Por: Yuri Diógenes

1. Introdução

Com as novas metodologias de segurança que estão se tornando cada vez mais presentes em pequenas, médias e principalmente em grandes empresas a auditoria tornou-se um componente fundamental no acompanhamento das diretrizes implantadas. Desta forma em mais e mais cenários administradores de rede habilitam o recurso de auditoria. Ao ponto que para algumas ações isso é bem simples, como por exemplo auditar arquivos modificados de uma pasta, para outras não é tão intuitivo, como é o caso da auditoria de zonas de um servidor DNS.

Este artigo vai mostrar justamente como fazer para ativar a auditoria em uma determinada zona DNS que esteja integrada ao Active Directory.

2. Cenário

Para termos idéia da necessidade disso na vida real precisamos entender o motivo pelo qual precisamos fazer isso. Certa vez fui questionado sobre o seguinte tema: tenho um servidor DNS que tem diversas zonas, em uma determinada zona vejo que existem registros que as vezes desaparecem e mesmo que eu crie este registro manualmente, após um certo tempo (que por sua vez é randômico) ele simplesmente é excluído.

Para este exemplo iremos utilizar um cenário fictício onde temos uma zona integrada ao AD chamada ctest.com. Queremos então saber quem andou fazendo modificações nesta zona.

3. Preparando o Ambiente

Para obter tal informação precisaremos fazer as seguintes ações:

·         Verificar se a auditoria de acesso a diretório está habilitada;

·         Habilitar a auditoria na zona DNS a qual se deseja monitorar;

·         Usar o visualizador de eventos de segurança para verificar se há algo sendo registrado no que diz respeito ao acesso a zona.

3.1. Auditoria de Acesso a Diretório

Primeira coisa a verificar é se a auditoria de diretório está ativa para a política dos controladores de domínio, para fazer isso devemos:

1) Abrir a ferramenta Active Directory Users and Computers;

2) Clicar com o botão direito na OU “Domain Controlers” e clicar em propriedades;

3) Clique em “Group Policy” e edite a política “Default Domain Controllers Policy”;

4) Navegue pelo caminho mostrado na figura abaixo e verifique se a auditoria está marcada conforme circulado a seguir:

5) Caso já esteja selecionado com sucesso e falha pode fechar estas janelas.

3.2. Selecionando a Zona DNS

Agora precisamos seleciona a zona DNS que será monitorada:

1) Executar a ferramenta ADSIEdit.msc a partir da opção Start/Run;

2) Caso esteja executando esta ferramenta pela primeira vez ou não tenha feito nenhuma modificação na visualização padrão, apenas as três partições do AD (Domain, Configuration e Schema) iram aparecer. Clique então com o botão direito no topo (ADSI Edit) e clique em “Connect To...”

3) Na opção “Select or type a Distiguinshed Name or Naming Context”, digite o caminho  mostrado na figura abaixo (substituindo o nome do domínio pelo domínio a qual está trabalhando):

4) Após digitar, clique em OK, abra o container de Domínio, expanda o container até chegar ao nível mostrado na figura abaixo:

5) Clique com o botão direito na zona e escolha propriedades. Em seguida clique em “Security” e então “Advanced”;

6) Na guia “Auditing” clique em “Add” e adicione o grupo Everyone;

7) Escolha as opções:

·         Write All Properties;

·         Delete;

·         Delete Subtree

8) Caso deseje monitorar outras opções é só marcar nesta janela. Clique em OK até fechar as três janelas.

4. O problema aconteceu!!! O que fazer?

Digamos que o registro foi excluído, o que é preciso fazer agora é ir no visualizador de eventos e procurar pelo evento com o identificado igual a 566. Vejamos o exemplo deste evento:

Event Type:       Success Audit

Event Source:    Security

Event Category:           Directory Service Access

Event ID:          566

Date:                9/7/2006

Time:                8:31:41 AM

User:                CTEST\Administrator

Computer:         CLUSTERDC

Description:

Object Operation:

            Object Server:    DS

            Operation Type: Object Access

            Object Type:      dnsNode

            Object Name:    DC=www,DC=ctest.com,CN=MicrosoftDNS,DC=DomainDnsZones,DC=ctest,DC=com

            Handle ID:         -

            Primary User Name:       CLUSTERDC$

            Primary Domain:            CTEST

            Primary Logon ID:          (0x0,0x3E7)

            Client User Name:          Administrator

            Client Domain:   CTEST

            Client Logon ID: (0x0,0x29A96)

            Accesses:         Write Property

            Properties:

            Write Property

                        Default property set

                                    dnsRecord

                                    dNSTombstoned

            dnsNode

            Additional Info:  

            Additional Info2:

            Access Mask:   0x20

Note nos itens marcados de vermelho que são os que temos que ter maior atenção, entre eles é possível verificar o usuário que fez tal operação e o registro que foi acessado (neste caso www). Com estes dados então é possível tomar uma ação investigatória para saber porque este usuário fez este tipo de acesso.

5. Conclusão

A principal mensagem deste artigo é compartilhar esta simples técnica de auditoria de zona DNS para que seja possível trilhar e registrar ações que são realizadas nas zonas DNS integradas ao AD.

Abaixo temos algumas referências acerca deste assunto:

314955  HOW TO: Audit Active Directory Objects in Windows 2000

http://support.microsoft.com/default.aspx?scid=kb;EN-US;314955

DNS-Tombstoned

http://windowssdk.msdn.microsoft.com/en-us/library/ms675530.aspx