Como posso auditar todos os lugares em que uma conta de serviço de domínio é usada?

1

Eu tenho várias contas de serviço de domínio que estão sendo executadas com mais privilégios do que precisam e preciso reduzir suas permissões e alterar todas as suas senhas.

Como posso auditar todos os lugares em que uma conta de serviço de domínio é usada em toda a empresa?

    
por Chris Magnuson 21.10.2010 / 22:59

3 respostas

2

Isso é muito complicado de se fazer. A maneira mais eficaz é analisar o log de eventos de segurança em cada máquina de domínio procurando logins por conta de serviço de domínio. Depois de identificar quais máquinas viram logins, você pode procurar serviços que possam ser configurados para usá-los. A análise de logs de eventos é algo que você desejará rotear, a menos que tenha apenas algumas máquinas.

Infelizmente, o Win XP não vem com o log de segurança ativado por padrão (acredito).

Pessoalmente, eu iria executar o script do Windows Vista / 7 ou Server 2008. Há uma ferramenta muito melhor para pegar dados de log de eventos, wevtutil . Você pode filtrar eventos de logon (4624) e despejar coisas em XML para facilitar a análise.

wevtutil qe Security /r:$MachineName /q:"*[System[(EventID=4624)]" > $MachineName-Events.xml

Ao fazer seus controladores de domínio primeiro, pelo menos, você saberá de que endereços IP são provenientes, mas fazer o domínio inteiro é a única maneira de ter 100% de certeza.

    
por 21.10.2010 / 23:19
1

A pesquisa no log de eventos de segurança só será útil se os eventos de logon estiverem sendo auditados, o que não acredito que esteja habilitado por padrão. Você precisará habilitar a auditoria na diretiva de Domínio Padrão para ativar a auditoria em seus servidores não-DC (a menos que tenha uma OU e um GPO especificamente para seus servidores e esteja bloqueando a herança ou definindo o GPO para ser aplicado, então você precisará editar o GPO aplicável). Além disso, os serviços configurados para usar contas de domínio serão registrados no log de Segurança desses servidores quando esses serviços forem iniciados, não o log de Segurança do DC.

Um serviço configurado para usar uma conta de usuário de domínio gerará uma ID de Evento 528 no log de eventos de Segurança com o Tipo de Logon 5 quando o serviço for iniciado, para que você possa filtrar o log de eventos de Segurança para eventos de Eventos ID28 5 para restringir os resultados.

Acabei de verificar isso no meu próprio ambiente (acho que sim, com base nos meus testes), portanto acredito que essas informações estejam corretas.

Outro item a ser examinado seriam as Tarefas Agendadas em cada servidor e ver se algum deles está configurado para usar qualquer uma das contas de serviço. Em caso afirmativo, você precisará alterar as senhas nas Tarefas agendadas também.

    
por 22.10.2010 / 03:33
1

Para expandir em @joeqwerty, acho que você deveria fazer uma auditoria dos serviços e das tarefas agendadas em todas as máquinas que lhe interessam para ver quais credenciais eles usam. Tenho certeza de que o WMI expõe essas informações, portanto, você poderia fazer isso com o VBS ou o PowerShell com algumas linhas e depois executá-lo remotamente em sua lista de máquinas.

Ativar a auditoria e vasculhar todos os logs de eventos parece mais trabalho.

    
por 22.10.2010 / 05:03