Suggerimento di sicurezza: Rileva le modifiche dei permessi in Active Directory

In questo suggerimento ti mostrerò come abilitare auditing for changes to permissions on Active Directory oggetti. Le seguenti modifiche registreranno l’ID evento 5136 ogni volta che qualcuno delega o modifica con successo le autorizzazioni su un oggetto in Active Directory.

Il primo passo è abilitare l'auditing delle modifiche al servizio di directory sui DC, che puoi fare modificando la Default Domain Controllers Policy Group Policy Object (GPO).

• Accedi a un server o a una postazione di lavoro dove sono installati gli strumenti di amministrazione remota del server (RSAT) con un account che dispone di privilegi di amministratore di dominio.
• Open Group Policy Management. If you are working on a Windows Server, Group Policy Management can be found in the Tools menu in the Server Manager.
• Nella gestione Criteri di gruppo, espandi la tua foresta AD, Domains, il tuo dominio e poi l'Unità Organizzativa (OU) Domain Controllers.
• Fare clic con il tasto destro del mouse sulla GPO Default Domain Controllers Policy, e selezionare Edit dal menu.
• Nella finestra dell'Group Policy Management Editor, nel riquadro di sinistra sotto Computer Configuration, espandi Policies > Windows Settings > Advanced Policy Configuration e fai clic su DS Access.

• Doppio clic Audit Directory Service Changes sulla destra.
• Nella finestra di dialogo Properties nella scheda Policy, seleziona Configura i seguenti eventi di controllo, e spunta sia Success che Failure. Clicca su OK.
• Chiudi l'Editor di Gestione Criteri di Gruppo

Ora aggiungiamo una lista di controllo degli accessi di sistema (SACL) al dominio per verificare le autorizzazioni modificate.

• Apri Active Directory Users and Computers (ADUC).
• Apri il menu View e assicurati che Advanced Features sia contrassegnato a sinistra. Se non lo è, clicca su Advanced Features per attivarlo.
• Nel riquadro di sinistra, fare clic con il pulsante destro del mouse sul proprio AD domain e selezionare Proprietà dal menu.
• Nella finestra di dialogo Properties, passa alla scheda Security e fai clic su Advanced.
• Nella finestra di dialogo Advanced Security Settings, passa alla scheda Auditing, e clicca su Add.
• Nella finestra di dialogo Auditing Entry, clicca su Select a principal, digita everyone nel campo Enter the object name to select nella finestra di dialogo Select User, Computer, Service Account, or Group, e clicca su OK.
• Nella finestra di dialogo Auditing Entry, assicurati che Type: sia impostato su Success e che Applies to: sia impostato su This object and all descendant objects.

• In Permissions, assicurati che Modify permissions sia l'unica opzione selezionata e fai clic su OK.
• Nelle impostazioni di Advanced Security Settings e nei dialoghi delle Properties delle proprietà del dominio, clicca su OK.
• Chiudi ADUC.

Per dimostrare che le modifiche ai permessi sono ora registrate, ho delegato i permessi (utilizzando la procedura guidata Delega del controllo integrata in ADUC sul contenitore User in AD) a un gruppo chiamato Helpdesk affinché i membri possano reimpostare le password degli utenti. Per ottenere un elenco degli eventi di sicurezza, ho effettuato l'accesso a un controller di dominio e ho eseguito il seguente comando in PowerShell:

      Get-EventLog Security -Newest 10 | Where-Object {$_.EventID -eq 5136} |
Format-List
      

Come puoi vedere nello screenshot, è stata effettuata una modifica ai permessi sul contenitore Users dall'account Administrator, e il valore del nuovo descrittore di sicurezza (SDDL) è fornito, sebbene in un formato piuttosto illeggibile.