Caso de objetos desaparecidos: como auditar quem excluiu o quê no Active Directory

Muitas vezes me perguntam como auditar a exclusão de objetos no Active Directory. É muito fácil fazer isso com o Log de Segurança do Windows - especialmente para rastrear a exclusão de usuários e grupos, que mostrarei primeiro. Tudo o que você precisa fazer é habilitar “Auditoria de contas de usuário” e “Auditoria de gerenciamento de grupo de segurança” no GPO de política de controladores de domínio padrão. Você encontrará essas 2 políticas em Configurações de segurançaConfiguração avançada de política de auditoria. Certifique-se de ativar também a opção de segurança chamada “Auditoria: forçar a substituição de subcategorias de política de auditoria…”; esta opção garante que as últimas configurações realmente tenham efeito.

Dentro de alguns minutos, todos os seus controladores de domínio começarão a auditar alterações em usuários e grupos de domínio - incluindo exclusões. Os eventos a serem procurados são

4730 - Um grupo global com segurança habilitada foi excluído
4734 - Um grupo local com segurança habilitada foi excluído
4758 - Um grupo universal com segurança habilitada foi excluído
4726 - Uma conta de usuário foi excluída

Aqui está um exemplo de ID de evento 4726:

Uma conta de usuário foi excluída.

Assunto :

ID de segurança: WIN-R9H529RIO4YAdministrator

Nome da conta: Administrador

Domínio da conta: WIN-R9H529RIO4Y

ID de logon: 0x1fd23

Conta alvo:

ID de segurança: WIN-R9H529RIO4Ybob

Nome da conta: Bob

Domínio da conta: WIN-R9H529RIO4Y

Informações adicionais:

Privilégios -

Como você pode ver, há um ID de evento diferente para cada escopo de grupo que indiquei sublinhado acima. Os campos em Assunto, como sempre, informam quem excluiu o grupo e em Grupo Excluído você verá o nome e o domínio do grupo que foi removido. Então, é claro, há 4726 para exclusão de contas de usuário. Interpretar este evento é fácil; os campos Assunto identificam quem fez a exclusão e os campos Destino indicam a conta de usuário que desapareceu.

O monitoramento de exclusões de unidades organizacionais (OUs) e objetos de política de grupo (GPOs) requer mais algumas etapas. Primeiro você precisa habilitar “Auditoria de alterações no serviço de diretório” no mesmo GPO acima. Mas o Active Directory ainda não inicia automaticamente a auditoria de exclusões de UOs e GPOS. Em seguida, você precisa abrir Usuários e Computadores do Active Directory. Selecione e clique com o botão direito na raiz do domínio e selecione Propriedades. Clique na guia Segurança, em Avançado e na guia Auditoria. Agora você está observando a política de auditoria em nível de objeto para a raiz do domínio, que se propaga automaticamente para objetos filhos. Aqui você precisa adicionar 2 entradas que auditam o uso bem-sucedido da permissão Excluir para objetos organizacionaisUnit e groupPolicyContainer, conforme mostrado abaixo.

Dentro de alguns minutos, seus controladores de domínio deverão começar a registrar o ID do evento 5141 sempre que qualquer tipo de objeto for excluído. Para determinar que tipo de objeto foi excluído, observe o campo Classe, que será organizacionalUnit ou groupPolicyContainer. Os outros campos em Objeto: e Serviço de Diretório fornecem o nome de um domínio do objeto excluído e, claro, o Assunto nos informa quem excluiu o objeto. Aqui está um exemplo de um GPO excluído. Observe que o GUID do GPO está listado em vez do nome de exibição mais amigável. Isso ocorre porque os GPOs são identificados em seu Nome Distinto oficial pelo GUID.

Um objeto de serviço de diretório foi excluído.

Assunto :

ID de segurança: administrador ACME

Nome da conta: administrador

Domínio da conta: ACME

ID de logon: 0x30999

Serviço de diretório:

Nome: acme.com

Tipo: Serviços de Domínio Active Directory

Objeto:

DN: CN={8F8DF4A9-5B21-4A27-9BA6- 1AECC663E843},CN=Políticas,CN=Sistema,DC=acme,DC=com

GUID: CN={8F8DF4A9-5B21-4A27-9BA6-1AECC663E843}ADEL:291d5001- 782a-4b3c-a319-87c060621b0e,CN=Objetos excluídos,DC=acme,DC=com

Classe: groupPolicyContainer

Operação:

Exclusão de árvore: Não

ID de correlação: {140c9cef-8dc1-48f4-8b4a-de79230731a6}

ID de correlação do aplicativo: -

Voltando aos usuários e grupos por um momento, lembre-se de que o método descrito acima também resulta em todas as outras alterações nos usuários e grupos a serem auditadas, o que considero importante fazer. Mas se você realmente deseja apenas rastrear exclusões, você também pode usar o mesmo método descrito para UOs e GPOs para usuários e grupos. Tudo o que você precisa fazer é adicionar entradas de auditoria à raiz do domínio para objetos de usuário e grupo. Em seguida, o Active Directory começará a gravar 5141 também para exclusões de usuários e grupos.