Como auditar o acesso por senha do LAPS usando o Windows PowerShell e o ADAudit Plus

A solução de senha de administrador local (Local Administrator Password Solution, LAPS) ajudou a melhorar a segurança da rede atribuindo senhas fortes e exclusivas que também podem ser alteradas rotineiramente. No entanto, como essas senhas são armazenadas centralmente no Active Directory, existe o risco de usuários não autorizados também acessarem a reserva de senhas e fazerem login em qualquer uma das estações de trabalho. Como o LAPS não possui uma função de auditoria integrada, aplicativos de terceiros deverão ser usados para auditar os usuários que acessam as senhas do administrador local.

O ManageEngine ADAudit Plus, uma solução de auditoria do AD em tempo real, oferece uma alternativa muito mais fácil ao mesmo processo executado no AD nativo.

Este artigo elabora as formas de auditar o acesso por senha LAPS usando o Windows PowerShell e o ADAudit Plus.

Usando o Windows PowerShell

O PowerShell pode configurar a auditoria do acesso por senha do LAPS. Isso auditaria os usuários que acessam as senhas LAPS no Active Directory e as informações seriam registradas no Visualizador de Eventos do AD com o ID de evento 4662.

Para configurar a auditoria do PowerShell:

  • Identifique o domínio que você precisa auditar.
  • Importe o módulo AdmPwd.PS.
  • Escreva o código. Um exemplo de script do PowerShell foi anexado ao final desta seção.
  • Compile o script.
  • Execute-o no PowerShell.
  • Isso configurará a auditoria.

Aqui está um exemplo de script:

Set-AdmPwdAuditing -Identity:Clients -AuditedPrincipals:Everyone

Usando o ADAudit Plus

  • No console ADAudit Plus, clique em Relatórios > Auditorias do LAPS > Leitura de senha do LAPS para gerar um relatório sobre os usuários que acessaram as senhas.
  • Selecione o domínio e a UO relevantes.
  • Clique em Exportar para exportar o relatório nos diferentes formatos listados (CSV, PDF, HTML, CSVDE, XLSX).

Os relatórios de senha do LAPS revelam os usuários que acessaram as senhas no período escolhido. Apenas um pequeno grupo de usuários autorizados, geralmente administradores de rede, tem permissão para acessar as senhas. A verificação regular do relatório pode ajudar a garantir que apenas os utilizadores designados tenham acesso às informações.

Aqui está um exemplo de relatório:

powershell-set-admpwdauditing-1

Estas são as limitações do uso do PowerShell para auditar o LAPS:

  • O PowerShell só pode habilitar a auditoria. Não fornece o relatório em si.
  • Este método requer o uso de vários aplicativos para auditoria. Os administradores precisam habilitar a auditoria no PowerShell e consultar o Visualizador de Eventos para obter informações sobre os usuários que acessaram a senha do LAPS. Mesmo com o Visualizador de Eventos, não é possível visualizar de forma abrangente todos os acessos por senha do LAPS na forma de um único relatório. Peneirar manualmente todos os eventos consumirá muito tempo.

O ADAudit Plus é uma ferramenta de auditoria e relatórios do Active Directory que audita continuamente a rede e gera relatórios pré-configurados sobre todos os objetos do AD. Também cria alertas em tempo real no caso de qualquer atividade suspeita na rede. Possui uma seção separada para LAPs e pode gerar relatórios rapidamente quando necessário.

  • Evite scripts complexos do PowerShell e simplifique a auditoria de alterações do AD com ADAudit Plus.
  • Ücretsiz Denemenizi Alın

Recursos relacionados

Empresas que confiam no ADAudit Plus

Atenda a todas as necessidades de auditoria e segurança de TI
com o ADAudit Plus.