Como posso aprender que um comando "net user / domain" foi usado.

2

Como parte de alguns testes do Controlador de Domínio que estou executando, gostaria de saber se um comando "net user / domain" foi usado em um dos meus endpoints.

Então, existe algum log (no DC) que possa me dizer se tal comando foi usado?

    
por user2895378 19.07.2016 / 15:55

1 resposta

3

Do ponto de vista do controlador de domínio, não há diferença entre alguém ver objetos do AD usando Usuários e Computadores do Active Directory , net user /domain ou qualquer outra ferramenta que examine o diretório. Se você realmente deseja auditar a criação e a finalização do processo, consulte Gerenciador de Tarefas mostra os programas em execução - como posso ver os que foram encerrados?

Dito isso, você pode auditar o acesso a objetos do AD. Primeiro, ajuste a política de auditoria de seus controladores de domínio ( Configuração do Computador Políticas Configurações do Windows Configurações de Segurança → < em> Políticas Locais → Política de Auditoria ) para auditar o acesso bem-sucedido ao serviço de diretório. Em seguida, vá para ADUC e ative os recursos avançados (em Exibir). Em cada UO que contém usuários, abra a janela Propriedades na guia Segurança. Clique no botão Avançado e mude para a guia Auditoria. Lá, adicione uma entrada Lista de conteúdos (ou Controle total se quiser) que se aplique a Todos. Na guia Auditoria, as entradas não concedem acesso; eles apenas marcam objetos para auditoria. Em seguida, qualquer usuário que execute um programa que enumere essas OUs acabará adicionando um evento 4662 (Acesso ao Serviço de Diretório) ao log de eventos do DC com todas as informações relevantes.

Como alternativa, você pode criar uma única conta de usuário "honeypot" à qual todo o acesso ( Controle total ) é auditado. Como net user /domain analisa algumas propriedades dos usuários que encontrar, ele acionará a auditoria.

Outrasleituras: Guia passo-a-passo de auditoria do AD DS

    
por 19.07.2016 / 23:34