Kerberos 取代了 NT LAN Manager(NTLM)作为 Windows 操作系统的默认身份验证,是一种更快、更安全的替代方案。IT 管理员可以启用对 Kerberos 身份验证的审核,从而允许记录在此过程中创建的事件。管理员可以监视这些事件,以密切关注登录到域的用户的失败和成功登录活动。任何突如其来的异常变化(例如异常多的登录尝试失败次数)都可能表明存在暴力威胁的可能性,等等。请继续阅读,了解如何审核 Kerberos 身份验证事件:
Windows 本机审核
使用组策略管理控制台 (GPMC) 启用审核的步骤:
- 按“开始”,搜索并打开组策略管理控制台,或运行命令 gpmc.msc。
- 右键单击要审核的域或组织单位(OU),然后单击“在此域中创建 GPO,并在此处链接”。
- 根据需要命名组策略对象(GPO)。
- 右键单击新创建的或已存在的 GPO,然后选择“编辑”。
- 在组策略管理编辑器的左窗格中,导航到“计算机配置”→“策略”→“Windows 设置”→“安全设置”→“高级审核策略配置”→“审核策略→帐户登录”。
- 在右窗格中,你将看到“帐户登录”下的策略列表。双击“审核 Kerberos 身份验证服务”,然后选中标记为“配置以下审核事件:”、“成功”和“失败”的框。
- 对策略审核 Kerberos 服务票证操作执行相同的操作。
- 单击“应用”,然后单击“确定”。
- 返回到组策略管理控制台,在左窗格中,右键单击链接了 GPO 的 OU,然后单击“组策略更新”。此步骤可确保立即应用新的组策略设置,而不是等待下一次计划刷新。
使用事件查看器查看 Kerberos 身份验证事件的步骤
完成上述步骤后,Kerberos 身份验证事件将存储在事件日志中。通过在域控制器(DC)上执行以下操作,可以在事件查看器中查看这些事件:
- 按“开始”,搜索“事件查看器”,然后单击将其打开。
- 在“事件查看器”窗口的左侧窗格中,导航到“Windows 日志”⟶“安全”。
- 在这里,您将找到系统中记录的所有安全事件的列表。
- 在右侧窗格中的“安全性”下,单击“筛选当前日志”。
- 在弹出窗口中,在标有<所有事件 ID>的字段中输入所需的事件 ID*,如下表所示。
* 为给定事件生成以下事件 ID:
事件 ID |
子领域 |
事件类型 |
描述 |
4768 |
Kerberos 身份验证服务 |
成功与失败 |
请求了 Kerberos 身份验证票证 (TGT) |
4769 |
Kerberos 服务票证操作 |
成功与失败 |
请求了 Kerberos 服务票证 |
4770 |
Kerberos 服务票证操作 |
成功 |
Kerberos 服务票证已续订 |
4771 |
Kerberos 身份验证服务 |
失败 |
Kerberos 预身份验证失败 |
4772 |
Kerberos 身份验证服务 |
失败 |
Kerberos 身份验证票证请求失败 |
4773 |
Kerberos 服务票证操作 |
失败 |
Kerberos 服务票证请求失败 |
- 单击“确定”。这将为您提供该事件 ID 的匹配项列表。
- 双击事件 ID 以查看其属性。
Active Directory(AD)本机审核的局限性:
- 管理员必须搜索每个事件 ID 才能查看其属性。即使对于小型组织来说,这也是非常不切实际和耗时的。
- 使用本机审核不会提供任何有用的见解。如果管理员想要监视登录活动或异常用户行为突然激增或收到通知,则本机审核是不可能的。
- Kerberos 身份验证事件可以记录在域中的任何 DC 上。管理员必须监视每个 DC 上的事件,这是工作量过大。监控所有事件的集中式工具将大大减少负载。
使用ADAudit Plus审核Kerberos身份验证的步骤
- 下载并安装ADAudit Plus。
- 在域控制器上配置审核。
- 打开ADAudit Plus控制台,以管理员身份登录,然后导航到“Active Directory→用户管理”→“用户登录活动”→“报告”。
使用ADAudit Plus的优点:
- ADAudit Plus使您能够实时审核和跟踪网络中的用户登录活动,并帮助检测潜在的恶意活动。
- 通过接收有关异常活动的警报来保护您的 AD 免受安全威胁,异常大量的登录尝试、在异常时间发生的登录或用户首次远程访问主机等事件都是网络中入侵的迹象。
- 使用帐户锁定分析器发现重复帐户锁定的原因,这有助于更快地发现和解决。
ADAudit Plus是一个Active Directory审计工具,可以帮助使用Kerberos身份验证事件监控用户登录活动,您还可以通过异常登录活动报告来检测可能的安全威胁,并自动响应此类威胁。