有人告诉我,在域控制器上启用审核会给系统带来过多的额外负载,因此不适合在生产环境中启用它。我对 Windows 服务器管理一无所知,因此我无法轻松地自行设置服务器并进行负载测试,以比较启用审核的系统与未启用审核的系统之间的 CPU、内存和磁盘使用情况,但我想知道这是否属实,即它是否会给生产服务器带来不合理的额外负载。那么,是否有地方提到它可能会增加多少负载,或者是否有人知道它会在繁忙的服务器上增加多少额外(%)负载?
另外,记录登录失败的来源难道不是一种好的做法吗?是否有安全标准建议启用此功能?
抱歉,那一共是三个问题。
例如,AD DS 的创建者 Microsoft。
他们的 AD DS 操作指南有一整套保护它的类别,而登录名是寻找妥协迹象的关键。成功和失败。
此外,根据微软的说法,基线建议审计设置比登录要复杂得多。不需要审计每个对象,但有些事情很有趣。
例如,在目录控制器上进行可能的审计过程跟踪是一个好主意,因为没有人被授权在这种安全关键主机上运行额外的程序。
需要测试环境才能进行功能测试。从头开始构建、配置、备份恢复测试。获取帮助以设置您自己的 AD DS 游乐场。
测试环境不太可能承受与生产环境类似的负载和性能。相反,您可以发现哪些是有用的审计信息,哪些是噪音。以及如何打破常规。
在生产中,进行容量规划并在多台主机之间进行负载平衡。当针对快速响应时间和未来增长进行调整时,审计选定的高价值事件不太可能成为巨大的负担。毕竟,这不是一个很大的数据库。