Em muitas ocasiões, dentro de nossas funções como pessoal de TI, nos deparamos com situações de segurança como essas. a tentativas não autorizadas de fazer login em nosso domínio acessá-lo e realizar tarefas que não são permitidas ou autorizadas e que podem afetar seriamente o desempenho do sistema e de todos os objetos que fazem parte da organização.
Sabemos que intrusos ou que pretendam aceder ao sistema de forma não autorizada tentam entrar quer externamente ou desde a própria organização, tentando fazer-se passar por algum dos utilizadores activos da organização, pelo que desta vez iremos analisar como podemos monitorar quem tentou redefinir a senha de um usuário (Obviamente devemos validar com o usuário se não foi ele) e desta forma tomar medidas de segurança ou que sejam pertinentes de acordo com a gravidade da situação.
Para esta análise, vamos usar um ambiente Windows Server 2016.
1. Abrindo GPO do editor de política de grupo
A primeira etapa que daremos é abrir o Gerenciador de Política de Grupo usando qualquer uma das seguintes opções:
- Entrando na rota:
começo / Todos os aplicativos / Ferramentas administrativas / Gerenciamento de políticas de grupo
- Usando o comando Executar (combinação de teclas
PROLONGAR
A partir daí, iremos editar o política relacionada a tentativas e login.
2. Editando a política do grupo
Para prosseguir com a edição da política de grupo iremos mostrar o nosso domínio, neste caso solvetic.com, e clicaremos com o botão direito em Política de Domínio Padrão e lá iremos selecionar a opção Editar.
PROLONGARNa janela exibida iremos para o seguinte caminho:
- Configuração de equipamento
- Diretivas
- Configurações do Windows
- Configurações de segurança
- Diretivas locais
PROLONGARNós clicamos duas vezes em Política de auditoria e vamos localizar a política chamada “Gerenciamento de contas de auditoria”. Veremos que o valor padrão é "Não está definido”. Clique duas vezes nele ou clique com o botão direito e selecione Propriedades (editar) e veremos que a seguinte janela é exibida:
3. Habilitando a política de auditoria
Para ativar esta política, basta marcar a caixa "definir esta configuração de política”E marque os quadrados que consideramos necessários (Corrigir / Erro).
Uma vez que esses valores tenham sido definidos, pressione Aplicar e posteriormente Aceitar para que as alterações sejam salvas. Podemos ver que nossa política foi modificada de maneira satisfatória.
PROLONGAR4. Verificar tentativas de alteração de senha
Podemos forçar as políticas no domínio abrindo o CMD e digitando o comando:gpupdate / force
Para que as políticas sejam atualizadas.Para verificar se o usuário tentou fazer uma modificação de senha, vamos abrir o visualizador de eventos usando qualquer uma das seguintes opções:
- No comando Executar, digite o termo:
eventvwr
E pressionando Digitar ou Aceitar.
- Do menu Ferramentas no administrador do servidor e selecionando a opção Visualizador de eventos.
Veremos que a seguinte janela se abre:
PROLONGARVamos selecionar, do lado esquerdo, a opção Logs do Windows / Segurança. Depois de selecionar Segurança no lado direito, escolhemos a opção Filtrar registro atual e no campo Todos os IDs de eventos inseriremos o ID 4724 que é um ID de segurança relacionado às tentativas de alteração de senha.
Nós pressionamos Aceitar para ver todos os eventos associados. O resultado obtido será o seguinte:
PROLONGARPodemos ver a data e hora exatas do evento, indicando que foi uma tentativa de redefinição de senha. Podemos clicar duas vezes no evento para ver mais detalhes sobre ele.
Notamos que existe a conta que tentou fazer a alteração, neste caso SolvAdm e a conta para a qual a mudança foi tentada, neste exemplo solvetic2.
Assim podemos auditar todas as tentativas de alterar as senhas do usuário, corretas e erradas e desta forma visualizar em detalhes quem e quando fez ou tentou fazer a mudança e, assim, tomar as medidas necessárias.
Se você deseja entrar no ramo de auditorias de análise forense, deixamos um link sobre uma ferramenta prática amplamente utilizada para isso.
Auditoria forense do Windows
