Active Directory的安全与审计
接下来我们将:
- 查看域控制器安全事件日志。使用事件查看器查看
AWS Managed Microsoft AD日志 - 在我们的AWS Managed Microsoft AD上启用事件日志转发
- 管理细粒度密码策略(FGPP)
- 部署和配置PKI以启用LDAPS
在 AWS Managed Microsoft AD 域控制器上查看 Windows 事件日志
使用Fleet Manager 远程登录:
连接上去后,右键单击 Start 并选择 Windows PowerShell (Admin):
运行以下命令以获取 AWS Managed Microsoft AD 域中的域控制器列表并提取其中一个域控制器的安全事件日志。
$DomainControllers = Get-ADDomainController -Filter * | Select-Object -ExpandProperty 'HostName'
Get-WinEvent -LogName 'Security' -ComputerName $DomainControllers[0] -MaxEvents 10 | Select-Object *
使用UI查看 AWS Managed Microsoft AD 域控制器的事件日志
转到开始菜单并查找 Windows Administrative Tools,在那里打开 Active Directory Users and Computers :
选择 Domain Controllers ,右键单击其中一个域控制器并选择 Properties。记下 DNS 名称:
右键单击开始按钮,然后选择 Event Viewer:
在 Event Viewer 中,在 Event Viewer (Local)下选择 Connect to another Computer…
在 Select Computer 窗口中输入上面记下的 DNS 名称,然后选择 OK:
现在我们可以远程查看 AWS 托管的 Microsoft AD 域控制器上的 Windows 事件日志。选择 Windows Logs中的Security,我们将看到当前在域控制器上的安全事件:
我们可以查看已委托的 Windows 事件日志(DNS 服务器、Microsoft-Windows-DNSServer/Audit、Security 和 Microsoft-Windows-SMBServer/Audit)。如果我们选择一个未委托的 Windows 事件日志,我们将看到以下错误:
