4634 Учетная запись вышла из системы;
4648 A logon attempted using explicit credentials.
4720 Создана пользовательская учетная запись;
4722 Пользовательская учетная запись активирована;
4723 Попытка изменения пароля учетной записи;
4724 Пароль сброшен другой учетной записью;
4725 Пользовательская учетная запись отключена;
4726 Пользовательская учетная запись удалена;
4728 Добавлен объект в «security-enabled global» группу;
4729 Объект удален из «security-enabled global» группы;
4730 «A security-enabled global» группа удалена;
4731 «A security-enabled local» группа создана;
4732 Добавлен объект в «security-enabled local» группу;
4733 Объект удален из «security-enabled local» группы;
4734 «A security-enabled local» группа удалена;
4738 Пользовательская учетная запись изменена;
4740 Пользовательская учетная запись заблокирована;
4741 Компьютерная учетная запись изменена;
4742 Компьютерная учетная запись изменена;
4743 Компьютерная учетная запись удалена;
4756 Объект добавлен в «security-enabled universal» группу;
4757 Объект удален из «security-enabled universal» группы;
4767 Пользовательская учетная запись разблокирована;
4781 Имя пользовательской учетной записи изменено;
4798 A user’s local group membership was enumerated
4799 Изменения в группе администраторов (A security-enabled local group membership (BUILTIN\Administrators) was enumerated)
4800 Компьютер заблокирован
4801 Компьютер разблокирован
Средства мониторинга и контроля
Штатные средства мониторинга системы и/или специализированные средства (SCOM). Помимо базовых событий сервера, необходимо мониторить события (ошибки и предупреждения) следующих источников: DFS Replication, Directory Service и File Replication Service.
Управление
Настройка серверов происходит через консоль выделенной рабочей станции управления (Dedicated Administration Workstation DAW), подключенную в сегмент «Управления». Административные задачи, такие как создание пользователей, смена членство в группах и т п, должны быть делегированы соответствующим группам.
Отчетность по сервису
Отчеты по сервису могут включать в себя такие метрики как количество пользователей и их статус, количество отказов и простоя сервиса, работы, проводимые по улучшению сервису, инциденты информационной безопасности и т п.
Рекомендации
Следующие правила и настройки позволяют повысить уровень безопасности сервиса:
•Не устанавливать дополнительные сервисы;
•Использовать установку Server Core;
•Для физических серверов установить пароль на BIOS;
•Для физических серверов установить загрузку с диска;
•Не устанавливать DHCP сервис на контроллеры домена;
•Использовать только Security update only для DNS сервиса;
•Указывать только IP адреса участвующие в репликации;
•Использование шаблонов безопасности;
•Желательно отключать физический сервер последним, а включать первым, так как он содержит все FSMO роли;
•Желательно исключить из регулярного антивирусного сканирования следующие папки:
D:\NTDSDB\ntds. dit
D:\NTDSDB\EDB.chk
E:\NTDSLOG\EDB*.log
E:\NTDSLOG\EDB. log
E:\NTDSLOG\Edbres*.jrs
D:\NTDSDB\TEMP. edb
D:\NTDSDB\*.pat
D:\SYSVOL\domain
D:\SYSVOL\domain\DO_NOT_REMOVE_NtFrs_PreInstall_Directory
D:\SYSVOL\staging
D:\SYSVOL\staging areas
D:\SYSVOL\sysvol
•Желательно иметь документ по обработке дублированных имен объектов активного каталога (в основном имена и фамилии пользователей).
