Como gerar um relatório sobre detalhes de objetos excluídos do Active Directory
A exclusão de objetos do AD geralmente ocorre sob privilégios de administrador e, portanto, no caso de uma exclusão suspeita, torna-se crucial encontrar o usuário que iniciou o evento. Esse usuário não autorizado pode representar um risco terrível para a segurança da rede e quanto mais cedo um administrador de TI puder detectá-lo, menor será o dano.
No AD nativo, mesmo o Windows PowerShell não consegue produzir esse relatório sozinho. Será necessário usar vários aplicativos antes que essas informações possam ser obtidas. O ADAudit Plus, por outro lado, irá buscar o relatório para você em poucos minutos. Isso ocorre porque o ADAudit Plus possui vários relatórios pré-configurados que ajudam a realizar uma auditoria geral de toda a rede. Além daqui, há uma comparação sobre como encontrar o usuário que excluiu um objeto de computador usando o Windows PowerShell e o ADAudit Plus.
Usando o Windows PowerShell
- Identifique o domínio relevante.
- Determine os atributos necessários no relatório. Por exemplo, o nome distinto (DN), o número de dias que você deseja cobrir na consulta e assim por diante.
- Selecione um controlador de domínio para o qual deseja gerar o relatório.
- Escreva o código. Um código de exemplo foi anexado ao final desta seção.
- Compile o script.
- Execute-o no Windows PowerShell.
- Na lista de computadores excluídos, selecione aquele cujos detalhes você precisa. Copie o Nome Distinto (DN) do objeto excluído. O DN será usado para executar um comando no Prompt de Comando, que pode exibir mais detalhes sobre o objeto excluído.
- Abra o Visualizador de Eventos do Active Directory e use os dados obtidos na etapa anterior para filtrar os eventos de exclusão para localizar o usuário que excluiu o objeto do computador.
Aqui está um exemplo de script:
Get-Adobject -includedeletedobjects -filter{objectclass -eq "computer" -and isdeleted -eq$true}
Na saída, copie o DN do objeto excluído específico.
Em seguida, abra o Prompt de Comando e digite o seguinte inserindo o nome do seu DC e DN do objeto excluído nos espaços apropriados - repadmin /showobjmeta nameofDC "DN do objeto de computador"
Isso lhe dará a data e hora da exclusão. Agora você pode usar a data para filtrar os eventos no Visualizador de Eventos do Active Directory para descobrir o usuário que excluiu o objeto AD.
Usando o ADAudit Plus
- Abra o ADAudit Plus e vá para Relatórios > Gerenciamento de computadores > Computadores excluídos recentemente para encontrar um relatório detalhado.
- Selecione o domínio e a UO releventes e clique em Gerar.
- Selecione Exportar para exportar o relatório nos vários formatos disponíveis (CSV, PDF, HTML, CSVDE e XLSX).
Captura de tela:
Existem várias limitações ao usar o Windows PowerShell para localizar os detalhes de um objeto excluído, como o abaixo:
- O script do PowerShell só podem ser executado a partir de um computador que tem a função "Serviços de Domínio do Active Directory".
- Torna-se necessário usar vários aplicativos para obter os dados necessários neste caso.
- Para exportar a saída em um formato diferente, o script terá que ser modificado.
- Aplicar mais filtros aumentaria a complexidade do script.
Por outro lado, os relatórios pré-configurados do ADAudit Plus fornecem as informações necessárias em apenas alguns cliques. Isso ocorre porque o ADAudit Plus possui vários relatórios pré-configurados que ajudam a realizar uma auditoria geral de toda a rede. Além disso, também existem relatórios personalizados que podem ser projetados para atender às suas necessidades específicas de segurança.
