Compartilhar via

Auditoria de alterações em Grupos no Active Directory

  • Artigo

Muitas vezes acontece, de verificarmos no AD, usuários inseridos em grupos em que não era para estarem ou removidos de grupos que era para estarem.Imagina um usuário da Secretária, estar na grupo da Diretoria e ter acesso a muita coisa, que não era nem para saber que existi!? Ou pior, um usuário comum ser membro de grupos como administradores do domínio e administradores de empresa, comprometendo assim todo seu AD. Isso é uma falha grave de segurança. Mas para piorar, ainda tem muita gente que nem sabe como verificar os logs, quando acontece isso, piorando a situação. E é para melhorar essa situação em que daremos uma dica, para ter seu ambiente mais organizado.

A primeira coisa em que iremos fazer, é habilitar o serviço Acesso ao Serviço de Diretório, caso esteja desativado. Pra habilitá-lo:

**1. Abra o CMD **com as no modo administrador. Com ele aberto, insira o comando: auditpol /set /subcategory:"Acesso ao Serviço de Diretório" /success:enable .Caso seu Windows Server esteja em inglês, digite: **auditpol /set /subcategory:"Directory Service Changes" /success:enable . **Aparecerá a mensagem: *“Comando executado com êxito.”
*

https://s.profissionaisti.com.br/wp-content/uploads/2016/04/1.png

**2. **Agora iremos abrir o AD em que iremos adicionar um usuário no grupo da TI. No nosso exemplo abaixo, estamos fazendo isso com o user: usuário de teste.

https://s.profissionaisti.com.br/wp-content/uploads/2016/04/11-AdicionandoAoGrupoTI.png

Depois que inserimos no Grupo, clicamos em Aplicar e Ok.

**3. **Com o usuário inserido no Grupo da TI, agora iremos verificar qual usuário que inseriu o usuário de teste no Grupo da TI. Para isso, iremos abrir o Visualizador de Eventos.

https://s.profissionaisti.com.br/wp-content/uploads/2016/04/11.png 
4. Com o Visualizador de Eventos aberto, clique em **Segurança com o botão direito **e selecione filtrar Log Atual.

https://s.profissionaisti.com.br/wp-content/uploads/2016/04/12.png

5. Será aberto uma nova interface em que iremos pesquisar pelo identificador de eventos 4728. É nesse ID(4728) no qual está as informações sobre os logs de usuários inseridos em grupos globais.

Digite na linha “Inclui/Exclui Identificações…” o número** 4728. Depois clique em Aplicar e Ok.**

https://s.profissionaisti.com.br/wp-content/uploads/2016/04/13-ProcurandoID.png

6. Após isso será** retornado os Logs referentes ao ID 4728 **em que são de usuários inseridos em Grupos globais no Active Directory.

https://s.profissionaisti.com.br/wp-content/uploads/2016/04/14-AchandoID.png

7. Iremos verificar o primeiro log dos retornados. Daremos um clique duplo em https://s.profissionaisti.com.br/wp-content/uploads/2016/04/14-AchandoID-C%C3%B3pia.png e será aberto uma janela com informações.

https://s.profissionaisti.com.br/wp-content/uploads/2016/04/15-PropriedadesID.png

Na janela em que foi aberta, conforme figura acima, aparece as informações de qual usuário inseriu o usuário de teste no Grupo da TI, horadia, etc.

Descendo mais a barra de rolagem, temos a** informação do usuário que sofreu a ação**(nosso exemplo, usuário de teste) e em qual grupo foi inserido(nosso exemplo,** Grupo da TI**).

https://s.profissionaisti.com.br/wp-content/uploads/2016/04/15-PropriedadesID3.png

Pronto. Já sabemos qual usuário inseriu determinado user em grupos no AD. Se quiséssemos saber quando um usuário foi removido do grupo, iremos fazer o mesmo procedimento de pesquisa de ID, mas ao invés de colocar na linha “Inclui/Exclui Identificações…” 4728, iríamos inserir o** ID 4729.**

Para organizar mais nosso ambiente, iremos criar um **modelo personalizado **em que iremos **gravar nele **todos o IDs referentes aos atos de inseri e remover usuários de grupos globais. Isso deixa mais organizado nosso ambiente, uma vez que, teremos centralizado em um só filtro estas ações.

**9. Clique com o botão direito do mouse em Modos de Exibição Personalizado **e depois selecione Criar Modo de Exibição Personalizado.

https://s.profissionaisti.com.br/wp-content/uploads/2016/04/CriandoModeloPersonalizado1.png

**10. **Será aberto uma janela em que iremos deixar as mesmas configurações abaixo.:

https://s.profissionaisti.com.br/wp-content/uploads/2016/04/CriandoModeloPersonalizado2.png

Note que na descrição “Inclui/Exclui Identificações…” estamos inserido os IDs referente ao que queremos que ele grave. Após isso clique em **OK e **será aberto uma janela para darmos nome e a descrição para o filtro.

https://s.profissionaisti.com.br/wp-content/uploads/2016/04/CriandoModeloPersonalizado3.png

11. Dado o nome e descrição do filtro, clique em **OK. **Após isso será feito uma **seção personalizada, centralizando esses Logs **e ficando mais fácil o gerenciamento.

https://s.profissionaisti.com.br/wp-content/uploads/2016/04/CriandoModeloPersonalizado4.png

Pronto. Agora sabemos como verificar logs em grupos, com as ações de inserir e excluir usuários. Aprendemos também, como habilitar o AuditPol e quão importante é este recurso no nosso Active Directory.

Algumas observações, caso não funcione:

  • Verifique se o serviço **Acesso ao Serviço de Diretório está realmente ativo, **caso não apareça os logs. Podemos verificar através do gpedit.msc.
    Digite no campo de pesquisa do Windows **gpedit.msc. **Será aberto uma interface e vá em Configurações do Computador / Configurações do Windows / Configurações de Segurança / Políticas Locais / Políticas de Auditoria. Veja se a Auditoria de Acesso a Serviço Diretório está ativo em êxito e falha.
  • Caso esteja tudo correto em relação ao serviço, verifique** se não existe outra diretiva** no seu domínio em que está bloqueando este serviço.