Cómo auditar la creación y el borrado de zonas DNS integradas en DA

  • Article

Hola, soy Paula, del equipo de Directorio Activo. Hoy vamos a hablar de cómo habilitar la auditoria para poder disponer de información en el caso de que se cree o elimine una zona DNS integrada en Directorio Activo.

Habilitar la auditoría va a conllevar que el log de eventos de Seguridad registre una cantidad mayor de eventos, con lo que requerirá mayor espacio en disco (para no perder eventos, se puede incrementar el tamaño del log).

Los pasos a seguir para habilitar la auditoría son los siguientes:

1. Habilitar la auditoría al acceso a los servicios de directorio (Directory Service Access):

a. Editar la política Default Domain Controllers Policy o crear una nueva GPO en la OU de los controladores de dominio. Si se tienen varios dominios y se desea auditar la actividad en todos dependiendo del tipo de replicación de la zona, habrá que habilitar la auditoría en todos ellos.

b. Habilitar Success (también se puede auditar Failure) en la siguiente ruta de la GPO:

Computer Configuration > Windows Settings > Security Settings > Local Policies > Audit Policy > Audit directory service access

2. Establecer la auditoría sobre el objeto de Directorio Activo que deseemos. Esta operación se puede realizar, por ejemplo, mediante ADSIEdit:

a. Acceder a la partición que se desee auditar (Botón derecho sobre la raíz "ADSI Edit" y seleccionar Connect to...). Como se comentó anteriormente aquí, las zonas DNS pueden albergarse bajo el contenedor MicrosoftDNS en tres particiones diferentes en Directorio Activo dependiendo de su configuración de replicación:

  • CN=MicrosoftDNS,CN=System,DC=domain,dc=com -> Partición del dominio: La zona está configurada para replicar a todos los DCs del dominio
  • CN=MicrosoftDNS,DC=DomainDNSZones,DC=domain,DC=com -> Partición de aplicación DomainDNSZones: La zona replica a todos los servidores DNS del dominio
  • CN=MicrosoftDNS,DC=ForestDNSZones,DC=domain,DC=com -> Partición de aplicación ForestDNSZones: La zona replica a todos los servidores DNS del bosque

b. Acceder a las propiedades de la partición ForestDNSZones (por ejemplo) > Seguridad > Avanzadas > Auditoría

  • Agregar al usuario Everyone ( o al usuario/grupo que se desee auditar)
  • Aplicar a Container objects
  • Tipo de acceso Create dnsZone Objects y Delete dnsZone Objects

Una vez se habilite, esta configuración es homogénea para todo el dominio, es decir, todos los DCs van a auditar estos accesos. Siempre es recomendable que se realicen algunos tests en un entorno de pruebas para comprobar que la auditoria cumple los requisitos que se necesitan.

Un ejemplo del evento que se generan al crear una nueva zona:

Event Type: Success Audit

Event Source: Security    

Event Category: Directory Service Access

Event ID: 566

Date: 9/18/2008

Time: 1:17:42 PM

User: HALEDOMAIN\paula

Computer: HALEDC01

Description:

Object Operation:

       Object Server: DS

       Operation Type: Object Access

       Object Type: container

       Object Name: CN=MicrosoftDNS,DC=ForestDnsZones,DC=haledomain,DC=com

       Handle ID: -

       Primary User Name:  HALEDC01$

       Primary Domain: HALEDOMAIN

       Primary Logon ID: (0x0,0x3E7)

       Client User Name:   paula

       Client Domain: HALEDOMAIN

       Client Logon ID: (0x0,0x226DB)

       Accesses: Create Child

                   

       Properties:

      Create Child

      dnsZone

       Additional Info: DC=prueba.com,cn=MicrosoftDNS,DC=ForestDnsZones,DC=haledomain,DC=com

       Additional Info2: DC=prueba.com,CN=MicrosoftDNS,DC=ForestDnsZones,DC=haledomain,DC=com

       Access Mask: 0x1

Ejemplo de una eliminación:

Event Type: Success Audit

Event Source: Security

Event Category: Directory Service Access

Event ID: 566

Date: 9/18/2008

Time: 1:31:20 PM

User: HALEDOMAIN\paula

Computer: HALEDC01

Description:

Object Operation:

       Object Server: DS

       Operation Type: Object Access

       Object Type: dnsZone

      Object Name: DC=..Deleted-prueba.com\0ADEL:39fd87f0-46f8-4474-8a53-1392aaf34a95,CN=Deleted Objects,DC=ForestDnsZones,DC=haledomain,DC=com

       Handle ID: -

       Primary User Name:  HALEDC01$

       Primary Domain: HALEDOMAIN

       Primary Logon ID: (0x0,0x3E7)

       Client User Name:   paula

       Client Domain: HALEDOMAIN

       Client Logon ID: (0x0,0x226DB)

       Accesses: DELETE

                   

       Properties:

      DELETE

      dnsZone

       Additional Info:

       Additional Info2:

       Access Mask: 0x10000

Esperamos que esta información os sirva en caso de que necesitéis auditar la creación/borrado de zonas DNS.

- Paula Tomás Galed