Como Detectar Quem Adicionou um Usuário ao Grupo de Domain Admins
Auditoria Nativa
- Configure as configurações de Política de Auditoria executando GPMC.msc → Editar "Política de Domínio Padrão" → Configuração do Computador → Políticas → Configurações do Windows → Configurações de Segurança → Políticas Locais → Política de Auditoria → Auditoria de gerenciamento de contas → Definir → Sucesso.
- Configure as configurações de auditoria de Active Directory em nível de objeto abrindo o ADSI Edit → Conectar ao "Contexto de nomeação padrão"→ Clique em "OK" → Clique com o botão direito no objeto DomainDNS com o nome do seu domínio → Propriedades → Segurança (Aba) → Avançado (Botão) → Auditoria (Aba) → Adicionar Principal "Todos" → Tipo "Sucesso" → Aplica-se a "Este objeto e objetos descendentes" → Permissões: → Selecione todas as caixas de seleção, exceto as seguintes: "Controle total", "Listar conteúdo", "Ler todas as propriedades", "Ler permissões" → Clique em "OK".
- Aumente a capacidade do log de eventos de segurança executando GPMC.msc → Editar "Política de Domínio Padrão" → Configuração do Computador → Políticas → Configurações do Windows → Configurações de Segurança → Log de Eventos → Definir:
a. Tamanho máximo do log de segurança para 1gb
b. Método de retenção para o log de segurança para "Sobrescrever eventos conforme necessário"
Execute o comando "gpupdate /force". - Execute o eventvwr.msc e filtre o log de segurança pelo id de evento 4728 para detectar quando usuários são adicionados a grupos globais com segurança habilitada. O nome do grupo no nosso caso é "Domain Admins".
Netwrix Auditor para Active Directory
- Execute o Netwrix Auditor → Navegue até "Alertas" → Encontre um alerta predefinido "Alterações de Membros do Grupo" → Ative-o: altere "Modo" para "Ligado".
- Dê um duplo clique no alerta → Navegue até "Destinatários" e especifique os endereços de e-mail para os quais deseja que o alerta seja entregue.
Sempre que alguém modificar o grupo Domain Admins, você receberá um alerta semelhante:
Compartilhar em