我正在寻找一种方式发送电子邮件警报,当“域pipe理员”组的成员login。 我们正在运行Server 2012 R2,有没有什么内置于Windows Server可以做到这一点?
不,没有什么内置的。
根据您为什么要这样做,每当域pipe理员login时发送电子邮件的最简单方法可能是分配给域pipe理员组成员的组策略中的login脚本。 Powershell具有Send-MailMessage ,它可以发送带有servername / computername和login用户的电子邮件作为variables。
但请注意,域pipe理员可以轻松绕过组策略,因为域pipe理员可以编辑组策略。 所以作为一个安全function,这不是非常有用。 如果您试图追踪特权升级以进行某些更改pipe理目的,并且所有域pipe理员都已使用此function,则可能会有问题。
如果你正在寻找入侵检测,一个专门的安全程序(如高级威胁分析 )可能是一个更好的select。
内build到Windows? 不,那将是一个自定义的代码/脚本解决scheme。 事件日志需要收集,当一个已知是Domain Admins成员的帐户发生login事件时,请发送电子邮件。
这可能不是一个有效的解决scheme,因为:
域pipe理员组通过内置域pipe理员组中的成员资格获取大多数特权。 所以如果一个帐户是pipe理员的成员,那么似乎值得同等级的警报。
根据警报范围内的事件ID,可能会有很多事件。 具体来说,可能会有很多networkinglogin(types3)。
过滤出networking事件/只在交互式login时发出警报将排除由于caching的凭据/被盗的凭据散列而发生的活动。