Предупреждение для входа в систему администратора домена
Я ищу способ отправить уведомление по электронной почте, когда член группы «Администраторы домена» входит в систему. Мы запускаем Server 2012 R2, есть ли что-нибудь, встроенное в Windows Server, что может это сделать?
Нет, ничего встроенного.
В зависимости от того, для чего вы хотите это сделать, самым простым способом отправки сообщения электронной почты при входе в систему администратора домена, вероятно, будет сценарий входа в групповую политику, назначенную членам группы администраторов домена. В Powershell есть Send-MailMessage, который может отправлять электронное сообщение с именем сервера/компьютера и входом пользователя в систему в качестве переменных.
Помните, однако, что администраторы домена могут легко обойти групповую политику, так как администраторы домена могут редактировать групповую политику. Так что, как функция безопасности, это не удивительно полезно. Если вы вместо этого пытаетесь отслеживать эскалацию привилегий с какой-то целью управления изменениями, и все администраторы домена с этим согласны, то, возможно, все в порядке.
Если вместо этого вы ищете функцию обнаружения вторжения, то лучше выбрать специальную программу безопасности (например, Advanced Threat Analytics ).
Сборка под Windows? Нет. Это будет пользовательский код/скрипт. Потребуется собрать журналы событий, и когда происходит событие входа в систему с учетной записи, известной как член Domain Admins, отправьте электронное сообщение.
Вероятно, это не является эффективным решением:
Группа администраторов домена получает большинство привилегий через членство в группе встроенных администраторов домена. Поэтому, если бы учетная запись была членом группы администраторов, то, похоже, она заслуживала бы такого же уровня предупреждений.
В зависимости от идентификаторов событий, которые находятся в зоне действия предупреждений, может происходить множество событий. Если говорить точнее, может быть много сетевых входов (тип 3).
Фильтрация сетевых событий/единственное оповещение об интерактивных входах исключает активность, которая происходит из-за кэшированных учетных данных/хэшей украденных учетных записей.