当前您所在的位置:首页>网络安全 漏洞扫描>网络安全

Greyware Membership Monitor

Greyware Membership Monitor

 

监控Windows会员组的添加或删除——最后,知道何人在何时改变了什么!

当组成员更改时发送电子邮件、控制台或其他警报!

非常适用于向各部门发送用户帐户更改的自动通知!

适合多个管理员的网络!

将详细日志与Windows事件日志分开,以增加审计安全性!

 

概述

当您选择监视的组中有任何更改时,Greyware 的Membership Monitor (GWMM)通过生成电子邮件、日志和声音警报,为您的Windows用户组增加了宝贵的二级保护。

一旦LAN超出了一个管理员可以处理所有更改的大小——特别是在多个站点上的多个系统管理员和客户经理——这样很容易忘记哪个用户是哪个组的成员。不必要的或未经授权的更改可能几天或几个月都会未被发现,这造成损害。如果您的网络有任何允许用户自我宣传的安全漏洞,您可能永远不会知道发生了什么事情...用户可以加入特权组,访问受限制的数据,然后取消加入组,而不会留下任何记录。

Greyware的Membership Monitor阻止了这些意外。通过几个简单的点击,您可以为企业中的任何一个或所有用户组建立一个监视器。Membership Monitor在后台观看更改。当受监控的组添加或删除成员时,程序发送电子邮件警报。

此外,Membership Monitor可以保留详细的日志文件,显示对被监控组的所有更改。  

要求

在Windows XP、2003/2003 R2、Vista、2008/2008 R2、Win7、Win8、Win8.1、Win2012 / Win2012 R2、Win10、Win2016上运行。提供32位和64位系统版本。

文档

Membership Monito由其控制面板小程序控制。要启动小程序,请在Windows控制面板中找到Membership Monitor图标,然后单击。

小程序允许您设置适合您机器的选项。您所做的任何更改将不会生效,直到您单击“应用”按钮或关闭小程序。进行更改后,您不需要重新启动或停止,更改之后重新启动服务。

Membership Monitor 控制面板小程序

组列表

启动小程序时,程序将尝试显示从正在运行的Membership Monitor的计算机上可见的所有用户组。如果计算机是域成员,则与该域相关联的组将列在名称为该域的选项卡下。如果计算机可以发现并对其他域(如子域)有权限,则其他域将被列在自己的选项卡上。如果该计算机是独立机器,它的组将被列在一个名为本地机器的选项卡下。

注意:

默认情况下,只有通过Active Directory发现的域将自动显示在自己的选项卡中。如果您有其他具有信任关系的域,可以从托管Membership Monitor的域中查询组帐户,然后可以通过在注册表编辑以下密钥手动添加它们:

HKLM\SOFTWARE\Greyware\Membership Monitor\Parameters\Additional Sources

输入要列举的每个附加域的平面名称(NetBIOS名称),每行一个名称,即

OTHER_DOMAIN
ANOTHER_DOMAIN
等...

重新启动Membership Monitor服务以应用更改。

列出的组基于Windows自己的内域组发现方法显示。如果您的组未列出,您将需要验证计算机的域成员资格、Active Directory访问等是否正常工作。您还需要为每个域提供安全凭证(见下文)。

安全凭证

Membership Monitor需要足够的权限才能从其监控的每个域中的域控制器读取安全日志。由于程序作为后台服务运行,因此您需要为要监视的每个域提供一个域管理员权限的帐户。您可以通过单击每个域标签页左下角的[DOMAIN]链接的安全凭证来执行此操作。这会打开凭证对话框。

凭证对话框

重要提示:

您必须为您监控的每个域提供有效的凭据帐户。如果没有此访问权限,Membership Monitor将无法检测到组更改。

监控组

只需单击组的复选框就可更改监控组。Membership Monitor将开始跟踪组内的成员。

请记住,组更改不一定立即显示。更改变为可见的实际时间取决于哪些域控制器涉及您的域的更改和反响计划。如果您需要最快的通知,您应该在PDC-Emulator上运行Membership Monitor。

有关更改巡检速度和优化通知速率方法的详细信息,请参阅“高级设置”页面的“计时”部分。

Membership Monitor与Windows Auditing一起报告负责更改的帐户的用户名。Membership Monitor将自动启用正确的本地策略以允许您这样做(安全设置|本地策略|审核策略|审核帐户管理|成功)。但是,如果组策略覆盖此设置,则需要对其进行编辑,以确保成功审核保持启用状态。

设置警报操作

当Membership Monito检测到受监视组的更改时,将采取您指定的操作来提醒您或记录事件。您可以选择使用默认操作或为任何组定义自定义操作。任何组的所选操作类型将显示在“警报操作”列中。

默认操作

从Applet菜单中的选项 - >警报选项设置默认操作。

默认警报措施对话框

 

邮件通知

如果您想要更改电子邮件通知,您需要点击电子邮件设置...按钮来定义默认的电子邮件服务器和收件人。您还可以使用设置对话框发送测试邮件和高级电子邮件故障排除。如果您计划使用电子邮件通知,您必须具有默认的电子邮件用户和电子邮件服务器。

自定义警报操作

定义受监视的组自定义警报操作,请右键单击所需的组名称,然后从上下文菜单中选择设置自定义警报操作...。

自定义警报操作对话框
 

此处所做的更改将覆盖默认警报操作设置(默认设置以浅灰色显示)。如果要确保即使“默认操作”更改也会发生操作,请更改设置,以使复选框变为纯黑色。为确保不会发生操作,请确保该复选框已完全清除。

声音警报选项
当监视的组更改时,您可能想要发出声音警报。要启用此选项,请从小程序菜单中选择选项 - >声音警报选择...。

声音警报对话框

注意:必须装载系统托盘小程序才能听到声音提示。请参阅高级设置页面的系统托盘图标部分以启用/禁用托盘。

登录选项

Membership Monitor能够将数据写入多种类型的日志中:

•服务文本日志

•系统日志

•Windows事件日志(在“警报操作”对话框中设置(参见上文)

通过从“选项”菜单中选择其对话框屏幕,为每种类型的日志设置选项。

高级设置

从小程序菜单中选择选项 - >高级设置...设置以下选项:

高级设置对话框

计时

Membership Monitor获取有关组更改的信息以及是谁通过轮询域控制器进行了更改的信息。主要轮询功能发生在这里设置的时间表上。

您需要设置一个及时提醒您的计划,但不会导致过多的网络活动。在大多数网络中,即使是高巡检速度,也不会引起关注,但是如果您的系统功能不足,或者拥有一个有数百或数千个成员的群组的非常大的网络,您将需要调整此设置。

 

北京哲想软件有限公司