Cara Mendeteksi Perubahan Izin Tingkat Rendah di Direktori Aktif

Kami banyak mendengar tentang pelacakan akses istimewa saat ini karena pengguna yang memiliki hak istimewa seperti Admin Domain dapat melakukan banyak kerusakan. Namun yang lebih penting, jika akun mereka disusupi, penyerang mendapatkan kendali penuh atas lingkungan Anda.

Sejalan dengan kekhawatiran ini, banyak standar keamanan dan dokumen kepatuhan merekomendasikan pelacakan perubahan pada grup yang memiliki hak istimewa seperti Administrator, Admin Domain, dan Admin Perusahaan di Windows, serta grup dan peran terkait di aplikasi dan platform lain.

Namun dalam beberapa sistem, Anda juga dapat mendelegasikan akses istimewa secara terperinci, yang pada akhirnya memberi seseorang tingkat otoritas yang sama dengan Admin Domain, namun “di bawah radar. ” Hal ini terutama berlaku di AD. Kemampuan ini bagaikan pedang bermata dua. Hal ini diperlukan jika Anda ingin menerapkan hak istimewa paling rendah, namun hal ini juga menciptakan cara agar akses dengan hak istimewa diberikan secara tidak sengaja, atau bahkan secara jahat sedemikian rupa sehingga tidak diketahui kecuali Anda secara khusus mencarinya. Begini caranya:

Pertama, Anda perlu mengaktifkan “Audit Perubahan Layanan Direktori” pada pengontrol domain Anda — mungkin menggunakan GPO Kebijakan Pengontrol Domain Default.

Kemudian buka Pengguna dan Komputer Direktori Aktif dan aktifkan Fitur Lanjutan di bawah Tampilan. Selanjutnya pilih root domain dan buka Properties. Navigasikan tab Audit pada dialog Pengaturan Keamanan Lanjutan domain yang ditunjukkan di bawah ini.

pengaturan_keamanan_lanjutan

Tambahkan entri untuk "Semua Orang" yang mengaudit "Ubah izin" pada semua objek seperti entri yang disorot di atas. Pada titik ini pengontrol domain akan mencatat ID Peristiwa 5136 setiap kali seseorang mendelegasikan otoritas objek apa pun di domain — baik seluruh OU atau akun pengguna tunggal. Berikut ini contoh acaranya:

Objek layanan direktori telah dimodifikasi.

direktori_layanan_objek

Peristiwa ini memberitahu Anda bahwa seorang pembuat MTGpad (yaitu saya) memodifikasi izin pada unit organisasi Scratch di domain MTG.local. nTSecurityDescriptor dan “Value Added” memberi tahu kami bahwa ini adalah perubahan izin. Bidang Kelas memberi tahu jenis objek dan DN memberi kita nama khusus dari objek yang izinnya diubah. Subjek memberi tahu kita siapa yang melakukan perubahan. Saya menghapus teks panjang untuk Nilai Atribut karena terlalu panjang untuk ditampilkan dan dalam format SDDL yang tidak dapat dibaca manusia tanpa banyak usaha. Secara teknis, ini memberi Anda konten lengkap dari daftar kontrol akses baru OU (alias Security Descriptor) tetapi tidak praktis untuk mencoba memecahkan kodenya. Mungkin akan lebih cepat untuk menemukan objek di Pengguna dan Komputer Direktori Aktif dan melihat dialog pengaturan keamanannya melalui GUI.

Jadi Log Keamanan tidak sempurna, namun metode ini memberi Anda jejak audit komprehensif tentang semua perubahan izin dan delegasi dalam Direktori Aktif. Jika Anda menggabungkan hal ini dengan audit keanggotaan grup, Anda akan mendapatkan gambaran lengkap tentang semua perubahan yang dapat memengaruhi akses istimewa di AD yang merupakan bagian penting dari keamanan dan kepatuhan.