LDAP 事件

如何审计LDAP事件：

LDAP查询允许管理员根据特定条件从活动目录（AD）数据库检索对象，例如：

• 禁用的用户账户
• 电子邮件字段为空的用户
• 过去30天内创建的组

审计LDAP查询有助于系统管理员检测潜在的安全威胁，确保目录的安全。此外，监控这些查询还能提供宝贵的洞察，特别是对于运行生成资源密集型或低效LDAP请求的应用程序的组织。

启用LDAP审计

启用LDAP审计的步骤

1. 打开注册表编辑器
2. 导航至以下注册表路径：
   • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics
3. 修改“15 Field Engineering”值：
   • 在右侧窗格中找到 “15 Field Engineering” 。
   • 将其值设置为 5 以启用事件查看器中对昂贵且低效的LDAP调用的日志记录。
4. 确保启用LDAP服务器签名要求：
5. 打开 组策略管理编辑器。
6. 导航至： 默认域控制器策略 → 计算机配置 → 策略 → Windows设置 → 安全设置 → 本地策略。
7. 在右侧窗格中找到 “域控制器：LDAP服务器签名要求” 并将其设置为 “需要签名” 以生成 事件ID 2888.
8. 应用更改并重启域控制器（如有必要）以使设置生效。