AD域审核常见误区（五）

一、授权的权限级别过高

通过向非管理员用户提供必要的权限来执行AD管理任务，而不要将他们添加到高特权组。在活动目录中设置权限委派，从而使得IT管理员的工作更加轻松。

过度的进行权限委派会导致一些重大问题，比如对委派的任务失去跟踪，对所做的更改缺乏可见性等等。因此，能够分析并确保以透明和安全的方式处理委派的任务非常重要。

ADAudit Plus 如何帮到您进行AD域审核？

❶任何用户和组被授予不同级别的权限时都会进行审核。

二、缺少专业的安全审核工具

无论是从安全性还是合规性的角度来看，对AD域环境的审核都是必要的。大多数情况下，企业会使用本机工具进行审核，即通过windows自带的事件查看器来跟踪特定事件。然而，管理员都知道，仅仅依靠本机工具进行审核来满足安全性和可见性要求是非常费力和低效的。所遇到的问题如下：

①仅提供部分信息

通常情况下，仅仅依靠本机审核工具并不能提供直观完整的信息。用最典型的4w模型进行分析是不错的方法，即谁，在什么时间、什么地点、做了什么。而使用本机审核工具，对于很多事件变更的新旧值的记录都是非常隐蔽的，需要花费大量的时间和精力去分析。

②无法满足监管的需求

包括 GDPR、HIPAA、SOX、CCPA 和 PCI DSS 在内的众多法规要求实施访问控制和 IT 安全措施，以确保重要业务数据的完整性、机密性和可用性。但使用本机审核工具并不提供现成的审计报告，想要从事件日志中导出必要数据的任务几乎是无法完成的。

③生成过多的无用数据

当管理员尝试使用本机审核工具来监控事件日志中的所有AD更改行为时会出现巨大的干扰和困惑。几乎不可能发现重要异常并整理出正在发生变更的事件。

ADAudit Plus 如何帮到您？

❶它提供超过250份合规性预置报表，以帮助满足多种合规性法规如GDPR、SOX、HIPAA、GLBA、FISMA、ISO 27001 PCI DSS等的要求。

❷它的实时审核功能完全克服了Windows本机审核工具的局限性。ADAudit Plus是一款易于使用的AD域及文件服务器审核平台，它提供了对跨各种Windows系统所发生的所有变化的全面可见性报告，让您能够查看所有想要了解的事件细节。

三、忽略系统日志审核

默认情况下，所有审计数据都会作为事件日志存储在 Windows 环境中。恶意员工经常会尝试通过删除记录来掩盖他们的非法行为。所以，为了安全起见，每当员工有归档、覆盖或篡改现有审计数据的行为时，一定要对他们的行为进行审核。

ADAudit Plus 如何帮到您？

一旦包含审核数据的安全日志被清除，或日志已满且无法记录新数据时，都会审核并触发即时通知。