点击此处展开
随着信息安全关注度的提升,所有IT管理员必须加强现有基础设施的安全性,以避免可能的漏洞。本文档重点介绍如何最佳配置ADAudit Plus,确保您的信息保持安全。
通常,ADAudit Plus会关联一个Active Directory (AD) 用户账户来收集登录数据。如果使用域管理员账户,ADAudit Plus 会立即开始审核AD环境中的更改。但通常,域管理员账户拥有许多ADAudit Plus不需要的高级权限。因此,我们建议创建专用用户账户,只授予ADAudit Plus执行任务所需的权限。这样,即使专用账户被攻破,漏洞影响本质上也被限制住。 这里 是ADAudit Plus所需的权限和许可。
ADAudit Plus附带一个具有最高权限的内置管理员账户。默认情况下,此账户的密码对所有ADAudit Plus用户均相同,因此您需要更改此密码以确保其安全。 如果忽略此步骤,您的系统将面临风险。.
我们建议使用HTTPS替代HTTP,以确保网络上信息传输的安全。您可以在用户界面中的 Admin 选项卡下完成此操作。导航至 常规设置 → 连接.
这些设置也可以通过以下XML文件进一步优化:
若您选择只允许某一特定版本的传输层安全协议(TLS),如TLSv1.2、TLSv1.3,可通过修改以下参数禁用其它版本,仅保留所需的TLS版本:
如需禁用或限制加密套件,可通过修改以下参数,只保留所需的加密套件:
通过这些更改,您可以保障ADAudit Plus的所有通信安全,增强整体安全性。
为进一步加强ADAudit Plus的安全性,建议限制登录ADAudit Plus服务器的权限,以防止未经授权的访问。您可以在 用户权限分配 选项卡下的 组策略管理编辑器 中定义本地策略,针对以下权限: 允许本地登录 或 允许通过远程桌面服务登录仅允许特定用户,这样可以减少基础设施的攻击面。
管理员可以通过修改文件夹权限来限制访问ADAudit Plus安装文件夹,确保只有授权用户能够访问ADAudit Plus文件。
如果启用了文件完整性监控(FIM),ADAudit Plus会通过配置系统访问控制列表(SACL)来记录安装文件夹的更改。这样,您可以确保信息未被篡改。
注意:这也需要相应的许可。
ADAudit Plus内置密码保护的PostgreSQL数据库,仅授权人员可访问。默认情况下,PostgreSQL服务创建一个拥有无限权限的用户账户——类似AD中的域管理员账户,用于执行各种管理操作。ADAudit Plus会更改此账户的默认密码,并创建一个权限受限的新账户。该账户权限有限,用于连接数据库,并采用加密方式保障安全。
技术人员角色可以配置为限制访问某些报表。这些角色还可以限制技术人员执行如添加或移除审计服务器、修改配置等管理功能。此外,ADAudit Plus提供详细的基于用户的审计跟踪,记录所有操作。
对于事件日志采集,ADAudit Plus提供以下事件抓取模式选择:
默认情况下,实时模式和EvtQuery模式会加密网络传输的数据。WMI模式和本地模式默认不加密传输数据,但可在WMI模式启用加密以增强安全性。我们建议管理员使用实时模式,以保证数据传输安全并即时获取所有AD更改更新。
默认情况下,ADAudit Plus禁用其用户界面内的数据库访问,仅允许默认管理员账户启用此选项。管理员还可以选择哪些账户拥有此权限,防止其他技术账户修改或删除数据库中的信息。
为减少数据库内存储空间使用,历史数据可被压缩并单独存储。这些文件可在以后恢复。ADAudit Plus对归档文件进行密码保护,确保安全。为增加安全层级,建议您限制对存放这些文件的文件夹的访问权限。
当用户以特定格式(如PDF、CSV等)导出报告,或安排报告本地保存时,文件会被ADAudit Plus密码保护。建议同时修改存放这些文件的文件夹权限,以防止未经授权的访问。
ADAudit Plus允许管理员启用基于安全套接字层(SSL)的轻量级目录访问协议(LDAP),确保所有Active Directory数据通信均被加密。该设置可在ADAudit Plus用户界面的连接设置中完成。
版权 © 2020, ZOHO Corp。保留所有权利。