Auditando uma zona DNS



Auditando uma zona DNS


Por: Yuri Diógenes


 


1. Introdução


 


Com as novas metodologias de segurança que estão se tornando cada vez mais presentes em pequenas, médias e principalmente em grandes empresas a auditoria tornou-se um componente fundamental no acompanhamento das diretrizes implantadas. Desta forma em mais e mais cenários administradores de rede habilitam o recurso de auditoria. Ao ponto que para algumas ações isso é bem simples, como por exemplo auditar arquivos modificados de uma pasta, para outras não é tão intuitivo, como é o caso da auditoria de zonas de um servidor DNS.


Este artigo vai mostrar justamente como fazer para ativar a auditoria em uma determinada zona DNS que esteja integrada ao Active Directory.


 


2. Cenário


 


Para termos idéia da necessidade disso na vida real precisamos entender o motivo pelo qual precisamos fazer isso. Certa vez fui questionado sobre o seguinte tema: tenho um servidor DNS que tem diversas zonas, em uma determinada zona vejo que existem registros que as vezes desaparecem e mesmo que eu crie este registro manualmente, após um certo tempo (que por sua vez é randômico) ele simplesmente é excluído.


 


Para este exemplo iremos utilizar um cenário fictício onde temos uma zona integrada ao AD chamada ctest.com. Queremos então saber quem andou fazendo modificações nesta zona.


 


3. Preparando o Ambiente


 


Para obter tal informação precisaremos fazer as seguintes ações:


·         Verificar se a auditoria de acesso a diretório está habilitada;


·         Habilitar a auditoria na zona DNS a qual se deseja monitorar;


·         Usar o visualizador de eventos de segurança para verificar se há algo sendo registrado no que diz respeito ao acesso a zona.


 


3.1. Auditoria de Acesso a Diretório


 


Primeira coisa a verificar é se a auditoria de diretório está ativa para a política dos controladores de domínio, para fazer isso devemos:


 


1) Abrir a ferramenta Active Directory Users and Computers;


2) Clicar com o botão direito na OU “Domain Controlers” e clicar em propriedades;


3) Clique em “Group Policy” e edite a política “Default Domain Controllers Policy”;


4) Navegue pelo caminho mostrado na figura abaixo e verifique se a auditoria está marcada conforme circulado a seguir:


 


 


 


 


5) Caso já esteja selecionado com sucesso e falha pode fechar estas janelas.


 


3.2. Selecionando a Zona DNS


 


Agora precisamos seleciona a zona DNS que será monitorada:


1) Executar a ferramenta ADSIEdit.msc a partir da opção Start/Run;


2) Caso esteja executando esta ferramenta pela primeira vez ou não tenha feito nenhuma modificação na visualização padrão, apenas as três partições do AD (Domain, Configuration e Schema) iram aparecer. Clique então com o botão direito no topo (ADSI Edit) e clique em “Connect To…”


3) Na opção “Select or type a Distiguinshed Name or Naming Context”, digite o caminho  mostrado na figura abaixo (substituindo o nome do domínio pelo domínio a qual está trabalhando):


 


 


 


4) Após digitar, clique em OK, abra o container de Domínio, expanda o container até chegar ao nível mostrado na figura abaixo:


 


 



5) Clique com o botão direito na zona e escolha propriedades. Em seguida clique em “Security” e então “Advanced”;


6) Na guia “Auditing” clique em “Add” e adicione o grupo Everyone;


7) Escolha as opções:


·         Write All Properties;


·         Delete;


·         Delete Subtree


8) Caso deseje monitorar outras opções é só marcar nesta janela. Clique em OK até fechar as três janelas.


 


4. O problema aconteceu!!! O que fazer?


 


Digamos que o registro foi excluído, o que é preciso fazer agora é ir no visualizador de eventos e procurar pelo evento com o identificado igual a 566. Vejamos o exemplo deste evento:


 


Event Type:       Success Audit


Event Source:    Security


Event Category:           Directory Service Access


Event ID:          566


Date:                9/7/2006


Time:                8:31:41 AM


User:                CTEST\Administrator


Computer:         CLUSTERDC


Description:


Object Operation:


            Object Server:    DS


            Operation Type: Object Access


            Object Type:      dnsNode


            Object Name:    DC=www,DC=ctest.com,CN=MicrosoftDNS,DC=DomainDnsZones,DC=ctest,DC=com


            Handle ID:        


            Primary User Name:       CLUSTERDC$


            Primary Domain:            CTEST


            Primary Logon ID:          (0x0,0x3E7)


            Client User Name:          Administrator


            Client Domain:   CTEST


            Client Logon ID: (0x0,0x29A96)


            Accesses:         Write Property


                                   


            Properties:


            Write Property


                        Default property set


                                    dnsRecord


                                    dNSTombstoned


            dnsNode


 


            Additional Info:  


            Additional Info2:


            Access Mask:   0x20


 


Note nos itens marcados de vermelho que são os que temos que ter maior atenção, entre eles é possível verificar o usuário que fez tal operação e o registro que foi acessado (neste caso www). Com estes dados então é possível tomar uma ação investigatória para saber porque este usuário fez este tipo de acesso.


 


5. Conclusão


 


A principal mensagem deste artigo é compartilhar esta simples técnica de auditoria de zona DNS para que seja possível trilhar e registrar ações que são realizadas nas zonas DNS integradas ao AD.


 


Abaixo temos algumas referências acerca deste assunto:


 


314955  HOW TO: Audit Active Directory Objects in Windows 2000


http://support.microsoft.com/default.aspx?scid=kb;EN-US;314955


 


DNS-Tombstoned


http://windowssdk.msdn.microsoft.com/en-us/library/ms675530.aspx


 


 

Comments (1)

  1. Luciano de Lima - MVP Windows Server says:

    Esse artigo está muito bom.

    Estou publicando esse artigo no fórum do TechenetBrasil também.

    Um abraço,