Het omgaan met wijzigingen in Active Directory, vooral wanneer meerdere beheerders betrokken zijn, kan behoorlijk lastig zijn. Je weet niet altijd wie de wijziging heeft aangebracht of wanneer, wat cruciaal is als je de beveiliging in de gaten wilt houden of problemen wilt oplossen. Dit artikel gaat dieper in op het instellen van auditbeleid en een PowerShell-script dat je automatisch (via e-mail of zelfs Messenger) op de hoogte stelt wanneer iemand een gebruiker toevoegt aan groepen met superrechten, zoals Domeinbeheerders, Bedrijfsbeheerders of Schemabeheerders. Kortom, het is een manier om deze cruciale wijzigingen in de gaten te houden zonder de hele dag handmatig logboeken te hoeven doorzoeken. Na de configuratie zie je meldingen verschijnen wanneer een nieuwe gebruiker zich bij een beveiligde groep voegt, waardoor het gemakkelijker wordt om verdachte activiteiten te detecteren of geautoriseerde wijzigingen te bevestigen.
Hoe u wijzigingen in het lidmaatschap van Active Directory-groepen kunt bijhouden
Auditbeleid inschakelen voor wijzigingen in AD-groepslidmaatschap
Dit gedeelte gaat over het instellen van Windows om groepswijzigingen te registreren. Als Windows deze gebeurtenissen niet registreert, ontvangt u later geen waarschuwingen. Open de Group Policy Management Console ( gpmc.msc ) en bewerk het standaardbeleid voor domeincontrollers. Navigeer naar Computerconfiguratie > Beleid > Windows-instellingen > Beveiligingsinstellingen > Geavanceerde auditconfiguratie > Accountbeheer. Schakel vervolgens het beleid ‘ Beveiligingsgroepsbeheer controleren ‘ in met ‘ Geslaagde gebeurtenissen’.Hierdoor registreert Windows elke toevoeging, verwijdering of wijziging van AD-groepslidmaatschappen. Op sommige computers is hiervoor mogelijk een herstart of een gpupdate /force nodig om de registratie correct te laten verlopen. Zodra dit is gedaan, wordt er elke keer dat iemand een groep wijzigt, een gebeurtenis met gebeurtenis-ID 4732 (lid toegevoegd aan een globale groep) of 4728 (lid toegevoegd aan een lokale groep) geregistreerd. Deze logboeken geven u details zoals welke groep is gewijzigd, wie de wijziging heeft aangebracht en wie is toegevoegd – want Windows moet het natuurlijk soms verwarrend maken.
Rapport over wijzigingen met PowerShell
Hier wordt het wat praktischer. Je kunt een PowerShell-script uitvoeren dat de beveiligingslogboeken van de afgelopen 24 uur scant en de wijzigingen eruit haalt. Hier is een typisch voorbeeld – een beetje omslachtig, maar het werkt:
$time = (get-date) - (new-timespan -hour 24) $result = Get-WinEvent -FilterHashtable @{logname='Security';id=4732, 4728;StartTime=$Time} -ErrorAction SilentlyContinue | ForEach-Object { $eventXml = ([xml]$_. ToXml()).Event [PSCustomObject]@{ TimeCreated = $eventXml. System. TimeCreated. SystemTime -replace '\.\d+.*$' NewUser = $eventXml. EventData. Data[0]."#text" Group = $eventXml. EventData. Data[2]."#text" Admin = $eventXml. EventData. Data[6]."#text" Computer = $eventXml. System. Computer } } $result | Format-Table -AutoSize Dit script haalt recente wijzigingen in Active Directory-groepen op. De belangrijkste informatie die u krijgt: welke groep is gewijzigd, welke gebruiker is toegevoegd en wie de wijziging heeft aangebracht. Handig voor snelle controles. Om het script gerichter te maken – bijvoorbeeld alleen voor groepen met beheerdersrechten – kunt u een filter toevoegen zoals:
$AdminGroups = @('Enterprise Admins', 'Domain Admins', 'DNSAdmins', 'Microsoft Exchange Servers') $filtered = $result | Where-Object { $_. Group -in $AdminGroups }Op deze manier word je alleen op de hoogte gebracht van de grote, interessante veranderingen.
Stel e-mail- of Messenger-meldingen in
Zodra je een wijziging hebt vastgesteld, is het belangrijk dat je daarvan op de hoogte wordt gesteld. Een eenvoudige manier is om Send-MailMessage in PowerShell te gebruiken:
if ($filtered) { $mailBody = $filtered | ConvertTo-Html -Fragment Send-MailMessage -SmtpServer "your.smtp.server" -From "[email protected]" -To "[email protected]" -Subject "AD Group Change Detected" -Body $mailBody -BodyAsHtml -Priority High } Hiermee ontvang je een mooi opgemaakte HTML-e-mail wanneer een bevoorrechte groep wijzigt. Of, als je Messenger of Teams verkiest, zijn er scripts beschikbaar (zoals webhooks of modules van derden) die meldingen kunnen versturen. Voor Teams maak je doorgaans een connector voor inkomende webhooks aan en verwijs je je script ernaar, wat erg handig is.
Alle domeincontrollers bewaken
Als je omgeving groot is en meerdere domeincontrollers heeft, moet je dit op elk van hen uitvoeren. De makkelijkste manier? Doorloop al je controllers met een PowerShell-opdracht:
$DCs = Get-ADDomainController -Filter * foreach ($DC in $DCs) { Get-WinEvent -ComputerName $DC. Name -FilterHashtable @{logname='Security';id=4732, 4728;StartTime=$time} # And process the logs as needed } Als alternatief kunt u op elke domeincontroller (bijvoorbeeld via GPO) geplande taken instellen die het script periodiek uitvoeren. Op die manier hoeft u niet de hele dag op ‘logboeken controleren’ te klikken. U stelt het in en hoeft er verder niet meer naar om te kijken. Als u extra voorzichtig wilt zijn, kunt u de logboeken zelfs centraliseren met een SIEM-systeem zoals Splunk of Graylog, maar dat is weer een ander verhaal.
Het opzetten hiervan klinkt misschien als een gedoe, maar als het eenmaal draait, is het een opluchting dat je niet meer handmatig door logbestanden hoeft te spitten. Bovendien helpt het om stiekeme beheerdersacties vroegtijdig op te sporen, vooral in grote, drukke omgevingen met meerdere beheerders. Absoluut de moeite waard voor grotere systemen of organisaties die veel waarde hechten aan beveiliging.
Samenvatting
- Schakel het geavanceerde auditbeleid in voor wijzigingen in AD-groepen.
- Gebruik PowerShell om recente gebeurtenissen te scannen op verdachte wijzigingen.
- Stel e-mail- of berichtenmeldingen in voor directe notificaties.
- Logboeken herhalen of centraliseren op alle domeincontrollers.
Samenvatting
Dit proces is niet perfect: soms lopen logboeken achter, moeten beleidsregels worden aangepast en werkt niet alles vlekkeloos in elke configuratie. Maar over het algemeen is het een solide stap in de richting van het monitoren van cruciale Active Directory-wijzigingen zonder constant handmatig logboeken te hoeven controleren. Eenmaal geïmplementeerd, is het een enorme hulp bij het opsporen van ongeautoriseerde gebruikerstoevoegingen of het bevestigen van wijzigingen in een drukke omgeving. Laten we hopen dat dit iemand helpt om de AD-beveiliging onder controle te houden zonder gek te worden!