Windows

Auditoria de alterações em Grupos no Active Directory

442 views
Nenhum comentário
0
(0)

Neste post, daremos uma dica de como verificar alterações feitas em grupos no Active Directory e organizar seu ambiente.
Muitas vezes acontece, de verificarmos no AD, usuários inseridos em grupos em que não era para estarem ou removidos de grupos que era para estarem.
Imagina um usuário da Secretária, estar na grupo da Diretoria e ter acesso a muita coisa, que não era nem para saber que existi!? Ou pior, um usuário comum ser membro de grupos como administradores do domínio e administradores de empresa, comprometendo assim todo seu AD. Isso é uma falha grave de segurança. Mas para piorar, ainda tem muita gente que nem sabe como verificar os logs, quando acontece isso, piorando a situação. E é para melhorar essa situação em que daremos uma dica, para ter seu ambiente mais organizado.


A primeira coisa em que iremos fazer, é habilitar o serviço Acesso ao Serviço de Diretório, caso esteja desativado. Pra habilitá-lo:
1. Abra o CMD com as no modo administrador. Com ele aberto, insira o comando: auditpol /set /subcategory:”Acesso ao Serviço de Diretório” /success:enable .Caso seu Windows Server esteja em inglês, digite: auditpol /set /subcategory:”Directory Service Changes” /success:enable . Aparecerá a mensagem: “Comando executado com êxito.”

1
2. Agora iremos abrir o AD em que iremos adicionar um usuário no grupo da TI. No nosso exemplo abaixo, estamos fazendo isso com o user: usuário de teste.
11 - AdicionandoAoGrupoTI
Depois que inserimos no Grupo, clicamos em Aplicar e Ok.
3. Com o usuário inserido no Grupo da TI, agora iremos verificar qual usuário que inseriu o usuário de teste no Grupo da TI. Para isso, iremos abrir o Visualizador de Eventos.
11
4. Com o Visualizador de Eventos aberto, clique em Segurança com o botão direito e selecione filtrar Log Atual.
12
5. Será aberto uma nova interface em que iremos pesquisar pelo identificador de eventos 4728. É nesse ID(4728) no qual está as informações sobre os logs de usuários inseridos em grupos globais.
Digite na linha “Inclui/Exclui Identificações…” o número 4728. Depois clique em Aplicar e Ok.
13 - ProcurandoID
6. Após isso será retornado os Logs referentes ao ID 4728 em que são de usuários inseridos em Grupos globais no Active Directory.
14 - AchandoID
7. Iremos verificar o primeiro log dos retornados. Daremos um clique duplo em 14 - AchandoID - Cópia e será aberto uma janela com informações.
15 - PropriedadesID
Na janela em que foi aberta, conforme figura acima, aparece as informações de qual usuário inseriu o usuário de teste no Grupo da TI, hora, dia, etc.
Descendo mais a barra de rolagem, temos a informação do usuário que sofreu a ação(nosso exemplo, usuário de teste) e em qual grupo foi inserido(nosso exemplo, Grupo da TI).
15 - PropriedadesID3
Pronto. Já sabemos qual usuário inseriu determinado user em grupos no AD. Se quiséssemos saber quando um usuário foi removido do grupo, iremos fazer o mesmo procedimento de pesquisa de ID, mas ao invés de colocar na linha “Inclui/Exclui Identificações…” 4728, iríamos inserir o ID 4729.
Para organizar mais nosso ambiente, iremos criar um modelo personalizado em que iremos gravar nele todos o IDs referentes aos atos de inseri e remover usuários de grupos globais. Isso deixa mais organizado nosso ambiente, uma vez que, teremos centralizado em um só filtro estas ações.
9. Clique com o botão direito do mouse em Modos de Exibição Personalizado e depois selecione Criar Modo de Exibição Personalizado.
CriandoModeloPersonalizado1
10. Será aberto uma janela em que iremos deixar as mesmas configurações abaixo.:
CriandoModeloPersonalizado2
Note que na descrição “Inclui/Exclui Identificações…” estamos inserido os IDs referente ao que queremos que ele grave. Após isso clique em OK e será aberto uma janela para darmos nome e a descrição para o filtro.
CriandoModeloPersonalizado3
11. Dado o nome e descrição do filtro, clique em OK. Após isso será feito uma seção personalizada, centralizando esses Logs e ficando mais fácil o gerenciamento.
CriandoModeloPersonalizado4
Pronto. Agora sabemos como verificar logs em grupos, com as ações de inserir e excluir usuários. Aprendemos também, como habilitar o AuditPol e quão importante é este recurso no nosso Active Directory.
Algumas observações, caso não funcione:
– Verifique se o serviço Acesso ao Serviço de Diretório está realmente ativo, caso não apareça os logs. Podemos verificar através do gpedit.msc.
Digite no campo de pesquisa do Windows gpedit.msc. Será aberto uma interface e vá em Configurações do Computador / Configurações do Windows / Configurações de Segurança / Políticas Locais / Políticas de Auditoria. Veja se a Auditoria de Acesso a Serviço Diretório está ativo em êxito e falha.
– Caso esteja tudo correto em relação ao serviço, verifique se não existe outra diretiva no seu domínio em que está bloqueando este serviço.

O que você achou disso?

Média da classificação 0 / 5. Número de votos: 0

Nenhum voto até agora! Seja o primeiro a avaliar este post.

Como você achou esse post útil...

Ajude o site a crescer compartilhando o conteúdo

Lamentamos que este post não tenha sido útil para você!

Vamos melhorar este post!

Diga-nos, como podemos melhorar este post?

Tags: Auditar AD, Auditar Grupos, Auditoria AD, Auditoria de alterações em Grupos no Active Directory, Auditoria em Grupos, Diego Gouveia, Eventos AD, Eventos Grupos, Verificar alterações Active Directory, Verificar alterações AD

Artigos Relacionados

Gostou do conteúdo? Deixe seu comentário

Veja também

Secured By miniOrange