[发明专利]监控域控管理员的方法、装置、计算机设备及存储介质

说明书

本发明公开了一种监控域控管理员的方法、装置、计算机设备及存储介质，该方法包括：获取目标域中的所有域控制器的IP地址信息，以及获取所述目标域中的所有域控管理员的账号信息；根据所述IP地址信息，分别从各个域控制器中获取日志信息，并根据所述账号信息，从每个日志信息中确定出管理员登录信息；针对一个管理员登录信息，判断所述管理员登录信息中的源地址信息是否为预设堡垒机的地址信息，若否，则向预设终端发送包含所述管理员登录信息的报警消息。本发明可以通过监控域控管理员登录域控制器的行为来保护存储于域控制器上的活动目录。

技术领域

本发明涉及网络安全技术领域，特别涉及一种监控域控管理员的方法、装置、计算机设备及存储介质。

背景技术

为了对企业内部计算机、用户等资源进行统一管理，微软提出了活动目录（ActiveDirectory，简称AD）的解决方案，不同于传统的工作组模式，活动目录最大的优点是可以集中管理，包括统一身份认证、权限控制等。由于在活动目录中存储有企业内部的全部计算机信息和用户信息，所以为了保护活动目录，只有域控管理员有权限访问位于域控制器中的活动目录。但是，攻击者会伪装成域控管理员来登录域控制器以访问活动目录，如何有效的保护活动目录成为亟需解决的技术问题。

发明内容

本发明的目的在于提供一种监控域控管理员的方法、装置、计算机设备及存储介质，可以通过监控域控管理员登录域控制器的行为来保护存储于域控制器上的活动目录。

根据本发明的一个方面，提供了一种监控域控管理员的方法，该方法包括如下步骤：

获取目标域中的所有域控制器的IP地址信息，以及获取所述目标域中的所有域控管理员的账号信息；

根据所述IP地址信息，分别从各个域控制器中获取日志信息，并根据所述账号信息，从每个日志信息中确定出管理员登录信息；

针对一个管理员登录信息，判断所述管理员登录信息中的源地址信息是否为预设堡垒机的地址信息，若否，则向预设终端发送包含所述管理员登录信息的报警消息。

可选的，所述获取目标域中的所有域控制器的IP地址信息，具体包括：

从所述目标域中的任一域控制器的活动目录中获取所述目标域中的所有域控制器的IP地址信息。

可选的，所述获取所述目标域中的所有域控管理员的账号信息，具体包括：

从所述目标域中的任一域控制器的活动目录中查找包含指定安全标识符SID的管理员账号。

可选的，所述方法还包括：

根据一个域控制器的日志信息，统计设定时间段内的各个域控管理员的登录次数；若某一域控管理员的登录次数达到预设阈值，则向所述预设终端发送包含所述域控管理员的账号信息的报警消息。

可选的，所述方法还包括：

分别向各个域控制器发起模拟登录事件；其中，所述模拟登录事件是不经过所述预设堡垒机直接登录域控制器的事件；

根据各个域控制器的日志信息，判断是否可以监测到所述模拟登录事件，若否，则向所述预设终端发送包含监测不到的域控制器的IP地址信息的报警信息。

为了实现上述目的，本发明还提供一监控域控管理员的装置，该装置具体包括以下组成部分：

获取模块，用于获取目标域中的所有域控制器的IP地址信息，以及获取所述目标域中的所有域控管理员的账号信息；

确定模块，用于根据所述IP地址信息，分别从各个域控制器中获取日志信息，并根据所述账号信息，从每个日志信息中确定出管理员登录信息；