本发明专利技术公开了一种监控域控管理员的方法、装置、计算机设备及存储介质,该方法包括:获取目标域中的所有域控制器的IP地址信息,以及获取所述目标域中的所有域控管理员的账号信息;根据所述IP地址信息,分别从各个域控制器中获取日志信息,并根据所述账号信息,从每个日志信息中确定出管理员登录信息;针对一个管理员登录信息,判断所述管理员登录信息中的源地址信息是否为预设堡垒机的地址信息,若否,则向预设终端发送包含所述管理员登录信息的报警消息。本发明专利技术可以通过监控域控管理员登录域控制器的行为来保护存储于域控制器上的活动目录。
The Method, Device, Computer Equipment and Storage Medium of Monitoring Domain Control Administrator
【技术实现步骤摘要】
监控域控管理员的方法、装置、计算机设备及存储介质
本专利技术涉及网络安全
,特别涉及一种监控域控管理员的方法、装置、计算机设备及存储介质。
技术介绍
为了对企业内部计算机、用户等资源进行统一管理,微软提出了活动目录(ActiveDirectory,简称AD)的解决方案,不同于传统的工作组模式,活动目录最大的优点是可以集中管理,包括统一身份认证、权限控制等。由于在活动目录中存储有企业内部的全部计算机信息和用户信息,所以为了保护活动目录,只有域控管理员有权限访问位于域控制器中的活动目录。但是,攻击者会伪装成域控管理员来登录域控制器以访问活动目录,如何有效的保护活动目录成为亟需解决的技术问题。
技术实现思路
本专利技术的目的在于提供一种监控域控管理员的方法、装置、计算机设备及存储介质,可以通过监控域控管理员登录域控制器的行为来保护存储于域控制器上的活动目录。根据本专利技术的一个方面,提供了一种监控域控管理员的方法,该方法包括如下步骤:获取目标域中的所有域控制器的IP地址信息,以及获取所述目标域中的所有域控管理员的账号信息;根据所述IP地址信息,分别从各个域控制器中获取日志信息,并根据所述账号信息,从每个日志信息中确定出管理员登录信息;针对一个管理员登录信息,判断所述管理员登录信息中的源地址信息是否为预设堡垒机的地址信息,若否,则向预设终端发送包含所述管理员登录信息的报警消息。可选的,所述获取目标域中的所有域控制器的IP地址信息,具体包括:从所述目标域中的任一域控制器的活动目录中获取所述目标域中的所有域控制器的IP地址信息。可选的,所述获取所述目标域中的所有域控管理员的账号信息,具体包括:从所述目标域中的任一域控制器的活动目录中查找包含指定安全标识符SID的管理员账号。可选的,所述方法还包括:根据一个域控制器的日志信息,统计设定时间段内的各个域控管理员的登录次数;若某一域控管理员的登录次数达到预设阈值,则向所述预设终端发送包含所述域控管理员的账号信息的报警消息。可选的,所述方法还包括:分别向各个域控制器发起模拟登录事件;其中,所述模拟登录事件是不经过所述预设堡垒机直接登录域控制器的事件;根据各个域控制器的日志信息,判断是否可以监测到所述模拟登录事件,若否,则向所述预设终端发送包含监测不到的域控制器的IP地址信息的报警信息。为了实现上述目的,本专利技术还提供一监控域控管理员的装置,该装置具体包括以下组成部分:获取模块,用于获取目标域中的所有域控制器的IP地址信息,以及获取所述目标域中的所有域控管理员的账号信息;确定模块,用于根据所述IP地址信息,分别从各个域控制器中获取日志信息,并根据所述账号信息,从每个日志信息中确定出管理员登录信息;处理模块,用于针对一个管理员登录信息,判断所述管理员登录信息中的源地址信息是否为预设堡垒机的地址信息,若否,则向预设终端发送包含所述管理员登录信息的报警消息。可选的,所述装置还包括:统计模块,用于根据一个域控制器的日志信息,统计设定时间段内的各个域控管理员的登录次数;若某一域控管理员的登录次数达到预设阈值,则向所述预设终端发送包含所述域控管理员的账号信息的报警消息。可选的,所述装置还包括:测试模块,用于分别向各个域控制器发起模拟登录事件;其中,所述模拟登录事件是不经过所述预设堡垒机直接登录域控制器的事件;根据各个域控制器的日志信息,判断是否可以监测到所述模拟登录事件,若否,则向所述预设终端发送包含监测不到的域控制器的IP地址信息的报警信息。为了实现上述目的,本专利技术还提供一种计算机设备,该计算机设备具体包括:存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述介绍的监控域控管理员的方法的步骤。为了实现上述目的,本专利技术还提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述介绍的监控域控管理员的方法的步骤。本专利技术提供的监控域控管理员的方法、装置、计算机设备及存储介质,能够通过监控域控管理员登录域控制器的行为来保护存储于域控制器上的活动目录,当发现访问活动目录的源地址不是预设堡垒机的地址时,获取源地址信息并进行报警操作,从而达到保护活动目录的效果。此外,在本实施例中,还可以监控各个域控管理员的登录域控制器的登录次数,对于登录过于频繁的域控管理员需要进行人工核查,以避免潜在危险。附图说明通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本专利技术的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:图1为实施例一提供的监控域控管理员的方法的一种可选的流程示意图;图2为实施例一中的企业域林的示意图;图3为实施例二提供的监控域控管理员的装置的一种可选的程序模块示意图;图4为实施例三提供的计算机设备的一种可选的硬件架构示意图。具体实施方式为了使本专利技术的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本专利技术进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本专利技术,并不用于限定本专利技术。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。下面结合附图对本专利技术提供的监控域控管理员的方法进行说明。图1为本专利技术监控域控管理员的方法的一种可选的流程示意图,该方法具体包括以下步骤:步骤S101:获取目标域中的所有域控制器的IP(InternetProtocol,互联网协议)地址信息,以及获取所述目标域中的所有域控管理员的账号信息。在本实施例中,如图2所示,目标域可以为一个企业的域林,该企业的总公司作为该域林中的根域(如图中的xxsec.com),该企业的各个子公司作为该域林中的各个子域(如图中的shenzhen.xxsec.com、dongguan.xxsec.com、changchun.xxsec.com)。分别为根域以及各个子域设置对应的一个或多个域控制器。域控制器用于对每一台联入网络的电脑和用户进行验证操作,且在每个域控制器上存储有活动目录。在活动目录中存储了有关网络对象(例如:用户、组、域、安全策略)的信息,且在每个域控制器上的活动目录中的信息均相同。由于在活动目录中存储有企业内部的全部计算机信息和用户信息,所以为了保护域控制器以及活动目录的安全,只有被授予权限的域控管理员可以登录域控制器并访问位于域控制器中的活动目录。具体的,所述获取目标域中的所有域控制器的IP地址信息,具体包括:从所述目标域中的任一域控制器的活动目录中获取所述目标域中的所有域控制器的IP地址信息。由于在每个域控制器上的活动目录中的信息均相同,所以可以从目标域中的任一域控制器的活动目录中获取目标域中的所有域控制器的IP地址信息。进一步的,所述获取所述目标域中的所有域控管理员的账号信息,具体包括:从所述目标域中的任一域控制器的活动目录中查找包含指定安全标识符SID的管理员账号。优选的,利用S-1-5-32-544这个SID(SecurityIdentifier,安全标识符)特征去遍历活动目录以获取所述目标域中的所有域控管理员的账号信息,所有SID中包含S-1-5-本文档来自技高网...
【技术保护点】
1.一种监控域控管理员的方法,其特征在于,所述方法包括:获取目标域中的所有域控制器的IP地址信息,以及获取所述目标域中的所有域控管理员的账号信息;根据所述IP地址信息,分别从各个域控制器中获取日志信息,并根据所述账号信息,从每个日志信息中确定出管理员登录信息;针对一个管理员登录信息,判断所述管理员登录信息中的源地址信息是否为预设堡垒机的地址信息,若否,则向预设终端发送包含所述管理员登录信息的报警消息。
【技术特征摘要】
1.一种监控域控管理员的方法,其特征在于,所述方法包括:获取目标域中的所有域控制器的IP地址信息,以及获取所述目标域中的所有域控管理员的账号信息;根据所述IP地址信息,分别从各个域控制器中获取日志信息,并根据所述账号信息,从每个日志信息中确定出管理员登录信息;针对一个管理员登录信息,判断所述管理员登录信息中的源地址信息是否为预设堡垒机的地址信息,若否,则向预设终端发送包含所述管理员登录信息的报警消息。2.根据权利要求1所述的监控域控管理员的方法,其特征在于,所述获取目标域中的所有域控制器的IP地址信息,具体包括:从所述目标域中的任一域控制器的活动目录中获取所述目标域中的所有域控制器的IP地址信息。3.根据权利要求1所述的监控域控管理员的方法,其特征在于,所述获取所述目标域中的所有域控管理员的账号信息,具体包括:从所述目标域中的任一域控制器的活动目录中查找包含指定安全标识符SID的管理员账号。4.根据权利要求1所述的监控域控管理员的方法,其特征在于,所述方法还包括:根据一个域控制器的日志信息,统计设定时间段内的各个域控管理员的登录次数;若某一域控管理员的登录次数达到预设阈值,则向所述预设终端发送包含所述域控管理员的账号信息的报警消息。5.根据权利要求1所述的监控域控管理员的方法,其特征在于,所述方法还包括:分别向各个域控制器发起模拟登录事件;其中,所述模拟登录事件是不经过所述预设堡垒机直接登录域控制器的事件;根据各个域控制器的日志信息,判断是否可以监测到所述模拟登录事件,若否,则向所述预设终端发送包含监测不到的域控制器的IP地址信息的报警信息...
【专利技术属性】
技术研发人员:聂君,
申请(专利权)人:北京奇安信科技有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。