在线审计服务方案模板(用户登录活动的实时审计)
用户访问计算机是各种规模公司的日常任务。乍一看,访问日志可能看起来像简单的 Active Directory 事件,但它们对于系统管理员的各种审计/合规/操作需求很有价值。以下操作需要需要审核 Active Directory 用户登录日志:
- 员工缺勤和出勤确认
- 检查访问域控制器的用户数
- 检测通过远程网络计算机访问工作站或域控制器的用户
- 识别域内的用户登录高峰时间
- 确定谁最后登录到关键域计算机
- 识别是否有用户(恶意用户)尝试登录未经授权的终端
(*通常需要高权限才能登录 Active Directory 域控制器和成员服务器。)
- 查看域中所有用户的登录历史记录
(*在询问涉嫌不当行为的员工时,员工在工作期间访问和修改的 Active Directory 对象,例如计算机、组和其他用户您需要提供您的帐户信息.)。
Active Directory
一、为什么您可能需要用于 Active Directory 用户登录审核的工具
Active Directory 登录日志会持续记录在 Active Directory 域控制器安全日志中。域控制器事件查看器中记录的数据特征如下:
二、需要专业知识
要正确阅读事件日志,您必须了解事件 ID 与其他项目(登录类型)之间的相关性。
三、日志数据
大量的 Active Directory 登录活动会持续记录在域控制器上,从而产生大量事件日志数据。
四、访问权限
受限的域控制器是 Active Directory 中的一个关键组件,访问权限主要仅限于管理员。
ADAudit Plus
Active Directory 提供的事件查看器的另一个限制是它无法跟踪审计员/人力资源人员等非管理用户的登录操作。此外,关键登录事件(例如域控制器/成员服务器上的登录活动)需要在发生异常时立即发出警报和持续审核。但是,在庞大的日志输出中,很可能会忽略这一重要信息。
,免责声明:本文仅代表文章作者的个人观点,与本站无关。其原创性、真实性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容文字的真实性、完整性和原创性本站不作任何保证或承诺,请读者仅作参考,并自行核实相关内容。文章投诉邮箱:anhduc.ph@yahoo.com