У меня есть несколько учетных записей служб домена, которые работают с большим количеством привилегий, чем им нужно, и мне нужно уменьшить их разрешения и изменить все их пароли.
Как я могу проверить все места использования учетной записи службы домена в моей компании?
Это довольно сложно сделать. Самый эффективный способ - проанализировать журнал событий безопасности на каждой машине с доменом в поисках логинов для этой учетной записи службы домена. Как только вы определили, какие машины видели логины, вы можете найти службы, которые могут быть настроены для их использования. Анализ журналов событий - это то, что вам нужно, если у вас не всего несколько машин.
К сожалению, в Win XP журнал безопасности не включен по умолчанию (я полагаю).
Лично я бы запустил сценарий из Windows Vista / 7 или Server 2008. Существует значительно улучшенный инструмент для сбора данных журнала событий, wevtutil. Вы можете фильтровать события входа в систему (4624) и выгружать данные в XML для упрощения анализа.
wevtutil qe Security /r:$MachineName /q:"*[System[(EventID=4624)]" > $MachineName-Events.xml
Выполнение ваших контроллеров домена в первую очередь скажет вам, по крайней мере, с каких IP-адресов происходит вход в систему, но выполнение всего домена - единственный способ быть уверенным на 100%.
Чтобы расширить @joeqwerty, я думаю, вам было бы лучше провести аудит служб и запланированных задач на всех машинах, которые вам нужны, чтобы увидеть, какие учетные данные они используют. Я уверен, что WMI предоставляет эту информацию, поэтому вы можете сделать это с помощью VBS или PowerShell с помощью нескольких строк, а затем просто запустить его удаленно для вашего списка машин.
Включение аудита и просмотр всех журналов событий кажется дополнительной работой.
Поиск в журнале событий безопасности будет полезен только в том случае, если выполняется аудит событий входа в систему, что, как мне кажется, не включено по умолчанию. Вам необходимо включить аудит в политике домена по умолчанию, чтобы включить аудит на серверах, не относящихся к DC (если у вас нет OU и GPO специально для ваших серверов, и вы блокируете наследование или устанавливаете GPO в принудительном порядке, тогда вам нужно будет отредактировать соответствующий объект групповой политики). В дополнение к этому, службы, настроенные для использования учетных записей домена, будут регистрироваться в журнале безопасности этого сервера при запуске этих служб, а не в журнале безопасности контроллера домена.
Служба, настроенная для использования учетной записи пользователя домена, будет генерировать событие с идентификатором 528 в журнале событий безопасности с типом входа 5 при запуске службы, поэтому вы можете фильтровать журнал событий безопасности для событий с идентификатором 528, чтобы сузить результаты.
Я только что проверил это в своей собственной среде (думаю, что проверял, основываясь на своих тестах), поэтому считаю, что эта информация верна.
Еще один элемент, на который следует обратить внимание, - это запланированные задачи на каждом сервере и посмотреть, настроены ли какие-либо из них для использования каких-либо учетных записей служб. Если это так, вам также необходимо изменить пароли для запланированных задач.