Server系列19：如何审计DNS注册信息的变化？

如何审计DNS注册信息的变化？

DNS不仅在我们工作的公司网络中很重要，在internet中也是许多系统的重要的服务，那么作为重要的服务之一的DNS，对他的审计也尤为关键。但是DNS注册信息的变更却很少有审计软件来记录，而且作为第三方的审计软件来说多多少少与windows内核不能完全兼容协作，那么当我们需要知道公司域内的DNS记录更改信息的时候，怎么办？

其实我们也可以使用windows的内置审计功能

在域控制器上开启：“审核目录服务访问”

审核目录服务访问：

审核成功的操作

审核失败的操作

DNS区域类型有三种：主要区域、辅助区域、存根区域

要确认DNS复制范围

上面的图示中，我的DNS默认是安装在域级别，所以在ADSIEDIT中查询时使用如下：

如果是三级以上的结构，要写成如下：

效果如下：

那么这边我们就开始重点：DNS审计

在我们要审计的区域上：

Dc=forestdnszone,dc=cco,dc=v

右击“属性 - 安全 - 高级”--“审计”

添加—主体—输入everyone

对于成功类型，勾选三种权限：

列出内容

读取全部属性

读取权限

对于失败类型，勾选如下权限：

列出内容

读取全部属性

写入全部属性

删除

删除子树目录

读取权限

效果如下：

那么这边配置已经基本ok，就来试试更新DNS信息，是否能看到日志记录（记录4662）

我们更换一台server的IP地址，然后查看事件日志

成功进行审核，对象为服务器×××M，数据都是可以被检索的，你可以使用号码4662或者标示对象类型：dnsnode

Ok，到这边我们就已经实现了审核DNS注册信息的变更，同时也将这些变化记录在系统日志中，希望对大家有所帮助。