Windows – Auditoria do Active Directory

No vídeo abaixo eu falo sobre auditoria do Active Directory e resolvi criar esse artigo para referencia sobre a dúvida de onde pesquisas e qual eventos habilitar, principalmente no caso dos:

  • Eventos de Logon (Audit logon events)
  • Eventos de Logon de Conta (Audit account logon events)

Eventos de Logon de Conta (Audit account logon events) é indicado para analise de tentativas de autenticação de conta em um controlador de domínio ou em um SAM local. Ao contrário dos Eventos de Logon (Audit logon events) que controlam as tentativas de acessar um computador específico.

No vídeo eu usei alguns eventos mais comuns e aqui no artigo vou deixar uma lista com os eventos mais recomendados para gerenciamento do Active Directory.

Gerenciamento do AD

  • 4720: uma conta de usuário foi criada.
  • 4722: uma conta de usuário foi habilitada.
  • 4723: foi feita uma tentativa de alterar a senha de uma conta.
  • 4724: foi feita uma tentativa de redefinir a senha de uma conta.
  • 4725: uma conta de usuário foi desabilitada.
  • 4726: uma conta de usuário foi excluída.
  • 4738: uma conta de usuário foi alterada.
  • 4740: uma conta de usuário foi bloqueada.
  • 4765: o histórico de Sid foi adicionado a uma conta.
  • 4766: falha na tentativa de adicionar o histórico SID a uma conta.
  • 4767: uma conta de usuário foi desbloqueada.
  • 4780: a ACL foi definida em contas que são membros de grupos de administradores.
  • 4781: o nome de uma conta foi alterado.
  • 4794: foi feita uma tentativa de definir a senha do administrador do modo de restauração dos serviços de diretório.
  • 4798: A associação ao grupo local de um usuário foi enumerada.
  • 5376: o backup das credenciais do Gerenciador de credenciais foi feito.
  • 5377: as credenciais do Gerenciador de credenciais foram restauradas de um backup.
  • 4731: um grupo local com segurança habilitada foi criado.
  • 4732: um membro foi adicionado a um grupo local com segurança habilitada.

Eventos de Logon

  • 4624: uma conta foi conectada com êxito.
  • 4625: falha na conta ao fazer logon.
  • 4648: houve uma tentativa de logon usando credenciais explícitas.

Quando acontece o evento 4624 é necessário conhecer o tipo de logon para identificação detalhadas:

Tipo de logonNome do logonDescrição
2InteractiveUm usuário fez logon nesse computador.
3NetworkUm usuário ou computador fez logon nesse computador a partir da rede.
4BatchO tipo de logon Batch é usado por servidores batch quando podem haver processos sendo executados em nome de um usuário sem a sua intervenção direta.
5ServiceUm serviço foi iniciado pelo Gerenciador de Controle de Serviços.
7UnlockEssa estação de trabalho foi desbloqueada.
8NetworkCleartextUm usuário fez logon nesse computador a partir da rede. A senha do usuário foi transmitida ao pacote de autenticação em sua forma sem hash. Todos os pacotes de autenticação internos aplicam hash em credenciais antes de enviá-las pela rede. As credenciais não precisam atravessar a rede em texto simples (também conhecido como texto não criptografado).
9NewCredentialsUm chamador clonou seu token atual e especificou novas credenciais para conexões de saída. A nova sessão de logon possui a mesma identidade local, mas usa credenciais diferentes para outras conexões de rede.
10RemoteInteractiveUm usuário fez logon nesse computador remotamente usando serviços de terminal ou área de trabalho remota.
11CachedInteractiveUm usuário fez logon nesse computador com credenciais de rede que estavam armazenadas localmente no computador. O controlador do domínio não foi contatado para verificar as credenciais.

O mesmo vale para o evento 4625

Tipo delogonNome de logonDescrição
2Um usuário conectado a este computador.
3DRedeUm usuário ou computador conectado a este computador pela rede.
4ProcessoO tipo de logon em lotes é usado por servidores em lotes, onde os processos podem ser executados em nome de um usuário sem a sua intervenção direta.
5ServiçoUm serviço foi iniciado pelo Gerenciador de controle de serviços.
7DesbloquearEsta estação de trabalho foi desbloqueada.
08NetworkCleartextUm usuário conectado a este computador pela rede. A senha do usuário foi passada para o pacote de autenticação em seu formato de não hash. A autenticação interna empacota todas as credenciais de hash antes de enviá-las pela rede. As credenciais não atravessam a rede em texto sem formatação (também chamado de texto não criptografado).
222NewCredentialsUm chamador clonou seu token atual e especificou novas credenciais para conexões de saída. A nova sessão de logon tem a mesma identidade local, mas usa credenciais diferentes para outras conexões de rede.
254RemoteInteractiveUm usuário conectado ao computador remotamente usando os serviços de terminal ou a área de trabalho remota.
11:00CachedInteractiveUm usuário conectado ao computador com credenciais de rede que foram armazenadas localmente no computador. O controlador de domínio não foi contatado para verificar as credenciais.

Anúncio

About Daniel Donda 549 Articles
Olá, meu nome é Daniel Donda e sou especialista em cibersegurança, autor de livros, professor e palestrante. Saiba mais

7 Comments

    • Pior que não !
      Mas alguns Event IDs podem ser indicativos de atividades deransomware.

      Muitos eventos 4663 de acesso a objeto mas eles devem ser habiltandos antes 🙁
      4670 – Permissões de um objeto alteradas
      1102 – Limpeza do log de eventos

      Mas nenhum sobre crypto

  1. @Daniel, acompanho seu conteúdo e cursos (Udemy).
    Sabe explicar com clareza porque alguns eventos 4720 são identificados com conta de máquina no campo SubjectUserName?

    Obrigada

    • Sim, Contas de máquina, que terminam com o símbolo $, representam sistemas ou serviços automatizados no AD, então teremos muitos desses eventos com o SubjectUserName de maquina. Além dos eventos de computadores, teremos sempre que uma conta for criada, modificada, habilitada e isso vale para grupo também.

      Para auditoria:
      Monitore 4720, 4726, 4741, 4743 para identificar criação e exclusão de contas.
      Verifique 4724, 4738 para mudanças não autorizadas em contas.
      Combine 4648, 4672 com outros eventos para investigar ações de contas de máquina.

1 Trackback / Pingback

  1. Auditoria do Active Directory – Auditoriar

Leave a Reply

Your email address will not be published.


*