记录针对 Active Directory 的所有失败的身份验证尝试

记录针对 Active Directory 的所有失败的身份验证尝试

我需要记录针对我的 Active Directory 域的所有失败的身份验证尝试。外部应用程序通过 LDAPS 绑定到 MS AD,并使用 AD 进行用户身份验证请求。

当使用错误的用户或密码时,我无法在 DC 事件查看器(Windows 日志 > 安全)上看到审核事件。

我测试了一些基本场景,试图了解哪些内容需要审核:

  1. 使用有效用户名但密码错误通过 RDP 连接到 DC。没有新的审计事件。为什么?
  2. 使用不存在的用户名通过 RDP 连接到 DC。是的!审核失败记录了 EventID 4625“未知用户名或密码错误”。
  3. 使用 AD 中存在但帐户被禁用的“test”用户名 RDP 到 DC。没有新的审计事件。为什么?

我如何记录上述所有事件?最终,我需要记录的是来自外部应用程序的失败身份验证尝试,该应用程序使用域凭据针对我的 AD 进行身份验证。

我需要启用高级审计吗?

事件转发有必要吗?

答案1

要启用失败尝试的日志记录,您需要使用组策略管理编辑器中的“高级审核策略配置”来启用成功和失败的登录尝试的审核日志记录。

  1. 转到“开始 > 运行”并输入 gpmc.msc,然后单击确定。
  2. 右键单击“默认域策略”并选择编辑。
  3. 转到“计算机配置>策略> Windows 设置>安全设置>高级审核策略配置>审核策略>登录/注销”
  4. 将“审核登录”设置为成功和失败。
  5. 关闭组策略管理。

这将启用成功和失败的登录尝试的记录。如果您只想记录失败的尝试,只需在步骤 4 中选择仅失败。

相关内容