运维有小邓

  研究显示，帮助台技术员收到的所有电话中高达30%是因为遗忘了密码。当帮助台技术员处理大量此类电话时，对于来自远程的用户请求就无能为力了。这些用户使用本地缓存的 Active Directory 凭证来登录其机器。当该用户离开办公室时，帮助台技术员无法远程更新缓存的用户凭证。而且，由于用户移动办公越来越多，遗忘密码可能造成重大的营运中断。 ADSelfService Plus 是一款基于web的 自助密码管理解决方案 ，允许用户安全地 自助重置其密码 ，而且会自动在其机器上更新缓存的域凭证。 ADSelfService Plus 一、什么是缓存的凭证？ 当用户登录至Active Directory域，一种形式的登录信息会缓存在其本地机器上。此缓存的凭证让用户在他们无法联系域控制器进行身份验证时，可轻松登录到Windows机器。 但是，当用户忘记密码且由IT帮助台技术员在Active Directory中重置时，用户机器上缓存的凭证会不准确地呈现。这样，用户将无法访问其机器。甚至帮助台技术员也无法帮助他们，因为在Active Directory中重置密码不会更新缓存的凭证。 Active Directory 二、重置缓存的域密码 这时，ADSelfService Plus带着其魔术棒（即GINA/CP客户端）登场了，它能将“重置密码/帐户解锁”按钮正好显示在Windows登录界面上。用户可以使用此按钮以重置其遗忘的密码。在成功地重置密码后，缓存的密码将更新在用户机器上。 三、ADSelfService Plus如何更新缓存的凭证？ 更新缓存 当远程用户忘记其密码时，他们可使用ADSelfService Plus的GINA/CP客户端，直接从其机器的登录界面重置其密码。有关GINA/CP客户端的更多信息，请点击此处。 ADSelfService Plus在Active Directory中重置密码，并通知GINA/CP客户端，重置操作成功完成。 GINA/CP客户端与Active Directory通过VPN客户端（例如，Fortinet和Cisco AnyConnect）建立安全连接，并发起请求以要求更新本地缓存的凭证。 在请求得到Active Directory批准后，缓存的凭证会存储在用户机器上。 密码安全 四、优点 完全消灭密码重置电话:用密码自助服务...

  ADManager Plus   iOS 应用，ADManager Plus iOS 应用程序让   AD 用户和计算机管理 变得酷炫和流畅。 ADManager Plus iOS 应用 您的 iPhone 就是您管理  Active Directory  中的用户和计算机所需的一切。这个移动应用程序提供对所有这些帐户的即时访问，还让您只需指尖即可管理它们。 Active Directory 有了这个 iOS 应用程序，您现在可以将翅膀添加到您的 Active Directory 管理流程中。在世界任何地方，仍然拥有您公司中的所有 AD 用户和计算机。 1.  重置用户密码 忘记密码将不再影响用户的工作效率。使用此移动应用程序随时随地即时完成所有重置密码请求。无需再等待用户重置密码。 2. 启用帐户 收到启用请求后，即使在旅行中，也可以立即为 Active Directory 中的禁用用户和计算机帐户注入活力。使用此移动应用程序会在创建请求的下一刻删除所有启用请求。 3. 禁用帐户 在您遇到恶意用户或计算机帐户的那一刻，立即删除任何恶意用户或计算机帐户。禁用用户和计算机帐户，进而对您的组织构成潜在威胁，即使您在移动中也是如此。 4. 解锁帐户 锁定的用户帐户需要立即引起注意，因为它们会不必要地妨碍用户的生产时间。使用这些移动应用程序，无论您身在何处，都可以解锁多个锁定的用户帐户。 5. 删除帐户 只需使用您的移动设备，即可通过及时和即时的操作从您的 Active Directory 中删除不活动或可能有害的用户和计算机帐户，无论现在是什么时间，您在地球的哪个部分。 6. 重置计算机 使用 ADManager Plus iOS 或 Android 应用程序随时随地重置您的计算机对象。只需在手机屏幕上轻点几下，即可轻松重置计算机。 7. 创建用户帐户 使用 iOS 应用程序一次在 AD、Office 365、Exchange、Google Apps 和 Skype for Business 中配置用户！使用模板标准化整个部门的用户配置。 ADManager Plus 强调 基于 iPhone 的 AD 用户和计算机管理。 24*7 全天候访问和控制 AD 用户和计算机帐户。 管理员和技术人员的持续可用性。 即...

许多时候， Active Directory 管理员发现很难破译用户的确切最后登录时间。在大多数情况下，一个域中存在多个域控制器，每个域控制器将保存不同的最后登录值。当每个域控制器显示同一用户帐户的不同登录详细信息时，识别过程变得更加复杂。原生AD工具、PowerShell等只会给本已复杂的列表增加更多的复杂性。由于登录数据的同步本质上不是在域控制器之间进行，因此从DC检索用户的正确最后登录值变得相当繁琐，DC最近对用户的最近登录进行了身份验证。正是在这个时候， ADManagerPlus 的RealLastLogon报表就派上用场了。使用ADManager Plus您可以。 ADManagerPlus 生成实际最后登录报表 自定义报表中显示的属性 从报表中进行管理 生成实际最后登录报表并清理AD 生成实际最后登录报表 ADManager Plus的“实际最后登录报表”显示用户最后登录Windows网络的实际日期和时间。通过查询给定域中所有已配置的域控制器来检索此信息。此信息检索机制通过确保用户登录数据的准确性，提高了用户登录详细信息的可靠性。对于管理员来说，真正的最后登录报告无疑是一个优势，他们可以轻松地检索其组织的Active Directory基础结构中所有用户的最近一次登录值。管理员可以为AD中的单个用户生成实际的最后 登录报表 ，也可以将报表生成限制到特定的域、组或组织单位。 Active Directory 自定义报表中显示的属性 生成“真实最后登录报告”时，将显示默认属性，即显示名称、SAM帐户名、何时创建(详细说明创建用户帐户的时间、上次登录时间和登录计数)。但是，ADManager Plus附带内置选项，用于自定义需要与用户最后登录详细信息一起显示的属性。 通过提供诸如显示名称、属性的LDAP名称、数据类型等详细信息，您可以简单地将扩展架构中的自定义属性添加到所需的报表中。实际最后登录报表中的“添加/删除列”选项有助于执行此功能。 自定义报表中显示的属性 从报表中进行管理 Active Directory管理员可以根据用户的真实最后登录值执行各种操作。使用正确的选项，可以很容易地从生成的报表中禁用、删除或启用用户。 重置密码 、解锁用户帐户、移动用户、修改配置文件属性、可继承权限、组属性等功能可在生成的“实际最后登录报表”的结果上执行。您可以免费下...

  增加采用SharePoint导致企业将其大部分关键数据放在其SharePoint站点上。因为多个用户同时协作处理数据，所以确保所存储信息的安全性和完整性对SharePoint管理员来说变得很关键。虽然，SharePoint提供了审核日志报表来帮助监控组件组件更改，但在使用多个 SharePoint 服务器时，这些报表不够用。 SharePoint管理员追求的是综合解决方案 每个 SharePoint管理员追求的是综合解决方案 ，以通过单一控制台来帮助审核及保护本地SharePoint环境。 SharePoint Manager Plus  提供了现成的报表，这些报表可帮助满足SharePoint审核及安全需求。此解决方案还允许您通过安排选项自动生成报表并通过电子邮件分发报表。 SharePoint Manager Plus 一、审核组件级别更改 SharePoint Manager Plus允许您通过单一中央控制台轻松审核网络中部署的所有SharePoint服务器的站点集合、站点、文档和列表的更改。此解决方案提供即时现成审核报表，以给出有关以下各项的信息： 站点集合、站点、文档、列表和列表项更改 - 进行更改的内容、人员、时间及位置。 文档级别更改 - 关键文档更改，例如，文件的创建、修改和删除。 文档状态 - 详细的文档检入和检出信息。 SharePoint 二、审核安全级别更改 SharePoint Manager Plus提供了现成报表，这些报表可帮助您轻松跟踪安全级别更改，例如，组的创建、修改和删除，以及站点范围的用户权限更改等等。此解决方案提供详细的安全审核报表，这些报表给出如下信息： 已创建/已修改的组的列表 - 创建/修改该组的人员、进行创建/修改的位置和时间。 已添加的独立权限 - 添加对其的权限的项的类型、添加权限的时间及人员。 权限更改 - 更改权限的时间、更改对其权限的项及更改权限的人员。 所创建的新角色 - 创建该角色的人员、位置及时间。

  审核在顺利完成SharePoint管理的过程中（特别是在满足合规要求和取证要求时）很重要。为避免数据外泄，必须时刻了解谁从哪组访问哪个文档以及谁创建或删除了站点或站点集合。 SharePoint 一、只有大量 SharePoint 审核日志才能完成此任务 SharePoint审核日志报表允许您分析SharePoint环境中的所有活动。但是，本机构建通常不够用，导致审核任务难以按预期完成。 难以访问: 使用本机构建查找审核报表的过程很冗长。而且，所生成报表未按对象分类，这会导致难以对其进行分析。这些审核报表中捕获的原始数据会让用户难以理解，更改事件按对象ID记录，导致其难以阅读。 不便之处: 因为这些报表只能以Excel格式导出，所以分析起来非常麻烦。而且，对于每个站点集合，必须单独启用审核设置。所以，如果一个场包含45个站点集合，那么必须逐个启用每个站点集合。您不应以这样的方式来浪费时间。 数据不足: 如果想要了解有关更改事件的任何信息，那么您需要修改之前和修改之后的值。了解用户权限发生的更改是不够的-您需要知道更改之前和更改之后的权限以准确评估情况。但是，SharePoint审核日志无法提供此信息。 庞大的数据库:最后，SharePoint审核日志存储在SharePoint的数据库中，从而导致数据库经常触及其性能极限。整体工作效率多半会因为数据库性能不佳而被拖慢。 SharePoint Manager Plus 二、好消息是您可解决这些限制 SharePoint Manager Plus 旨在克服这些限制并简化您的工作。与本机构建中不同，您可在中央控制台中对本地SharePoint环境和Office 365 SharePoint环境生成审核报表，在本机构建中，您需要访问该环境中的特定位置以生成每个报表。使用SharePoint Manager Plus有许多其他优势，此处仅列示其中几项： 对审核报表预先分类可简化特定于对象的审核。所以，您可查找与任何对象相关的审核事件，无论该对象是文档库、列表还是SharePoint用户或组。 系统会在生成报表之前处理信息，这表示系统会将ID转换为名称以帮助您轻松阅读报表。 可使用多种格式导出审核报表，包括XLS、CSV、PDF和HTML。这可以简化环境评估过程。 只需点击一下就可一起审核该环境中的所有站点集合。还可针...

  SharePoint Manager Plus 的对象资源管理器对于SharePoint管理员是不可缺少的。通过以树形视图提供SharePoint环境的架构，对象资源管理器提供了完整视图。这可以帮助您轻松浏览SharePoint场、web应用程序、站点集合、站点、列表和其他SharePoint对象。您只需单击任何对象就可显示其子文件夹及查看其内容。 SharePoint Manager Plus 对象资源管理器的全景视图允许您通过单一窗口查看及管理SharePoint和Office 365对象。这可帮助您监控、审核及保护您的SharePoint环境（本来您需要在多个控制台上显示和管理此环境）。 SharePoint 查看和分析SharePoint对象的属性和权限 对象资源管理器允许您查看SharePoint环境中任意对象的属性和安全权限。例如，单击某个站点将显示其类型、标题、URL、创建日期、最后修改时间以及有关可访问该站点的用户及其权限级别的详细信息。 还可查看中断从父对象继承权限的对象及分配给它们的独立权限。通过使用此信息，您可查找具有违法权限的组和对象并撤销它们的访问权，集中监控和跟踪对文件夹的访问权，并制定其他关键决策以改进SharePoint管理。 SharePoint管理 使用对象资源管理器管理和保护SharePoint环境 知道文件及其属性的位置可帮助您制定有关SharePoint管理和安全性的明智决策。可在SharePoint环境中使用对象资源管理器以调查以下项： SharePoint对象的继承权限和独立权限。 站点集合、站点、文件和文件夹的位置和构成。 任何站点、列表和文档库的创建日期和最后修改日期。 关键文件和协作文件的权限级别控制。

  了解用户何时变更计算机内部时钟上的时间和日期。如果系统时间已变更，记录的事件将反映此新时间，而不是事件发生的实际时间。对系统时间不正确的变更可对应用程序造成严重破坏。 您可在Windows 2003 / 2008 / 2012计算机的安全日志中找到有价值信息，它提供了有关登录活动、重要系统级事件、帐户管理、文件访问事件、管理事件等的重要信息。即时了解 系统安全日志 何时已清除并确定用户身份。安全日志通常进行清除来隐藏事件痕迹，对企业的安全审核与 IT合规 要求至关重要。 同时，系统启动/关机是重要的安全事件，因为当操作系统当机时，系统非常容易受到物理访问攻击。立即用 ADAudit Plus 执行审计！ ADAudit Plus 一、用ADAudit Plus执行Windows成员服务器审计 ADAudit Plus用可定制的报表和即时 电子邮件告警 来及时获悉每一次修改。只需一点即可查看审计报表，它提供整理的事件数据来解读信息，您还可以用50余种属性来筛选数据，以获得更准确的信息。这些报表确保您获取管理安全的全面事件足迹，如果“变更事件”达不到预期目标，则事件足迹为您带来有效的信息来更好地处理纠正措施。 Windows审计 二、 Windows成员服务器审计报表 •  登录持续时间报表 • 登录失败报表 • 登录历史记录报表 • 终端服务活动报表 • RADIUS登录失败(NPS)报表 • RADIUS登录历史记录(NPS)报表 • 摘要报表 • 进程跟踪报表 • 策略变更报表 • 系统事件报表 • 对象管理报表 • 计划任务报表 Windows成员服务器 三、使用ADAudit Plus进行Windows成员服务器审计的优势 ① 访问监视 监控本地用户登录/注销、计划任务、策略变更和摘要报表。 ② 文件完整性监控 跟踪系统、配置、文件和文件属性修改。 ③ 打印机审计 用详细的审计报表，实时监控通过Windows Server网络打印的所有文件。 监控每一可移动存储设备上的变更。仅在Windows Server 2012和Windows 8上受支持。 ④ 可移动存储审计 监控每一可移动存储设备上的变更。仅在Windows Server 2012和Windows 8上受支持。 ⑤ 报表与告警 查看预配置的报表，并对已监控文件夹/文件的变更设置电...

  一、 关联监控安全事件 事件关联引擎是 SIEM解决方案 中最重要的组件之一。使用内置的或用户自定义的关联规则分析收集的日志数据，找出不同网络活动、公共属性或模式之间可能存在的关系。关联引擎能够将各种安全事件放在一起，以视图的形式整体反映网络安全攻击情况。关联引擎能够在早期检测到可疑、危害或潜在违规的迹象并能让SIEM系统及时 触发告警 ，从而避免网络安全问题的发生。 二、以下为关联引擎的一个案例： “如果用户在短时间内多次尝试登录失败后又成功登录，这种异常行为就会触发告警。” 大多数SIEM解决方案都带有基于陷落标识（IOC）构建的预定义关联规则。然而，由于攻击者经常使用更为先进的侵入技术，使得这些规则必须定期修改和优化，否则就会失效。SIEM解决方案的关联引擎模块可高效监测到攻击者的攻击行为和攻击策略，从而确保网络活动时刻保持安全运行状态。 三、使用卓豪的 Log360解决方案 借助高效的安全信息和事件管理(SIEM)解决方案Log360，您可以: 通过审计日志，发现设备中存在的安全隐患，并生成可视化的报表。 发现潜在的恶意软件迹象，立即触发告警。 当网络中发生重大变化时，如安装新服务、修改注册表、创建未经授权的文件或创建恶意程序等，会收到告警。 触发自动补救脚本以防止“勒索病毒”攻击。 通过分析日志记录并追踪攻击的来源，对安全事件进行取证调查。 这么多强大功能，居然还能免费用30天！绝对的干货，赶紧收下吧！

  通过实时大规模访问告警检测勒索软件。 触发告警即时勒索软件开始加密您的文件。 通过可定制和自动化的响应系统隔离勒索软件。 关闭受感染的设备，立即停止勒索软件的传播。 查看事件的深入细节以供进一步调查。 DataSecurity Plus 是 Windows文件系统 的实时变更监控和告警工具。由于它使用专用代理连续监视文件，因此DataSecurity Plus能够在文件发生瞬间检测到文件更改。该工具提供了两个重要功能，这些功能在成功检测和响应 勒索软件攻击 方面发挥着关键作用：大规模访问告警和自动告警响应。使用这两个功能，DataSecurity Plus显着减少了检测和响应勒索软件攻击所需的时间。实际上，它会在检测到勒索软件类型泄露的迹象后立即自动响应。在这样做的过程中，它完全消除了人为干预的需要，这种干预在与勒索软件攻击进行对抗时通常很慢且不成功。 DataSecurity Plus 大规模访问告警 ： 当加密攻击正在进行时，勒索软件会在短时间内访问并修改异常大量的文件。DataSecurity Plus可以配置为监视用户修改文件的频率，并在指定时间段内修改数量超过指定阈值时发出告警。鉴于其实时事件监控功能，一旦勒索软件开始加密练习，就会触发DataSecurity Plus的基于阈值的告警。告警还指出安全漏洞的用户名，来源，日期和时间以及其他告警参数，为进一步调查铺平了道路。 勒索软件 自动告警响应： DataSecurity Plus允许您配置对告警的预定响应。换句话说，您可以对工具进行编程，以便在触发某个告警时执行指定的操作，从而有效地使您能够自动执行事件响应。DataSecurity Plus具有内置的勒索软件告警响应，可锁定受感染的设备，从而阻止勒索软件传播到网络存储或其他系统，并防止攻击者造成任何进一步的损害。此外，您还可以通过执行批处理文件设置自己的自动告警响应，以自动响应批量访问告警。 告警响应 勒索软件是一种恶意软件，可通过加密文件来阻止对数据的访问。一旦文件被加密，黑客就要求受害者支付赎金以重新获得对其文件的访问权限。 勒索软件攻击的启动方式有很多种。最常见的攻击媒介是网络钓鱼邮件似乎是合法的，诱使受害者点击链接或打开附件。受害者也可能被诱骗访问恶意网站并下载勒索软件可执行文件。 一旦发起攻击并且数据被加密，有两种方法可以恢复数据...

  外部威胁是指公司被外部来源利用恶意软件、蠕虫、网络钓鱼电子邮件和被盗凭据的风险。主要出于经济利益的动机，外部威胁参与者试图窃取驻留在网络中的敏感数据并在暗网上出售或使用它通过发起勒索软件或拒绝服务 (DoS) 攻击来破坏业务。 Log360自动扫描网络以查找与外部威胁相关的危害指标，并激活配置的工作流以在其初始阶段遏制威胁。该解决方案的内置威胁情报平台有助于将威胁源与网络活动相关联，从而有效地发现网络场所中的不良行为者。 Log360 停止面向公众的资源利用 面向 Internet 的工作站、服务器和应用程序的弱点经常被外部威胁参与者利用以在企业网络中站稳脚跟。Log360 有助于监控这些关键资源的日志，以检测可能表明尝试或成功利用的异常行为。它的实时安全分析引擎使用 MITRE ATT&CK 框架，可以深入了解 SQL 注入攻击尝试、潜在的远程桌面协议漏洞、远程代码执行等。 勒索软件 检测恶意进程 从恶意软件到用于窃取凭据的黑客工具，任何东西都可以被视为流氓进程。Log360 自动检测在工作站端点和服务器上运行的恶意软件、服务和进程。事件时间线为您提供与受感染端点和用户帐户相关的所有事件。您可以通过首先调查原因，然后使用工作流规则杀死这些恶意进程来最大限度地减少损害。Log360 不仅可以检测恶意进程，还可以帮助遏制勒索软件攻击的传播。 检测恶意进程 识别并切断恶意来源 由于外部威胁的动态性，检测外部威胁很困难。Log360 的威胁情报平台通过上下文威胁源不断丰富，并提供对您业务的安全威胁的全面可见性。借助该解决方案的高级威胁分析，您可以深入了解试图与您的网络建立连接的威胁源（恶意 IP、域和 URL）、威胁类型（网络钓鱼、恶意软件攻击等）以及推荐的整治过程。Log360 将每个恶意来源的信誉评分关联起来，以帮助提高威胁分类效率。 识别并切断恶意来源 检测用户帐户泄露 具有特权访问权限的用户的帐户成功入侵可能会造成重大损害，而不会触发与外部攻击相关的常见告警。Log360 通过基于机器学习 (ML) 的用户和实体行为分析 (UEBA) 发现用户帐户受损情况。Log360 的集成和动态风险管理模块将风险评分与每个用户活动相关联，以准确检测被盗用的用户帐户。风险评分越高，用户帐户对网络构成的威胁就越大。使用此信息，您可以立即采取补救措施，例如使用事...

  用户访问计算机是各种规模公司的日常任务。乍一看，访问日志可能看起来像简单的  Active Directory   事件，但它们对于系统管理员的各种审计/合规/操作需求很有价值。以下操作需要需要审核 Active Directory 用户登录日志： 员工缺勤和出勤确认 检查访问域控制器的用户数 检测通过远程网络计算机访问工作站或域控制器的用户 识别域内的用户登录高峰时间 确定谁最后登录到关键域计算机 识别是否有用户（恶意用户）尝试登录未经授权的终端 （*通常需要高权限才能登录 Active Directory 域控制器和成员服务器。） 查看域中所有用户的登录历史记录 （*在询问涉嫌不当行为的员工时，员工在工作期间访问和修改的 Active Directory 对象，例如计算机、组和其他用户您需要提供您的帐户信息.)。 Active Directory 一、为什么您可能需要用于 Active Directory 用户登录审核的工具 Active Directory  登录日志 会持续记录在 Active Directory 域控制器安全日志中。域控制器事件查看器中记录的数据特征如下： 二、需要专业知识 要正确阅读事件日志，您必须了解事件 ID 与其他项目（登录类型）之间的相关性。 三、日志数据 大量的 Active Directory 登录活动会持续记录在域控制器上，从而产生大量事件日志数据。 四、访问权限 受限的域控制器是 Active Directory 中的一个关键组件，访问权限主要仅限于管理员。 ADAudit Plus Active Directory 提供的事件查看器的另一个限制是它无法跟踪审计员/人力资源人员等非管理用户的登录操作。此外，关键登录事件（例如域控制器/成员服务器上的登录活动）需要在发生异常时立即发出警报和持续审核。但是，在庞大的日志输出中，很可能会忽略这一重要信息。  

  AD域内有强 密码策略 巩固了组织的安全和安保参数。但是，大量密码和对密码策略的监控不力会导致  Active Directory   管理不稳定。虽然 Active Directory 使密码策略对恶意事件更具弹性，但它并没有为 Active Directory 管理员提供轻松可靠地管理密码的方法。 Active Directory ADManager Plus 工具内的报表功能，即时可视化用户密码管理状态，ManageEngine ADManager Plus 是一个解决密码管理问题的  Active Directory 管理和报告解决方案 。为了免去使用 PowerShell 等原生 AD 工具的麻烦，该工具已经有了一个密码报告模块，可以以易于理解的方式提供有关所有 Active Directory 用户和用户密码的最新信息。通过使用这些报告来跟踪密码更改，管理员可以知道密码过期。 ADManager Plus Active Directory 密码报告提供有关无法登录的用户、 密码已过期的用户 、密码即将过期、密码过期时间、无法更改密码的用户、应更改密码的用户等信息。下载此工具的免费试用版以试用 Active Directory 报告，包括密码报告。 ADManager Plus 中提供的报告示例： ① 登录失败的用户 Windows 管理员面临用户尝试使用错误或无效密码登录的问题。“最近不成功的用户”报告允许管理员查看最近尝试使用无效密码登录的所有 Active Directory 用户。 登录失败的用户 ② 用户无法更改密码 Active Directory 管理员可能希望阻止用户更改密码。“无法更改密码的用户”报告有助于获取 Active Directory 中管理员无权更改密码的所有用户帐户的记录。 ③ 密码永不过期的用户 可能有些用户的密码永不过期并且始终处于活动状态。这些报告列出了密码从未过期的所有用户。 ④ 密码过期的用户 对于 Active Directory 管理员来说，留意过期的用户密码始终很重要。ADManager Plus 报告套件中的密码过期用户报告提供有关 Active Directory 中密码过期的所有用户的详细信息。 密码更改 ⑤ 密码即将过期的用户 Active Directory...