Kasus Objek yang Hilang: Cara Mengaudit Siapa yang Menghapus Apa di Direktori Aktif

Saya sering ditanya bagaimana cara mengaudit penghapusan objek di Active Directory. Cukup mudah untuk melakukan ini dengan Log Keamanan Windows - terutama untuk melacak penghapusan pengguna dan grup yang akan saya tunjukkan terlebih dahulu. Yang harus Anda lakukan adalah mengaktifkan “Audit akun pengguna” dan “Audit manajemen grup keamanan” di Kebijakan Pengontrol Domain Default GPO. Anda akan menemukan 2 kebijakan ini di bawah Pengaturan Keamanan Konfigurasi Kebijakan Audit Lanjutan. Pastikan Anda juga mengaktifkan Opsi Keamanan bernama “Audit: memaksa subkategori kebijakan audit untuk mengesampingkan… ”; opsi ini memastikan bahwa pengaturan terakhir benar-benar berlaku.

Dalam beberapa menit, semua pengontrol domain Anda akan mulai mengaudit perubahan pada pengguna dan grup domain - termasuk penghapusan. Peristiwa yang harus dicari adalah

4730 - Grup global dengan keamanan aktif telah dihapus
4734 - Grup lokal dengan keamanan aktif telah dihapus
4758 - Grup universal dengan keamanan aktif telah dihapus
4726 - Akun pengguna telah dihapus

Berikut contoh ID peristiwa 4726:

Akun pengguna telah dihapus.

Subjek :

ID Keamanan: Administrator WIN-R9H529RIO4YA

Nama Akun: Administrator

Domain Akun: WIN-R9H529RIO4Y

ID Masuk: 0x1fd23

Akun Sasaran:

ID Keamanan: WIN-R9H529RIO4Ybob

Nama Akun: bob

Domain Akun: WIN-R9H529RIO4Y

Informasi tambahan:

Hak Istimewa -

Seperti yang Anda lihat, ada ID peristiwa berbeda untuk setiap cakupan grup yang telah saya tunjukkan dengan menggarisbawahi di atas. Bidang di bawah Subjek, seperti biasa, memberi tahu Anda siapa yang menghapus grup dan di bawah Grup yang Dihapus, Anda akan melihat nama dan domain grup yang telah dihapus. Lalu tentunya ada 4726 untuk penghapusan akun pengguna. Menafsirkan peristiwa ini mudah; bidang Subjek mengidentifikasi siapa yang melakukan penghapusan dan bidang Target menunjukkan akun pengguna yang sekarang hilang.

Memantau penghapusan unit organisasi (OU) dan objek kebijakan grup (GPO) memerlukan beberapa langkah lagi. Pertama, Anda perlu mengaktifkan "Audit perubahan layanan direktori" di GPO yang sama seperti di atas. Namun Direktori Aktif belum secara otomatis mulai mengaudit penghapusan OU dan GPOS. Selanjutnya Anda perlu membuka Pengguna dan Komputer Direktori Aktif. Pilih dan klik kanan pada root domain dan pilih Properties. Klik tab Keamanan, lalu Lanjutan, lalu tab Audit. Sekarang Anda melihat kebijakan audit tingkat objek untuk akar domain yang secara otomatis menyebar ke objek anak. Di sini Anda perlu menambahkan 2 entri yang mengaudit keberhasilan penggunaan izin Hapus untuk objek OrganizationUnit dan groupPolicyContainer seperti yang ditunjukkan di bawah ini.

Dalam beberapa menit, pengontrol domain Anda akan mulai mencatat peristiwa ID 5141 setiap kali salah satu jenis objek dihapus. Untuk menentukan jenis objek apa yang dihapus, lihat bidang Kelas yang berupa OrganizationUnit atau GroupPolicyContainer. Bidang lain di bawah Objek: dan Layanan Direktori memberikan nama domain dari objek yang dihapus dan tentu saja Subjek memberi tahu kita siapa yang menghapus objek tersebut. Berikut contoh GPO yang dihapus. Perhatikan bahwa GUID GPO dicantumkan, bukan Nama Tampilan yang lebih ramah. Itu karena GPO diidentifikasi dalam Nama Terhormat resminya oleh GUID.

Objek layanan direktori telah dihapus.

Subjek :

ID Keamanan: administrator ACME

Nama Akun: administrator

Domain Akun: ACME

ID Masuk: 0x30999

Layanan Direktori:

Nama: acme.com

Jenis: Layanan Domain Direktori Aktif

Obyek :

DN: CN={8F8DF4A9-5B21-4A27-9BA6- 1AECC663E843},CN=Kebijakan,CN=Sistem,DC=acme,DC=com

GUID: CN={8F8DF4A9-5B21-4A27-9BA6-1AECC663E843}ADEL:291d5001- 782a-4b3c-a319-87c060621b0e,CN=Objek yang Dihapus,DC=acme,DC=com

Kelas: groupPolicyContainer

Operasi:

Penghapusan Pohon: Tidak

ID Korelasi: {140c9cef-8dc1-48f4-8b4a-de79230731a6}

ID Korelasi Aplikasi: -

Kembali ke pengguna dan grup sejenak, ingatlah bahwa metode yang dijelaskan di atas juga mengakibatkan semua perubahan lain pada pengguna dan grup diaudit juga yang menurut saya penting untuk dilakukan. Namun jika Anda benar-benar hanya ingin melacak penghapusan, Anda sebenarnya dapat menggunakan metode yang sama seperti yang baru saja dijelaskan untuk OU dan GPO untuk pengguna dan grup juga. Yang perlu Anda lakukan hanyalah menambahkan entri audit ke root domain untuk objek pengguna dan grup. Kemudian Active Directory akan mulai merekam 5141 untuk penghapusan pengguna dan grup juga.