Note
Access to this page requires authorization. You can try signing in or changing directories.
Access to this page requires authorization. You can try changing directories.
Auditando uma zona DNS
Por: Yuri Diógenes
1. Introdução
Com as novas metodologias de segurança que estão se tornando cada vez mais presentes em pequenas, médias e principalmente em grandes empresas a auditoria tornou-se um componente fundamental no acompanhamento das diretrizes implantadas. Desta forma em mais e mais cenários administradores de rede habilitam o recurso de auditoria. Ao ponto que para algumas ações isso é bem simples, como por exemplo auditar arquivos modificados de uma pasta, para outras não é tão intuitivo, como é o caso da auditoria de zonas de um servidor DNS.
Este artigo vai mostrar justamente como fazer para ativar a auditoria em uma determinada zona DNS que esteja integrada ao Active Directory.
2. Cenário
Para termos idéia da necessidade disso na vida real precisamos entender o motivo pelo qual precisamos fazer isso. Certa vez fui questionado sobre o seguinte tema: tenho um servidor DNS que tem diversas zonas, em uma determinada zona vejo que existem registros que as vezes desaparecem e mesmo que eu crie este registro manualmente, após um certo tempo (que por sua vez é randômico) ele simplesmente é excluído.
Para este exemplo iremos utilizar um cenário fictício onde temos uma zona integrada ao AD chamada ctest.com. Queremos então saber quem andou fazendo modificações nesta zona.
3. Preparando o Ambiente
Para obter tal informação precisaremos fazer as seguintes ações:
· Verificar se a auditoria de acesso a diretório está habilitada;
· Habilitar a auditoria na zona DNS a qual se deseja monitorar;
· Usar o visualizador de eventos de segurança para verificar se há algo sendo registrado no que diz respeito ao acesso a zona.
3.1. Auditoria de Acesso a Diretório
Primeira coisa a verificar é se a auditoria de diretório está ativa para a política dos controladores de domínio, para fazer isso devemos:
1) Abrir a ferramenta Active Directory Users and Computers;
2) Clicar com o botão direito na OU “Domain Controlers” e clicar em propriedades;
3) Clique em “Group Policy” e edite a política “Default Domain Controllers Policy”;
4) Navegue pelo caminho mostrado na figura abaixo e verifique se a auditoria está marcada conforme circulado a seguir:
5) Caso já esteja selecionado com sucesso e falha pode fechar estas janelas.
3.2. Selecionando a Zona DNS
Agora precisamos seleciona a zona DNS que será monitorada:
1) Executar a ferramenta ADSIEdit.msc a partir da opção Start/Run;
2) Caso esteja executando esta ferramenta pela primeira vez ou não tenha feito nenhuma modificação na visualização padrão, apenas as três partições do AD (Domain, Configuration e Schema) iram aparecer. Clique então com o botão direito no topo (ADSI Edit) e clique em “Connect To...”
3) Na opção “Select or type a Distiguinshed Name or Naming Context”, digite o caminho mostrado na figura abaixo (substituindo o nome do domínio pelo domínio a qual está trabalhando):
4) Após digitar, clique em OK, abra o container de Domínio, expanda o container até chegar ao nível mostrado na figura abaixo:
5) Clique com o botão direito na zona e escolha propriedades. Em seguida clique em “Security” e então “Advanced”;
6) Na guia “Auditing” clique em “Add” e adicione o grupo Everyone;
7) Escolha as opções:
· Write All Properties;
· Delete;
· Delete Subtree
8) Caso deseje monitorar outras opções é só marcar nesta janela. Clique em OK até fechar as três janelas.
4. O problema aconteceu!!! O que fazer?
Digamos que o registro foi excluído, o que é preciso fazer agora é ir no visualizador de eventos e procurar pelo evento com o identificado igual a 566. Vejamos o exemplo deste evento:
Event Type: Success Audit
Event Source: Security
Event Category: Directory Service Access
Event ID: 566
Date: 9/7/2006
Time: 8:31:41 AM
User: CTEST\Administrator
Computer: CLUSTERDC
Description:
Object Operation:
Object Server: DS
Operation Type: Object Access
Object Type: dnsNode
Object Name: DC=www,DC=ctest.com,CN=MicrosoftDNS,DC=DomainDnsZones,DC=ctest,DC=com
Handle ID: -
Primary User Name: CLUSTERDC$
Primary Domain: CTEST
Primary Logon ID: (0x0,0x3E7)
Client User Name: Administrator
Client Domain: CTEST
Client Logon ID: (0x0,0x29A96)
Accesses: Write Property
Properties:
Write Property
Default property set
dnsRecord
dNSTombstoned
dnsNode
Additional Info:
Additional Info2:
Access Mask: 0x20
Note nos itens marcados de vermelho que são os que temos que ter maior atenção, entre eles é possível verificar o usuário que fez tal operação e o registro que foi acessado (neste caso www). Com estes dados então é possível tomar uma ação investigatória para saber porque este usuário fez este tipo de acesso.
5. Conclusão
A principal mensagem deste artigo é compartilhar esta simples técnica de auditoria de zona DNS para que seja possível trilhar e registrar ações que são realizadas nas zonas DNS integradas ao AD.
Abaixo temos algumas referências acerca deste assunto:
314955 HOW TO: Audit Active Directory Objects in Windows 2000
https://support.microsoft.com/default.aspx?scid=kb;EN-US;314955
DNS-Tombstoned
https://windowssdk.msdn.microsoft.com/en-us/library/ms675530.aspx
Comments
- Anonymous
September 10, 2006
Esse artigo está muito bom.
Estou publicando esse artigo no fórum do TechenetBrasil também.
Um abraço, - Anonymous
November 14, 2016
Muito bom e obrigado por compartilhar o conhecimento