none
關於AD的安全性稽核問題 RRS feed

  • 問題

  • 因為公司AD的管理不只有一個人

    所以關於幾個安全性的問題請教前輩們

    望各位前輩不吝指導~

    問題如下....

     

    1.

    如果有更改GPO的設定、

    使用者帳號及電腦帳號的搬移等

    以上的行為AD會有紀錄嗎??

    要怎麼看或是怎麼分析??

    (是幾點幾分幾秒變更怎樣的內容??)

     

    2.關於管理員登入

    在下是有用批次檔以及安全性稽核來留紀錄

    但是.....用"遠端桌面"來登入的話..

    批次檔跟安全性稽核就派不上用場

    因為看到紀錄的IP都是DC本身的IP

    有方法可以知道是哪邊來的IP使用遠端桌面來登入DC嗎??

     

    以上問題麻請各位前輩解說~

    感激不盡!!!!

    2007年11月29日 上午 04:38

解答

  • 1.

    如果有更改GPO的設定、

    使用者帳號及電腦帳號的搬移等

    以上的行為AD會有紀錄嗎??

    要怎麼看或是怎麼分析??

    (是幾點幾分幾秒變更怎樣的內容??)

     

    您可以參考微軟的SCOM或者像是http://www.foreshow.com.tw/Default.aspx?tabid=121這間公司針對GPO的管理工具

     

    目前有許多廠商有針對GPO的管理做不少功能強大的管理工具。補足GPMC不足的地方~

     

     

    2.關於管理員登入

    在下是有用批次檔以及安全性稽核來留紀錄

    但是.....用"遠端桌面"來登入的話..

    批次檔跟安全性稽核就派不上用場

    因為看到紀錄的IP都是DC本身的IP

    有方法可以知道是哪邊來的IP使用遠端桌面來登入DC嗎??

     

    因為遠端桌面還是利用"連線"的方式進行處理,所以您可以利用類似網路行為監視器等軟硬體來做監控與稽核

    像利用像是BOSS EYE或者IPGARD這種監控監控軟體都可以做得到

    2007年12月8日 上午 10:47

所有回覆

  • 1.

    如果有更改GPO的設定、

    使用者帳號及電腦帳號的搬移等

    以上的行為AD會有紀錄嗎??

    要怎麼看或是怎麼分析??

    (是幾點幾分幾秒變更怎樣的內容??)

     

    您可以參考微軟的SCOM或者像是http://www.foreshow.com.tw/Default.aspx?tabid=121這間公司針對GPO的管理工具

     

    目前有許多廠商有針對GPO的管理做不少功能強大的管理工具。補足GPMC不足的地方~

     

     

    2.關於管理員登入

    在下是有用批次檔以及安全性稽核來留紀錄

    但是.....用"遠端桌面"來登入的話..

    批次檔跟安全性稽核就派不上用場

    因為看到紀錄的IP都是DC本身的IP

    有方法可以知道是哪邊來的IP使用遠端桌面來登入DC嗎??

     

    因為遠端桌面還是利用"連線"的方式進行處理,所以您可以利用類似網路行為監視器等軟硬體來做監控與稽核

    像利用像是BOSS EYE或者IPGARD這種監控監控軟體都可以做得到

    2007年12月8日 上午 10:47
  • 看情況好像也只有藉助外部軟體的幫助了~

    非常感謝大大熱心的回覆!!!!

    2007年12月10日 上午 06:54