Gestão da Active Directory – Como descobrir exclusões de registros DNS

Gestão da Active Directory

Implementar a infra-estrutura de DNS e gerir são tarefas muito importantes para qualquer administrador de Sistemas. Uma dessas tarefas é olhar para os Eventos. Saber habilitá-los, identificar o seu significado para puder agir de acordo e muitas vezes prever o que se está a passar na rede.

Apagar de forma acidental ou maliciosa de registros de DNS é uma importante causa de indisponibilidade de serviços de TI.
Por exemplo, se um registro de DNS do controlador de domínio for excluído, os usuários poderão não conseguir fazer logon,
E a exclusão de registros DNS do SharePoint podem tornar recursos corporativos internos indisponíveis.

 

  1. Abrir/correr gpedit.msc → Create a new GPO → Edit it → Ir “Computer Configuration” → Policies → Windows Settings → Security Settings → Local Policies > Audit Policy:
    • Audit account management → Definir → Success.
  2. Ir para  Event Log → Definir:
    • Maximum security log size para 4GB
    • Retention method for security log para Overwrite events as needed.
  3. Fazer a ligação da nova GPO para a OU aonde estão as contas de utilizadores → Ir para “Group Policy Management” → Botão Direito na OU → Escolher “Link an Existing GPO” → Escolher a GPO recentemente criada.
  4. Forçar a actualicação da GPO → “Group Policy Management” → Botão Direito na OU → Click em”Group Policy Update”.
  5. Abrir o Event viewer e procurar pelos Eventos ID’s 4662 no Security log .
    • Object type equals “dnsNode
    • Accesses equals “Delete” (O registro DNS foi excluído) or “Write property” (O registro DNS provavelmente foi excluído)
Event 4662 - MIcrosoft Security Auditing

Event 4662

0 replies

Leave a Reply

Want to join the discussion?
Feel free to contribute!

Deixe um comentário