Bagaimana cara melacak akun pengguna istimewa di Active Directory - Bagaimana-Untuk

Bagaimana cara melacak akun pengguna istimewa di Active Directory

Melacak aktivitas apa yang terjadi di Active Directory adalah bagian penting dari rencana keamanan TI yang masuk akal. Implikasi dari penyalahgunaan yang diistimewakan dapat menyebabkan pelanggaran data, downtime, audit kepatuhan yang gagal, dan lainnya. Sementara fitur audit asli dari AD memungkinkan Anda untuk melacak ke titik tertentu - sering sendirian itu mungkin tidak cukup. Artikel ini berbicara melalui beberapa langkah sederhana yang dapat Anda lakukan untuk membantu Anda melacak pengguna istimewa di Direktori Aktif Anda.

7 Langkah total

Langkah 1: Lacak pengguna istimewa


Jadi hal pertama yang perlu Anda lakukan adalah mengidentifikasi siapa sebenarnya pengguna istimewa Anda. Untuk sampai menetes dengan ini, Anda perlu meninjau grup keamanan - di mana Anda dapat melihat Administrator, Admin Perusahaan, Admin Domain, dan Admin Skema.

Anda dapat menemukannya seperti di bawah ini:

i.) Pergi ke Mulai> Pengguna dan Komputer Direktori Aktif.

ii.) Sekarang, pilih Pengguna di domain akar hutan. Klik dua kali grup keamanan Admin Perusahaan / Admin Domain / Admin Skema (satu demi satu). Di jendela Properti, klik tab Anggota dan catat nama akun istimewa. Tutup jendela Properties.

iii.) Sekarang, pilih Builtin di domain root dari hutan dan perhatikan anggota grup keamanan Administrator seperti yang dilakukan di atas.

Langkah 2: Cari tahu kebijakan audit yang relevan


Bergantung pada jenis peristiwa yang perlu Anda audit, konfigurasikan kebijakan audit yang relevan dalam Kebijakan Audit (di bawah Kebijakan Lokal) atau Kebijakan Audit (di bawah Konfigurasi Kebijakan Audit Lanjutan). Berikut adalah ringkasan opsi audit yang tersedia di bawah Kebijakan Audit (di bawah Kebijakan Lokal). Untuk Kebijakan Audit (di bawah Konfigurasi Kebijakan Audit Lanjutan) Anda dapat merujuk ke situs Microsoft.

Langkah 3: Cara mengkonfigurasi kebijakan audit yang diperlukan


i.) Pergi ke Mulai> Alat Administratif> Manajemen Kebijakan Grup.

ii.) Perluas ke Hutan> Domain> nama domain> Pengontrol Domain dan klik kanan pada kebijakan Pengontrol Domain Default; klik Edit.

iii.) Di Editor Manajemen Kebijakan Grup, perluas Konfigurasi Komputer> Kebijakan> Pengaturan Windows> Pengaturan Keamanan> Kebijakan Lokal, dan pilih Kebijakan Audit.

iv.) Klik dua kali kebijakan yang diperlukan di sebelah kanan. Di jendela Properti, pilih Tentukan pengaturan ini. Kemudian pilih Keberhasilan atau Kegagalan, atau keduanya di bawah Audit upaya ini (umumnya disarankan agar Anda mengaudit upaya yang berhasil). Terakhir, klik Apply dan OK.

v.) Konfigurasikan lebih banyak kebijakan audit sebagai persyaratan awal.

Langkah 4: Konfigurasikan "Kebijakan Audit Lanjutan" jika diperlukan


Untuk mengonfigurasi kebijakan yang lebih kuat dalam Kebijakan Audit, Anda dapat menggunakan "Konfigurasi Kebijakan Audit Lanjutan." Informasi lebih lanjut tentang opsi ini dapat dikumpulkan dari situs Microsoft. Konfigurasikan hanya kebijakan yang paling penting untuk menghindari kebingungan.

i.) Pergi ke Mulai> Alat Administratif> Manajemen Kebijakan Grup.

ii.) Perluas ke Hutan> Domain> nama domain> Pengontrol Domain dan klik kanan pada kebijakan Pengontrol Domain Default; klik Edit.

iii.) Di Editor Manajemen Kebijakan Grup, perluas Konfigurasi Komputer> Kebijakan> Pengaturan Windows> Pengaturan Keamanan> Konfigurasi Kebijakan Audit Lanjut> Kebijakan Audit. Pilih kebijakan yang diperlukan dari bagan di bawah Kebijakan Audit (misalnya: Masuk Akun).

iv.) Klik dua kali kebijakan di bawah Subkategori di panel kanan (misalnya: Validasi Kredensial Audit) dan konfigurasikan sesuai kebutuhan. Di bawah Subkategori, konfigurasikan lebih banyak kebijakan audit jika diperlukan.

v.) Sekarang Anda dapat memilih lebih banyak kebijakan audit dari struktur pohon di bawah Kebijakan Audit dan mengonfigurasinya seperti di atas.

Langkah 5: Gunakan "Windows Event Viewer" untuk melacak acara dengan akun pengguna


Setelah acara dibuat, Anda dapat menggunakan "Windows Event Viewer" untuk melihat log.

i.) Klik Mulai> Alat Administratif> Peraga Peristiwa. Buka Log Windows dan pilih Keamanan. Penampil acara sekarang menunjukkan semua peristiwa yang dicatat dalam log keamanan.

ii.) Untuk melihat peristiwa yang dihasilkan oleh akun istimewa tertentu (katakanlah, Administrator), klik ikon Temukan di sebelah kanan. Di jendela Temukan, masukkan nama akun istimewa (Administrator) dan klik OK (Anda dapat memasukkan nama akun istimewa apa pun yang telah Anda catat di Langkah 1).

iii.) Sekarang jendela Temukan menavigasi Anda ke acara yang dihasilkan oleh akun pengguna istimewa (Anda dapat menavigasi ke acara berikutnya yang dihasilkan oleh akun pengguna istimewa dengan mengklik Temukan Berikutnya).

iv.) Untuk melihat detail acara, klik dua kali pada acara tersebut (atau klik Properti Acara di sebelah kanan) setelah menutup jendela Temukan.

Langkah 6: Lacak acara dengan ID acara


Anda dapat menggunakan opsi Filter Log Sekarang dari Peraga Peristiwa untuk memfilter peristiwa berdasarkan ID peristiwa (sebelum menggunakan ikon Temukan untuk menemukan peristiwa dengan akun istimewa tertentu).

i.) Klik ikon Filter Log Sekarang.

ii.) Masukkan ID acara (misalnya 4624) di ID acara yang diajukan dari jendela Filter Log Saat Ini. Klik OK. Sekarang, semua acara yang memiliki ID 4624 akan ditampilkan.

iii.) Sekarang gunakan ikon Find (seperti pada langkah sebelumnya) untuk menemukan peristiwa yang dihasilkan oleh akun istimewa (misalnya, Test Privil.User).

Langkah 7: Lihat detail acara


Anda dapat mengklik dua kali pada salah satu acara (atau mengklik Properti Acara di sebelah kanan) setelah menutup jendela Temukan. Anda dapat menavigasi ke acara berikutnya menggunakan tombol Temukan Berikutnya dan periksa rinciannya untuk melacak aktivitas yang dilakukan oleh mereka.

Meskipun Anda bisa mendapatkan tingkat audit tertentu yang membantu Anda memantau pengguna istimewa melalui proses asli, Anda mungkin menemukan bahwa itu bisa reaktif, berisik dan tidak terlalu ramah pengguna. Banyak organisasi sekarang mengadopsi solusi pihak ketiga yang proaktif, seperti LepideAuditor, yang menyediakan cara yang lebih mudah dan lebih efektif untuk memberikan peringatan dan laporan tentang pengguna istimewa.