Alerta para o logon do administrador de domínio

3

Estou procurando uma maneira de enviar um alerta por e-mail quando um membro do grupo "Administradores do domínio" fizer logon. Estamos executando o Server 2012 R2, existe alguma coisa embutida no Windows Server que possa fazer isso?

    
por Matt Fogleman 21.12.2015 / 15:39

2 respostas

2

Não, não há nada embutido.

Dependendo do motivo pelo qual você deseja fazer isso, a maneira mais fácil de enviar um email sempre que um administrador de domínio fizer login provavelmente será um script de logon na política de grupo atribuído aos membros do grupo de administradores de domínio. A Powershell tem Send-MailMessage , que pode enviar um email com o servername / computername e o log on usuário como variáveis.

Saiba, no entanto, que é fácil para os administradores de domínio contornar a política de grupo porque os administradores do domínio podem editar a política de grupo. Então, como um recurso de segurança, não é incrivelmente útil. Se, em vez disso, você tentar rastrear o escalonamento de privilégios para algum propósito de gerenciamento de alterações e todos os administradores de domínio concordarem com isso, tudo ficará bem.

Se você estiver procurando por detecção de invasões, um programa de segurança dedicado (como Análise avançada de ameaças ) pode ser uma escolha melhor.

    
por 21.12.2015 / 16:10
2

Incorporado ao Windows? Não. Isso seria uma solução de código / script personalizada. Os registros de eventos precisam ser coletados e, quando há um evento de logon de uma conta conhecida como membro dos Admins. Do Domínio, envie um email.

Esta provavelmente não é uma solução eficaz devido a:

O grupo Admins. do Domínio obtém a maioria dos privilégios por meio da associação ao grupo Administradores do domínio interno. Portanto, se uma conta for um membro dos administradores, ela parece merecer o mesmo nível de alerta.

Dependendo dos IDs do evento que estão no escopo de alertas, pode haver muitos eventos. Especificamente, pode haver muitos logons de rede (tipo 3).

Filtrar eventos de rede / somente alertas em logons interativos excluiria a atividade que ocorre devido a credenciais em cache / hashes de credenciais roubados.

    
por 21.12.2015 / 16:25