最后更新于2017年11月6日星期一20:44:01 GMT

Checking-AD-Security-和-Integrity-via-Log-Monitoring

因为AD实际上掌握着进入基于域的网络和运行时环境的钥匙, 密切关注这些钥匙通常是个好主意, 它们是如何被使用的,它们可能会遭到什么样的攻击. 监视AD相关的事件日志提供了一个很好的工具,可以执行适当的安全性和完整性调查. 针对特定的高影响事件发出警报提供了另一种方法.

二十多年了, 微软的活动目录(AD)提供了一套强大的网络访问控制, 服务器和用户资产. 通过明智地使用目录层次结构, 帐户组定义和用户帐户分配, 还有集团政策对象和制度, AD允许企业和组织识别和保护其信息资产. 更重要的是, AD使组织能够管理和控制如何访问和使用这些信息. 仔细检查 事件日志 与AD相关的跟踪可以提供有关访问权限和特权的使用和潜在滥用的各种有用信息. 这样的审计跟踪还可以为了解域管理员的活动提供一个重要窗口,以确保没有任何不愉快的事情发生, 不需要的, 或者是未经授权的.

注意AD日志还提供了有趣的机会来确认安全策略是否按照预期的方式制定. 这在涉及访问控制(及其日常使用)时尤为重要. 特别是, 对AD日志的分析有助于解决有时被称为“权限蠕变”或“过度供应”的问题.在这种情况下, 某些用户, 可以通过与他们的个人帐户关联的权限,也可以通过分配给他们的组, 获得并拥有比当前工作角色或职责实际授权的更多权限和更高级别的访问权限. 这可能会发生, 例如, 为短期临时工作分配而授予访问资源的权限, 但当工作任务结束时,不会被拒绝. 类似的, 如果在添加新作业分配时未撤销与前一个作业分配关联的权限集,则作业职责的更改可能导致特权和权限的聚合. 仔细检查谁在做什么, 以及与安全政策规定他们应该做的事情相比, 能帮我解决这个问题吗. 这种检查自然而然地成为AD审计或关于特权行使的日志数据的一部分.

也许更重要的是建立和执行审计和监视所有AD访问的全面策略, 特别是涉及添加的动作, 对AD数据库的修改和删除. 如果域管理员知道他们在Active 导演y环境中的工作总是受到审查, 他们将不太愿意尝试任何破坏安全的事情. 这种方法还有助于防止不适当的授权, 授予过多的权利和权限, 或者直接滥用AD管理员日常行使的近乎神圣的权力. 如果每个人都明白管理访问活动目录是一个公开的书, 发生滥用职权的诱惑和机会要小得多, 每一个错误和遗漏都将被及时发现和纠正.

最后, 对AD访问的审计可以提供关于针对Active 导演y所代表的领域的密钥的各种形式的攻击的重要线索. 这些攻击包括从暴力破解密码攻击到基于收集和非法使用与特定的安全标识符(sid)的复杂破解, 高价值的账户. 仔细记录AD环境是任何AD安全工作的重要开始, 并且必须包括对管理组和帐户的捕获, 授权, 以及对AD维护和备份/恢复功能和工作角色的审查. 在这里,日志分析可以为实践与政策的不同之处提供重要的见解. 它还可以帮助更好地将实践与政策结合起来,因为它们应该这样做. 记住:如果你不监控资产,你也不能有效地管理它. 这就是监控AD事件的原因, 甚至在特定事件(AD域管理帐户的重复密码失败)时发出警报, 例如)对于建立和维护适当的Active 导演y安全性和完整性非常重要.