Cómo supervisar la eliminación de registros DNS

Con la auditoría nativa de AD, así es como puede supervisar la eliminación del registro DNS:

• Paso 1: Habilite la directiva “Inicio de sesión de cuentas”

• Inicie Administrador de servidores en la instancia de servidor de Windows.
• En Administrar, seleccione Administración de directivas de grupo e inicie la Consola de administración de directiva de grupo.
• Navegue a Bosque --> Dominio --> Su dominio --> Controladores de dominio.
• Crear una nueva GPO y vincularla al dominio que contiene el objeto del equipo, o editar cualquier GPO existente que esté vinculada al dominio para abrir el “Editor de administración de directivas de grupo”.
• Vaya a Configuración del equipo ➔ Configuración de Windows ➔ Configuración de seguridad ➔ Directiva local ➔ Directiva de auditoría
• En Directivas de auditoría active la auditoría para el Éxito de la directiva de Auditar el acceso al servicio de directorio.
•  

• Paso 2: Permita auditoría de AD a través de ADSI Edit

• Desde su “Administrador de servidores”, vaya a “Herramientas”y seleccione “ADSI Edit”.
• Haga clic con el botón derecho en el nodo Editar ADSI en el panel izquierdo y seleccione la opción Conectar a. Esto abre la ventana de Configuración de conexión.
• Seleccione la opción Contexto de nomenclatura predeterminado de la lista desplegable Seleccione un contexto de nomenclatura conocido.
• 
• Haga clic en Aceptar y regrese a la ventana de ADSI Edit. Expanda Contexto de nomenclatura predeterminado y seleccione el sub-nodo DC asociado. Haga clic con el botón derecho en este sub-nodo y haga clic en Propiedades.
• En la ventana Propiedades, vaya a la pestaña Seguridad y seleccione Avanzado. Después de eso, seleccione Auditoría y haga clic en Agregar.
• Aplique la siguiente configuración
  1. Entidad de seguridad: Todos
  2. Tipo: Éxito
  3. Se aplica a: Este objeto y todos los objetos descendientes
  4. Permisos: Seleccione las casillas deEscribir todas las propiedades, Eliminar, Eliminar subárbol.
• Haga clic en Aplicar, luego en Aceptar y cierre la consola.

• Paso 3: Habilitar la auditoría a través del Administrador de DNS

• Desde su Administrador de servidores, vaya a Herramientas y seleccione DNS.

   

• Despliegue el nombre de su servidor y seleccione Zona de búsqueda.
• Haga clic con el botón derecho en la zona que desea auditar y haga clic en Propiedades.
• En la ventana Propiedades, vaya a la pestaña Seguridad y seleccione Avanzado. Después de eso, seleccione Auditoría y haga clic en Agregar.
• Aplique la siguiente configuración
  1. Entidad de seguridad: Todos
  2. Tipo: Éxito
  3. Se aplica a: Este objeto y todos los objetos descendientes
  4. Permisos: Seleccione las casillas deEscribir todas las propiedades, Eliminar, Eliminar subárbol.
• Haga clic en Aplicar, luego en Aceptar y cierre la consola.

• Paso 4: Vea eventos en el Visor de eventos

• En la ventana Visor de eventos, vaya a Registros de Windows ➔ Registros de seguridad .
• Haga clic en Filtrar registro actual en Acción en el panel derecho.
• Busque el ID de evento 4662 que identifica los cambios en los registros DNS.
• Puede hacer doble clic en el evento para ver las Propiedades de evento. 

Estos pasos deben repetirse para todas las zonas para auditar los cambios en los registros DNS. Comprobar manualmente cada evento lleva mucho tiempo, es ineficaz y prácticamente imposible para las grandes organizaciones.