尽管强制要求员工定期更改密码是件好事,但必须对这项活动进行监督,内部人员不受监控的密码更改或重置可能会导致严重的安全漏洞,管理员需要密切关注密码更改和重置,以确保他们获得授权并确保其 Active Directory(AD)环境安全。
使用组策略管理控制台(GPMC)启用审核的步骤:
在域控制器(DC)上执行以下操作:
- 按“开始”,然后搜索并打开组策略管理控制台,或运行命令 gpmc.msc。
- 右键单击要审核的域或组织单位(OU),然后单击“在此域中创建 GPO,并在此处链接它”。
- 命名 GPO。
- 右键单击 GPO,然后选择“编辑”。
- 在组策略管理编辑器的左窗格中,导航到“计算机配置”→“策略”→“Windows 设置”→“安全设置”→“高级审核策略配置”→“帐户管理”。
- 在右窗格中,双击“审核用户帐户管理”,然后选中“配置以下审核事件”、“成功”和“失败”旁边的框。
- 单击“应用”,然后单击“确定”。
- 返回到组策略管理控制台,在左窗格中,右键单击链接了 GPO 的所需 OU,然后单击“组策略更新”。此步骤可确保立即应用新的组策略设置,而不是等待下一次计划刷新。
使用事件查看器查看这些事件的步骤:
完成上述步骤后,事件将存储在事件日志中。可以按照以下步骤在事件查看器中查看:
- 按“开始”,搜索“事件查看器”,然后单击它将其打开。
- 在“事件查看器”窗口的左窗格中,导航到“Windows 日志→安全性”。
- 在这里,您将找到登录到系统的所有安全事件的列表。
- 在右窗格中的“安全性”下,单击“筛选当前日志”。
- 在弹出窗口中,在标有<所有事件 ID> 的字段中输入所需的事件 ID*。
*发生相应事件时,将记录以下事件 ID:
4723 - 当用户尝试更改其密码时。
4724 - 当管理员尝试重置其他用户的密码时。
- 单击“确定”。这将提供输入的事件 ID 的出现列表。
- 双击事件 ID 以查看其属性(说明)。
使用 ADAudit Plus检测用户密码更改的步骤
- 下载并安装 ADAudit Plus。
- 在域控制器上配置审核的步骤。
- 打开 ADAUdit Plus Web 控制台,然后以管理员身份登录。
- 导航到“用户管理”→“报告”→“最近更改密码的用户”。
- 导航到“报告”→“用户管理”→“最近设置了密码的用户”。
若要查看按用户分类的密码重置报告,请导航到“用户管理报告→基于用户的密码重置→报告”。
与本机审计相比,使用ADAudit Plus的优势:
- 查看密码更改和重置的报告,其中显示操作的确切日期和时间、执行重置的人员等。
- 使用ADAudit Plus的帐户锁定分析器更快地检测,跟踪和解决AD帐户锁定的来源。
- 通过ADAudit Plus的报告满足SOX、HIPAA、GLBA、PCI DSS、FISMA和GDPR等法规要求。
ADAudit Plus是一个全面的AD审核工具,使管理员能够毫不费力地审核密码更改和其他Active Directory更改。
