1.81111111111Rating 1.80 (5 Votes)
Коды событий Windows которые может взять себе на заметку системный администратор или специалист информационной безопасности. Раньше я часто задавал себе вопросы - кто создает учетные записи, кто сбрасывает пользователям пароли, кто блокирует учетные записи или какие учетные записи заблокировались в последнее время или массово блокируются в данный момент. Все эти события регистрируются в Security логах, которые генерирует домен контроллер (при условии, что у Вас включен аудит изменений).

Отбор событий по пользователям

В данном случае нас интересуют события касающиеся изменений в отношении объектов учетных записей в AD:
  • Account locked - 4740
  • Account unlocked - 4767
  • Account deleted - 4726
  • Password change - 4724
  • Account enabled - 4722
  • Account disabled - 4725

Немного событий из раздела групп

  • Member added to group - 4728
  • Member removed from group - 4729

Немного машин

  • Computer created - 4741
  • Computer deleted - 4743
Полный список событий по изменениям учетных записей пользователей на офф. сайте

Включение аудита в GPO

В разделе - Сomputer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Audit Policy, здесь можно включить трекинг требуемых событий:
 
ad change ids

Фильтр событий

Теперь можно настроить фильтр, открыв консоль журнала событий - Start > Run > eventvwr.msc, создать кастомный вид:
  • Выбрать тип логов, указать id событий
ad change ids2
 
Вуаля, все нужные события в одном месте

Реакция на событие

Теперь можно определить реакцию на событие, например на создание новой учетной записи, для этого достаточно использовать taskschd.msc, создать новую задачу на специфичный id:
 
 ad change ids3
 
Указать требуемое действие, например отправку событий на email - Отчеты событий на email в Windows Server 2012 R2
Простейшая AD IPS готова ))

Добавить комментарий


Защитный код
Обновить

Сейчас 163 гостей и ни одного зарегистрированного пользователя на сайте

Вверх
Вниз