首页 »
下载PDF
 

AD审计快速入门前提条件

确保在部署ADAudit Plus之前配置了以下设置和组件。

配置审计策略和对象级审计

审核策略设置指定要审核的与安全相关的事件的类别。高级审核策略设置可帮助管理员对日志中记录的活动进行精细控制,从而帮助减少事件噪音。

对象级审核设置(在本文档中称为系统访问控制列表 [SACL]),用于记录访问受保护对象的尝试。

必须为计算机配置审核策略或高级审核策略(建议用于运行 Windows 7、Windows Server 2008 及更高版本的计算机),而必须为受保护的对象配置对象级审核,以确保在发生任何相关活动时记录与安全相关的事件。

注意:所需的审核策略和对象级审核设置可以通过ADAudit Plus控制台自动配置,方法是按照下面每个链接中“自动配置”部分下的步骤进行配置。

要审核 Active Directory,请执行以下操作:

  1. 配置默认域控制器策略。
  2. 配置对象级审核。

要审核 Windows 文件服务器,请执行以下操作:

  1. 为需要审核的 Windows 文件服务器配置审核策略
  2. 为需要审核的共享配置对象级审核

要审核 Windows 成员服务器,请执行以下操作:

  1. 为需要审核的 Windows 服务器配置审核策略

要审核 Windows 工作站,请执行以下操作:

  1. 为需要审核的 Windows 工作站配置审核策略

审核 NetApp 文件管理器

  1. 为需要审核的 NetApp 文件管理器配置审核策略和 SACL

要审核 NetApp 集群:

  1. 为需要审核的 NetApp 集群配置审核策略和 SACL

要审核 EMC 服务器,请执行以下操作:

  1. 为需要审核的 EMC 服务器配置审核策略和 SACL

要审核 EMC Isilon,请执行以下操作:

  1. 为需要审核的 EMC Isilon 节点配置审核策略和 SACL

要启用文件完整性监视 (FIM):

  1. 为需要监视文件完整性的域控制器、Windows 服务器和 Windows 工作站配置审核策略
  2. 为需要审核的共享配置对象级审核

要审核组策略对象 (GPO):

  1. 配置默认域控制器策略。
  2. 配置对象级审核。

要审核可移动存储设备,请执行以下操作:

  1. 为需要审核可移动存储活动的域控制器、Windows 服务器和 Windows 工作站配置审核策略

若要审核 Windows PowerShell,请执行以下操作:

  1. 为需要审核 PowerShell 活动的域控制器、Windows 服务器和 Windows 工作站配置审核策略

若要审核 Active Directory 联合身份验证服务 (AD FS),请执行以下操作:

  1. 为需要审核 AD FS 活动的域控制器和 Windows 服务器配置审核策略

配置安全日志大小和保留设置

必须配置安全日志大小和保留设置,以防止由于覆盖事件而丢失审核数据。

按照以下建议配置适当的安全日志设置

要打开的端口

必须打开端口以允许计算机之间的数据交换。

以下是ADAudit Plus使用的默认端口列表以及应在目标计算机上打开的端口

设置服务帐户

输入域管理员凭据后,ADAudit Plus将开始审核活动。

如果不想提供域管理员凭据,请按照以下步骤将服务帐户设置为仅具有审核环境所需的最低权限

 

我们的客户