Consejo de seguridad: Detecte cambios de permisos en Active Directory

En este consejo, les mostraré cómo habilitar la auditoría para cambios en los permisos de objetos en Active Directory Los siguientes cambios registrarán el Event ID 5136 cada vez que alguien delegue o cambie permisos en un objeto en Active Directory.

El primer paso es habilitar la auditoría de cambios en el servicio de directorio en los DCs, lo cual puede hacer modificando la Default Domain Controllers Policy Group Policy Object (GPO).

• Inicie sesión en un servidor o estación de trabajo, donde las Herramientas de administración remota del servidor (RSAT) estén instaladas, con una cuenta que tenga privilegios de administrador de dominio.
• Abra Group Policy Management. Si está trabajando en un Windows Server, Group Policy Management se puede encontrar en el menú de Herramientas en el Administrador del Servidor.
• En la Administración de Políticas de Grupo, expanda su bosque de AD, Domains, su dominio y luego la Unidad Organizativa (OU) de Domain Controllers.
• Haga clic derecho en la política de Default Domain Controllers Policy, y seleccione Edit del menú.
• En la ventana del Group Policy Management Editor, en el panel izquierdo bajo Computer Configuration, expanda Policies > Windows Settings > Advanced Policy Configuration y haga clic en DS Access.

• Haga doble clic en Audit Directory Service Changes a la derecha.
• En el diálogo de Properties en la pestaña de Policy, marque Configure the following audit events, y seleccione tanto Success como Failure. Haga clic en OK.
• Cierre el Group Policy Management Editor

Ahora agreguemos una lista de control de acceso del sistema (SACL) al dominio para auditar los permisos modificados.

• Abra Active Directory Users and Computers (ADUC).
• Abra el menú de View y asegúrese de que Advanced Features tenga una marca a la izquierda. Si no es así, haga clic en Advanced Features para activarlo.
• En el panel izquierdo, haga clic derecho en su AD domain y seleccione Propiedades del menú.
• En el diálogo de Properties, cambie a la pestaña de Security y haga clic en Advanced.
• En el cuadro de diálogo de Advanced Security Settings, cambie a la pestaña de Auditing y haga clic en Add.
• En el diálogo Auditing Entry, haga clic en Select a principal, escriba everyone en Enter the object name to select dentro del diálogo Select User, Computer, Service Account, or Group, y haga clic en OK.
• En el cuadro de diálogo Auditing Entry, asegúrese de que Type: esté configurado en Success y que Applies to: esté configurado en This object and all descendant objects.

• Bajo Permissions, asegúrese de que Modify permissions sea la única opción seleccionada y haga clic en OK.
• En la configuración de Advanced Security Settings y en los diálogos de propiedades de Properties, haga clic en OK.
• Cierre ADUC.

Para demostrar que los permission changes ahora se están registrando, delegué permisos (utilizando el Asistente para la delegación de control integrado en ADUC sobre el contenedor Usuarios en Active Directory) a un grupo llamado Helpdesk, de modo que sus miembros puedan restablecer contraseñas de usuario. Para obtener una lista de los eventos de seguridad, inicié sesión en un controlador de dominio y ejecuté el siguiente comando en PowerShell:

      Get-EventLog Security -Newest 10 | Where-Object {$_.EventID -eq 5136} |
Format-List
      

Como puede ver en la captura de pantalla, se realizó un cambio en los permisos del contenedor Users por la cuenta de Administrador, y se proporciona el valor del nuevo descriptor de seguridad (SDDL), aunque en un formato bastante ilegible.