Auditoria de alterações em Grupos do Active Directory.

Livro-GPO-Banner

Livro: Tudo Sobre GPOs no Windows Server 2008. 2012 e 2016.

Neste post darei uma dica de como verificar alterações feitas em grupos do Active Directory e organizar o seu ambiente. 

Muitas vezes acontece de verificarmos no Active Directory usuários inseridos em grupos em que não deveriam estarem ou removidos de grupos que deviam estarem e isso gera uma dor de cabeça grande, pois com o passar do tempo, acabamos sem saber quem removeu ou adicionou do grupo. Veja um exemplo abaixo:

Imagina um usuário da secretária está inserido no grupo da Diretoria e ter acesso a informações privilegiadas? Ou pior, um usuário comum, ser membro de grupos importantes do Active Directory. Isso é uma falha grave de segurança. É para melhorar essa situação em que darei uma dica abaixo, no qual você vai aprender como verificar através de logs os usuários inseridos e removidos de grupos do Active Directory. 

Solução


A primeira coisa em que é deve ser feita é habilitar o serviço Acesso ao Serviço de Diretório, caso esteja desativado. Pra habilitá-lo, faça:

1. Execute o CMD com um usuário que tenha privilégios administrativos. Insira o comando: auditpol /set /subcategory:”Acesso ao Serviço de Diretório” /success:enable, conforme a figura abaixo, e dê um Enter no teclado. Aparecerá uma mensagem no console confirmando que foi executado com êxito o comando, ainda ilustrado na figura abaixo. 

1

2. Agora abra o console de Usuários e Computadores do Active Directory. Adicione um usuário no grupo em que deseja auditar. 

3. Com o usuário inserido no Grupo no Active Directory, acesse o console do Visualizador de Eventos, famoso Event Viewer. 

4. No console, clique com o botão direito do mouse em Segurança, conforme o exemplo da figura abaixo, e no menu de opções, escolha Filtrar Log Atual. Será aberto uma nova interface. 

2

5.  Na nova janela, será usado ID 4728 para saber quais foram os usuários inseridos em grupos globais e quem adicionou estes usuários. É neste ID, 4728, em que tem as informações de usuários adicionados em grupos do Active Directory.

6. Agora clique no campo “Inclui/Exclui Identificações…”, digite o número 4728, conforme a figura abaixo. Clique em Aplicar e depois em OK.

3

 6. Serão retornados os Logs referentes ao ID 4728, conforme ilustrado na figura abaixo.

 

4

7. Dê um duplo no primeiro log e será aberta uma janela com informações refentes ao ID 4728, anteriormente explicado. Nele terá as informações sobre os usuários inseridos em grupos globais do Active Directory, conforme detalhados na figura abaixo.

5

Na janela que foi aberta, conforme figura acima, aparecem as informações de qual usuário inseriu o usuário de teste no Grupo da TI, acompanhado de data e hora, etc.

Descendo mais a barra de rolagem, temos a informação do usuário que sofreu a ação (no exemplo da foto acima, usuário de teste) e em qual grupo foi inserido (nosso exemplo, Grupo da TI).

15-PropriedadesID3

Pronto. Já sabemos qual usuário inseriu determinado usuários em grupos do Active Directory. Agora, para saber quando um usuário foi removido de um grupo, iremos fazer o mesmo procedimento de pesquisa de ID, mas, ao invés de colocar na linha “Inclui/Exclui Identificações…” 4728, anteriormente feito, será usado o ID 4729. 

Se quisermos saber quando um usuário foi removido do grupo, iremos fazer o mesmo procedimento de pesquisa de ID, mas ao invés de colocar na linha “Inclui/Exclui Identificações…” 4728, iríamos inserir o ID 4729.

Para organizar mais nosso ambiente, iremos criar um modelo personalizado em que nele gravaremos todos o IDs referentes as ações de inserir e remover usuários de grupos globais do Active Directory. Isso deixará mais organizado o ambiente, uma vez que nele, teremos de forma centralizada todas essas ações. 

9. Clique com o botão direito do mouse em Modos de Exibição Personalizado e depois selecione Criar Modo de Exibição Personalizado.

CriandoModeloPersonalizado1

10. Será aberta uma janela, ilustrada na figura abaixo, nela será deixadaas configurações abaixo.:

CriandoModeloPersonalizado2.png

Note que na descrição “Inclui/Exclui Identificações…” estão sendo inserido os IDs referentes ao que queremos que ele grave. Após isso, clique em OK e será aberta uma janela para darmos um nome e descrição ao filtro.

Clique em OK. Na próxima janela, dê o nome e descrição ao filtro conforme as configurações abaixo:

CriandoModeloPersonalizado3.png

11. Dado o nome e descrição do filtro, clique em OK. Após isso será criada uma seção personalizada, centralizando assim os Logs e ficando mais fácil o gerenciamento.

CriandoModeloPersonalizado4.png

Pronto. Agora sabemos como verificar logs em grupos com as ações de inserir e excluir usuários. Aprendemos também como habilitar o AuditPol e quão importante é este recurso no nosso Active Directory.

onto. Agora sabemos como verificar logs em grupos com as ações de inserir e excluir usuários. Aprendemos também como habilitar o AuditPol e quão importante é este recurso no nosso Active Directory.

Algumas observações, caso não funcione:

Verifique se o serviço Acesso ao Serviço de Diretório está realmente ativo caso não apareçam os logs. Podemos verificar através do gpedit.msc.
Digite no campo de pesquisa do Windows gpedit.msc. Vá em Configurações do Computador / Configurações do Windows / Configurações de Segurança / Políticas Locais / Políticas de Auditoria. Veja se a Auditoria de Acesso a Serviço Diretórioestá ativo em êxito e falha.

Caso esteja tudo correto em relação ao serviço, verifique se não existe outra diretiva no seu domínio que está bloqueando este serviço.

Este artigo também pode ser visto no Technet Microsoft

 

Gostou do artigo? Que tal aprender mais? Clica na foto abaixo e receba sempre os meus artigos no teu WhatsApp!

 

WhatsApp

Clique nesta foto para receber os conteúdos via WhatsApp! Não é vírus.

 

Anúncios
The following two tabs change content below.
Desde 2016 escrevo sobre Windows Server. De lá para cá, já são mais de 100 artigos, dois livros, diversos vídeos, muitas respostas em fóruns e bastante colaboração.

Deixe uma resposta