Active-Directory

記錄 Active Directory 的 LDAP 訪問

  • September 4, 2021

我正在尋找一種記錄 Active Directory 域控制器的 ldap 訪問的方法。我希望能夠記錄對389 和 636(加密)的使用者名和源 IP 地址訪問。

一個簡單的數據包擷取可以讓我獲得源 IP,但無法通過 ldaps 獲得使用者名,所以我希望 Windows 中有一些內置的審計/調試/日誌記錄功能可以為我提供這些資訊。

Windows 安全事件日誌確實會跟踪這一點,但要從消防軟管中提取出來並不容易。LDAP 登錄的關鍵標記:

  • 事件編號:4624
  • 主題使用者SID:S-1-5-18

細節將隱藏在這些 XML 元素中:

  • 目標使用者名
  • IP地址

如果您在解碼的文本視圖中查看內容,則關鍵標記是:

  • 事件編號:4624
  • 網路資訊 -> 工作站名稱 = LDAP 伺服器的名稱

詳細資訊將是:

  • 網路資訊 -> 源網路地址
  • 新登錄 -> 帳戶名稱

將這些登錄事件與正常登錄事件區分開來的關鍵是 ldap 綁定實際上是登錄到相關域控制器。這就是填寫“工作站名稱”欄位的原因。

用片語搜尋來獲取這些事件將被證明是棘手的。

引用自:https://serverfault.com/questions/193100