Comment surveiller les suppressions d'enregistrements DNS ?

Les serveurs DNS sont essentiels au fonctionnement de tout réseau. Les enregistrements DNS permettent aux serveurs DNS de mapper les demandes de noms avec les adresses IP correspondantes. La modification ou la suppression d'enregistrements DNS peut entraîner l'indisponibilité du service. Il est donc essentiel de surveiller la modification des enregistrements DNS afin d'accélérer l’investigation des journaux en cas d'incident.

Télécharger gratuitement
Essai gratuit et entièrement fonctionnel pendant 30 jours
Accueil

  • Avec audit AD natif

  • Avec ADAudit Plus

  • Comment détecter la suppression d'enregistrements DNS avec ADAudit Plus

    • Once ADAudit Plus has been installed, it automatically configures audit policies required for Active Directory auditing.

    Pour activer la configuration automatique : Connectez-vous à la console web ADAudit PlusParamètres du domaine → Stratégie d’audit : Configurer.

    Les suppressions d'enregistrements DNS peuvent être identifiées en suivant les étapes mentionnées ci-dessous :

  • Se connecter à ADAudit Plus.

  • Sélectionnez le domaine requis dans la liste déroulante.

  • Allez dans l’ongletRapports.

  • Accédez à Changements DNS.

  • Sélectionnez Nœuds DNS supprimés.

  • how-to-monitor-deletions-of-dns-records-5

    • [Rapports de mise en évidence, domaine, changements DNS, nœuds DNS supprimés]

  • how-to-monitor-deletions-of-dns-records-6

ADAudit Plus permet aux administrateurs informatiques d'avoir une vue d'ensemble de toutes les activités qui se déroulent au sein du réseau de leur organisation. La surveillance en temps réel et les rapports prêts à l'emploi d’ADAudit Plus facilitent le suivi des changements critiques dans les enregistrements DNS, ainsi que la détection et la prévention des incidents.

Avec l'audit AD natif, voici comment vous pouvez surveiller la suppression des enregistrements DNS :

  • Étape 1 : Activez la stratégie d'audit des événements de connexion

  • Lancez leGestionnaire de serveur dans votre instance de serveur Windows Server.

  • Sous Gérer, sélectionnez Gestion des stratégies de groupe et lancez la console Gestion des stratégies de groupe.

  • Allez dans Forêt --> Domaine --> Votre domaine --> Contrôleurs de domaine.

  • Créez un nouveau GPO et liez-le au domaine contenant l'objet ordinateur, ou modifiez un GPO existant lié au domaine pour ouvrir l' éditeur de gestion de stratégie de groupe.

  • Allez dans Configuration de l'ordinateur ➔ Paramètres Windows ➔ Paramètres de sécurité ➔ Stratégie locale ➔ Stratégie d'audit

  • Sous Stratégie d'audit activez l'audit de succès de la stratégie d'audit de l'accès au service d’annuaire .

  • how-to-monitor-deletions-of-dns-records-1
  • Étape 2 : Autoriser l'audit AD via ADSI Edit

  • Dans le Gestionnaire de serveur allez dans Outils et sélectionnez ADSI Edit.

  • Faites un clic droit sur le nœud ADSI Edit dans le volet gauche et sélectionnez l’option Se connecter. La fenêtre. This pulls up the Paramètres de connexion s'affiche.

  • Sélectionnez l’option Contexte d’attribution de noms par défaut dans la liste déroulante Sélectionner un contexte d’attribution de noms connu.

  • how-to-monitor-deletions-of-dns-records-2

  • Cliquez sur OK et revenez à la fenêtre ADSI Edit. Développez le ontexte d’attribution de noms par défaut et sélectionnez le sous-nœud contrôleur de domaine (DC) associé. Faites un clic droit sur ce sous-nœud et cliquez sur Propriétés.

  • Dans la fenêtrePropriétés allez dans l'onglet Sécurité et sélectionnez Avancé.Sélectionnez ensuite l’onglet Audit et cliquez sur Ajouter.

  • Appliquer les paramètres suivants

    1. Responsable: Tout le monde
    2. Type: Succès
    3. S’applique à: Cet objet et tous les objets descendants
    4. Autorisations: Cochez les cases Écrire toutes les propriétés, Supprimer, Supprimer le sous-arbre.

  • Cliquez sur Appliquer, puis sur OK, et fermez la console.

  • Étape 3 : Activer l'audit via le gestionnaire DNS

  • Dans le Dans le allez dans Outils et sélectionnez DNS.

    how-to-monitor-deletions-of-dns-records-3

  • Développez votre nom de serveur et sélectionnez Zone de recherche directe..

  • Faites un clic droit sur la zone que vous souhaitez auditer, puis cliquez sur Propriétés.

  • Dans la fenêtre Propriétés allez dans l’onglet Sécurité et sélectionnez Avancé. Sélectionnez ensuite l’onglet Audit puis cliquez sur Ajouter.

  • Appliquer les paramètres suivants

    1. Responsable: Tout le monde
    2. Type: Succès
    3. S’applique à: Cet objet et tous les objets descendants
    4. Autorisations: Cochez les cases Écrire toutes les propriétés, Supprimer, Supprimer le sous-arbre.

  • Cliquez sur Appliquer, puis sur OK, et fermez la console.

  • Étape 4 : Afficher les événements dans l’Observateur d'événements

  • Dans la fenêtre de l’Observateur d'événements allez dans, Journaux Windows ➔ Journaux de sécurité. logs.

  • Cliquez sur Filtrer le journal actuel sous Action dans le panneau de droite.

  • Recherchez l'ID d’événement 4662 qui identifie les changements d'enregistrement DNS.

  • Vous pouvez double-cliquer sur l'événement pour en afficher les propriétés. how-to-monitor-deletions-of-dns-records-4

    • Ces étapes doivent être répétées pour toutes les zones afin de vérifier les modifications apportées aux enregistrements DNS. Contrôler manuellement chaque événement est un processus qui prend du temps, est inefficace et pratiquement impossible pour les grandes organisations.

L’audit natif devient-il un peu trop compliqué ?

Simplifiez l'audit et le reporting LDAP avec ADAudit Plus.

Obtenez votre essai gratuitEssai de 30 jours entièrement fonctionnel

ADAudit Plus simplifie le suivi de l'historique des enregistrements DNS en proposant plusieurs rapports de modifications DNS prédéfinis ainsi qu'une représentation graphique intuitive de ceux-ci pour faciliter la compréhension. ADAudit Plus offre également la possibilité de générer des rapports personnalisés et de les exporter dans votre format préféré PDF, XLS, HTML et CSV.