我有许多域服务帐户,它们的运行权限超出了它们所需的权限,我需要减少它们的权限并更改所有密码。
如何审核整个公司使用域服务帐户的所有地方?
答案1
这很难做到。最有效的方法是解析每个域机器上的安全事件日志,查找该域服务帐户的登录信息。一旦确定了哪些机器看到了登录信息,您就可以查找可能配置为使用它们的服务。除非您只有几台机器,否则您需要编写脚本来解析事件日志。
不幸的是,Win XP 默认没有打开安全日志(我相信)。
我个人会从 Window Vista/7 或 Server 2008 运行该脚本。有一个改进很多的工具可以抓取事件日志数据wevtutil。您可以筛选登录事件 (4624) 并以 XML 格式转储内容,以便于解析。
wevtutil qe Security /r:$MachineName /q:"*[System[(EventID=4624)]" > $MachineName-Events.xml
首先执行域控制器至少会告诉您登录来自哪些 IP 地址,但执行整个域是 100% 确定的唯一方法。
答案2
仅在登录事件被审核时搜索安全事件日志才有用,但我认为默认情况下不会启用该功能。您需要在默认域策略中启用审核才能在非 DC 服务器上启用审核(除非您有专门用于服务器的 OU 和 GPO,并且您正在阻止继承或将 GPO 设置为强制执行,那么您需要编辑适用的 GPO)。除此之外,配置为使用域帐户的服务将在这些服务启动时记录在该服务器的安全日志中,而不是 DC 的安全日志中。
配置为使用域用户帐户的服务将在启动时在安全事件日志中生成事件 ID 528,登录类型为 5,因此您可以筛选安全事件日志中的事件 ID 528 事件以缩小结果范围。
我刚刚在我自己的环境中验证了这一点(根据我的测试我想我已经验证过了),所以我相信这些信息是正确的。
另一个需要查看的项目是每台服务器上的计划任务,看看其中是否有任何一项配置为使用任何服务帐户。如果是,您还需要更改计划任务上的密码。
答案3
扩展@joeqwerty,我认为你最好对你关心的所有机器上的服务和计划任务进行审核,以查看它们使用的凭据。我确信 WMI 会公开该信息,因此你可以使用 VBS 或 PowerShell 用几行代码执行此操作,然后只需针对你的机器列表远程运行它即可。
启动审计并仔细检查所有事件日志似乎需要做更多的工作。