Come rilevare chi ha modificato i permessi di un'unità organizzativa
Auditing nativo
- Esegui gpedit.msc → Crea un nuovo GPO → Modificalo: Vai a "Configurazione del computer" → Criteri → Impostazioni Windows → Impostazioni di sicurezza → Criteri locali → Criteri di controllo:
- Verifica l'accesso al servizio di directory → Definisci → Successi e Fallimenti.
- Vai al registro eventi → Definisci:
- Impostare la dimensione massima del registro di sicurezza a 4gb
- Metodo di conservazione del registro di sicurezza su "Sovrascrivi eventi se necessario".
- Collega il nuovo GPO all'OU: Vai su "Group Policy Management" → Clicca con il tasto destro sull'OU definito → Scegli "Link an Existing GPO" → Scegli il GPO che hai creato.
- Forza l'aggiornamento della policy di gruppo: In "Group Policy Management" clicca con il tasto destro sull'OU definita → Clicca "Group Policy Update".
- Apri ADSI Edit → Connetti a contesto di denominazione predefinito → Fai clic destro sull'oggetto domainDNS con il nome del tuo dominio → Proprietà → Sicurezza → Avanzate → Controllo → Aggiungi Principale "Tutti" → Tipo "Successo" → Si applica a "Questo oggetto e oggetti discendenti" → Permessi → Seleziona tutte le caselle tranne le seguenti e clicca "OK":
- Controllo completo
- Elenco dei contenuti
- Leggi tutte le proprietà
- Permessi di lettura.
- Apri Visualizzatore eventi → Cerca nel registro di sicurezza l'ID evento 5136 (un oggetto del servizio di directory è stato modificato).
Dopo ciò potrai vedere chi ha modificato i permessi di quale OU con un elenco di descrittori di sicurezza.
Netwrix Auditor for Active Directory
- Esegui Netwrix Auditor → Clicca su "Rapporti" → Vai a Active Directory → Cambiamenti in Active Directory → Scegli "Modifiche dell'Unità Organizzativa" → Clicca su "Visualizza".
- Per salvare un report, clicca su "Esporta" → PDF → Salva con nome → Scegli una destinazione per salvarlo.
Condividi su