Cómo detectar quién ha agregado un usuario a un grupo privilegiado

Los grupos privilegiados son grupos de seguridad que contienen usuarios encargados de la administración y otras tareas de gestión exclusivas que son importantes para la organización. También pueden crearse para administrar un conjunto específico de usuarios en una división concreta; como los directores financieros en la división financiera de una empresa. Los usuarios de grupos privilegiados en AD reciben más accesos de seguridad, privilegios de auditoría o de uso compartido que el resto. Las adiciones no deseadas a un grupo privilegiado podrían dar lugar a que un intruso malintencionado obtuviera acceso a información sensible y a un mayor nivel de privilegios. Esto hace que el seguimiento de las cuentas privilegiadas sea importante. A continuación se indican los pasos para comprobar quién ha agregado un usuario a un grupo privilegiado utilizando las herramientas nativas de AD. También puede comprobar cómo ADAudit Plus puede simplificar este proceso haciendo clic en la pestaña ADAudit Plus.

Descárguelo gratis

Prueba gratuita de 30 días con todas las funciones

Con auditoría nativa de AD
Con ADAudit Plus

Cómo rastrear quién agregó un usuario a un grupo privilegiado con ADAudit Plus
En la consola de ADAudit Plus, vaya a la pestaña 'Reports' y navegue hasta 'User Management' en el panel izquierdo. Seleccione 'Recently Moved Users'. Esto le proporciona un informe sobre los usuarios que han sido desplazados a diferentes contenedores.
Puede utilizar los atributos de filtro para buscar un evento específico en el que un usuario haya sido movido a un grupo privilegiado.
Los informes preconfigurados incluyen los grupos de seguridad creados y eliminados recientemente, así como los miembros agregados o eliminados de un grupo de seguridad. También puede crear informes personalizados y exportarlos en (CSV, PDF, XSL, HTML)
Correlacione varios informes para detectar actividades anómalas en la red.

Paso 1: Habilite la auditoría de directiva de grupo
Inicie el “Administrador de servidores” y abra la Consola de administración de directiva de grupo (GPMC, Group Policy Management Console).
En el panel izquierdo, expanda los nodos 'Bosque' y 'Dominios' para revelar el dominio específico para el que desea realizar un seguimiento de los cambios.
Expanda el dominio y haga clic con el botón derecho en Directiva de dominio predeterminada. También puede elegir una directiva de dominio que sea universal en todo el dominio o crear un nuevo GPO y vincularlo a la Directiva de dominio predeterminada.
Haga clic en Editar de la directiva de grupo deseada para abrir el Editor de administración de directivas de grupo.
Expanda “Configuración del equipo”-->Directivas-->Configuración de Windows-->Configuración de seguridad-->Directivas locales--> Directiva de auditoría.
Habilite 'Éxito' para propiedades de directiva de 'Auditar la administración de cuentas' y 'acceso a objetos'. Salga del Editor de administración de directiva de grupo.
En GPMC, elija la GPO modificada y haga clic en “Agregar” en la sección “Seguridad” en el panel derecho. Escriba 'Todos' en el cuadro de texto y haga clic en 'Comprobar nombres' para incluir el valor. Salga del GPMC.
Para aplicar estos cambios en todo el dominio, ejecute el comando “gpupdate /force” en la consola de “Ejecutar”.
Paso 2: Permita auditoría de AD a través de ADSI Edit
Desde su “Administrador de servidores”, vaya a “Herramientas”y seleccione “ADSI Edit”.
Haga clic con el botón derecho en el nodo “ADSI Edit” en el panel izquierdo y seleccione la opción “Conectar a”. Esto abre la ventana de Configuración de conexión.
Seleccione la opción Contexto de nomenclatura predeterminado de la lista desplegable “Seleccione un contexto de nomenclatura conocido”.
Haga clic en “Aceptar”y regrese a la ventana de ADSI Edit. Expanda “Contexto de nomenclatura predeterminado” y seleccione el sub-nodo “DC” asociado. Haga clic con el botón derecho en este sub-nodo y haga clic en “Propiedades”.
En la ventana Propiedades, vaya a la pestaña Seguridad y seleccione Avanzado. Después de eso, seleccione 'Auditoría' y haga clic en 'Agregar'.
Haga clic en Seleccionar un principio. Esto hará que aparezca una ventana de Seleccione Usuario, Computador o Grupo. Escriba “Todos” en el cuadro de texto y verifíquelo con Comprobar nombres.
El principio en la ventana de Entrada de auditoría ahora muestra 'Todos'. En el menú desplegable “Tipo”, seleccione “Todos” para auditar los eventos de “Éxito” y “Error”.
En el menú desplegable “Seleccionar”, elijaEste objeto y todos los objetos descendientes. Esto permite la auditoría de los objetos descendientes de la unidad organizativa. Seleccione Control total en la sección “Permisos”.
Esto selecciona todas las casillas de verificación disponibles. Desmarque las siguientes casillas de verificación:
1. Control total
2. Contenido de la lista
3. Lea todas las propiedades
4. Lea permisos
Puede ver los eventos en el 'Visor de eventos'. Puede acceder a los 'Registros de seguridad' en 'Registros de Windows'.
ID de evento 4728: Se ha agregado un miembro a un grupo habilitado para seguridad.
Puede buscar este ID de evento para comprobar quién ha agregado un usuario a una cuenta privilegiada.

¿Llega a ser demasiado la auditoría nativa?

Simplifique la auditoría y la generación de informes de grupos privilegiados con ADAudit Plus.

Obtenga su prueba gratuitaPrueba gratuita de 30 días con todas las funciones

Cómo detectar quién ha agregado un usuario a un grupo privilegiado

Con auditoría nativa de AD

Con ADAudit Plus

Cómo rastrear quién agregó un usuario a un grupo privilegiado con ADAudit Plus

Paso 1: Habilite la auditoría de directiva de grupo

Paso 2: Permita auditoría de AD a través de ADSI Edit