点击这里以扩展
随着对信息安全的关注日益增加,所有IT管理员必须加强现有基础设施中的安全性,以避免可能的安全漏洞。本文档旨在探讨配置ADAudit Plus的最佳方法,以确保您的信息保持安全。
Active Directory(AD)用户帐户通常与ADAudit Plus关联,以收集记录的数据。如果使用域管理员帐户,ADAudit Plus将立即开始审计您的AD环境中的更改。但一般而言,域管理员帐户拥有ADAudit Plus不需要的多个提升权限和特权。这就是我们建议创建专用用户帐户的原因,这些帐户仅具有ADAudit Plus执行其工作的所需权限和特权。通过这种方式,即使专用用户帐户被攻破,漏洞的影响也会限于内部。 在这里是ADAudit Plus所需的权限和特权。
ADAudit Plus附带一个具有最高权限的内置管理员帐户。默认情况下,该帐户的密码对于每个ADAudit Plus客户都是相同的,这意味着您需要更改此密码以确保其安全。 如果忽视此步骤,您将使系统面临漏洞。
我们建议您使用HTTPS而不是HTTP,以确保信息在网络上安全传输。您可以在Admin选项卡下的用户界面中完成此操作。导航到常规设置 → 连接下的设置。
这些设置可以进一步通过以下XML文件进行优化:
如果您选择仅允许特定版本的传输层安全性(TLS),即TLSv1、TLSv1.1或TLSv1.2,您可以通过修改以下参数禁用其他版本,仅保留所需的TLS版本:
如果您想禁用或限制密码,可以通过修改以下参数使其仅包含所需的密码:
通过这些更改,您可以保护通过ADAudit Plus的所有通信并加强安全性。
为了进一步增强ADAudit Plus的安全性,我们建议您限制对ADAudit Plus服务器的登录访问,从而防止不当访问。您可以在组策略管理编辑器中的用户权限分配选项卡中定义本地策略设置,以允许本地登录或允许通过远程桌面服务登录仅限特定用户。通过这种方式,您减少了基础设施的攻击面。
管理员可以通过修改文件夹权限来限制对ADAudit Plus安装文件夹的访问。这确保只有被允许的用户可以访问ADAudit Plus的文件。
如果在应用程序安装的服务器上启用了文件完整性监控(FIM),ADAudit Plus可以通过配置系统访问控制列表(SACL)来记录其安装文件夹的更改。这样,您可以确保没有人篡改信息。
注意:这还需要适当的许可证。
ADAudit Plus配备了内置的、受密码保护的PostgreSQL数据库,仅允许授权人员访问。默认情况下,PostgreSQL服务会创建一个具有无限制特权的用户帐户,类似于AD中的域管理员帐户,以执行各种管理操作。ADAudit Plus会更改此帐户的默认密码,并创建另一个具有有限权限的用户帐户。此新帐户具有受限权限,用于连接到数据库,并经过加密以确保安全性。
技术人员角色可以配置以限制对某些报表的访问。这些角色还可以限制技术人员执行管理功能,如添加或删除审计服务器、修改配置设置等。此外,ADAudit Plus提供详细的基于用户的审计跟踪,记录所有执行的操作。
对于收集事件日志,ADAudit Plus允许您在以下事件获取模式中进行选择:
默认情况下,实时模式和EvtQuery模式会加密通过网络传输的数据。WMI和本机模式默认情况下不加密传输的数据,但是可以在WMI模式上启用加密以增强安全性。我们建议管理员使用实时模式,以确保安全的数据传输,并即时获取所有AD更改的更新。
默认情况下,ADAudit Plus禁用用户界面中的数据库访问,仅允许默认管理员帐户启用此选项。管理员还可以选择哪些帐户具有此特权。这可以防止其他技术人员帐户修改或删除数据库中的信息。
为了减少数据库中存储空间的使用,可以对历史数据进行压缩并单独存储。这些文件可以在以后的某个时间点恢复。这些归档文件由ADAudit Plus进行密码保护以确保安全。为了增加一层安全性,我们建议您限制对包含这些文件的文件夹的访问。
当用户以特定格式(PDF、CSV等)导出报表时,或当用户计划将特定报表保存到本地时,这些文件会由ADAudit Plus进行密码保护。我们还建议您修改包含这些文件的文件夹的权限,以防止不必要的访问。
ADAudit Plus允许管理员启用通过安全套接层(SSL)的轻量级目录访问协议(LDAP),以确保所有Active Directory数据的通信均被加密。这可以通过ADAudit Plus用户界面中的连接设置进行。