Отслеживание изменений в группах Active Directory

Отслеживание изменений в группах Active Directory

Вопрос аудита изменений в Active Directory весьма актуален в больших доменных инфраструктурах, в которых права на различные компоненты управления Active Directory делегированы широкому кругу лиц. В одной из предыдущих статей мы в общем поговорили об существующих настройках групповых политик, позволяющих вести аудит изменений в Active Directory, Сегодня мы рассмотрим методику ведения и отслеживания изменений, производимых пользователями в группах безопасности AD. Вооружившись этой методикой, администратор домена может отследить создание, удаление групп AD, а также события добавления/удаления пользователей в эти группы.

По умолчанию на контроллерах домена уже включена политика сбора информации о изменениях в группах Active Directory, однако в лог попадают только успешные попытки изменений.

Включим принудительную регистрацию всех событий об изменениях в группах Active Directory с помощью групповой политики. Для этого откройте консоль управления Group Policy Manager, найдите и отредактируйте политику Default Domain Controller Policy (по умолчанию эта политика применяется ко всем контроллерам домена).

Примечание. Отслеживать события аудита доменных групп безопасности имеет смысл только на контроллерах домена.

Default Domain Controller Policy

Перейдем в следующий раздел GPO: Computer Configuration-> Policies-> Windows Settings-> Security Settings-> Advanced Settings Audit Policy-> Audit Policy -> Account Management. Нас интересует политика Audit Security Group Management.

Audit Security Group Management - политика отслеживания изменений в группах ADОткроем политику и отредактируем ее, указав, что будут собираться как успешные (Success), так и неудачные (Failure) события изменений в доменных группах безопасности.

Отслеживаем изменения в группах ADОсталось дождаться применения измененной GPO на контроллерах домена, либо выполнить ручное обновление GPO командой

gpupdate / force.

Просмотреть собранные события аудита можно в журнале безопасность. Мы для удобства создадим отдельное представление журнала событий. Для этого в консоли Windows Event Viewer с помощью контекстного меню выберем пункт Create Custom View.

Create Custom View - собственно представление журнала событий

В окне параметров фильтрации представления укажем:

By log — “Security”

Includes / Excludes Event Ids — Нас интересуют события со следующими EventID : 4727, 4728, 4729, 4730, 4731, 4732, 4733, 4734, 4735, 4737 , 4754, 4755, 4756, 4757, 4758, 4764.

Примечание. Мы собрали все ID событий, соответствующих различным изменениям в группах безопасности AD. К примеру,

ID 4727 – событие создания группы

ID 4728 – событие добавление пользователя в группу

ID 4729 – событие удаление пользователя из группы

ID 4730 – событие удаление группы безопасности

При желании можно настроить фильтр более тонко, оставив только интересующие события.

Фильтр в журнале событий

Сохраняем изменения и указываем имя представления, например Audit Group Changes.

Пользовательский журнал Audit AD Group ChangesДля эксперимента добавим (с помощью консоли ADUC) пользователя JJonson в доменную группу Network Admins. После чего откроем и обновим созданное нами представление.

Как вы видите, в нем появилось несколько новых событий.

Журнал с событими добавления/удаления пользователей в группы AD Открыв любое событие, можно просмотреть информацию о произведенных изменениях более подробно. Откроем событие с EventID 4728. В его содержании видно. что пользователь dadmin добавил учетную запись пользователя JJonson в группу Network Admins

A member was added to a security-enabled global group.
Subject:Security ID: corpdadminAccount Name: dadmin

Account Domain: corp

Logon ID: 0x85A46579

Member:

Security ID: corp JJonson

Account Name: CN=JJonson,OU=Users,OU=Accounts,DC=corp,DC=loc

Group:

Security ID: corpNetwork Admins

Group Name: Network Admins

Group Domain: corp

A member was added to a security-enabled global group

В случае необходимости к нужным Event ID можно привязать автоматическую отправку почтовых уведомлений администраторам безопасности через триггеры событий.

Qiziqarli malumotlar
Отслеживание изменений в группах Active Directory