Ataques a acessos privilegiados do Active Directory estão em alta. Em muitos casos, os ataques não são bem sucedidos na primeira tentativa. O autor do ataque tenta fazer logon com uma ou mais credenciais, muitas vezes para cada conta com falha antes do sucesso. Então, quando se trata de rastreamento, falhas em tentativas de logon com usuários “admin”, você pode localizar e evitar um ataque antes do ataque ser bem sucedido!
Rastrear tentativas e falhas para várias contas de usuários, pode ser uma tarefa tediosa. Mesmo se você soubesse os nomes das contas dos usuários com privilégios de administrador, tentando pesquisar os logs de cada controlador de domínio pode ser cansativo, se não quase impossível. Considere os seguintes problemas se você quiser tentar controlar manualmente os inícios de falhas de sessões por contas de administradores utilizando os logs de segurança em cada controlador de domínio:
Cada DC contém um log de segurança único, que não é replicado
A maioria dos logs de segurança são definidos para “Substituir eventos quando necessário”, o que pode excluir um evento antes que ele possa ser encontrado
O log de segurança tem um limite de tamanho, por isso, dependendo do tamanho de cada log, o logon não pôde ser substituído
Você pode arquivar logs de segurança, mas, a fim de procurá-los, você precisará inseri-los manualmente para o Visualizador de eventos ou alguma outra ferramenta
Os alertas podem ser configurados para o início de sessões com falhas; no entanto, o alerta da Microsoft não recebe o suficiente para que você especifique apenas as contas com credenciais de administrador.
O PowerShell pode ser usado para procurar os logs de segurança para eventos e detalhes específicos, mas apenas se o log não foi arquivado.
Como você pode ver, a obtenção de uma lista das contas que falharam os inícios de sessão pode ser difícil. Eu nem sequer abordei a necessidade de descer para o nível de endereço IP.
Em vez de lutar com o Visualizador de eventos, buscas em logs e PowerShell, por que não usar uma ferramenta que permite que você veja um relatório dos logons de “admin” fracassados e o endereço IP com apenas um clique! Se você quiser configurar um alerta para apenas os logons das contas “admin” que falharam, você pode fazer isso com outro clique ou dois.
A ferramenta de escolha é o ManageEngine ADAudit Plus. Você pode olhar para o relatório “falhas de logon baseados em usuários”, que fornece-lhe um resumo de todas as falhas de início de sessão por usuário. Em seguida, basta selecionar o usuário que você está procurando, o que lhe dá a saída que inclui o endereço IP.
Se você tem a necessidade de rastrear todas as contas privilegiadas de administrador, você pode criar um relatório personalizado rapidamente e até mesmo associar um alerta para qualquer usuário no relatório personalizado que teve falhas de logon.
Em caso de dúvidas ou caso queira conhecer o ADAudit Plus da ManageEngine, entre em contato conosco a equipe ACS Pro para que possamos lhe auxiliar.
ACS Pro Revendedor Autorizado ManageEngine e Zoho no Brasil.
Fone / WhatsApp (11) 2626-4653.
