我需要审核一个用户。这个用户被一堆服务/软件等使用来运行。我的工作是找出与这个用户相关的所有内容,然后在 Active Directory 中创建新的用户名,以便我们可以禁用该用户。
我需要对一些服务器进行针对特定用户的检查。我不太清楚从哪里开始或如何开始做这件事——我的大部分搜索都没有太大帮助。
1.) 需要审核我所有服务器的用户使用情况。
2.) 需要了解使用该帐户运行的每个服务/软件/备份/事物。
我对此很陌生,但看起来我必须弄清楚如何使用 PowerShell 来执行此操作 - 我还没有在服务器上看到任何审计类型的工具。
感谢您提供任何帮助。
亲切的问候。
答案1
DC 上的事件 4624 捕获了帐户登录的位置以及登录类型(交互式、网络等),这至少应该有助于缩小计划任务或登录的触发范围。然后,您需要对每台计算机进行分析。
如果你没有像 Splunk 这样的 SIEM 工具或像 Netwrix Defender 这样的安全分析工具来捕获所有 DC(甚至更好的是,所有计算机)的日志,你可以做的一件事就是使用事件日志收集器服务来设置订阅,以便将所有 DC 中的特定日志事件转发到收集服务器。
有第三方 Windows 系统记录器可以做类似的事情。
要针对特定的帐户登录事件,您可以使用此 XPath 过滤器:
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">
*[System[(EventID='4624')]
and
EventData[Data[@Name='TargetUserName']='My_BadAcct']]
</Select>
</Query>
</QueryList>
另一种更粗暴的方法可能是在每个 DC 上的任务计划程序中执行事件查看器任务,使用上面的事件过滤器作为触发器来触发 Powershell 脚本,以执行诸如将事件详细信息记录到文本文件中之类的操作。这里有一个简短的例子这里(最后一项)如何捕获事件详细信息并将其作为变量传递给脚本。
从程序上讲,如果您认为您已经找到了几乎所有使用该帐户的地方,但无法识别最后一个帐户,最简单的方法就是禁用该帐户。致电 IT 支持人员将很快确定谁需要它。(称为“尖叫测试”)。
如果您仍然收到对已禁用帐户的“神秘”登录尝试,并且没有人迅速联系您,最好将其禁用至少一年,以防它是运行年终财务报告的帐户。或者半年,如果您使用 AD 回收站中的标准保留时间。