Узнайте нужен ли в Вашей компании Service Desk

8 (495) 726-15-52

Аудит Active Directory

Каждую минуту в IT-среде происходят какие-то изменения (положительные или негативные), которые нужно в обязательном порядке отслеживать и фиксировать. Чем сложнее структура системы, тем больше риск возникновения ошибок в ее администрировании и раскрытии данных. Если регулярно не проводить анализ изменений («хороших» и «плохих»), безопасность среды в разы снизится. Администратор должен четко знать, кто, в какое время и зачем внес новшества, и к чему они привели. Специалисту также требуется понимание, почему кто-то сумел или не сумел войти в систему, кто из пользователей удалил какие-то данные, почему был предоставлен доступ тем, кому он не положен и т. д.

Аудит – неотъемлемая часть целостного управления ИТ-инфраструктурой, но именно этому вопросу не уделяется должного внимания. Зачастую такое происходит по техническим причинам, так как специалисту не всегда понятно, как, что и в каких целях нужно тщательно контролировать и проверять. Само по себе отслеживание событий – довольно тяжелая работа, так как в системе хранится колоссальный объем информации, а штатные инструменты не обеспечивают комфорт и удобство проверки. Администратору приходится вручную задавать ее параметры, а затем анализировать события и составлять отчеты по ним. Многие IT-специалисты довольствуются регулярным резервным копированием данных, а в случае появления проблем они ограничиваются возвращением к ранее выставленным настройками. Решение об интеграции постоянного аудита принимается, к сожалению, только после довольно серьезных сбоев.

Что такое Active Directory?

Active Directory (AD) – это специальная служба каталогов от Microsoft. Сервер, выполняющий эту роль, называется контроллером домена. Для полноценной интеграции на него дополнительно ставят службы DNS и DHCP.

AD предназначен для хранения данных о ресурсах, которыми обладает компания, например, информации о компьютерах пользователей или подключенных сканерах и другой технике. Он позволяет проверять логины и пароли (играет роль сервиса аутентификации) и массово выставлять определенные настройки всем сетевым «участникам». AD также выполняет функции базы данных, в которой хранятся параметры совместимых приложений.

Общие цели бизнеса для аудита изменений

Компании, заботящиеся о конфиденциальности информации, придерживаются политики безопасности. Она предполагает соблюдение определенных нормативных требований и законодательных положений. Они предписывают обязательное проведение аудита всех действий, удачных и неудачных, которые осуществляются в общей IT-инфраструктуре. При этом важно, чтобы все зафиксированные в журнале событий данные нельзя было удалить. Также необходимо, чтобы была возможность находить и фильтровать данные, формировать отчеты, основываясь на журнальных записях. Организациям необходимо использовать штатные средства аудита, чтобы находить выход из проблемных ситуаций. Если в системе что-то пошло не так, журналы аудита помогут найти ответ на вопрос, что именно случилось и кто виновен в возникновении ошибки.

AD-аудит штатными средствами

В Windows Server 2008 подсистемы аудита настраиваются через применение политики безопасности, при этом предоставляется возможность отслеживать целых 53 параметра. На категорийной ступени можно контролировать преобразования и настраивать специфические параметры:

  • открывать, ограничивать или закрывать доступ к службе каталогов;
  • изменять службу каталогов;
  • осуществлять репликацию службы каталогов;
  • осуществлять их подробную репликацию.

Когда запускается глобальная аудиторская политика, автоматически включаются в работу все подкатегории политики служб каталогов. Средства аудита фиксируют все попытки создать, изменить, переместить, удалить или восстановить конкретный объект. В то же время в журнале отображаются начальное и актуальное состояния изменяемого параметра, а также пользовательская учетная запись, под которой производились изменения. Если объект создавался с использованием параметров по умолчанию, то их характеристики в журнале событий не записываются.

Внедрение аудита в AD осуществляется с использованием нескольких средств, среди которых:

  • список управления доступом, определяющий подконтрольные операции;
  • глобальная политика аудита;
  • схема, необходимая для конечного создания списка событий.

Запуск политики аудита изменений с использованием командной строки

Для серверов открыт «Доступ к службе каталогов AD». Чтобы запустить глобальную аудиторскую политику, нужно активировать соответствующий редактор или применить утилиту командной строки auditpol. С ее помощью выводится весь перечень GAP с актуальными характеристиками. Далее требуется запустить команду

> auditpol /list /subcategory:*

После этого нужно запустить directory service access.

Аудит изменений объектов служб каталогов Active Directory

Он нужен, чтобы выяснить, будет ли ОС продуцировать события, если в объекты доменных служб AD внести преобразования. Аудит содержит сведения о ранее неизвестных и давних характеристиках, подвергнутых трансформации. События создаются для тех объектов, у которых есть заданные списки управления доступом.

Аудит диспетчера учетных записей безопасности (sam)

Он применим ко всем версиям Windows и нужен для оценки событий, возникающих в результате доступа к объектам диспетчера учетных записей безопасности (SAM). SAM представляет собой особую базу данных, она управляется Windows. В ней содержатся учетные записи юзеров, а также дескрипторов безопасности на отдельном ПК. Объектами SAM являются:

  • локальная группа;
  • группа, вне которой существует локальная;
  • учетные записи абонентов;
  • домен;
  • учетная запись ПК.

Когда этот параметр настроен, то при доступе к объекту формируется событие. Аудит успехов предполагает регистрацию удачных попыток, а аудит отказов – фиксацию неудач.

Цели штатных инструментов аудита

Цель банальна – следить за всем, что случается в системе. Администратору нужно контролировать изменения членства в группах и разблокировку учетных записей, фиксировать активность абонентов и попытки входа в систему (удачных и несанкционированные). Аудит позволяет настраивать доступ к определенным файлам и папкам. Осуществляя наблюдение, специалист собирает информацию, обрабатывает ее и принимает решения. К сожалению, данные хранятся локально на контроллере домена, а не централизованно. Плюс к этому в интегрированных инструментах нет функции создания отчета, из-за чего аудит становится сложным и довольно долгим. Кроме этого, если журнал событий не справляется с информационными потоками, риск потерять ее возрастает в разы, а свободное место на контроллерах кончается. Тщательно проанализировать данные при помощи интегрированных средств может опытный специалист. Те самые инструменты не всегда приемлемы для крупных корпораций. Они хороши для малых систем, состоящих из пары серверов и включающих максимум сотню юзеров.

Почему необходим аудит?

Аудит нужен по нескольким причинам:

Устранение рисков. Аудит предполагает фиксировать все детали события, происходящего в IT-системе, за счет чего значительно снижается вероятность возникновения разного рода ошибок. С AD пользователь получает право доступа к конкретным данным и приложениям, причем этот доступ может быть как локальным, так и удаленным. Такая политика проводится в целях контроля поведения каждого пользователя. Администратор должен знать, кто и что делает – это позволяет обеспечить максимальный уровень безопасности, предотвратить утечку данных и поддерживать стабильную работу всей ИТ-инфраструктуры. Благодаря аудиту у специалиста появляется полная картина действий, которую можно использовать в расследовании того или иного события.

Усиление безопасности. Система подвергается «местным» угрозам и угрозам извне. Иногда внутренние изменения и атаки становятся более серьезной проблемой, чем внешние. Это связано, прежде всего, с тем, что «своим» пользователям открывается большой кредит доверия. Часто настройки системы безопасности меняются только после того, как в ней обнаружилось слабое звено. Без каждодневного аудита нельзя сделать прогноз, как скажутся изменения на всей системе. Его же применение позволяет администратору оперативно получать сигналы о внесенных изменениях и быстро реагировать на них.

Рационализация управления. При помощи Active Directory возможности администратора по восстановлению работоспособности системы возрастают, расширяются и совершенствуются. Если он будет на протяжении определенного времени регистрировать изменения, а потом анализировать их, то в будущем при возникновении сбоев он сможет быстрее найти решение. Также это позволит обнаруживать скрытые, неочевидные проблемы, прогнозировать возможные последствия и заранее предпринимать меры по предупреждению «аварийных ситуаций». Использовать такой подход гораздо практичнее и выгоднее, так как практически всегда на восстановление данных уходит несколько часов, а иногда и дней.

Соблюдение нормативных требований, которые предъявляются к обеспечению информационной безопасности. Есть несколько стандартов (SOX, HIPAA, FISMA и PCI), которые определяют, что конкретно надо фиксировать о событиях доступа и их изменениях. Они призваны защищать не только организации, но и конечных потребителей. Использование этих нормативов официально подтверждает, что компания обеспечивает защиту, фиксацию и отслеживание преобразований, которые касаются доступа к закрытой, секретной информации. По большому счету, Active Directory не может полноценно создать такие условия при помощи внутренних инструментов. Именно поэтому организации прибегают к покупке и использованию специального программного обеспечения от сторонних разработчиков.

Недостатки штатной системы аудита. Как их преодолеть

Аудит всех событий, которые происходят в системе, можно осуществить, применяя Windows. Однако в этом случае нужно принимать во внимание производительность сервера и размеры журналов. Штатная архитектура недостаточно прозрачна, и если за один час в журнал записываются десятки тысяч событий, то это может привести к сбоям в работе сервера. Еще одно «слабое звено» системы – внесение изменений в сам журнал. Нельзя исключать тот момент, что администратор может дать команду его полной очистки. В некоторых случаях удается настроить привилегии за счет создания специальных учетных записей, но для больших организаций это непрактично. Даже если эта практика применяется, то процессы не осуществляются в режиме реального времени, а вытащить данные, сохраненные в одном месте, можно только с использованием примитивного Event Viewer. При этом нет возможности установить взаимосвязь между разными событиями. Чтобы решить проблемы, нужно внедрять решения сторонних разработчиков.

Решение для аудита AD: критерии выбора

Штатная аудиторская система, к сожалению, не всегда демонстрирует эффективность. Это всего лишь базовое решение, которое подойдет небольшим организациям. По сути Microsoft предоставляет платформу, на основе которой сторонние компании разрабатывают программное обеспечение, способное удовлетворять потребности крупного бизнеса. Выбирая программу, которая помогает в аудите AD, необходимо учитывать несколько важных условий.

Сбор данных

Он должен осуществляться в автоматическом режиме либо реализовываться за счет использования скриптов или стороннего программного обеспечения. Без таких инструментов собирать информацию и контролировать изменения непрерывно просто невозможно. Если не фиксировать данные, то из-за перезаписи журнала событий или из-за нехватки места на сервере их можно легко потерять.

Хранение информации

Это условие вытекает из предыдущего. Автоматизация нуждается в высвобождения дополнительных ресурсов, что иногда негативно влияет на работу всей IT-инфраструктуры. А это может пошатнуть ее стабильность. Важно, чтобы используемый способ оказывал минимальное воздействие на систему, а хранение информации было централизованным – именно в таких условиях она становится неуязвимой. Соблюдение такого подхода обеспечивает доступность проведения каждодневного анализа данных и создание отчетности.

Надежность

При сборе информации необходимо применять те методы, которые использует Event Log, а также встроенные инструменты, нуждающиеся в интеграции агентов или преобразовании системного кода в целях получения данных о происходящих событиях. За счет этого можно предотвратить появление проблем, которые «расшатывают» систему и делают ее нестабильной. Особенно остро этот вопрос стоит для Windows-систем, где нельзя полностью положиться на данные, прописанные в журнале событий. Это объясняется тем, что информация генерируется не полностью. Она собирается из разных мест и должна быть агрегирована для последующего анализа. Защита данных очень важна, и «разрешенные» юзеры не должны иметь к ним доступа и тем более вносить какие-либо корректировки. Доступ к такого рода данным необходимо предоставлять только ограниченному кругу пользователей или вообще закрывать.

Восстановление и отмена изменений: включенные опции

Active Directory поддерживает некоторые функции, которые позволяют восстановить данные. Они предполагают проведение перезагрузки, и для этого требуется довольно много свободного места в хранилище. Плюс к этому, нужно протестировать настройки для объекта, нуждающегося в исправлении. Для AD необходимо комплексное решение, которое позволило бы, например, воссоздать членство конкретных пользователей в группе безопасности и при этом не проводить трансформаций, касающихся остальных пользователей.

Расширенная отчетность

В расширенных отчетах должна быть предусмотрена возможность выведения конечных итогов, касающихся всех изменений за указанный промежуток времени. Регулярное формирование отчета – гарантия соблюдения принципа прозрачности всей ИТ-сети, соблюдения нормативных требований в области обеспечения информационной безопасности. Хорошо, когда в ПО есть дополнительные функции, например, e-mail-оповещения или подписка на отчеты – они повышают эффективность в управлении всей системой.

Масштабируемость

Она означает способность решения для аудита адаптироваться к изменяющейся инфраструктуре компании. При этом адаптация должна осуществляться без «стресса». Интеграция и применение аудиторского решения в разы упрощается, если не нужно устанавливать какое-то новое ПО или сильно изменять структуру системы. Его выбор должен учитывать изменения в топологии сети, контроллеров доменов и Active Directory.

«Сигнальная система»

Администратор должен получать сигнал о трансформациях максимально оперативно, то есть онлайн. Уведомления, которые отправляются программным решением, позволяют быстро реагировать на внесение корректировок в работу ИТ-системы и предотвращать сбои в ее работе.

В качестве дополнительных функций и опций решение для аудита AD должно обладать возможностью подсоединения новых модулей. Иногда это требуется, чтобы сформировать целостный программный пакет и увеличить выгоды от аудита.

Аудит Active Directory с «человеческим лицом»

NetWrix Active Directory Change Reporter – это специализированное ПО для отслеживания всех преобразований каталога, включая активность администратора. Это ПО позволяет создавать отчеты и отправляет уведомления об изменениях на электронный адрес специалиста.

Программа устанавливается администратором, который выставляет параметры для автоматизированного сбора информации. Каждые 10 минут запускается режим "быстрого" сбора данных из Журнала безопасности и контроля каждого домена. После вся информация транслируется администратору в виде оповещений. Все события сохраняются в специальной базе SQL, а в случае интеграции с SCOM информация записывается в просмотрщик Windows.

Программное обеспечение поддерживает все режимы работы домена и леса от Windows 2000 до Windows 2008R2. Среди ее плюсов также нужно отметить:

  • простоту развертывания;
  • удобство использования;
  • возможность восстановления стертых данных или приведение измененных параметров в изначальное состояние;
  • доступную стоимость продукта.

Скачать программу можно на сайте разработчика.