none
DNS A记录被修改,如何追溯 RRS feed

  • 问题

  • 您好,

    这两天发现DNS主要区域的几条静态A记录被人恶意修改,请问我们应该如何追溯什么时候修改的,谁修改的?

    ad相关审核策略都已启用。

    期待您的回复。

    2020年3月5日 6:25

答案

  • 尊敬的客户,您好!

    感谢您在我们的TechNet论坛发帖。

    根据您的描述,我们可以开启审核策略来追溯DNS记录什么时候被修改了。

    具体步骤如下:

    1. 打开"默认的域策略"这个组策略对象,配置审核策略。

    Computer Configuration → Policies → Windows Settings → Security Settings → Local Policies → Audit Policy →Audit directory service access → Define → Success



    2. 打开ADSI Edit, 连接到Default naming context → 找到DomainDNS对象 → System → 右击MicrosoftDNS → Properties → Security (Tab) → Advanced (按钮) → Auditing (Tab) → Add Principal "Everyone" → Type "Success" → Applies to "This object and all descendant objects" → Permissions → 勾选下面的权限:

    List contents
    Read all properties
    Write all properties
    Delete
    Delete subtree




    3. 打开DNS 管理器,找到服务器名字 → Forward Lookup Zone → 右击我们想审核的区域 → Properties → Security (Tab) → Advanced (按钮) → Auditing (Tab) → Add Principal "Everyone" → Type "Success" → Applies to "This object and all descendant objects" → Permissions → 勾选下面的权限:

    List contents
    Read all properties
    Write all properties
    Delete
    Delete subtree 




    4.请运行gpupdate / force以触发适用于DC的审核策略。



    以上步骤就是设置审核的步骤,下面我就在DNS管理器里面新建和删除A记录的例子,我们可以看到事件ID 5136(Event Viewer\Windows Log\Security).

    1. 这是我新建了一个A记录的信息。



    2. 这是我删除了一个A记录的信息。




    此致,
    Daisy Zhou

    针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。



    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年3月5日 8:00

全部回复

  • 尊敬的客户,您好!

    感谢您在我们的TechNet论坛发帖。

    根据您的描述,我们可以开启审核策略来追溯DNS记录什么时候被修改了。

    具体步骤如下:

    1. 打开"默认的域策略"这个组策略对象,配置审核策略。

    Computer Configuration → Policies → Windows Settings → Security Settings → Local Policies → Audit Policy →Audit directory service access → Define → Success



    2. 打开ADSI Edit, 连接到Default naming context → 找到DomainDNS对象 → System → 右击MicrosoftDNS → Properties → Security (Tab) → Advanced (按钮) → Auditing (Tab) → Add Principal "Everyone" → Type "Success" → Applies to "This object and all descendant objects" → Permissions → 勾选下面的权限:

    List contents
    Read all properties
    Write all properties
    Delete
    Delete subtree




    3. 打开DNS 管理器,找到服务器名字 → Forward Lookup Zone → 右击我们想审核的区域 → Properties → Security (Tab) → Advanced (按钮) → Auditing (Tab) → Add Principal "Everyone" → Type "Success" → Applies to "This object and all descendant objects" → Permissions → 勾选下面的权限:

    List contents
    Read all properties
    Write all properties
    Delete
    Delete subtree 




    4.请运行gpupdate / force以触发适用于DC的审核策略。



    以上步骤就是设置审核的步骤,下面我就在DNS管理器里面新建和删除A记录的例子,我们可以看到事件ID 5136(Event Viewer\Windows Log\Security).

    1. 这是我新建了一个A记录的信息。



    2. 这是我删除了一个A记录的信息。




    此致,
    Daisy Zhou

    针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。



    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年3月5日 8:00
  • 您好,

    A记录被修改,EVENT ID也是5136吗?例如一条mai的静态A记录,被人为修改或者其他系统更新。

    期待您的回复!

    2020年3月6日 6:24
  • 尊敬的客户,您好!

    根据上面我在自己的测试环境中的测试,事件ID 5136 的说明,当我增加一个A记录或者删除一个A记录,就会记录下 5136事件“(A directory service object is modified)一个目录服务对象被修改”,我觉得A记录被修改就会被记录为5136.


    我自己新建一个A记录,然后又删除这个A记录,都是被记录下来了(5136)。当我右击一个A记录,只有删除和属性。而且当我打开属性的时候只有host名字和IP地址,host名字不能修改,IP可以修改。


    1. 请问您说的认为修改指的是修改IP地址吗?如果不是的话,修改的是什么信息呢?




    2. 您说的“其他系统更新”是指的增加一个A记录吗?如果是的话,就是被记录下5136。如果不是的话,请问是指的什么呢?


    此致,
    Daisy Zhou

    针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。



    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年3月9日 2:00
  • Hi Daisy,

    A记录修改的意思就是,如:DNS中双击Win10Client A记录,将IP地址192.168.2.88修改为192.168.100.88;

    请问记录的时间ID也是5136?我没找到这个相关的日志,都是创建和删除的,所以和您确认一下。

    期待您的回复。

    2020年3月9日 2:14
  • 尊敬的客户,您好!

    我检查了audit的权限,只有modified permissions and modified owner,请看以上的步骤2和步骤3显示。

    同时经过我的大量测试,也就是audit全部的权限,我然后修改了A记录中的IP地址,没有查看到相应的事件ID。

    所以我认为只修改DNS中的A记录中的IP地址,设置了审核策略以后,事件查看器中检查不到相应的事件ID。




    此致,
    Daisy Zhou


    针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年3月10日 3:17
  • Hi Daisy,

    非常感谢您的协助,您帮我解决了问题,有问题我还会来社区发帖!

    2020年3月10日 5:06
  • 尊敬的客户,您好!

    不客气。同时感谢您的回复,并且把我的回复标记为答案。我们很高兴提供的信息对您有帮助。

    一如既往,如后期遇到任何问题,欢迎您随时咨询我们,我们很高兴协助您。

    祝您工作生活愉快!


    此致,
    Daisy Zhou


    针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年3月10日 5:43