Auditando uma zona DNS

Auditando uma zona DNS

Por: Yuri Diógenes

1. Introdução

Com as novas metodologias de segurança que estão se tornando cada vez mais presentes em pequenas, médias e principalmente em grandes empresas a auditoria tornou-se um componente fundamental no acompanhamento das diretrizes implantadas. Desta forma em mais e mais cenários administradores de rede habilitam o recurso de auditoria. Ao ponto que para algumas ações isso é bem simples, como por exemplo auditar arquivos modificados de uma pasta, para outras não é tão intuitivo, como é o caso da auditoria de zonas de um servidor DNS.

Este artigo vai mostrar justamente como fazer para ativar a auditoria em uma determinada zona DNS que esteja integrada ao Active Directory.

2. Cenário

Para termos idéia da necessidade disso na vida real precisamos entender o motivo pelo qual precisamos fazer isso. Certa vez fui questionado sobre o seguinte tema: tenho um servidor DNS que tem diversas zonas, em uma determinada zona vejo que existem registros que as vezes desaparecem e mesmo que eu crie este registro manualmente, após um certo tempo (que por sua vez é randômico) ele simplesmente é excluído.

Para este exemplo iremos utilizar um cenário fictício onde temos uma zona integrada ao AD chamada ctest.com. Queremos então saber quem andou fazendo modificações nesta zona.

3. Preparando o Ambiente

Para obter tal informação precisaremos fazer as seguintes ações:

· Verificar se a auditoria de acesso a diretório está habilitada;

· Habilitar a auditoria na zona DNS a qual se deseja monitorar;

· Usar o visualizador de eventos de segurança para verificar se há algo sendo registrado no que diz respeito ao acesso a zona.

3.1. Auditoria de Acesso a Diretório

Primeira coisa a verificar é se a auditoria de diretório está ativa para a política dos controladores de domínio, para fazer isso devemos:

1) Abrir a ferramenta Active Directory Users and Computers;

2) Clicar com o botão direito na OU “Domain Controlers” e clicar em propriedades;

3) Clique em “Group Policy” e edite a política “Default Domain Controllers Policy”;

4) Navegue pelo caminho mostrado na figura abaixo e verifique se a auditoria está marcada conforme circulado a seguir:

 

 

5) Caso já esteja selecionado com sucesso e falha pode fechar estas janelas.

3.2. Selecionando a Zona DNS

Agora precisamos seleciona a zona DNS que será monitorada:

1) Executar a ferramenta ADSIEdit.msc a partir da opção Start/Run;

2) Caso esteja executando esta ferramenta pela primeira vez ou não tenha feito nenhuma modificação na visualização padrão, apenas as três partições do AD (Domain, Configuration e Schema) iram aparecer. Clique então com o botão direito no topo (ADSI Edit) e clique em “Connect To...”

3) Na opção “Select or type a Distiguinshed Name or Naming Context”, digite o caminho mostrado na figura abaixo (substituindo o nome do domínio pelo domínio a qual está trabalhando):

 

4) Após digitar, clique em OK, abra o container de Domínio, expanda o container até chegar ao nível mostrado na figura abaixo:

 

5) Clique com o botão direito na zona e escolha propriedades. Em seguida clique em “Security” e então “Advanced”;

6) Na guia “Auditing” clique em “Add” e adicione o grupo Everyone;

7) Escolha as opções:

· Write All Properties;

· Delete;

· Delete Subtree

8) Caso deseje monitorar outras opções é só marcar nesta janela. Clique em OK até fechar as três janelas.

4. O problema aconteceu!!! O que fazer?

Digamos que o registro foi excluído, o que é preciso fazer agora é ir no visualizador de eventos e procurar pelo evento com o identificado igual a 566. Vejamos o exemplo deste evento:

Event Type: Success Audit

Event Source: Security

Event Category: Directory Service Access

Event ID: 566

Date: 9/7/2006

Time: 8:31:41 AM

User: CTEST\Administrator

Computer: CLUSTERDC

Description:

Object Operation:

  Object Server: DS

  Operation Type: Object Access

  Object Type: dnsNode

  Object Name: DC=www,DC=ctest.com,CN=MicrosoftDNS,DC=DomainDnsZones,DC=ctest,DC=com

  Handle ID: -

  Primary User Name: CLUSTERDC$

  Primary Domain: CTEST

  Primary Logon ID: (0x0,0x3E7)

  Client User Name: Administrator

  Client Domain: CTEST

  Client Logon ID: (0x0,0x29A96)

  Accesses: Write Property

                                   

  Properties:

            Write Property

                        Default property set

                                    dnsRecord

                                    dNSTombstoned

            dnsNode

  Additional Info:

  Additional Info2:

  Access Mask: 0x20

Note nos itens marcados de vermelho que são os que temos que ter maior atenção, entre eles é possível verificar o usuário que fez tal operação e o registro que foi acessado (neste caso www). Com estes dados então é possível tomar uma ação investigatória para saber porque este usuário fez este tipo de acesso.

5. Conclusão

A principal mensagem deste artigo é compartilhar esta simples técnica de auditoria de zona DNS para que seja possível trilhar e registrar ações que são realizadas nas zonas DNS integradas ao AD.

Abaixo temos algumas referências acerca deste assunto:

314955 HOW TO: Audit Active Directory Objects in Windows 2000

https://support.microsoft.com/default.aspx?scid=kb;EN-US;314955

DNS-Tombstoned

https://windowssdk.msdn.microsoft.com/en-us/library/ms675530.aspx