Dica de Segurança: Detecte Alterações de Permissões no Active Directory

Nesta dica, vou mostrar-lhe como ativar auditoria para alterações nas permissões em objetos do Active Directory . As seguintes mudanças registrarão o Evento ID 5136 sempre que alguém delegar ou alterar permissões com sucesso em um objeto no Active Directory.

O primeiro passo é habilitar a auditoria de alterações no serviço de diretório nos DCs, o que você pode fazer modificando a Default Domain Controllers Policy Group Policy Object (GPO).

• Faça login em um servidor ou estação de trabalho, onde as Ferramentas de Administração de Servidor Remoto (RSAT) estão instaladas, com uma conta que tenha privilégios de administrador de domínio.
• Abra o Group Policy Management. Se você estiver trabalhando em um Windows Server, o Gerenciamento de Política de Grupo pode ser encontrado no menu Ferramentas do Server Manager.
• No Gerenciamento de Política de Grupo, expanda sua floresta AD, Domains, seu domínio e, em seguida, a Unidade Organizacional (OU) Domain Controllers.
• Clique com o botão direito do mouse na política Default Domain Controllers Policy GPO e selecione Edit no menu.
• No Group Policy Management Editor janela, no painel esquerdo em Computer Configuration, expanda Policies > Windows Settings > Advanced Policy Configuration e clique em DS Access.

• Clique duas vezes Audit Directory Service Changes à direita.
• Na caixa de diálogo Properties na aba Policy, marque Configure the following audit events, e selecione tanto Success quanto Failure. Clique em OK.
• Feche o Group Policy Management Editor

Agora vamos adicionar uma lista de controle de acesso do sistema (SACL) ao domínio para auditar permissões modificadas.

• Abra o Active Directory Users and Computers (ADUC).
• Abra o menu View e certifique-se de que Advanced Features está marcado à esquerda. Se não, clique em Advanced Features para ativá-lo.
• No painel esquerdo, clique com o botão direito do mouse no seu AD domain e selecione Propriedades no menu.
• No diálogo Properties, mude para a aba Security e clique em Advanced.
• No diálogo Advanced Security Settings, mude para a aba Auditing, e clique em Add.
• No diálogo Auditing Entry, clique em Select a principal, digite everyone em Enter the object name to select no diálogo Select User, Computer, Service Account, or Group, e clique em OK.
• No diálogo Auditing Entry, certifique-se de que Type: está definido como Success e que Applies to: está definido como Este objeto e todos os objetos descendentes.

• Em Permissions, certifique-se de que Modify permissions seja a única opção selecionada e clique em OK.
• Nas configurações de Advanced Security Settings e nos diálogos de Properties, clique em OK.
• Feche o ADUC.

Para provar que as alterações de permissão estão agora sendo registradas, deleguei permissões (usando o Assistente de Delegação de Controle integrado ao ADUC no contêiner User no AD) para um grupo chamado Helpdesk para que os membros possam redefinir senhas de usuários. Para obter uma lista de eventos de segurança, fiz login em um controlador de domínio e executei o seguinte comando no PowerShell:

      Get-EventLog Security -Newest 10 | Where-Object {$_.EventID -eq 5136} |
Format-List
      

Como você pode ver na captura de tela, uma alteração foi feita nas permissões no contêiner Users pelo conta de Administrador, e o valor do novo descritor de segurança (SDDL) é fornecido, embora em um formato bastante ilegível.