Auditoria de alterações em Grupos no Active Directory

Neste post, daremos uma dica de como verificar alterações feitas em grupos no Active Directory e organizar seu ambiente.

Muitas vezes acontece de verificarmos no AD usuários inseridos em grupos em que não era para estarem ou removidos de grupos que era para estarem.

Imagina um usuário da Secretária estar na grupo da Diretoria e ter acesso a muita coisa que não era nem para saber que existe? Ou pior, um usuário comum ser membro de grupos como administradores do domínio e administradores de empresa, comprometendo assim todo seu AD.

Isso é uma falha grave de segurança. Mas para piorar, ainda tem muita gente que nem sabe como verificar os logs para saber quando acontece isso, piorando a situação. E é para melhorar essa situação que daremos uma dica para ter seu ambiente mais organizado.

A primeira coisa que iremos fazer é habilitar o serviço Acesso ao Serviço de Diretório, caso esteja desativado. Pra habilitá-lo:

1. Abra o CMD no modo administrador. Com ele aberto, insira o comando: auditpol /set /subcategory:”Acesso ao Serviço de Diretório” /success:enable . Caso seu Windows Server esteja em inglês, digite: auditpol /set /subcategory:”Directory Service Changes” /success:enable. Aparecerá a mensagem: “Comando executado com êxito.”

1

2. Agora iremos abrir o AD e vamos adicionar um usuário no grupo da TI. No nosso exemplo abaixo, estamos fazendo isso com o user: usuário de teste.

11 - AdicionandoAoGrupoTI

Depois que inserimos no Grupo, clicamos em Aplicar e Ok.

3. Com o usuário inserido no Grupo da TI, agora iremos verificar qual usuário que inseriu o usuário de teste no Grupo da TI. Para isso, iremos abrir o Visualizador de Eventos.

11 
4. Com o Visualizador de Eventos aberto, clique em Segurança com o botão direito e selecione filtrar Log Atual.

12

5. Será aberta uma nova interface onde iremos pesquisar pelo identificador de eventos 4728. É nesse ID (4728) que estão as informações sobre os logs de usuários inseridos em grupos globais.

Digite na linha “Inclui/Exclui Identificações…” o número 4728. Depois clique em Aplicar e Ok.

13 - ProcurandoID

6. Após isso, serão retornados os Logs referentes ao ID 4728, que são de usuários inseridos em Grupos globais no Active Directory.

14 - AchandoID

7. Iremos verificar o primeiro log retornado. Daremos um clique duplo em 14 - AchandoID - Cópia e será aberta uma janela com informações.

15 - PropriedadesID

Na janela que foi aberta, conforme figura acima, aparecem as informações de qual usuário inseriu o usuário de teste no Grupo da TI com hora, dia, etc.

Descendo mais a barra de rolagem, temos a informação do usuário que sofreu a ação (nosso exemplo, usuário de teste) e em qual grupo foi inserido (nosso exemplo, Grupo da TI).

15 - PropriedadesID3

Pronto. Já sabemos qual usuário inseriu determinado user em grupos no AD. Se quisermos saber quando um usuário foi removido do grupo, iremos fazer o mesmo procedimento de pesquisa de ID, mas ao invés de colocar na linha “Inclui/Exclui Identificações…” 4728, iríamos inserir o ID 4729.

Para organizar mais nosso ambiente, iremos criar um modelo personalizado em que iremos gravar nele todos o IDs referentes aos atos de inserir e remover usuários de grupos globais. Isso deixa mais organizado nosso ambiente, uma vez que teremos centralizado em um só filtro estas ações.

9. Clique com o botão direito do mouse em Modos de Exibição Personalizado e depois selecione Criar Modo de Exibição Personalizado.

CriandoModeloPersonalizado1

10. Será aberta uma janela em que iremos deixar as mesmas configurações abaixo.:

CriandoModeloPersonalizado2

Note que na descrição “Inclui/Exclui Identificações…” estamos inserido os IDs referentes ao que queremos que ele grave. Após isso, clique em OK e será aberta uma janela para darmos nome e a descrição para o filtro.

CriandoModeloPersonalizado3

11. Dado o nome e descrição do filtro, clique em OK. Após isso será criada uma seção personalizada, centralizando esses Logs e ficando mais fácil o gerenciamento.

CriandoModeloPersonalizado4

Pronto. Agora sabemos como verificar logs em grupos com as ações de inserir e excluir usuários. Aprendemos também como habilitar o AuditPol e quão importante é este recurso no nosso Active Directory.

Algumas observações, caso não funcione:

Verifique se o serviço Acesso ao Serviço de Diretório está realmente ativo caso não apareçam os logs. Podemos verificar através do gpedit.msc.
Digite no campo de pesquisa do Windows gpedit.msc. Vá em Configurações do Computador / Configurações do Windows / Configurações de Segurança / Políticas Locais / Políticas de Auditoria. Veja se a Auditoria de Acesso a Serviço Diretório está ativo em êxito e falha.

Caso esteja tudo correto em relação ao serviço, verifique se não existe outra diretiva no seu domínio que está bloqueando este serviço.

Este artigo também pode ser visto no Technet Microsoft

Diego Gouveia

Mais artigos deste autor »

Nascido e residente de Fortaleza – CE, Diego Lima é graduado em Análise de Sistemas, MTAC (Multi-Plataform Tecnical Audience Contributor), escreve para diversas comunidades técnicas e é autor dos livros: Tudo sobre GPOs no Windows Server e Administrando o Active Directory com o PowerShell. Atualmente é Analista de TI e busca sempre aprender mais para o seu crescimento profissional.


4 Comentários

Rodrigo
1

Muito bom Diego!!! Segui os passos que você mencionou e funcionou corretamente.
Há tempos eu estava em busca de algo parecido.
Obrigado.

Arthur Bruno
3

Olá, boa noite.
Show de bola o tutorial. Fiz em casa e funcionou perfeitamente.
Assim que eu voltar de férias, implementarei em minha empresa.
Obrigado por compartilhar !
Abraços.

Deixe seu comentário

Seu endereço de e-mail não será publicado. Campos com * são obrigatórios!