Contoso 當前要監(jiān)視數(shù)量巨大的失敗域登錄嘗試。根據(jù)其環(huán)境的不同，其他一些事件無關緊要。配置這些設置時，他們確定的最好方法是，首先以一個相對較嚴格的設置開始，然后持續(xù)減少它的嚴格程度，直到一些非實質警告的數(shù)量減少。目前，他們監(jiān)視的是 10 分鐘時間段中發(fā)生 10 次失敗登錄的所有情況。這些數(shù)字在所有環(huán)境中可能都是不同的。

帳戶治理
帳戶治理審核用于確定何時創(chuàng)建、更改或刪除了用戶或組。這種審核可用于確定何時創(chuàng)建了安全主要對象，以及誰執(zhí)行了該任務。

作為“成員服務器和域控制器基準策略”的一部分，帳戶治理中的成功和失敗都應啟用審核。因此，應該會看到安全日志中記錄的下列事件 ID。

表 3：事件日志中的帳戶治理事件

事件 ID 說明
624
創(chuàng)建了用戶帳戶

625
用戶帳戶類型更改

626
啟用了用戶帳戶

627
嘗試進行了密碼更改

628
設置了用戶帳戶密碼。

629
禁用了用戶帳戶

630
刪除了用戶帳戶

631
創(chuàng)建了啟用安全的全局組

632
添加了啟用安全的全局組成員

633
刪除了啟用安全的全局組成員

634
刪除了啟用安全的全局組

635
創(chuàng)建了禁用安全的本地組

636
添加了啟用安全的本地組成員

637
刪除了啟用安全的本地組成員

638
刪除了啟用安全的本地組

639
更改了啟用安全的本地組

641
更改了啟用安全的全局組

642
更改了用戶帳戶

643
更改了域策略

644
鎖定了用戶帳戶


使用安全日志項可診斷下面的帳戶治理事件：

• 用戶帳戶的創(chuàng)建
事件 ID 624 和 626 表明何時創(chuàng)建和啟用了用戶帳戶。假如帳戶創(chuàng)建限定在組織中的特定個人，則可使用這些事件表示是否有未授權的個人創(chuàng)建了用戶帳戶。

• 更改了用戶帳戶密碼
假如不是該用戶修改密碼，可能表明該帳戶已被另一用戶占用。請查看事件 ID 627 和 628，它們分別表明嘗試進行了密碼更改以及密碼更改成功。請查看具體信息，確定是否是另一個帳戶執(zhí)行了該更改，該帳戶是否是重置用戶帳戶密碼的技術支持部門或其他服務部門的成員。

• 更改了用戶帳戶狀態(tài)
某個攻擊者在攻擊過程中，可能會通過禁用或刪除帳戶來嘗試掩蓋攻擊。出現(xiàn)的所有事件 ID 629 和 630 都應仔細研究，確保這些是授權的事務處理。另外，還要查看發(fā)生事件 ID 626 之后短時間內(nèi)發(fā)生的事件 ID 629。這可能表明一個已禁用的帳戶被啟用，被使用，然后又再次被禁用。

• 安全組的修改
成員身份更改為 Domain Administrator、 Administrator、Operator 組的任何成員，或更改為被委派了治理功能的自定義全局組、通用組或域本地組，這些情況都應進行復查。對于全局組成員身份修改，請查找事件 ID 632 和 633。對于域本地組成員身份修改，請查看事件 ID 636 和 637。

• 帳戶鎖定
鎖定帳戶時，系統(tǒng)會在主域控制器 (PDC) 模擬器操作主機上記錄兩個事件。一個事件為 644，表示帳戶名已被鎖定；然后記錄事件 642，表示該用戶帳戶已更改為表明帳戶現(xiàn)已鎖定。此事件只會記錄在 PDC 模擬器上。


因為 Contoso 是一個較大的企業(yè)，所以天天有大量的帳戶要維護。監(jiān)視所有這些事件會導致環(huán)境中產(chǎn)生太多的警告，而這些警告不必全部進行合理的解決。

對象訪問
在基于 Windows 2000 的網(wǎng)絡中，使用系統(tǒng)訪問控制列表 (SACL) 可為所有對象啟用審核。SACL 包含了一個用戶和組列表，其中用戶和組等對象的操作都要進行審核。用戶在 Windows 2000 中可操作的每個對象幾乎都有一個 SACL。這些對象包括 NTFS 文件系統(tǒng)驅動器上的文件和文件夾、打印機和注冊表項。

查看更多 動易Cms教程  動易Cms模板