Come tenere traccia delle modifiche ai record DNS

I server DNS sono fondamentali per il funzionamento di ogni rete. I record DNS consentono ai server DNS di mappare le richieste di nome agli indirizzi IP corrispondenti. La modifica o l'eliminazione dei record DNS può comportare l'indisponibilità del servizio. Pertanto, è fondamentale monitorarne per accelerare l'analisi forense in caso di incidente.

Scarica gratis
Prova gratuita e completamente funzionante di 30 giorni
  • Con il controllo AD nativo

  • Con ADAudit Plus

Una volta installato, ADAudit Plus configura automaticamente i criteri di controllo necessari per Active Directory.

Per abilitare la configurazione automatica: Accedi alla pagina ADAudit Plus web console --> Domain Settings --> Audit Policy: Configure.

Le eliminazioni nei record DNS possono essere identificate seguendo i passaggi indicati di seguito:

  • Accedi ad ADAudit Plus

  • Seleziona l'opzione desiderata per Dominio nell'elenco a discesa

  • Vai alla scheda Reports

  • Passa a DNS Changes.

  • Seleziona DNS Nodes Removed.

  • Seleziona Recent User Logon Activity

    tracciare-modifiche-record-dns-5

    [Evidenzia report, dominio, modifiche DNS, nodi DNS aggiunti, nodi DNS rimossi, nodi DNS modificati]

    tracciare-modifiche-record-dns-6
  • Allo stesso modo, i report sui record DNS che sono stati aggiunti o modificati possono essere recuperati come segue:

    1. Vai alla scheda Reports.

    2. Passa a DNS Changes.

    3. Seleziona DNS Nodes Added / DNS Nodes Modified.

  • ADAudit Plus consente agli amministratori IT di avere un quadro completo di tutte le attività che si svolgono all'interno della rete dell'organizzazione. Il monitoraggio in tempo reale e i report pronti all'uso offerti da ADAudit Plus semplificano il tracciamento delle modifiche critiche nei record DNS e rilevano e prevengono gli incidenti.

Ecco come monitorare la cronologia dei record DNS con il controllo AD nativo:

  • Passaggio 1: Abilita il criterio "Audit logon events"
  • Avvia Server Manager nell'istanza di Windows Server.

  • In Manage, seleziona Gestione Criteri di gruppo e avvia la Console Gestione Criteri di gruppo.

  • Passa a Foresta --> Dominio --> Il tuo dominio --> Controller di dominio.

  • Crea un nuovo oggetto Criteri di gruppo e collegalo al dominio contenente l'oggetto computer oppure modifica un qualsiasi oggetto Criteri di gruppo esistente collegato al dominio per aprire la finestra di dialogo Editor Gestione Criteri di gruppo.

  • Passa a Configurazione computer -> Impostazioni di Windows -> Impostazioni di sicurezza -> Criteri locali -> Criteri controllo.

  • In Criteri controllo attiva il controllo per le operazioni riuscite del criterio Controlla accesso al servizio directory.

    tracciare-modifiche-record-dns-1
  • Passaggio 2: Consenti controllo AD tramite ADSI Edit
  • Dal tuo Server Manager Vai a Tools e seleziona ADSI Edit.

  • Fare clic con il pulsante destro del mouse su ADSI Edit dal riquadro di sinistra e seleziona l'opzione Connect to. In questo modo viene visualizzata la finestra Connection Settings.

  • Seleziona l'icona Default Naming Context dall'elenco a discesa Select a well-known Naming Context.

    tracciare-modifiche-record-dns-2
  • Fai clic su OK e torna alla finestra ADSI Edit window.Expand Default Naming Context e seleziona il nodo secondario associato DC . Fai clic con il pulsante destro del mouse su questo nodo secondario e scegli Proprietà.

  • Nella finestra Proprietà, vai alla scheda Sicurezza e seleziona Avanzate. Quindi, seleziona la scheda Auditing e fai clic su Add.

  • Applica le seguenti impostazioni

    1. Principal: Everyone
    2. Digita: Success
    3. Si applica a: questo oggetto e tutti gli oggetti discendenti
    4. Autorizzazioni: seleziona le caselle di controllo Write all properties, Delete, Delete subtree.
  • Fai clic su Apply e poi su OK e chiudere la console.

  • Passaggio 3: Abilita il controllo tramite DNS Manager
  • Da Server Manager, Vai a Tools e seleziona DNS.

    tracciare-modifiche-record-dns-3
  • Espandi il nome del server e seleziona Forward Lookup Zone.

  • Fai clic con il pulsante destro del mouse sulla zona che vuoi controllare e fai clic su Proprietà.

  • Nella finestra Proprietà, vai alla scheda Sicurezza e seleziona Avanzate. Quindi, seleziona la scheda Auditing e fai clic su Add.

  • Applica le seguenti impostazioni

    1. Principal: Everyone
    2. Digita: Success
    3. Si applica a: questo oggetto e tutti gli oggetti discendenti
    4. Autorizzazioni: seleziona le caselle di controllo Write all properties, Delete, Delete subtree.
  • Fai clic su Apply e poi su OK e chiudere la console.

  • Passaggio 4: Visualizza gli eventi nel Visualizzatore eventi
  • Nella finestra Visualizzatore eventi, vai a Registri di Windows -->Sicurezza.

  • Fa clic su Filter current log sotto Action nel pannello di destra.

  • Cerca l'ID evento 4662 che identifica le modifiche ai record DNS.

  • È possibile fare doppio clic sull'evento per visualizzare le Proprietà dell'evento.

    tracciare-modifiche-record-dns-4
  • Questi passaggi devono essere ripetuti per tutte le zone per controllare le modifiche nei record DNS. Il controllo manuale di ogni evento è dispendioso in termini di tempo, inefficiente e praticamente impossibile, per le grandi organizzazioni.

Il controllo nativo è un po' troppo?

Semplifica il controllo e la creazione di report dei record DNS con ADAudit Plus.

Scaricalo gratuitamente Versione di prova di 30 giorni completamente funzionante

ADAudit Plus semplifica il monitoraggio della cronologia dei record DNS offrendo diverse nei report delle Modifiche al DNS, insieme a una rappresentazione grafica intuitiva degli stessi per facilitarne la comprensione. ADAudit Plus offre, inoltre, la possibilità di generare report personalizzati ed esportarli nel formato preferito, PDF, XLS, HTML e CSV.

  • Con il controllo AD nativo

  • Con ADAudit Plus

Una volta installato, ADAudit Plus configura automaticamente i criteri di controllo necessari per Active Directory.

Per abilitare la configurazione automatica: Accedi alla pagina ADAudit Plus web console --> Domain Settings --> Audit Policy: Configure.

Le eliminazioni nei record DNS possono essere identificate seguendo i passaggi indicati di seguito:

  • Accedi ad ADAudit Plus

  • Seleziona l'opzione desiderata per Dominio nell'elenco a discesa

  • Vai alla scheda Reports

  • Passa a DNS Changes.

  • Seleziona DNS Nodes Removed.

  • Seleziona Recent User Logon Activity

    tracciare-modifiche-record-dns-5

    [Evidenzia report, dominio, modifiche DNS, nodi DNS aggiunti, nodi DNS rimossi, nodi DNS modificati]

    tracciare-modifiche-record-dns-6
  • Allo stesso modo, i report sui record DNS che sono stati aggiunti o modificati possono essere recuperati come segue:

    1. Vai alla scheda Reports.

    2. Passa a DNS Changes.

    3. Seleziona DNS Nodes Added / DNS Nodes Modified.

  • ADAudit Plus consente agli amministratori IT di avere un quadro completo di tutte le attività che si svolgono all'interno della rete dell'organizzazione. Il monitoraggio in tempo reale e i report pronti all'uso offerti da ADAudit Plus semplificano il tracciamento delle modifiche critiche nei record DNS e rilevano e prevengono gli incidenti.

Ecco come monitorare la cronologia dei record DNS con il controllo AD nativo:

  • Passaggio 1: Abilita il criterio "Audit logon events"
  • Avvia Server Manager nell'istanza di Windows Server.

  • In Manage, seleziona Gestione Criteri di gruppo e avvia la Console Gestione Criteri di gruppo.

  • Passa a Foresta --> Dominio --> Il tuo dominio --> Controller di dominio.

  • Crea un nuovo oggetto Criteri di gruppo e collegalo al dominio contenente l'oggetto computer oppure modifica un qualsiasi oggetto Criteri di gruppo esistente collegato al dominio per aprire la finestra di dialogo Editor Gestione Criteri di gruppo.

  • Passa a Configurazione computer -> Impostazioni di Windows -> Impostazioni di sicurezza -> Criteri locali -> Criteri controllo.

  • In Criteri controllo attiva il controllo per le operazioni riuscite del criterio Controlla accesso al servizio directory.

    tracciare-modifiche-record-dns-1
  • Passaggio 2: Consenti controllo AD tramite ADSI Edit
  • Dal tuo Server Manager Vai a Tools e seleziona ADSI Edit.

  • Fare clic con il pulsante destro del mouse su ADSI Edit dal riquadro di sinistra e seleziona l'opzione Connect to. In questo modo viene visualizzata la finestra Connection Settings.

  • Seleziona l'icona Default Naming Context dall'elenco a discesa Select a well-known Naming Context.

    tracciare-modifiche-record-dns-2
  • Fai clic su OK e torna alla finestra ADSI Edit window.Expand Default Naming Context e seleziona il nodo secondario associato DC . Fai clic con il pulsante destro del mouse su questo nodo secondario e scegli Proprietà.

  • Nella finestra Proprietà, vai alla scheda Sicurezza e seleziona Avanzate. Quindi, seleziona la scheda Auditing e fai clic su Add.

  • Applica le seguenti impostazioni

    1. Principal: Everyone
    2. Digita: Success
    3. Si applica a: questo oggetto e tutti gli oggetti discendenti
    4. Autorizzazioni: seleziona le caselle di controllo Write all properties, Delete, Delete subtree.
  • Fai clic su Apply e poi su OK e chiudere la console.

  • Passaggio 3: Abilita il controllo tramite DNS Manager
  • Da Server Manager, Vai a Tools e seleziona DNS.

    tracciare-modifiche-record-dns-3
  • Espandi il nome del server e seleziona Forward Lookup Zone.

  • Fai clic con il pulsante destro del mouse sulla zona che vuoi controllare e fai clic su Proprietà.

  • Nella finestra Proprietà, vai alla scheda Sicurezza e seleziona Avanzate. Quindi, seleziona la scheda Auditing e fai clic su Add.

  • Applica le seguenti impostazioni

    1. Principal: Everyone
    2. Digita: Success
    3. Si applica a: questo oggetto e tutti gli oggetti discendenti
    4. Autorizzazioni: seleziona le caselle di controllo Write all properties, Delete, Delete subtree.
  • Fai clic su Apply e poi su OK e chiudere la console.

  • Passaggio 4: Visualizza gli eventi nel Visualizzatore eventi
  • Nella finestra Visualizzatore eventi, vai a Registri di Windows -->Sicurezza.

  • Fa clic su Filter current log sotto Action nel pannello di destra.

  • Cerca l'ID evento 4662 che identifica le modifiche ai record DNS.

  • È possibile fare doppio clic sull'evento per visualizzare le Proprietà dell'evento.

    tracciare-modifiche-record-dns-4
  • Questi passaggi devono essere ripetuti per tutte le zone per controllare le modifiche nei record DNS. Il controllo manuale di ogni evento è dispendioso in termini di tempo, inefficiente e praticamente impossibile, per le grandi organizzazioni.

Il controllo nativo è un po' troppo?

Semplifica il controllo e la creazione di report dei record DNS con ADAudit Plus.

Scaricalo gratuitamente Versione di prova di 30 giorni completamente funzionante

ADAudit Plus semplifica il monitoraggio della cronologia dei record DNS offrendo diverse nei report delle Modifiche al DNS, insieme a una rappresentazione grafica intuitiva degli stessi per facilitarne la comprensione. ADAudit Plus offre, inoltre, la possibilità di generare report personalizzati ed esportarli nel formato preferito, PDF, XLS, HTML e CSV.

Richiedere supporto

Grazie!

I nostri tecnici dell'assistenza ti ricontatteranno al più presto.

    Inserire un indirizzo email valido
  •  
     
  • Cliccando 'invia richiesta' accetti l’elaborazione dei propri dati personali secondo l’Informativa sulla privacy.

Zoho Corporation Pvt. Ltd. Tutti i diritti riservati.