Como auditar os serviços de federação do Active Directory
Os Serviços de Federação do Active Directory (Active Directory Federation Services, ADFS) tornam a autenticação uma experiência perfeita para os usuários. O ADFS ajuda em locais de trabalho onde os funcionários precisam acessar vários aplicativos de terceiros. O ADFS ajuda a integrar o processo de autenticação entre a rede do Active Directory e os aplicativos de terceiros. Com o ADFS, os usuários só precisam fazer login uma vez em sua rede e isso também os autentica para todos os aplicativos, por um período de tempo. No entanto, isso dificulta a vida dos administradores de rede que precisam evitar que essas senhas caiam em mãos erradas. Se essas senhas forem comprometidas, uma série de dados de aplicativos serão colocados em risco. Portanto, torna-se imperativo monitorar constantemente o ADFS.
O ADAudit Plus é uma ferramenta de auditoria e relatórios do Active Directory que acompanha de perto todos os eventos na rede. Ele possui um conjunto exclusivo de relatórios do ADFS, que é apenas uma parte dos mais de 200 relatórios pré-configurados disponíveis no console.
Aqui está uma comparação sobre a auditoria do ADFS usando o Windows PowerShell e o ADAudit Plus.
Usando o Windows PowerShell
- Identifique o domínio do qual deseja as informações.
- Escreva o código. O cmdlet de exemplo abaixo lista todas as propriedades do ADFS associadas. Adicione parâmetros ao script, se necessário. Por exemplo, o parâmetro ExpandProperty fornece mais detalhes sobre uma propriedade específica listada.
- Compile o script.
- Execute-o no PowerShell.
- O script terá que ser modificado adequadamente se precisar ser exportado em um formato diferente.
Nesse caso, o script não precisa de entrada. Basta executar Get-AdfsProperties para que o PowerShell liste todas as propriedades associadas do serviço ADFS nesse domínio.
Para definir as propriedades relevantes, use o cmdlet Set-AdfsProperties.
Usando o ADAudit Plus
- No console ADAudit Plus, encontre a guia Relatórios e clique em Auditoria do ADFS. Em "Auditoria do ADFS", há relatórios sobre sucesso de logon, falhas de logon, bloqueios de extranet e assim por diante.
- Encontre o domínio e a UO relevantes.
- Clique Exportar para exportar o relatório nos vários formatos listados no console (CSV, PDF, HTML, CSVDE, XLSX)
Aqui está um exemplo de relatório sobre sucesso de logon:
Este relatório fornece uma lista de logons bem-sucedidos com o controlador de domínio relevante, o endereço IP da máquina cliente e, mais importante, o aplicativo de terceiros no qual eles fizeram login. Isso ajuda os administradores a rastrear qualquer usuário que tenha feito login em qualquer um dos aplicativos.
Aqui está outro relatório sobre falhas de login:
As tentativas de login malsucedidas devem ser vistas como ameaças potenciais à segurança, pois podem ter sido tentadas por pessoas que tentam invadir uma rede. Este relatório fornece a identidade do usuário, o endereço IP da máquina cliente e o motivo da falha no logon.
As desvantagens de usar o Windows PowerShell para auditar o ADFS são:
- Serão necessários vários scripts do PowerShell para fazer uma auditoria completa.
- Exportar o relatório em um formato diferente exigiria a reescrita de partes do script.
- É difícil filtrar todos os dados listados pelo PowerShell, enquanto o ADAudit Plus possui relatórios claramente rotulados, que facilitam aos administradores localizar o que precisam.
O ADAudit Plus possui uma interface amigável e gera relatórios de auditoria sem envolvimento de scripts. Ele não apenas lista dados, mas também processa dados de diversas fontes no Active Directory para fornecer relatórios abrangentes rapidamente.
