Аудит Active Directory з «людським обличчям»

NetWrix Active Directory Change Reporter - програмне забезпечення, що відстежує всі зміни каталогу Active Directory Domain Services, включаючи призначену для користувача і адміністраторську активність, що створює при цьому звіти та оповіщення, автоматично пересилаються на адміністративний електронну адресу.

Автор: MCT / MVP: DS Ілля Рудь

Вступ.

Більшість початківців системних адміністраторів вважають, що аудит - це слово, що має відношення до бухгалтерії, фінансів, але аж ніяк не до інформаційних технологій. Їхня думка в корені змінюється, коли вони починають працювати в середніх і великих організаціях, де кількість адміністраторів може змінюватися десятками. У таких випадках аудит стає страховкою для системного адміністратора, що дозволяє при виникненні форс-мажорів врятувати як власну зарплату, так і в ряді ситуацій - кар'єру.

Трохи конкретизую тему даної статті. Я хочу розповісти про аудит Active Directory засобами NetWrix Active Directory Change Reporter. Не те, щоб у Microsoft зовсім не було коштів аудиту служби каталогів, настройки аудиту в групових політиках і журнал «Безпека» ніхто не відміняв. Але при їх використанні адміністратор швидко розуміє, що аналіз через оснащення десятків мегабайт журналу «Безпека» на контролерах домену часто дію утопічне. Тому виходить, що вбудований аудит як би є, але при цьому використовувати його вельми проблематично. І хоча з виходом Windows 2008 виробник злегка спробував спростити роботу з аудитом, історичний ложившуюся ситуацію, коли Microsoft дає заробити на доведенні до розуму аудиту стороннім виробникам, це не змінило.

Знайомтеся - NetWrix Active Directory Change Reporter, програмне забезпечення, що відстежує всі зміни каталогу Active Directory Domain Services, включаючи призначену для користувача і адміністраторську активність, що створює при цьому звіти та оповіщення, автоматично пересилаються на адміністративний електронну адресу.

У звітах і оповіщеннях міститься інформація про всі зміни, доповнення і видалення, як самих об'єктів, так і їх атрибутів. Аудит змін автоматично архівується для отримання інформації про зміни за будь-який проміжок часу з різним ступенем деталізації.

Програма Active Directory Change Reporter є частиною комплекту, куди входять інструменти не тільки аудиту Active Directory, а й Exchange, Group Policy, а так само Active Directory Object Restore Wizard.

Логіка роботи.

Для початку пропоную розібратися в архітектурі та концепції даного продукту.

  1. По-перше, системний адміністратор встановлює сам продукт і конфигурирует параметри для автоматичного збору інформації та формування звітів
  2. Після настройки на сервері з програмою створюється певна задача (ім'я за замовчуванням - NetWrix Management Console - Active Directory Change Reporter - <domainname>) яка стартує раз в 10 хвилин (значення можна поміняти). Це режим «швидкого» збору, в цей час програма збирає події з Журналу безпеки з кожного контролера домену. Також збираються всі зміни в Active Directory за останні 10 хвилин. Для цього використовується спеціальний протокол реплікації між контролерами домена. Після збору всіх даних програма відсилає оповіщення.
  3. Дані аудиту поміщаються в спеціальну базу даних SQL з ім'ям «NetWrix_AD_Change_Reporter» і в репозиторій програми .. О третій годині ночі проводиться розсилка інформації про зміни за останню добу, а так само звітів, на які підписаний адміністратор. До речі за замовчуванням SQL Express скачується і встановлюється майстром настройки програми.
  4. Якщо проведена інтеграція з SCOM, то інформація також записує всі події в переглядач подій Windows.
  5. Для зміни звітів, подій і подальшого конфігурації використовується консоль управління продуктом NetWrix Enterprise Management Console.
    NetWrix Active Directory Change Reporter - програмне забезпечення, що відстежує всі зміни каталогу Active Directory Domain Services, включаючи призначену для користувача і адміністраторську активність, що створює при цьому звіти та оповіщення, автоматично пересилаються на адміністративний електронну адресу
    Малюнок 1. Архітектура Active Directory Change Reporter.

Встановлення та налаштування.

Хотілося б зауважити, що Active Directory Change Reporter підтримує всі режими роботи домену і ліси від Windows 2000 до Windows 2008R2. Для того щоб приступити до налаштування, знадобиться комп'ютер, на який можна встановити Change Reporter, причому не обов'язково з серверної операційної системою. Підтримується все, починаючи від Windows XP SP2 і вище, з однією умовою - членства в керованому або довіреному домені.

Підтримується все, починаючи від Windows XP SP2 і вище, з однією умовою - членства в керованому або довіреному домені

Малюнок 2. Включення аудиту в груповій політиці

Ще до установки продукту документація Change Reporter просить включити аудит успішних подій на рівні групової політики контролера домену, а також в настройках безпеки дозволити аудит на тих розділах Active Directory, зміни яких повинні протоколюватися.
Після чого можна переходити до установки самого продукту, яка настільки проста (Next-Next-Finish), що коментувати в ній, що то складно. Натиснувши кілька клавіш, ви отримаєте на екрані консоль центрального управління продуктом і необхідність його налаштувати, тому що на даному етапі ніякі звіти поки не формуються.

Примітка: Для тих, хто боїться змінювати параметри аудиту руками, існує ще один спосіб. А саме спочатку встановити Active Directory Change Reporter, а потім запустити Audit Configuration Wizard, який ховається в меню «Пуск» разом з програмою. Майстер налаштує в груповій політиці аудит і постарається збільшити розмір журналу «Безпека» до 300 мегабайт.

Майстер налаштує в груповій політиці аудит і постарається збільшити розмір журналу «Безпека» до 300 мегабайт

Малюнок 3. NetWrix Enterprise Management Console

Пост-установча настройка починається з опції «Create new Managed Object», в якій ви повинні вказати обліковий запис користувача домену, який володіє правами локального адміністратора

Наступний крок - настройка SMTP сервера, через який будуть слатися звіти, і вказівка ​​електронної адреси відправника звітів. Для цих цілей мною був створений окремий поштову скриньку з обліковим записом NetWrix. Після вказівки всіх необхідних даних по кнопці «Verify» можна перевірити коректність налаштування.

Після вказівки всіх необхідних даних по кнопці «Verify» можна перевірити коректність налаштування

Малюнок 4. Налаштування оповіщення по електронній пошті.

Якщо ви все зробили правильно, то після запуску перевірки отримаєте повідомлення про те, що лист відправлено, а в зазначеному поштовій скриньці з'явиться лист з текстом «Test Ok». Оскільки я використовував аутентифікацію при доставці, фактично доставка йшла самому собі (від користувача NetWrix на адресу NetWrix), то ніяких змін коннектора Exchange сервера проводити не довелося, стандартного слухача 25 порт цілком достатньо.

На наступному кроці вказуємо FQDN нашого домену і керовану обліковий запис, від імені якої буде запускатися заплановане завдання зі збору змін. За замовчуванням в цьому полі підставляється обліковий запис з самого першого кроку.

Як я вже говорив раніше, програма Active Directory Change Reporter є частиною комплекту, а тому на наступному етапі нам пропонується вказати, які компоненти ми буде задіяти -нужен нам аудит поштової системи Exchange і.т.д. У даній статті я обмежився компонентом для Active Directory і інші блоки залишив поза обраними.

Малюнок 5. Вибір використовуваних компонентів.

Далі налаштовуємо розширені звіти, а для цього доведеться вказати існуючий SQL сервер з компонентом Reporting Services. Втім, навіть якщо SQL сервера в компанії поки немає, майстер пропонує встановити на даний комп'ютер безкоштовну версію SQL 2005 Express. SQL в дистрибутив не входить, а тому варіантів два. Перший, якщо є доступ в інтернет - завантажити його майстром настройки і автоматично встановити, і другий, вказати файл дистрибутива SQL явно. Після скачування SQL 2005 Express встановлює екземпляр за замовчуванням з веб-сервером IIS і стандартної можливістю веб-доступу до Reporting Services.

Ну і залишається відповісти на кілька запитань:

  1. Чи потрібно стиснення трафіку? Все просто, якщо між контролером домену і комп'ютером з Active Directory Change Reporter повільний канал, включення стиснення дає можливість зменшити обсяг трафіку.
  2. Чи потрібно включити опцію Snapshot Reporting? Snapshot або знімок це збережений стан каталогу, що дає можливість подивитися, що було місяць, рік або два тому. Знімки Active Directory робляться завжди і зберігаються в репозиторії програми; знімки використовуються, наприклад, у вбудованому майстра відновлення об'єктів Object Restore Wizard, про який див. нижче. Сенс Snapshot Reporting в тому, щоб дані знімків імпортувалися в базу даних і на їх основі створювалися звіти. Якщо ви від них відмовитеся, то втратите можливість формувати частину звітів аудиту - не виберемося опцію, позбудетеся групи звітів «AD Snapshots Reports»
  3. Хто буде отримувати звіти? В даному блоці досить просто вказати список адрес і при бажанні натиснути кнопку «Verify» для відправки тестового листа.

    Малюнок 6. Вибір одержувача звітів.
  4. Які оповіщення в режимі реального часу потрібні? Налаштування роздільної поле, де можна вказати, який список дій призводить до негайного оприлюднення одержувача звітів. Список за замовчуванням робить це тільки при зміні членства в групі доменних адміністраторів, оскільки даний список редагується і після роботи майстра, то поки можна нічого не міняти.

На цьому, зібравши всі необхідні дані, майстер свою роботу завершує, повідомляючи нас про те, що час генерації щоденних звітів третій годині ночі. Тепер, коли продукт встановлений, пропоную трохи в ньому подразобраться.

Тестування функцій продукту.

Насамперед я вніс ряд змін, а саме створив пару облікових записів, створив і видалив кілька організаційних підрозділів. Після чого відкрив SQL Management Studio та підключився до примірника SQL Express.

Після підключення я виявив три бази даних. Призначення їх я вже розкривав в описі архітектури.

Призначення їх я вже розкривав в описі архітектури

Малюнок 7. Бази даних, створені установкою NetWrix

Перша - NetWrix_AD_Change_Reporter, саме вона містить всі зміни Active Directory, які були запротокольовані аудитом. Відкривши список таблиць, я відразу помітив таблицю «dbo.changes» - таблицю зі змінами каталогу - і виконав запит «Select * from dbo.changes». Але таблиця виявилася порожньою, і це не випадково.

Знову ж таки повторюся, NetWrix AD Change Reporter забирає дані з контролера домену не відразу, а раз в 10 хвилин, що визначено завданням в планувальнику Windows. Чекати 10 хвилин не хотілося, а тому завдання я запустив руками з планувальника. Хоча є і ще один спосіб - в консолі управління стати на керований домен (Гілка Managed Object) і в правій частині оснащення натиснути «Run». Завдання виконувалася близько 2 хвилин і відразу після виконання запит «Select * from dbo.changes» почав повертати результат. Таблиця досить проста, наприклад стовпець «What» зберігає тип дії, а точніше його код. (1 Створити, 2 Видалити, 3 - Перейменувати)

(1 Створити, 2 Видалити, 3 - Перейменувати)

Малюнок 7. Виконання запиту SQL після відпрацювання завдання збору змін (NetWrix Management Console - Active Directory Change Reporter - <domainname>).

T-SQL хоч і зручний інструмент, але все ж для щоденної роботи хочеться переглядати звіти без використання мови запитів. В консолі управління NetWrix для цілей перегляду звітів призначена спеціальна гілка з уже пред-налаштованими звітами.

Малюнок 8. Перегляд звіту про створених організаційних підрозділах через Management Console.

Вибираючи один із звітів (в моєму випадку «OU Created») ви почнете підключення до компоненту SQL Reporting Services, який будує поточний звіт. При побудові звіту доступна його настройка по автору змін, місці зміни і об'єкту, що призводить до мінімізації та висновку на екран тільки тих записів, які цікавлять адміністратора. Про друковані форми, які я сприймаю, як само собою зрозуміле говорити не варто, вони є.

Наступне цілком логічне бажання - отримувати даний звіт по електронній пошті, і бажано регулярно. У кожному звіті, ще до його створення, є кнопка «Subscribe», або, в перекладі, підписка.

Малюнок 9. Створення підписки на звіт.

Підписка - це можливість отримувати звіт поштою через певний проміжок часу. Створюючи підписку, ви вказуєте:

  1. Ім'я шаблону звіту.
  2. Адреса одержувача звіту.
  3. Формат звіту. (PDF або XLS)
  4. Що включати до звіту. (Хто? Коли? Де?)
  5. Розклад доставки. Можна вибрати доставку щодня, щотижня або щомісяця.

Після того, як підписка створена, її можна видалити і поміняти її параметри. Всі створені підписки відображаються в консолі управління в блоці «Subscription». Варто відзначити, що з цього блоку їх можна і створювати, тобто не обов'язково виходити на майстер створення підписки безпосередньо з самого шаблону звіту.

Примітка: В одному з випадків я використовував SQL сервер, встановлений самостійно і попередньо (а не майстром настройки ПО). У момент створення підписки я отримав повідомлення про недоступність шаблонів звітів, але при цьому ручне формування відпрацьовував. Для вирішення цієї проблеми необхідно в консолі управління NetWrix зайти на рівень «Advanced Reports» і виконати команду «Upload» для навантаження шаблонів на SQL Reporting Server.

Для вирішення цієї проблеми необхідно в консолі управління NetWrix зайти на рівень «Advanced Reports» і виконати команду «Upload» для навантаження шаблонів на SQL Reporting Server

Малюнок 10. Доступ до передплати через гілку оснащення «Subscription».

Для того, що б перевірити звіт, чекати 3 години ночі (час за замовчуванням) дуже не хотілося, а тому я почав шукати в інтерфейсі можливості обхідних маневрів. Як виявилося, якщо вибрати створену підписку, то в її параметрах на закладці «Schedule» є кнопка «Run now». Якщо за час після створення підписки нічого не змінювалося, то листи зі звітом чекати не варто, спочатку порожні звітів не шлються.

Малюнок 11. Зміст звіту про створення нових OU.

Механізм підписок реалізований всередині самої програми, тому немає сенсу шукати завдання в Планувальнику. У поточній версії підписка може автоматично відіслати звіт тільки раз в день (руками хоч 10 раз), як запевняють розробника в найближчих версіях це обмеження буде знято.

При установці в «Планувальнику завдань Windows» було створено два завдання, про призначення першої (Збір інформації з журналів і відправка в SQL) вже відомо. Але є ще одна, яка запускається о третій годині ночі. Ім'я у неї просте - NetWrix Management Console, і при виконанні руками відпрацювання відбувається буквально за кілька секунд. Ви вже знаєте, що компанія NetWrix випускає велику кількість продуктів, частина яких може бути інтегрована в NetWrix Enterprise Management Console, наприклад, File Server Change Reporter. Ці продукти засновані на «Планувальнику завдань». Так ось, завдання NetWrix Management Console використовується як допоміжна для виконання за розкладом функції додаткових рішень. І хоч безпосередньо до налаштування ця інформація відношення не має, все ж адміністратор повинен знати, що і для чого запускається на його сервері.

Продовжуємо освоєння, завжди існує список подій, про які хотілося б дізнатися якомога раніше. (Девальвація національної валюти, зміна членства в групи доменних адміністраторів може послужити прикладом такої події)

Для вирішення цієї проблеми в ADCR існують Real Time Alerts або Миттєві оповіщення, які в разі певних дій з каталогом зроблять відправку адміністратору інформації про подію.

Малюнок 12. Налаштування Real Time Alerts

Спочатку таких оповіщень три, а саме «Зміна членства адміністративних груп», «Зміна будь-яких об'єктів» і «Зміни конфігурації домену». З трьох включена тільки одна, «Зміна членства адміністративних груп». Не буду кривити душею і скажу, що це не зовсім моментальні оповіщення, дії повинно статися, після чого перший же запуск NetWrix Management Console - Active Directory Change Reporter - <domainname> призведе до інформування про подію дії, тобто між часом дії і отриманням листа може пройти до 10 хвилин.

Для того, щоб було зрозуміла реальна ефективність таких засобів, розповім одну реальну історію, яка сталася в філії досить великої організації. Всі об'єкти цієї філії знаходилися в окремому організаційному підрозділі Active Directory і повноваження на створення, видалення об'єктів були делеговані двом місцевим адміністраторам. Прав адміністратора домену вони природно не мали. Чергували фахівці по черзі і одночасно в офісі не з'являлися. Все було чудово до одного моменту, коли колеги крупно посварилися між собою і розмовляти перестали. Ніби як і це не смертельно, але в зміну першого адміністратора пропадає кілька облікових записів дуже важливих користувачів філії. Природно, це призводить до великого скандалу учасником, якого є адміністратор, який працював в той день. І хоч він «рве на грудях сорочку», що це не його робота, відсутність аудиту - (а він там був відключений через регулярного переповнення журналу Безпека на контролерах домену і вельми ускладнюють сприйняття 16 подій в журналі на кожен «чих» - життя не спрощує) позбавила змоги перевірити, кому варто сказати «спасибі» за цю витівку. Трохи згладила ситуацію інформація вже в інших балках про те, що другий адміністратор в цей день використовував VPN підключення до корпоративної мережі. А оскільки виразно пояснити, навіщо йому це знадобилося, він не міг, то і основні претензії з першого співробітника були зняті, а облікові записи відновлені. І хоча все в підсумку вирішилося, коштувало це серйозних нервів великій кількості людей.

Як би зважилася ця проблема, якби в цій організації було встановлено Active Dirctory Change Reporter:

  1. Адміністратор центрально офісу Створив бі Real Time Alert, сповіщає зацікавленіх фахівців про создания и відаленні об'єктів в організаційному підрозділі Самара.

    Малюнок 13. Вибір дій, при яких спрацює оповіщення.
  2. Злісний адміністратор виконав би видалення об'єктів.
  3. Через 10 хвилин у центральних адмінів на столі лежав би звіт такого вигляду, який свідчить про те, що в 1:42 дня адміністратором з логіном «BAD» була видалена обліковий запис користувача «Samara Boss».

    Малюнок 14. Який прийшов лист із сповіщенням.
  4. До цієї інформації б доклали дані про підключення в цей час через VPN шкідливого адміністратора, передали керівництву, і закінчилося б все щасливо, а саме звільненням за статтею непорядного фахівця. І пройшло б це все без криків, погроз і нервів порядних людей.

Підводимо підсумки:

Якщо говорити про моє суб'єктивній думці - рішення більш ніж сподобалося. Перше, що варто відзначити, це простота розгортання; за умови, що до цього я не мав досвіду роботи з ним, процес настройки і перевірки функціоналу зайняв від сили години три з перервами на читання документації. Була невелика проблема з відсиланням звітів на Exchange, але завдяки техподдержке, вона зважилася досить швидко, установкою оновлення. В іншому політ штатний, згідно докладної документації.

Другий і найголовніший плюс - це зручність, можна сміливо забувати про журналі безпеку на контролерах домену і про тисячі записів для аналізу. Тільки те, що потрібно, і в хорошому читається.

Ви можете взагалі не налаштовувати і не підписуватися на всілякі звіти, але все одно щодня отримаєте свій «Summary Report», зведення про зміни каталогу за день. І в ряді ситуацій цього цілком достатньо.

І в ряді ситуацій цього цілком достатньо

Малюнок 15. Щоденний підсумковий звіт (Summary Report) повідомляє, що все спокійно, об'єкти не змінювалися.

Разом з ADCR поставляється засіб відновлення видалених або змінених об'єктів і атрибутів - Active Directory Object Restore Wizard. І хоча відновлення AD - трохи інший напрям, все ж зручний і ефективний майстер не буде зайвим інструментом адміністратора.

Наступний плюс скоріше для керівництва - вартість. За попередніми підрахунками виходить дешевше рішень Quest і Script Logic.
А якщо до аудиту Active Directory додати можливість аудиту Exchange, і Групових політик, віртуального середовища, і SharePoint, і SQL, і файлових серверів, зміни фізичних машин (одна проста Management Console для всіх напрямків, що входять в пакет NetWrix Change Reporter Suite) то виходить зручне рішення, що закриває тил ІТ-спеціалістів одразу по основним вразливим точкам.

Завантажити програму можна на сайті розробника.

Чи потрібно включити опцію Snapshot Reporting?
Які оповіщення в режимі реального часу потрібні?
Хто?
Коли?
Де?