我需要记录针对我的 Active Directory 域的所有失败的身份验证尝试。外部应用程序通过 LDAPS 绑定到 MS AD,并使用 AD 进行用户身份验证请求。
当使用错误的用户或密码时,我无法在 DC 事件查看器(Windows 日志 > 安全)上看到审核事件。
我测试了一些基本场景,试图了解哪些内容需要审核:
- 使用有效用户名但密码错误通过 RDP 连接到 DC。没有新的审计事件。为什么?
- 使用不存在的用户名通过 RDP 连接到 DC。是的!审核失败记录了 EventID 4625“未知用户名或密码错误”。
- 使用 AD 中存在但帐户被禁用的“test”用户名 RDP 到 DC。没有新的审计事件。为什么?
我如何记录上述所有事件?最终,我需要记录的是来自外部应用程序的失败身份验证尝试,该应用程序使用域凭据针对我的 AD 进行身份验证。
我需要启用高级审计吗?
事件转发有必要吗?
答案1
要启用失败尝试的日志记录,您需要使用组策略管理编辑器中的“高级审核策略配置”来启用成功和失败的登录尝试的审核日志记录。
- 转到“开始 > 运行”并输入 gpmc.msc,然后单击确定。
- 右键单击“默认域策略”并选择编辑。
- 转到“计算机配置>策略> Windows 设置>安全设置>高级审核策略配置>审核策略>登录/注销”
- 将“审核登录”设置为成功和失败。
- 关闭组策略管理。
这将启用成功和失败的登录尝试的记录。如果您只想记录失败的尝试,只需在步骤 4 中选择仅失败。