Cómo auditar la creación y el borrado de zonas DNS integradas en DA


Hola, soy Paula, del equipo de Directorio Activo. Hoy vamos a hablar de cómo habilitar la auditoria para poder disponer de información en el caso de que se cree o elimine una zona DNS integrada en Directorio Activo.


Habilitar la auditoría va a conllevar que el log de eventos de Seguridad registre una cantidad mayor de eventos, con lo que requerirá mayor espacio en disco (para no perder eventos, se puede incrementar el tamaño del log).


Los pasos a seguir para habilitar la auditoría son los siguientes:


1. Habilitar la auditoría al acceso a los servicios de directorio (Directory Service Access):



a. Editar la política Default Domain Controllers Policy o crear una nueva GPO en la OU de los controladores de dominio. Si se tienen varios dominios y se desea auditar la actividad en todos dependiendo del tipo de replicación de la zona, habrá que habilitar la auditoría en todos ellos.



b. Habilitar Success (también se puede auditar Failure) en la siguiente ruta de la GPO:



Computer Configuration > Windows Settings > Security Settings > Local Policies > Audit Policy > Audit directory service access


2. Establecer la auditoría sobre el objeto de Directorio Activo que deseemos. Esta operación se puede realizar, por ejemplo, mediante ADSIEdit:



a. Acceder a la partición que se desee auditar (Botón derecho sobre la raíz “ADSI Edit” y seleccionar Connect to…). Como se comentó anteriormente aquí, las zonas DNS pueden albergarse bajo el contenedor MicrosoftDNS en tres particiones diferentes en Directorio Activo dependiendo de su configuración de replicación:




  • CN=MicrosoftDNS,CN=System,DC=domain,dc=com -> Partición del dominio: La zona está configurada para replicar a todos los DCs del dominio

  • CN=MicrosoftDNS,DC=DomainDNSZones,DC=domain,DC=com -> Partición de aplicación DomainDNSZones: La zona replica a todos los servidores DNS del dominio

  • CN=MicrosoftDNS,DC=ForestDNSZones,DC=domain,DC=com -> Partición de aplicación ForestDNSZones: La zona replica a todos los servidores DNS del bosque


b. Acceder a las propiedades de la partición ForestDNSZones (por ejemplo) > Seguridad > Avanzadas > Auditoría




  • Agregar al usuario Everyone (o al usuario/grupo que se desee auditar)

  • Aplicar a Container objects

  • Tipo de acceso Create dnsZone Objects y Delete dnsZone Objects

Una vez se habilite, esta configuración es homogénea para todo el dominio, es decir, todos los DCs van a auditar estos accesos. Siempre es recomendable que se realicen algunos tests en un entorno de pruebas para comprobar que la auditoria cumple los requisitos que se necesitan.


Un ejemplo del evento que se generan al crear una nueva zona:


Event Type:  Success Audit


Event Source: Security    


Event Category:     Directory Service Access


Event ID:    566


Date:        9/18/2008


Time:        1:17:42 PM


User:        HALEDOMAIN\paula


Computer:    HALEDC01


Description:


Object Operation:


       Object Server:      DS


       Operation Type:     Object Access


       Object Type: container


       Object Name: CN=MicrosoftDNS,DC=ForestDnsZones,DC=haledomain,DC=com


       Handle ID:   –


       Primary User Name:  HALEDC01$


       Primary Domain:     HALEDOMAIN


       Primary Logon ID:   (0x0,0x3E7)


       Client User Name:   paula


       Client Domain:      HALEDOMAIN


       Client Logon ID:    (0x0,0x226DB)


       Accesses:    Create Child


                   


       Properties:


      Create Child


      dnsZone


 


       Additional Info:      DC=prueba.com,cn=MicrosoftDNS,DC=ForestDnsZones,DC=haledomain,DC=com


       Additional Info2:   DC=prueba.com,CN=MicrosoftDNS,DC=ForestDnsZones,DC=haledomain,DC=com


       Access Mask: 0x1


Ejemplo de una eliminación:


Event Type:  Success Audit


Event Source: Security


Event Category:     Directory Service Access


Event ID:    566


Date:        9/18/2008


Time:        1:31:20 PM


User:        HALEDOMAIN\paula


Computer:    HALEDC01


Description:


Object Operation:


       Object Server:      DS


       Operation Type:     Object Access


       Object Type:      dnsZone


      Object Name:      DC=..Deleted-prueba.com\0ADEL:39fd87f0-46f8-4474-8a53-1392aaf34a95,CN=Deleted Objects,DC=ForestDnsZones,DC=haledomain,DC=com


       Handle ID:   –


       Primary User Name:  HALEDC01$


       Primary Domain:     HALEDOMAIN


       Primary Logon ID:   (0x0,0x3E7)


       Client User Name:   paula


       Client Domain:      HALEDOMAIN


       Client Logon ID:    (0x0,0x226DB)


       Accesses:    DELETE


                   


       Properties:


      DELETE


      dnsZone


 


       Additional Info:   


       Additional Info2:  


       Access Mask: 0x10000


Esperamos que esta información os sirva en caso de que necesitéis auditar la creación/borrado de zonas DNS.


– Paula Tomás Galed

Comments (1)

  1. Carlos says:

    buen dia,, es posible auditar quien borro o creo un registro tipo A en los dns.

    De repente se borraron los registros tipo A de algunos equipos y no se por que.

    gracias