Назад | Перейти на главную страницу

Аудит Active Directory пользователя и всех прикрепленных служб / программного обеспечения

У меня есть пользователь, которого нужно проверить. Этот единственный пользователь используется, помимо прочего, для работы множества сервисов / программного обеспечения. Моя задача - выяснить все, что связано с этим пользователем, а затем создать новые имена пользователей в Active Directory, чтобы мы могли отключить этого пользователя.

У меня есть несколько серверов, на которых мне нужно выполнить эту проверку для этого конкретного пользователя. Я не совсем уверен, где и как начать это делать - большинство моих поисков не очень помогли.

1.) Необходимо проверить все мои серверы на предмет использования пользователем.

2.) Необходимо знать каждую службу / программное обеспечение / резервную копию / вещь, которая использует учетную запись для запуска.

Я новичок в этом, но похоже, что мне придется выяснить, как это сделать с помощью PowerShell - я не видел никаких инструментов типа аудита на серверах.

Спасибо за любую помощь, которую вы можете оказать.

С уважением.

Вы можете контролировать вход в систему пользователей в AD с помощью Powershell А затем вы можете написать сценарий цикла for, чтобы просмотреть список серверов и экспортировать все запланированные задачи, как они показывают Вот. Пока вы занимаетесь этим, я бы рекомендовал документировать все, а не только этого конкретного пользователя, так что в случае вашего ухода это будет проще и для следующего администратора.

Событие 4624 на контроллерах домена фиксирует, где выполняется вход в учетную запись и какой у нее тип входа (интерактивный, сетевой и т. Д.), Что должно, по крайней мере, помочь сузить область, где запускаются запланированные задачи или входы в систему. Затем вам нужно провести анализ на каждом компьютере.

Если у вас нет инструмента SIEM, такого как Splunk, или инструмента анализа безопасности, такого как Netwrix Defender, который может захватывать журналы со всех контроллеров домена (и, что еще лучше, со всех компьютеров), вы можете использовать Сборщик журнала событий сервис для настройки подписок для пересылки определенных событий журнала со всех контроллеров домена на сервер-сборщик.

Существуют сторонние системные логгеры Windows, которые могут делать то же самое.

Чтобы настроить таргетинг на конкретное событие входа в систему, вы можете использовать этот фильтр XPath:

 <QueryList>
   <Query Id="0" Path="Security">
     <Select Path="Security">
      *[System[(EventID='4624')]
      and
      EventData[Data[@Name='TargetUserName']='My_BadAcct']] 
     </Select>
   </Query>
 </QueryList>

Другой, более грубый метод может заключаться в выполнении задачи средства просмотра событий в планировщике задач на каждом контроллере домена, используя указанный выше фильтр событий в качестве триггера для запуска сценария Powershell для выполнения чего-то вроде записи сведений о событии в текстовый файл. Вот краткий пример Вот (последний пункт) о том, как фиксировать детали событий и передавать их как переменные в скрипт.

В процедурном отношении: если вы думаете, что нашли почти все места, где используется учетная запись, но у вас есть реальные проблемы с идентификацией последнего, проще всего просто отключить учетную запись. Звонки в службу поддержки быстро решат, кому это нужно. (Известный как «тест на крик».)

Если вы все еще получаете "загадочные" попытки входа в отключенную учетную запись, и никто не выходит быстро, лучше оставить ее отключенной как минимум на год, на случай, если это учетная запись, которая работает до конца финансовые отчеты за год. Или полгода, если вы используете стандартное время хранения в корзине AD.