控制台→右键单击“ADSI 编辑→连接到”。
在“连接设置”窗口中→在“选择已知命名上下文”下→选择“默认命名上下文”。
导航到左侧面板 → 单击“默认命名上下文”→ 展开域→ 展开“系统”容器→右键单击“密码设置”容器→“属性”→“安全”→“高级→审核”→“添加”。
在“审核条目”窗口中，→选择主体：所有人→类型：成功→ 按照下表中的说明选择适当的权限。

注意：在选择适当的权限之前，使用“全部清除”可删除所有权限和属性。

审核条目编号	审核条目	访问	应用于
审核条目编号	审核条目	访问	Windows 服务器 2003	Windows Server 2008 及更高版本
1&2	密码设置容器	创建 msDS-PasswordSettings 对象删除 msDS-PasswordSetting 对象	不適用	此对象和所有后代对象
1&2	密码设置容器	写所有 Propertie 删除修改权限	不適用	后代 msDS-PasswordSettings 对象

active-directory-audit-configuring-auditing-for-password-setting-objects

图像显示：审核条目编号 1。

注意：必须同时启用两个审核条目。

4. 配置配置对象的审核

登录到具有 Active Directory 服务接口管理单元的任何计算机 → 打开 ADSI Edit 控制台→右键单击“ADSI Edit”→连接到。
在“连接设置”窗口中→在“选择已知命名上下文”下→选择“配置”。
导航到左侧面板 →单击“配置”→右键单击“配置命名上下文”→“选择属性”→“安全”→“高级→审核”→“添加”。
在“审核条目”窗口中，→选择主体：所有人→类型：成功→ 按照下表中的说明选择适当的权限。

注意：在选择适当的权限之前，使用“全部清除”可删除所有权限和属性。

审核条目	访问	应用于
审核条目	访问	Windows 服务器 2003	Windows Server 2008 及更高版本
配置	创建所有子对象写入所有属性删除所有子对象删除修改权限所有扩展权利	此对象和所有子对象	此对象和所有对象

5. 为架构对象配置审核

登录到具有 Active Directory 服务接口管理单元的任何计算机 → 打开 ADSI 编辑控制台→右键单击“ADSI 编辑→连接到”。
在“连接设置”窗口中→在“选择已知命名上下文”下→选择“架构”
导航到左侧面板 →单击“架构”→右键单击“架构命名上下文”→“选择属性”→“安全”→“高级”→“审核”→“添加”。
在“审核条目”窗口中，→选择主体：Everyone → OK → 类型：Success → 选择适当的权限，如下表所示。

注意：在选择适当的权限之前，使用“全部清除”可删除所有权限和属性。

审核条目	访问	应用于
审核条目	访问	Windows 服务器 2003	Windows Server 2008 及更高版本
图式	创建所有子对象写入所有属性删除所有子对象删除修改权限所有扩展权利	此对象和所有子对象	此对象和所有后代对象

6. 配置 DNS 对象的审核

登录到具有 Active Directory 服务接口管理单元的任何计算机 → 打开 ADSI 编辑控制台 →确定 →右键单击“ADSI 编辑→连接到”。
在“连接设置”窗口中，→“选择或键入可分辨名称”或“命名上下文”下→根据您的域名和存储区域的分区键入可分辨名称。

键入 DC=adap， DC=internal，DC=com 作为可分辨名称。（默认情况下，此分区通常加载到 Adsiedit 中）
键入 DC=DomainDNSZones，DC=adap，DC=internal，DC=com 作为可分辨名称。
键入 DC=ForestDNSZones，DC=adap，DC=internal，DC=com 作为可分辨名称。

导航到左侧面板→单击“默认命名上下文”→右键单击“MicrosoftDNS→选择”安全“→”高级→审核“→”添加“→属性。
iv. 在“审核条目”窗口中，→选择主体→“所有人→确定”→类型：成功→ 按照下表中的说明选择适当的权限。

注意：在选择适当的权限之前，使用“全部清除”可删除所有权限和属性。

审核条目编号	审核条目	访问	应用于
审核条目编号	审核条目	访问	Windows 服务器 2003	Windows Server 2008 及更高版本
1&2	DNS 区域	创建 DNS 区域对象删除 DNS 区域对象	此对象和所有子对象	此对象和所有后代对象
1&2	DNS 区域	写入所有属性删除修改权限	DNS 区域对象	后代 DNS 区域对象
3&4	DNS 节点	创建 DNS 节点对象删除 DNS 节点对象	此对象和所有子对象	后代 DNS 区域对象
3&4	DNS 节点	写入所有属性删除修改权限	DNS 节点对象	后代 DNS 节点对象

Note:Repeat steps iii. and iv. for the remaining 2 default naming contexts.

快速入门

架构

活动目录（Active Directory）

活动目录审核

ADFS审计

组策略对象审核

Azure AD配置

Azure AD DS审核

AD CS审核

Windows服务器

Windows服务器审核

可移动存储审核

文件完整性监视

PowerShell审核指南

用户会话录制

文件服务器

Windows文件服务器审核

EMC服务器审核

EMC Isilon审核

症状学审计

华为OceanStor审计

NetApp文件管理器审核

NetApp群集审核

日立NAS审计

亚马逊FSx审计指南

QNAP NAS审核指南

Windows工作站审核

事件收集疑难解答

迁移

安全

安全规范

安全性强化

产品配置

服务帐户配置

SSL配置

安全日志设置

Agent配置

单一登录

端口

2FA配置

虚拟IP地址设置

高可用性配置

电子邮件和SMS服务器配置

自动配置

ServiceNow集成

AD审计手动配置对象级审核

1. 为 OU、GPO、用户、组、计算机和联系人对象配置审核

2. 审核容器对象

3. 配置密码设置对象的审核

4. 配置配置对象的审核

5. 为架构对象配置审核

6. 配置 DNS 对象的审核

我们的客户