Active Directory에 대한 LDAP 쿼리를 감사하도록 그룹 정책을 구성하는 방법을 알아보시겠습니까? 이 자습서에서는 GPO를 사용하여 도메인 컨트롤러에서 LDAP 쿼리의 모니터링을 구성하는 방법을 보여 줍니다.

• Windows 2012 R2
• Windows 2016
• Windows 2019
• 윈도우 2022
• Windows 10
• 윈도우 11

장비 목록

여기에서 이 자습서를 만드는 데 사용되는 장비 목록을 찾을 수 있습니다.

이 링크에는 이 자습서를 만드는 데 사용되는 소프트웨어 목록도 표시됩니다.

윈도우 관련 튜토리얼 :

이 페이지에서는 Windows와 관련된 자습서 목록에 빠르게 액세스할 수 있습니다.

튜토리얼 GPO - 액티브 디렉토리에서 LDAP 쿼리 모니터링

도메인 컨트롤러에서 그룹 정책 관리 도구를 엽니다.

Windows - Group Policy management

새 그룹 정책을 만듭니다.

Windows 2012 - Group Policy Objects

새 그룹 정책의 이름을 입력합니다.

Windows - Add GPO

우리의 예에서, 새로운 GPO라는 이름이 지정되었습니다: MY-GPO.

그룹 정책 관리 화면에서 그룹 정책 개체라는 폴더를 확장합니다.

새 그룹 정책 개체를 마우스 오른쪽 단추로 클릭하고 편집 옵션을 선택합니다.

Windows - Edit GPO

그룹 정책 편집기 화면에서 컴퓨터 구성 폴더를 확장하고 다음 항목을 찾습니다.

Copy to Clipboard

레지스트리 옵션을 마우스 오른쪽 단추로 클릭하고 레지스트리 항목을 만듭니다.

GPO - Add registry item

레지스트리 화면에서 다음 구성을 수행합니다.

Copy to Clipboard

확인 버튼을 클릭합니다.

GPO - Monitor LDAP on Active Directory

두 번째 필수 레지스트리 항목을 만듭니다.

Copy to Clipboard

확인 버튼을 클릭합니다.

GPO - Expensive Search Results Threshold

세 번째 레지스트리 항목을 만듭니다.

Copy to Clipboard

확인 버튼을 클릭합니다.

GPO - Inefficient Search Results Threshold

앞으로 레지스트리 항목을 만듭니다.

Copy to Clipboard

확인 버튼을 클릭합니다.

GPO - Search Time Threshold

다음은 구성 요약입니다.

GPO - Audit LDAP events

그룹 정책 구성을 저장하려면 그룹 정책 편집기를 닫아야 합니다.

축! GPO 생성을 완료했습니다.

튜토리얼 GPO - 액티브 디렉토리에서 LDAP 쿼리 모니터링

그룹 정책 관리 화면에서 GPO를 도메인 컨트롤러 조직 구성 단위에 연결합니다.

GPO - Link to domain controllers

이 예제에서는 MY-GPO라는 그룹 정책을 도메인 컨트롤러에 연결했습니다.

GPO- tutorial linking

GPO를 적용 한 후 10 또는 20 분 동안 기다려야합니다.

이 기간 동안 GPO는 다른 도메인 컨트롤러로 복제됩니다.

도메인 컨트롤러에서 관리자 권한 Powershell 명령줄을 시작합니다.

Windows 10 - powershell elevated

LDAP 쿼리와 관련된 이벤트를 나열합니다.

Copy to Clipboard

다음은 명령 출력입니다.

Copy to Clipboard

LDAP 이벤트에서 세부 정보를 가져옵니다.

Copy to Clipboard

다음은 명령 출력입니다.

Copy to Clipboard

특정 LDAP 이벤트를 검색합니다.

Copy to Clipboard

이 예제에서는 GPO를 사용하여 LDAP 이벤트에 대한 감사를 사용하도록 설정했습니다.