AD域审核常见误区（三）

一、忽略过时、未激活和孤立的用户帐户

存在未使用的用户帐户在AD域中是一个重大的安全隐患。离职员工和黑客可能会因此漏洞而去窃取企业的重要资源。这时候，制定处理离职员工的策略就显得至关重要，这包括禁用他的AD用户帐户、将他从电子邮件组中删除、撤销他对业务应用程序的访问权限等等。为了防止不必要的访问和数据被窃，企业最好可以做到跟踪所有陈旧和未使用的用户帐户，根据需求决定是否有必要删除。

ADAudit Plus如何帮到您？

它可以跟踪用户登陆成功、登陆失败，指定时间内未登陆，以及用户创建、删除、取消删除、禁用、启用等各种AD用户账户操作行为。

二、缺乏对潜在IT安全威胁的自动响应

企业难以避免要受到IT安全漏洞和数据被窃的影响。为此，企业需要利用相应策略来抵御威胁。以下自动响应可有效遏制威胁发生：

① 对于勒索软件的攻击

大多数勒索软件攻击都会伴有一些异常的现象，如文件重命名、移动、删除或权限更改活动的突然激增。使用即时威胁响应机制来识别和关闭受攻击的设备可以快速隔离软件感染源并防止横向移动。

② 对于内部威胁

为了管理内部威胁，企业必须持续监控员工活动，以识别员工做出的不当、意外甚至于一些恶意更改。使用强大的补救技术，如USB阻断、禁用恶意用户会话和电子邮件过滤，有助于企业对于内部威胁的防御。

③ 特权滥用

当企业未能采取严格的访问控制措施或对员工的登录行为和其他活动缺乏可见性时，很容易导致用户的权限被滥用。一旦检测到滥用特权的迹象，禁用或断开该特定用户的AD帐户以减轻造成的损害是至关重要的。

ADAudit Plus如何帮到您？

① 它可以使用脚本自动响应，包括关闭受感染的设备，断开恶意用户的会话等。

② 它支持自定义响应脚本，企业可以根据自身的需要来定制所执行的操作。