Cómo monitorear las eliminaciones de registros DNS
Netwrix Auditor para Windows Server
- Ejecute Netwrix Auditor → Vaya a "Informes" → Despliegue la sección "Windows Server" → Acceda a "Cambios en Windows Server" → Seleccione "Cambios en Registros de Recursos DNS" → Haga clic en "Ver".
Si desea recibir este informe por correo electrónico de manera regular, simplemente seleccione la opción "Suscribirse" y defina el horario y los destinatarios.
Auditoría Nativa
Ejecutar gpmc.msc → Editar "Política de Dominio Predeterminada" → Configuración del Equipo → Políticas → Configuración de Windows → Configuración de Seguridad → Políticas Locales → Política de Auditoría → ir a "Propiedades" del acceso al servicio de directorio de Auditoría → Definir → Éxito.
- Configuración del equipo → Políticas → Configuración de Windows → Configuración de seguridad → Registro de eventos → en "Propiedades" de las políticas mencionadas a continuación definir:
- Tamaño máximo del registro de seguridad a 1gb
- Método de retención para el registro de seguridad para Sobrescribir eventos según sea necesario.
- Abra ADSI Edit → Conéctese al contexto de nomenclatura predeterminado → Expanda el objeto DomainDNS con el nombre de su dominio → System → Haga clic derecho en MicrosoftDNS → Propiedades → Seguridad (Pestaña) → Avanzado (Botón) → Auditoría (Pestaña) → Agregar Principal "Todos" → Tipo "Éxito" → Se aplica a "Este objeto y todos los objetos descendientes" → Permisos → Seleccione las siguientes casillas: Escribir todas las propiedades, Eliminar, Eliminar subárbol → Haga clic en "Aceptar".
- Abra DNS Manager → Expanda su nombre de servidor → Zona de búsqueda directa → Haga clic derecho en la zona que desea auditar → Propiedades → Seguridad (Pestaña) → Avanzado (Botón) → Auditoría (Pestaña) → Agregar Principal "Todos" → Tipo "Éxito" → Se aplica a "Este objeto y todos los objetos descendientes" → Permisos → Seleccione las siguientes casillas: Escribir todas las propiedades, Eliminar, Eliminar subárbol → Haga clic en "Aceptar".
- Busque el ID de evento 4662 con Tipo de objeto: dnsNode en su registro de eventos de seguridad para rastrear la eliminación de registros DNS.
Aprende más sobre Netwrix Auditor for Windows Server
Haga seguimiento de las eliminaciones de registros DNS para evitar la indisponibilidad del servicio
La eliminación accidental o maliciosa de registros DNS es una causa importante de la indisponibilidad del servicio de TI. Por ejemplo, si se elimina un registro DNS de un controlador de dominio, los usuarios podrían no poder iniciar sesión, y la eliminación de registros DNS de SharePoint puede hacer que los recursos corporativos internos no estén disponibles. La monitorización continua de las eliminaciones de registros DNS permite a los administradores de TI detectar rápidamente tales incidentes para que puedan remediar los cambios que podrían llevar a tiempo de inactividad del sistema, errores de autenticación y intentos de acceso fallidos.
Netwrix Auditor for Windows Server proporciona detalles clave sobre la actividad en sus servidores Windows, incluida la eliminación de registros DNS. Ofrece información detallada sobre cada cambio, incluyendo cuándo ocurrió, quién lo hizo y qué fue exactamente lo que cambió. La aplicación también notifica al personal de TI enviándoles alertas por correo electrónico sobre cada eliminación de registros DNS. Y puede almacenar su rastro de auditoría completo de manera segura en el económico archivo de dos niveles (basado en archivos + base de datos SQL) AuditArchive durante más de 10 años.
Compartir en