非admin域控制器帐户
Rapid7不支持此方法
Rapid7认识到,客户可能希望创建具有有限权限的服务帐户,以便与InsightIDR一起使用。虽然本文档介绍了如何实现此服务帐户,但请注意Rapid7不支持此配置(我们的支持团队不提供设置或故障排除方面的帮助)。
还支持其他域帐户替代方案。你可以通过阅读了解他们在这个文档.
您需要一个域帐户来设置事件源,如LDAP和Active Directory。InsightIDR使用来自这些事件源的日志数据,将组织的所有事件正确地归属于相关用户,并将上下文添加到分析中。获取这些日志的最简单方法是使用域管理员帐户查询域控制器。
您使用的域帐户可能需要特定配置的管理权限。例如,在设置Active Directory事件源时。
InsightIdr利用Windows管理仪器(WMI)来查询带有管理员帐户的安全事件日志的Active Directory域控制器。它还利用分布式组件对象模型(DCOM)技术来处理对域控制器的远程呼叫。
但是,您的环境中的一些限制可能需要使用非管理员帐户查询域控制器。
要授予非管理员用户连接域控制器并使用远程读取、启动和访问权限的能力:
你也可以添加其他域控制器.
格兰特DCOM权限
要授予DCOM权限,您必须完成几个步骤,以连接域控制器并查询具有适当权限的AD安全日志:
向特定组添加域用户
此非管理员用户必须包含在特定的Windows组中,才能作为Rapid7的非管理员服务帐户而不是域管理员。
要将标准域用户添加到这些组,请执行以下操作:
- 创建用户后,将用户添加到以下内置组:
- 分布式COM用户
- 事件日志读取器
- 服务器操作员组
授予远程启动和激活权限
现在,您必须为用户提供正确的远程启动权限。
授予远程启动权限:
- 从Windows开始菜单中,单击开始>运行打开命令终端并输入如下命令:
DCOMCNFG
. - 点击好啊按钮此时会出现“组件服务”窗口。
- 扩大组件服务>计算机路径,右键单击我的电脑>属性。
- 在“我的计算机属性”窗口中,单击COM安全标签。
- 在“启动和激活权限”下,单击编辑限制按钮。
- 在“启动权限”框中,确保您的姓名或组出现在列表中。如果未出现在列表中:
- 点击添加按钮。
- 在“选择用户,计算机或组”框中,在“输入要选择”框中的“输入对象名称”框中添加您的姓名和组。
- 点击好啊按钮。
- 在“用户权限”下的“允许”列中,检查远程推出和远程激活框来启用这些权限。
- 点击好啊按钮以授予用户远程启动和激活权限。
用户现在拥有远程启动和激活权限。
授予远程访问权限
现在,用户帐户需要远程访问权限,以便充当服务帐户。授予远程访问权限:
- 从早期步骤中访问的“组件服务”窗口返回“我的计算机>属性”窗口。
- 在“我的计算机属性”对话框中,单击COM安全标签。
- 在“访问权限”下,单击编辑限制按钮。
- 在“启动权限”框中,确保您的姓名或组出现在列表中。如果未出现在列表中:
- 点击添加按钮。
- 在“选择用户,计算机或组”框中,在“输入要选择”框中的“输入对象名称”框中添加您的姓名和组。
- 点击好啊按钮
- 在“用户权限”下的“允许”列中,检查远程访问框,然后单击好啊按钮。
用户现在具有远程访问权限。
授予WMI权限
现在域用户拥有了权限,您必须给用户帐户权限,以便在Windows Management Instrumentation (WMI)控制台中使用Active Directory查询。
要向用户授予使用AD查询的权限,请执行以下操作:
- 从Windows开始菜单中,单击开始>运行打开命令终端并输入如下命令:
wmimgmt.msc.
. 此时会出现“计算机管理”窗口。 - 右键单击WMI控制选项,并从下拉菜单中选择**Properties选项。
- 在“WMI控件属性”窗口中,选择安全标签,然后展开根树。
- 选择CIMV2选项然后单击安全按钮。
- 添加您为使用AD查询而创建的域用户。
- 检查了启用帐户和远程启用用户帐号的权限。
- 点击先进的按钮。选择域用户并确保“Apply to”设置为“此命名空间和子命名空间”。
- 选择好啊按钮以保存更改。
- 要重新启动WMI服务,请单击开始,然后搜索“服务”。
- 找到并右键单击“Windows Management Instrumentation”服务。
- 选择重新启动选项。
非管理员域用户现在具有DC管理权限。
添加其他域控制器
如果要为AD安全日志添加额外的域控制器,必须在每个目标系统上启用WMI权限。为此,重复以下步骤格兰特DCOM权限,格兰特WMI权限,然后重新启动WMI服务。