域控制器日志审计策略必须开启并配置审核策略、扩大日志容量、禁用自动覆盖、集中收集监控及定期验证;需启用账户登录、账户管理、目录服务访问、特权使用、系统事件五项审核,安全日志建议≥2048MB且禁用覆盖,结合WEF或SIEM实时告警,并通过测试操作与PowerShell检查确保生效。
域控制器日志审计策略必须开启,否则无法追踪账号登录、策略变更、权限提升等关键行为。核心在于启用“审核策略”并确保安全日志不被清空或覆盖过快。
启用域控制器的审核策略
审核策略需在域控制器的“组策略对象(GPO)”中配置,推荐直接编辑默认域控制器策略(default Domain Controllers Policy):
- 打开组策略管理控制台(GPMC) → 编辑“Default Domain Controllers Policy” → 计算机配置 → 策略 → windows 设置 → 安全设置 → 本地策略 → 审核策略
- 启用以下至少五项(按实际需求调整):
• 审核账户登录事件(成功+失败)
• 审核账户管理(成功+失败)
• 审核目录服务访问(成功+失败,需配合AD对象SACL设置)
• 审核特权使用(成功,如SeBackupPrivilege、SeRestorePrivilege)
• 审核系统事件(成功+失败,关注时间同步、关机/重启) - 若需监控AD对象变更(如OU移动、用户属性修改),还需在AD用户和计算机中为具体容器启用“审核对象访问”,并为目标对象配置SACL
确保安全日志持续可用
默认安全日志仅保留512KB且自动覆盖,极易丢失线索。必须手动调大并禁用自动覆盖:
- 在域控制器上运行gpedit.msc → 计算机配置 → 策略 → Windows 设置 → 安全设置 → 本地策略 → 审核策略 → 双击“审核日志” → 勾选“将审核日志满时覆盖事件” → 取消勾选
- 同时增大日志大小:在事件查看器中右键“安全”日志 → 属性 → 将“最大日志大小”设为至少1024MB(建议2048MB以上),并确认“按需覆盖久于X天的事件”未启用或设为较长周期
- 检查磁盘空间:安全日志增长迅速,确保系统盘有足够剩余空间(建议≥20GB空闲)
集中收集与实时监控建议
单靠本地查看日志效率低且滞后,应引入集中化手段:
- 使用Windows事件转发(WEF):在域控制器上启用WinRM和事件订阅,将安全日志实时推送到专用收集服务器(如Windows Server with Event Collector服务)
- 对接SIEM工具(如Elastic SIEM、Splunk、microsoft sentinel):通过Syslog(需NxLog/OSSec)、WEC或API方式接入,建立规则告警异常行为(如1小时内5次域管理员失败登录、非工作时间DC重启、DCSync请求)
- 定期导出关键事件:用PowerShell脚本(如Get-WinEvent -FilterHashtable @{LogName=’Security’; ID=4624,4625,4720,4732})每日提取高危事件生成摘要邮件
验证与日常巡检要点
策略生效≠日志可靠,需定期验证:
- 执行测试操作(如新建用户、远程登录失败、修改组策略)后,立即在域控制器上检查安全日志是否生成对应ID事件(如4720新增用户、4625登录失败)
- 检查事件日志服务状态:Get-Service eventlog 必须为Running;确认wevtutil qe Security /f:text能正常返回结果
- 每月检查日志大小、最后写入时间、归档情况;对长期无新事件的DC,排查GPO是否被意外覆盖或本地策略冲突