Active Directory policy audtiting - makves-ru/makves GitHub Wiki
- Включение и настройка политики аудита.
- Включение аудита объектов AD.
- Настройка журнала событий безопасности.
1. Включение и настройка политики аудита.
Заходим в Group Policy Management Console (можно найти в Administrator Tools)
Далее ищем Default Domain Controllers Policy и нажимаем изменить (Edit).
Далее: Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies > Audit Policy ищем Audit Account Management.
Ставим галочки Define, Success
Далее ищем Audit directory services access и по аналогии ставим галочки Define, Success.
В дереве переходим на позицию User Rights Assignment. (Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies > User Rights Assignment)
и ищем Manage auditing and secutiry log . Ставим Define И выбираем нужные пользователя или группу (Add User/Group (Default = Administrator))
2. Включение аудита объектов AD
Запустите Active Directory Users and Coputers из Administrator Tools
Убеждаемся что во вкладке вид стоит галочка advaced feutures
Кликаем Domain правой кнопкой мыши и выбираем Properties
Заходим во вкладку Secutiry и нажимаем кнопку Advanced, там выбираем вкладку Auditing Выбрать «Everyone» Убедитесь, что следующие пункты отключены:
Full Control List Contents Read all properties Read permissions
Выберите «Apply these auditing entries to objects and/or containers within this container only»
Далее ОК, ОК, ОК :)
3. Настройка журнала событий безопасности.
Теперь следует вернуться в Group Policy Management Console и нажать Edit на Default Domain Controllers Policy) Найти в дереве event log (Computer configuration > Policies > Windows Settings > Security Settings > Local Policies > Event Log)
Выбрать пункт Maximum security log size поставить галку Define указать максимальное объем лога 130048
По аналогии для Retain security log Ставим Define и указываем количество дней 14 жмем ОК.
И для Retention method for security log ставим Define и указываем параметр Overwrite events as needed. Жмем ОК.
- Важно! Проверьте доступное дисковое пространство