Auditoria do Active Directory - Produtividade

A pouco tempo eu escrevi um artigo sobre Segurança do Active Directory e por coincidência através desse artigo, eu reencontrei um colega que me confidenciou que está enfrentando um enorme desafio. Ele é prestador de serviço da área de segurança da informação e está atuando em projeto especifico de analise do Active Directory pois existe uma possível violação das politicas de segurança em relação a autenticações no ambiente de rede. Outra questão é sobre a exclusão de contas. Esse é principal problema que ele encontra. 

Ele precisa não somente analisar, mas identificar e coletar evidencias sobre esses acessos e essa possível violação e para isso ele precisa saber sobre tentativas de logon e autenticações tanto no Active Directory quanto nas estações ou outros servidores.

  • Ele também precisa ser alertado em tempo real
  • Ele precisa gerar relatório sobre esses eventos
  • Ele quer saber exatamente onde aconteceu e de onde partiu a tentativa.

A primeira questão que recebi já mostra um pouco da complexidade de se fazer esse tipo de gerenciamento usando recursos nativos. É possível, mas ao custo de algumas configurações e uma leitura não tão simplificada.

Primeiro desafio é entender a diferença entre "Eventos de Logon de Conta" e "Eventos de Logon"


Eventos de logon de conta são gerados nos controladores de domínio para a atividade das contas do domínio e nos computadores locais para a atividade das contas locais.

Eventos de logon de conta são gerados quando uma conta de usuário do domínio é autenticada em um controlador de domínio. O evento é registrado no log de segurança do controlador de domínio. Os eventos de logon são gerados quando um usuário local é autenticado em um computador local. O evento é registrado no log de segurança local. Eventos de logoff de conta não são gerados.

 

Outro desafio é centralizar os logs. O que pode ser feito utilizando o recurso de subscrição, um recursos que habilita um serviço de coleta e que exige reiniciar o servidor.

Neste exemplo eu vou detalhar como habilitar a auditoria para gerenciar contas de usuários excluídas de forma que eu possa receber um alerta toda vez que um usuário for excluído.
Farei essa configuração em Servidor com Windows Server 2012 Controlador de Domínio.

Primeiramente eu habilitei a auditoria de eventos de “Account management (Gerenciamento de contas) na GPO criada com a propria função de controle de auditoria. Essa GPO deve se aplicar a todos os computadores envolvidos no processo.

Eu habilitei tanto para “Sucesso “que indica nesse caso que houve realmente a criação ou exclusão de alguma conta de usuários como também marquei a opção “Falha”, para quando houver tentativas sem sucesso de criar ou excluir alguma conta.

São vários os eventos que você pode monitorar para esse tipo de auditoria, vou aqui colocar alguns que acho interessante e a lista completa você encontra no arquivo que pode ser baixado e que está citado no início do artigo.

ID    Descrição
4725    A conta de usuário foi desabilitada
4726    A conta de usuário foi excluída
4738    A conta de usuário foi alterada
4740    A conta de usuário foi bloqueada
4781    O nome de uma conta foi alterado
4782    O password hash de uma conta foi acessado


Usando o visualizador de eventos você pode fazer um filtro para o evento desejado, nesse nosso caso o evento 4726 – Conta Excluída.

E depois de filtrado os eventos de segurança você abrir e analisar cada um deles.
Pois veja com detalhes o conteúdo relacionado a esse tpo de evento:
Neste exemplo você pode ver:
1 – O tipo de evento
2 – Quem executou a tarefa
3 – Data e Hora
4 – O Event ID.
5 – E descendo mais um pouco no painel de mensagem, você identifica qual conta foi excluida.


Uma vez com a auditoria habilitada você pode por exemplo rastrear o Event ID 4726 que é relacionado ao evento: Conta de usuário excluída

Como você viu é uma tarefa árdua quando temos apenas recursos nativos em nosso ambiente e ainda faltou definir:

  • Alerta em tempo real
  • Relatório sobre esses eventos
  • De onde onde partiu a tentativa.

Porém com o Change Auditor podemos simplificar essa tarefa e trazer relatórios fáceis de entender e que prover solução para questões de segurança.

Como você pode observar, de maneira simples e eficiente temos respostas para a principais questões em uma só janela.

 

Sua instalação simplificada e o uso de agentes ajuda a ganhar tempo uma vez que o padrão é a centralização e que facilmente podemos criar alertas em tempo real e relatórios customizáveis.

 

 

Consulte o Guia de referencia para conhecer quais são os eventos que podemos auditar com o Change Auditor

https://support.quest.com/technical-documents/change-auditor-for-active-directory/6.9/event-reference-guide/ 

 

 

Anonymous