none
Аудит изменения Account Logon для входа в домен для учетной записи. RRS feed

  • Вопрос

  • Доброго времени суток Уважаемые коллеги.

    Настроен аудит доступа к каталогу AD и расширенный аудит. DC на WS 208R2/2012 R2

    Недавно кто-то изменил аккаунт входа.

    Вопрос:

    Как можно вычислить кто это сделал и какой параметр политики аудита необходимо включить дл яотслеживания таких действий ?

    Спасибо.


    Люди тратят здоровье, что бы заработать $, а затем тратят $, что бы вернуть здоровье!

    30 ноября 2016 г. 15:22

Ответы

  • Нужно включить Аудит изменения службы каталогов в группе Доступ к службе каталогов в расширенной политике аудита. И, естественно - включить аудит для самого объекта (или, для контейнера, содеращего нужные объекты): на вкладке Безопасность  свойств объекта (доступна в расширенном режиме консоли AD Пользователи и компьютеры), в окне, вызываемом по кнопке Дополнительно.


    Слава России!

    • Помечено в качестве ответа rеstless 1 декабря 2016 г. 6:39
    30 ноября 2016 г. 17:46
  • Если журнал перезаписывается, то нужно увеличить его размер (в свойствах журнала в Просмотре событий). Ну, а сохранять журнал можно через назначенное задание командой wevtutil.exe. Там есть разные параметры для этого - и просто сохранение, и сохранение с очисткой, и архивирование в виде, пригодном для просмотра на любом компьютере.

    PS А для особо секретных случаев можно настроить сервер так, чтобы при переполнении журнала Безопасность он выключался.


    Слава России!



    • Изменено M.V.V. _ 30 ноября 2016 г. 19:33
    • Помечено в качестве ответа rеstless 1 декабря 2016 г. 6:39
    30 ноября 2016 г. 19:32

Все ответы

  • Нужно включить Аудит изменения службы каталогов в группе Доступ к службе каталогов в расширенной политике аудита. И, естественно - включить аудит для самого объекта (или, для контейнера, содеращего нужные объекты): на вкладке Безопасность  свойств объекта (доступна в расширенном режиме консоли AD Пользователи и компьютеры), в окне, вызываемом по кнопке Дополнительно.


    Слава России!

    • Помечено в качестве ответа rеstless 1 декабря 2016 г. 6:39
    30 ноября 2016 г. 17:46
  • Да, проверил на тестовой учетке, вcе логируется. Похоже  журналы не все сохраняются (перезхатирается за сутки).  а только за сутки. Немогу пока найти где это можно подкрутить и так что бы копия журнала куда нибудь сливалась так же...

    Люди тратят здоровье, что бы заработать $, а затем тратят $, что бы вернуть здоровье!



    • Изменено rеstless 30 ноября 2016 г. 19:04
    30 ноября 2016 г. 18:40
  • Если журнал перезаписывается, то нужно увеличить его размер (в свойствах журнала в Просмотре событий). Ну, а сохранять журнал можно через назначенное задание командой wevtutil.exe. Там есть разные параметры для этого - и просто сохранение, и сохранение с очисткой, и архивирование в виде, пригодном для просмотра на любом компьютере.

    PS А для особо секретных случаев можно настроить сервер так, чтобы при переполнении журнала Безопасность он выключался.


    Слава России!



    • Изменено M.V.V. _ 30 ноября 2016 г. 19:33
    • Помечено в качестве ответа rеstless 1 декабря 2016 г. 6:39
    30 ноября 2016 г. 19:32
  • Спасибо.

    Люди тратят здоровье, что бы заработать $, а затем тратят $, что бы вернуть здоровье!

    1 декабря 2016 г. 6:40