5136(S): объект службы каталогов был изменен.

  • Статья
Event 5136 illustration

Подкатегории:  Аудит изменений службы каталогов

Описание события:

Это событие создает каждый раз при изменении объекта Active Directory.

Чтобы создать это событие, измененный объект должен иметь соответствующую запись в SACL: аудит действия "Запись" для определенных атрибутов.

Для операции изменения обычно отображаются два события 5136 для одного действия с разными полями Operation\Type : "Значение удалено", а затем "Добавлено значение". Событие "Удалено значение" обычно содержит предыдущее значение, а событие "Добавленное значение" содержит новое значение.

Примечание.  Рекомендации приведены в разделе Рекомендации по мониторингу безопасности для этого события.


XML события:

- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
 <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" /> 
 <EventID>5136</EventID> 
 <Version>0</Version> 
 <Level>0</Level> 
 <Task>14081</Task> 
 <Opcode>0</Opcode> 
 <Keywords>0x8020000000000000</Keywords> 
 <TimeCreated SystemTime="2015-08-28T17:36:04.129472600Z" /> 
 <EventRecordID>410204</EventRecordID> 
 <Correlation /> 
 <Execution ProcessID="516" ThreadID="4020" /> 
 <Channel>Security</Channel> 
 <Computer>DC01.contoso.local</Computer> 
 <Security /> 
 </System>
- <EventData>
 <Data Name="OpCorrelationID">{02647639-8626-43CE-AFE6-7AA1AD657739}</Data> 
 <Data Name="AppCorrelationID">-</Data> 
 <Data Name="SubjectUserSid">S-1-5-21-3457937927-2839227994-823803824-1104</Data> 
 <Data Name="SubjectUserName">dadmin</Data> 
 <Data Name="SubjectDomainName">CONTOSO</Data> 
 <Data Name="SubjectLogonId">0x32004</Data> 
 <Data Name="DSName">contoso.local</Data> 
 <Data Name="DSType">%%14676</Data> 
 <Data Name="ObjectDN">CN=Sergey,CN=Builtin,DC=contoso,DC=local</Data> 
 <Data Name="ObjectGUID">{4FE80A66-5F93-4F73-B215-68678058E613}</Data> 
 <Data Name="ObjectClass">user</Data> 
 <Data Name="AttributeLDAPDisplayName">userAccountControl</Data> 
 <Data Name="AttributeSyntaxOID">2.5.5.9</Data> 
 <Data Name="AttributeValue">512</Data> 
 <Data Name="OperationType">%%14675</Data> 
 </EventData>
 </Event>

Обязательные роли сервера: Контроллер домена Active Directory.

Минимальная версия ОС: Windows Server 2008.

Версии события: 0.

Описания полей:

Тема:

  • Идентификатор безопасности [Type = SID]: идентификатор безопасности учетной записи, запрашивающей операцию "изменить объект". Средство просмотра событий автоматически пытается разрешить идентификатор безопасности SID и отобразить имя учетной записи. Если идентификатор безопасности не удается разрешить, в событии будут отображаться исходные данные.

Примечание.  . Идентификатор безопасности (SID) представляет собой строковое значение переменной длины, которое используется для идентификации доверенного лица (субъекта безопасности). Каждая учетная запись имеет уникальный идентификатор безопасности, выданный центром сертификации, таким как контроллер домена Active Directory, который хранится в базе данных безопасности. Каждый раз, когда пользователь входит в систему, система получает идентификатор безопасности этого пользователя из базы данных и помещает ее в маркер доступа этого пользователя. Система использует идентификатор безопасности в маркере доступа для идентификации пользователя во всех последующих операциях с Безопасностью Windows. Если идентификатор SID использовался как уникальный идентификатор для пользователя или группы, он не может использоваться повторно для идентификации другого пользователя или группы. Дополнительные сведения о SID см. в разделе Идентификаторы безопасности.

  • Имя учетной записи [Type = UnicodeString]: имя учетной записи, запрашивающей операцию "изменить объект".

  • Account Domain [Type = UnicodeString]: домен субъекта или имя компьютера. Форматы различаются и включают в себя следующие:

    • Пример имени домена NETBIOS: CONTOSO

    • Полное имя домена в нижнем регистре: contoso.local

    • Полное имя домена в верхнем регистре: CONTOSO.LOCAL

    • Для некоторых известных субъектов безопасности, таких как LOCAL SERVICE или ANONYMOUS LOGON, значение этого поля равно "NT AUTHORITY".

    • Для учетных записей локальных пользователей это поле будет содержать имя компьютера или устройства, к которым принадлежит эта учетная запись, например: "Win81".

  • Logon ID [Type = HexInt64]: шестнадцатеричное значение, которое может помочь сопоставить это событие с недавними событиями содержащими тот же идентификатор входа, например: “4624: Учетная запись успешно вошла в систему.”

Служба каталогов:

  • Name [Type = UnicodeString]: имя домена Active Directory, в котором находится измененный объект.

  • Type [Type = UnicodeString]: имеет значение "доменные службы Active Directory" для этого события.

Объекта:

  • DN [Type = UnicodeString]: различающееся имя измененного объекта.

Примечание   API LDAP ссылается на объект LDAP по его различающееся имя (DN). DN — это последовательность относительных различаемых имен (RDN), соединенных запятыми.

RDN — это атрибут со связанным значением в форме attribute=value; . Ниже приведены примеры атрибутов RDN:

• Контроллер домена — domainComponent

• CN — commonName

• Подразделение — организационныйUnitName

• O — organizationName

  • GUID [Type = GUID]: каждый объект Active Directory имеет глобальный уникальный идентификатор (GUID), который представляет собой 128-разрядное значение, уникальное не только на предприятии, но и во всем мире. Идентификаторы GUID назначаются каждому объекту, созданному Active Directory. GUID каждого объекта хранится в свойстве Object-GUID (objectGUID).

    Active Directory использует идентификаторы GUID для внутренней идентификации объектов. Например, GUID является одним из свойств объекта, опубликованных в глобальном каталоге. Поиск в глобальном каталоге идентификатора GUID объекта User даст результаты, если у пользователя есть учетная запись в организации. На самом деле поиск любого объекта по object-GUID может быть наиболее надежным способом поиска объекта, который требуется найти. Значения других свойств объекта могут изменяться, но идентификатор GUID объекта никогда не изменяется. Когда объекту присваивается ИДЕНТИФИКАТОР GUID, он сохраняет это значение на всю жизнь.

    Просмотр событий автоматически разрешает поле GUID в реальный объект.

    Чтобы преобразовать этот GUID, используйте следующую процедуру:

    • Выполните следующий поиск LDAP с помощью средства LDP.exe:

      • Базовое DN: CN=Schema,CN=Configuration,DC=XXX,DC=XXX

      • Фильтр: (&(objectClass=*)(objectGUID=GUID))

        • Выполните следующие операции с идентификатором GUID, прежде чем использовать его в поисковом запросе:

          • У нас есть этот GUID для поиска: a6b34ab5-551b-4626-b8ee-2b36b3ee6672

          • Возьмем первые три раздела a6b34ab5-551b-4626.

          • Для каждого из этих трех разделов необходимо изменить (инвертировать) порядок байтов, как в этом случае b54ab3a6-1b55-2646

          • Добавьте последние два раздела без преобразования: b54ab3a6-1b55-2646-b8ee-2b36b3ee6672

          • Delete: b54ab3a61b552646b8ee2b36b3ee6672

          • Деление байтов с обратными косыми чертами: \b5\4a\b3\a6\1b\55\26\46\b8\ee\2b\36\b3\ee\66\72

        • Пример фильтра: (&(objectClass=*)(objectGUID = \b5\4a\b3\a6\1b\55\26\46\b8\ee\2b\36\b3\ee\66\72))

      • Область: поддеревье

      • Атрибуты: objectGUID

  • Class [Type = UnicodeString]: класс измененного объекта. Некоторые из общих классов объектов Active Directory:

    • container — для контейнеров.

    • user — для пользователей.

    • group — для групп.

    • domainDNS — для объекта домена.

    • groupPolicyContainer — для объектов групповой политики.

      Для всех возможных значений этого поля откройте оснастку Схемы Active Directory (см. сведения о том, как включить эту оснастку: https://technet.microsoft.com/library/Cc755885(v=WS.10).aspx) и перейдите к схеме Active Directory\Classes. Или используйте следующий документ: https://msdn.microsoft.com/library/cc221630.aspx

Атрибут:

  • Отображаемое имя LDAP [Type = UnicodeString]: атрибут объекта, который был изменен.

Примечание   Отображаемое имя LDAP — это имя, используемое клиентами LDAP, например поставщиком LDAP ADSI, для чтения и записи атрибута по протоколу LDAP.

  • Синтаксис (OID) [Type = UnicodeString]: синтаксис атрибута определяет представление хранилища, порядок байтов и правила сопоставления для сравнения типов свойств. Также определяется, должно ли значение атрибута быть строкой, числом или единицей времени. Каждый атрибут каждого объекта связан с одним синтаксисом. Синтаксисы не представлены в схеме как объекты, но они запрограммированы для понимания Active Directory. Допустимые синтаксисы в Active Directory предопределены.
Oid Имя синтаксиса Описание
2.5.5.0 Неопределенный Не является юридическим синтаксисом.
2.5.5.1 Object(DN-DN) Полное имя объекта в каталоге.
2.5.5.2 String(Object-Identifier) Идентификатор объекта.
2.5.5.3 строка Case-Sensitive Общая строка.
2.5.5.4 CaseIgnoreString(Teletex) Различает верхний и нижний регистры.
2.5.5.5 String(Printable), String(IA5) Телетекс. Не различает верхний и нижний регистры.
2.5.5.6 String(Numeric) Печатаемая строка или IA5-String.
2.5.5.7 Object(DN-Binary) Оба набора символов чувствительны к регистру.
2.5.5.8 Boolean (Логическое) Последовательность цифр.
2.5.5.9 Целое число, перечисление Различающееся имя плюс большой двоичный объект.
2.5.5.10 String(Octet) Значения TRUE или FALSE.
2.5.5.11 String(UTC-Time), String(Generalized-Time) 32-разрядное число или перечисление.
2.5.5.12 String(Юникод) Строка из байтов.
2.5.5.13 Object(Presentation-Address) Время в формате UTC или обобщенное время.
2.5.5.14 Object(DN-String) Строка Юникода.
2.5.5.15 String(NT-Sec-Desc) Адрес презентации.
2.5.5.16 LargeInteger DN-String плюс строка Юникода.
2.5.5.17 String(Sid) Дескриптор безопасности Microsoft® Windows NT ®.

Таблица10. Идентификаторы синтаксиса атрибутов LDAP.

  • Value [Type = UnicodeString]: добавленное или удаленное значение в зависимости от поля Operation\Type .

Операции:

  • Type [Type = UnicodeString]: тип выполненной операции.

    • Добавленная стоимость — новая добавленная стоимость.

    • Значение Удалено — значение удалено (обычно "Удалено значение" является частью операции изменения).

  • Идентификатор корреляции [Type = GUID]: несколько изменений часто выполняются в виде одной операции через LDAP. Это значение позволяет сопоставить все события изменения, составляющие операцию. Просто найдите другие события из текущей подкатегории с тем же идентификатором корреляции, например "5137: был создан объект службы каталогов". и "5139: объект службы каталогов перемещен".

Примечание   GUID — это аббревиатура от "Глобальный уникальный идентификатор". Это 128-разрядное целое число, используемое для идентификации ресурсов, действий или экземпляров.

  • Идентификатор корреляции приложений [Type = UnicodeString]: всегда имеет значение "-". Не используется.

Рекомендации по контролю безопасности

Для 5136(S): объект службы каталогов был изменен.

Важно.  Для получения сведений об этом событии см. также Приложение A: Рекомендации по мониторингу безопасности для многих событий аудита.

  • Если необходимо отслеживать изменения определенных объектов Active Directory, отслеживайте поле DN с определенным именем объекта. Например, рекомендуется отслеживать все изменения объекта "CN=AdminSDHolder,CN=System,DC=domain,DC=com".

  • Если необходимо отслеживать изменения в определенных классах Active Directory, отслеживайте поле Class с определенным именем класса. Например, рекомендуется отслеживать все изменения класса domainDNS .

  • Если необходимо отслеживать изменения определенных атрибутов Active Directory, отслеживайте поле отображаемого имени LDAP с определенным именем атрибута.

  • Лучше отслеживать события Operation\Type = Value Added , так как вы увидите новое значение атрибута. В то же время можно сопоставить предыдущее событие Operation\Type = Value Deleted с тем же идентификатором корреляции , чтобы увидеть предыдущее значение.