如何审计DNS注册信息的变化?

DNS不仅在我们工作的公司网络中很重要,在internet中也是许多系统的重要的服务,那么作为重要的服务之一的DNS,对他的审计也尤为关键。但是DNS注册信息的变更却很少有审计软件来记录,而且作为第三方的审计软件来说多多少少与windows内核不能完全兼容协作,那么当我们需要知道公司域内的DNS记录更改信息的时候,怎么办?

其实我们也可以使用windows的内置审计功能

在域控制器上开启:“审核目录服务访问”

Server系列19:如何审计DNS注册信息的变化?_第1张图片

审核目录服务访问:

审核成功的操作

审核失败的操作

Server系列19:如何审计DNS注册信息的变化?_第2张图片

DNS区域类型有三种:主要区域、辅助区域、存根区域

要确认DNS复制范围

Server系列19:如何审计DNS注册信息的变化?_第3张图片

Server系列19:如何审计DNS注册信息的变化?_第4张图片

上面的图示中,我的DNS默认是安装在域级别,所以在ADSIEDIT中查询时使用如下:

Server系列19:如何审计DNS注册信息的变化?_第5张图片

如果是三级以上的结构,要写成如下:

Server系列19:如何审计DNS注册信息的变化?_第6张图片

效果如下:

Server系列19:如何审计DNS注册信息的变化?_第7张图片

那么这边我们就开始重点:DNS审计

在我们要审计的区域上:

Dc=forestdnszone,dc=cco,dc=v

右击“属性 - 安全 - 高级”--审计”

Server系列19:如何审计DNS注册信息的变化?_第8张图片

添加主体输入everyone

Server系列19:如何审计DNS注册信息的变化?_第9张图片

对于成功类型,勾选三种权限:

列出内容

读取全部属性

读取权限

Server系列19:如何审计DNS注册信息的变化?_第10张图片

对于失败类型,勾选如下权限:

列出内容

读取全部属性

写入全部属性

删除

删除子树目录

读取权限

Server系列19:如何审计DNS注册信息的变化?_第11张图片

效果如下:

Server系列19:如何审计DNS注册信息的变化?_第12张图片

那么这边配置已经基本ok,就来试试更新DNS信息,是否能看到日志记录(记录4662

我们更换一台serverIP地址,然后查看事件日志

Server系列19:如何审计DNS注册信息的变化?_第13张图片

成功进行审核,对象为服务器×××M,数据都是可以被检索的,你可以使用号码4662或者标示对象类型:dnsnode

Ok,到这边我们就已经实现了审核DNS注册信息的变更,同时也将这些变化记录在系统日志中,希望对大家有所帮助。