落實安全原則政策稽核的工作不可少,系統管理員經由稽核 AD 目錄服務的變更,稽核追蹤目錄服務異動的事件,包括物件建立、修改、搬移及復原,發生事件的時間,誰執行的變更工作,結果是授權成功或未經授權失敗,更細緻記錄對物件及其屬性進行變更時所產生舊的和新的值,增強企業資安稽核制度。
過去在Windows Server 2003的系統環境,系統管理員可以監控 9 種安全性稽核事件,在Windows Server 2008 中,可稽核的事件增加至 53 種,新增加的事件僅能以 Auditpol.exe 命令列指令設定,在 Windows Server 2008 R2所有稽核功能都已經整合至群組原則中。
設定稽核 AD目錄服務變更步驟
- 在DC電腦上執行gpedit.msc,展開【Computer Configuration\Windows Settings\Security Settings\Advanced Audit Policy Configuration\System Audit Policies\DS Access】,子類別點選【Audit Directory Service Changes】,滑鼠右鍵【Properties】,選取【Configure the following audit events:】、【Success】及【Failure】。依需求再開啟其它安全性稽核。

- 設定稽核AD物件的對象,例如系統預設已稽核Domain Admins群組。

- 當Domain Admins群組成員發生異動的事件,系統安全日誌將記錄詳細的資訊,事件代號 5136為 AD目錄服務物件修改所產生的訊息。

|