5136(S): se modificó un objeto de servicio de directorio.

  • Artículo
Event 5136 illustration

Subcategoría:  Auditar los cambios del servicio de directorio

Descripción del evento:

Este evento se genera cada vez que se modifica un objeto de Active Directory.

Para generar este evento, el objeto modificado debe tener una entrada adecuada en SACL: la auditoría de acciones "Escribir" para atributos específicos.

Para una operación de cambio, normalmente verá dos eventos 5136 para una acción, con campos Operation\Type diferentes: "Valor eliminado" y, a continuación, "Valor agregado". El evento "Value Deleted" normalmente contiene el valor anterior y el evento "Valor agregado" contiene un nuevo valor.

Nota  Para obtener recomendaciones, consulte Recomendaciones de supervisión de seguridad para este evento.


XML del evento:

- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
 <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" /> 
 <EventID>5136</EventID> 
 <Version>0</Version> 
 <Level>0</Level> 
 <Task>14081</Task> 
 <Opcode>0</Opcode> 
 <Keywords>0x8020000000000000</Keywords> 
 <TimeCreated SystemTime="2015-08-28T17:36:04.129472600Z" /> 
 <EventRecordID>410204</EventRecordID> 
 <Correlation /> 
 <Execution ProcessID="516" ThreadID="4020" /> 
 <Channel>Security</Channel> 
 <Computer>DC01.contoso.local</Computer> 
 <Security /> 
 </System>
- <EventData>
 <Data Name="OpCorrelationID">{02647639-8626-43CE-AFE6-7AA1AD657739}</Data> 
 <Data Name="AppCorrelationID">-</Data> 
 <Data Name="SubjectUserSid">S-1-5-21-3457937927-2839227994-823803824-1104</Data> 
 <Data Name="SubjectUserName">dadmin</Data> 
 <Data Name="SubjectDomainName">CONTOSO</Data> 
 <Data Name="SubjectLogonId">0x32004</Data> 
 <Data Name="DSName">contoso.local</Data> 
 <Data Name="DSType">%%14676</Data> 
 <Data Name="ObjectDN">CN=Sergey,CN=Builtin,DC=contoso,DC=local</Data> 
 <Data Name="ObjectGUID">{4FE80A66-5F93-4F73-B215-68678058E613}</Data> 
 <Data Name="ObjectClass">user</Data> 
 <Data Name="AttributeLDAPDisplayName">userAccountControl</Data> 
 <Data Name="AttributeSyntaxOID">2.5.5.9</Data> 
 <Data Name="AttributeValue">512</Data> 
 <Data Name="OperationType">%%14675</Data> 
 </EventData>
 </Event>

Roles de servidor necesarios: Controlador de dominio de Active Directory.

Versión mínima del sistema operativo: Windows Server 2008.

Versiones de eventos: 0.

Descripciones del campo:

Asunto:

  • Id. de seguridad [Type = SID]: SID de la cuenta que solicitó la operación "modificar objeto". El Visor de eventos intenta automáticamente resolver los SID y muestra el nombre de la cuenta. Si no se puede resolver el SID, verá los datos de origen en el evento.

Nota  Un identificador de seguridad (SID) es un valor único de longitud variable que se usa para identificar un elemento de confianza (entidad de seguridad). Cada cuenta tiene un SID único emitido por una autoridad, como un controlador de dominio de Active Directory, que se almacena en una base de datos de seguridad. Cada vez que un usuario inicia sesión, el sistema recupera el SID de ese usuario de la base de datos y lo coloca en el token de acceso del usuario. El sistema utiliza el SID del token de acceso para identificar al usuario en todas las interacciones posteriores con la seguridad de Windows. Una vez que se utiliza un SID como identificador único para un usuario o grupo, no se puede volver a usar para identificar a otro usuario o grupo. Para más información sobre los SID, consulte Identificadores de seguridad.

  • Nombre de cuenta [Type = UnicodeString]: el nombre de la cuenta que solicitó la operación "modificar objeto".

  • Dominio de cuenta [Tipo = UnicodeString]: dominio o nombre del equipo del sujeto. Los formatos varían e incluyen los siguientes:

    • Ejemplo de nombre NETBIOS de dominio: CONTOSO

    • Nombre de dominio completo en minúsculas: contoso.local

    • Nombre de dominio completo en mayúsculas: CONTOSO.LOCAL

    • En el caso de algunas entidades de seguridad conocidas, como SERVICIO LOCAL o INICIO DE SESIÓN ANÓNIMO, el valor de este campo es "NT AUTHORITY".

    • En el caso de las cuentas de usuario locales, este campo contendrá el nombre del equipo o dispositivo al que pertenece esta cuenta, por ejemplo: "Win81".

  • Id. de inicio de sesión [Tipo = HexInt64 ]: valor hexadecimal que puede ayudarle a relacionar este evento con eventos recientes que pueden contener el mismo Id. de inicio de sesión, por ejemplo, "4624: Una cuenta ha iniciado sesión correctamente".

Servicio de directorio:

  • Name [Type = UnicodeString]: el nombre del dominio de Active Directory donde se encuentra el objeto modificado.

  • Tipo [Type = UnicodeString]: tiene el valor "Servicios de dominio de Active Directory" para este evento.

Objeto:

  • DN [Type = UnicodeString]: nombre distintivo del objeto que se modificó.

Nota   La API LDAP hace referencia a un objeto LDAP por su nombre distintivo (DN). Un DN es una secuencia de nombres distintivos relativos (RDN) conectados por comas.

Un RDN es un atributo con un valor asociado en el formulario attribute=value; . Estos son ejemplos de atributos RDN:

• DC : domainComponent

• CN : commonName

• OU - organizationalUnitName

• O : nombreDeOrganización

  • GUID [Type = GUID]: cada objeto de Active Directory tiene un identificador único global (GUID), que es un valor de 128 bits que es único no solo en la empresa, sino también en todo el mundo. Los GUID se asignan a todos los objetos creados por Active Directory. El GUID de cada objeto se almacena en su propiedad Object-GUID (objectGUID).

    Active Directory usa GUID internamente para identificar objetos. Por ejemplo, el GUID es una de las propiedades de un objeto que se publica en el catálogo global. Si se busca el GUID de un objeto User en el catálogo global, se producirán resultados si el usuario tiene una cuenta en algún lugar de la empresa. De hecho, la búsqueda de cualquier objeto por Object-GUID podría ser la forma más confiable de encontrar el objeto que desea encontrar. Los valores de otras propiedades de objeto pueden cambiar, pero el GUID de objeto nunca cambia. Cuando se asigna un GUID a un objeto, mantiene ese valor de por vida.

    Visor de eventos resuelve automáticamente el campo GUID en un objeto real.

    Para traducir este GUID, use el procedimiento siguiente:

    • Realice la siguiente búsqueda LDAP mediante LDP.exe herramienta:

      • DN base: CN=Schema,CN=Configuration,DC=XXX,DC=XXX

      • Filtro: (&(objectClass=*)(objectGUID=GUID))

        • Realice las siguientes operaciones con el GUID antes de usarlo en una solicitud de búsqueda:

          • Tenemos este GUID para buscar: a6b34ab5-551b-4626-b8ee-2b36b3ee6672

          • Tome las tres primeras secciones a6b34ab5-551b-4626.

          • Para cada una de estas tres secciones, debe cambiar (invertir) el orden de los bytes, como este b54ab3a6-1b55-2646

          • Agregue las dos últimas secciones sin transformación: b54ab3a6-1b55-2646-b8ee-2b36b3ee6672

          • Eliminar: b54ab3a61b552646b8ee2b36b3ee6672

          • Dividir bytes con barras diagonales inversas: \b5\4a\b3\a6\1b\55\26\46\b8\ee\2b\36\b3\ee\66\72

        • Ejemplo de filtro: (&(objectClass=*)(objectGUID = \b5\4a\b3\a6\1b\55\26\46\b8\ee\2b\36\b3\ee\66\\72))

      • Ámbito: subárbol

      • Atributos: objectGUID

  • Clase [Type = UnicodeString]: clase del objeto que se modificó. Algunas de las clases de objetos comunes de Active Directory:

Atributo:

  • Nombre para mostrar LDAP [Type = UnicodeString]: el atributo de objeto que se modificó.

Nota   Nombre para mostrar LDAP es el nombre que usan los clientes LDAP, como el proveedor LDAP de ADSI, para leer y escribir el atributo mediante el protocolo LDAP.

  • Sintaxis (OID) [Type = UnicodeString]: la sintaxis de un atributo define la representación de almacenamiento, el orden de bytes y las reglas de coincidencia para las comparaciones de tipos de propiedad. También se define si el valor del atributo debe ser una cadena, un número o una unidad de tiempo. Cada atributo de cada objeto está asociado a exactamente una sintaxis. Las sintaxis no se representan como objetos en el esquema, pero están programadas para que Active Directory las entienda. Las sintaxis permitidas en Active Directory están predefinidas.
Oid Nombre de la sintaxis Descripción
2.5.5.0 Indefinido No es una sintaxis legal.
2.5.5.1 Object(DN-DN) Nombre completo de un objeto en el directorio.
2.5.5.2 String(Object-Identifier) Identificador de objeto.
2.5.5.3 cadena de Case-Sensitive Cadena general.
2.5.5.4 CaseIgnoreString(Teletex) Diferencia mayúsculas y minúsculas.
2.5.5.5 String(Printable), String(IA5) Teletex. No diferencia mayúsculas y minúsculas.
2.5.5.6 String(Numeric) Cadena imprimible o IA5-String.
2.5.5.7 Object(DN-Binary) Ambos conjuntos de caracteres distinguen mayúsculas de minúsculas.
2.5.5.8 Booleano Secuencia de dígitos.
2.5.5.9 Integer, (enumeración) Nombre distintivo más un objeto binario grande.
2.5.5.10 String(Octet) Valores TRUE o FALSE.
2.5.5.11 String(UTC-Time), String(Generalized-Time) Número o enumeración de 32 bits.
2.5.5.12 String(Unicode) Cadena de bytes.
2.5.5.13 Object(Presentation-Address) Hora UTC o hora generalizada.
2.5.5.14 Object(DN-String) Cadena Unicode.
2.5.5.15 String(NT-Sec-Desc) Dirección de la presentación.
2.5.5.16 LargeInteger Un DN-String más una cadena Unicode.
2.5.5.17 String(Sid) Descriptor de seguridad de Microsoft® Windows NT®.

Tabla 10. Identificadores de sintaxis de atributo LDAP.

  • Value [Type = UnicodeString]: el valor que se agregó o eliminó, en función del campo Operation\Type .

Operación:

  • Tipo [Type = UnicodeString]: tipo de operación realizada.

    • Valor agregado : nuevo valor agregado.

    • Valor eliminado : el valor eliminado (normalmente "Valor eliminado" forma parte de la operación de cambio).

  • Identificador de correlación [Type = GUID]: a menudo se ejecutan varias modificaciones como una operación a través de LDAP. Este valor permite correlacionar todos los eventos de modificación que componen la operación. Solo tiene que buscar otros eventos de la subcategoría actual con el mismo identificador de correlación, por ejemplo, "5137: Se creó un objeto de servicio de directorio". y "5139: Se ha movido un objeto de servicio de directorio".

Nota   GUID es un acrónimo de "Identificador único global". Es un número entero de 128 bits que se usa para identificar recursos, actividades o instancias.

  • Id. de correlación de aplicación [Type = UnicodeString]: siempre tiene el valor "-". No está en uso.

Recomendaciones de supervisión de seguridad.

Para 5136(S): se modificó un objeto de servicio de directorio.

Importante   Para este evento, consulte también Apéndice A: Recomendaciones de supervisión de seguridad para muchos eventos de auditoría.

  • Si necesita supervisar las modificaciones en objetos de Active Directory específicos, supervise el campo DN con un nombre de objeto específico. Por ejemplo, se recomienda supervisar todas las modificaciones en el objeto "CN=AdminSDHolder,CN=System,DC=domain,DC=com" .

  • Si necesita supervisar las modificaciones en clases específicas de Active Directory, supervise el campo Clase con un nombre de clase específico. Por ejemplo, se recomienda supervisar todas las modificaciones en la clase domainDNS .

  • Si necesita supervisar las modificaciones en atributos específicos de Active Directory, supervise el campo Nombre para mostrar LDAP con un nombre de atributo específico.

  • Es mejor supervisar los eventos Operation\Type = Value Added , ya que verá el nuevo valor de attribute. Al mismo tiempo, puede correlacionar el evento Operation\Type = Value Deleted anterior con el mismo identificador de correlación para ver el valor anterior.