Auditoria de alterações em Grupos do Active Directory

Neste post, darei uma dica de como verificar alterações feitas em grupos do Active Directory e organizar o seu ambiente.

Muitas vezes, acontece de verificarmos no AD usuários inseridos em grupos em que não era para estarem ou removidos de grupos que era para estarem e isso gera uma dor de cabeça grande, pois com o passar do tempo acabamos se perdendo sem saber quem removeu ou adicionou eles. Veja um exemplo abaixo:

Imagina um usuário da secretária na grupo da Diretoria e ter acesso a informações em que não era nem para saber que existi!? Ou pior, um usuário comum, ser membro de grupos como administradores do domínio e administradores de empresa, comprometendo assim todo seu AD. Isso é uma falha grave de segurança. É para melhorar essa situação em que darei uma dica abaixo, para ter seu ambiente mais organizado, em que você vai aprender como verificar através de logs os usuários inseridos e removidos em grupos do AD que você vai aprender a auditar. 

Solução


A primeira coisa em que é deve ser feita é habilitar o serviço Acesso ao Serviço de Diretório, caso esteja desativado. Pra habilitá-lo, faça:

1. Execute o CMD com um usuário que tenha privilégios administrativos. Insira o comando: auditpol /set /subcategory:”Acesso ao Serviço de Diretório” /success:enable, conforme a figura abaixo, e dê um Enter no teclado. Aparecerá uma mensagem no console confirmando que foi executado com êxito o comando, ainda ilustrado na figura abaixo. 

1

2. Agora, abra o console do AD e adicione um usuário no grupo em que deseja auditar. 

3. Com o usuário inserido no Grupo no AD, acesse o console do Visualizador de Eventos, conforme o exemplo abaixo. 

11

4. No console, clique com o botão direito do mouse em Segurança, conforme o exemplo da figura abaixo, e no menu de opções, escolha Filtrar Log Atual. Será aberto uma nova interface. 

12

5.  Na janela, será usado o identificador de eventos 4728, para saber quais foram os usuários inseridos em grupos globais e quem adicionou estes usuários. É neste ID em que tem as informações de usuários adicionados em grupos do AD. No campo “Inclui/Exclui Identificações…”, digite o número 4728, conforme figura abaixo. Clique em Aplicar e OK.

13 - ProcurandoID

 6. Será retornado os Logs referentes ao ID 4728, conforme ilustrado na figura abaixo.

 

14 - AchandoID

7. Dê um duplo no primeiro log dos retornados e será aberto uma janela com informações refentes ao ID 4728, anteriormente explicado. Nele, terá as informações sobre usuários inseridos em grupos globais do AD, conforme detalhados nas figuras mais abaixo:

15 - PropriedadesID

Na janela em que foi aberta, aparecerá diversas informações referente ao ID 4728, como por exemplo:

– Nome da conta em que inseriu uma conta em grupos Globais do AD, com hora e dia.
– Nome da conta que sofreu a ação (no exemplo da figura abaixo, “usuário de teste”) e em que foi inserido no grupo da TI.

15 - PropriedadesID

15 - PropriedadesID3

Pronto. Já sabemos qual usuário inseriu determinado usuários em grupos no AD. Agora, para saber quando um usuário foi removido de um grupo, iremos fazer o mesmo procedimento de pesquisa de ID, mas, ao invés de colocar na linha “Inclui/Exclui Identificações…” 4728, anteriormente feito, será usado o ID 4729. 

Agora, para organizar mais o ambiente, iremos criar um modelo personalizado em que iremos gravar nele todos o IDs referentes aos atos de inserir e remover usuários de grupos globais. Isso deixará mais organizado o ambiente, uma vez que, teremos centralizado em um só filtro essas ações.

9. Clique com o botão direito do mouse em Modos de Exibição Personalizado, no console de Visualizador de Eventos, e depois selecione “Criar Modo de Exibição Personalizado”, exibido na figura abaixo. 

CriandoModeloPersonalizado1

10. Será aberto uma janela, em que nela será deixado as configurações abaixo.:

CriandoModeloPersonalizado2

Obs: Note que na descrição “Inclui/Exclui Identificações…”, demonstrada na figura acima, está inserido os IDs referentes ao que queremos que ele grave (inclusão e remoção de usuários de grupos do AD).

Clique em OK. Na próxima janela, dê o nome e descrição ao filtro conforme as configurações abaixo:

CriandoModeloPersonalizado3

11. Clique em OK. Após isso, será feito uma seção personalizada, no console do Visualizador de Eventos, centralizando os logs de inclusão e remoção de grupos globais, ficando mais fácil o gerenciamento. 

CriandoModeloPersonalizado4

 

Pronto.
________________________________________________________________________

AH, QUASE ESQUEÇO.

Saiu o meu primeiro livro: Tudo sobre GPOs no Windows Server: 2008, 2012 e 2016 em parceria com o  Júlio Battisti. Nele, você aprenderá desde a teoria sobre GPOs até administrar as políticas de grupo vinha linha de comando, usando o Windows PowerShell. São quase 700 páginas só sobre GPOs – incluindo boas práticas, resolução de problemas e cerca de 40 bônus para quem comprar o livro.
  • Segue o link da pré-venda do livro e os 40 bônus:
 
61cbf5cc-f059-4468-9772-0823e5068693

Autor

10492172_880959151956485_6663622487942318291_nNascido e residente de Fortaleza – CE, Diego Lima é graduado em Análise de Sistemas, MTAC (Multi-Plataform Tecnical Audience Contributor), MCP, escreve para diversas comunidades técnicas e é autor do livro: Tudo sobre GPOs no Windows Server. Atualmente é Analista de TI e busca sempre aprender mais para o seu crescimento profissional.

Redes Sociais:
imagesdownload 144fe2d09e86f4999f70f979161ffd09_400x400

 

 

Anúncios

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

w

Conectando a %s