Недавно мы писали о том, как настроить и осуществлять аудит Active Directory своими силами и в чем заключаются определенная трудности использования штатной системы аудита Windows для целей организации. В этом посте мы немного расскажем (и покажем — в конце презентация) о нашей программе NetWrix Active Directory Change Reporter, которая осуществляет аудит AD и помогает преодолеть ограничения встроенных инструментов AD (event viewer, tombstone, recycle bin…), у которых есть ряд важных недостатков:
1. Большой объем “ненужной ” информации в журналах. Если пытаться искать информацию о том или ином событии вручную, то можно потратить уйму времени, чтобы найти его. Количество событий, которые записываются в журнал, очень велико, поэтому анализ журнала событий может быть довольно трудоемкой задачей. Поэтому существуют различные утилиты, которые обрабатывают и фильтруют журнал событий, тем самым предоставляя только информативные данные.
2. Короткий период хранения данных из-за перезаписывания журнала. Журнал событий не предназначен для долгосрочного хранения данных в больших доменах. Для длительного хранения событий можно включить автоархивацию журнала событий, но надо быть осторожным, потому что архивы могут очень быстро заполнить все свободное место на диске, что приведет к серьезным последствиям.
3. Ведение журналов на каждом из контроллеров доменов. Отсутствует возможность штатными средствами добиться объединения всех записей журналов в едином месте. Записи в журнале нужно анализировать на каждом из контроллеров домена. Но количество этих записей даже в средних доменах на одном контроллере домена может достигать нескольких десятков в секунду, что делает процесс поиска проблематичным.
4. Ограниченные возможности восстановления. А именно:
— Отсутствие графического интерфейса;
— Возможность восстанавливать только удалённые объекты. Изменения откатывать нельзя.
— Отсутствие возможности массового восстановления, например сразу восстановить организационную единицу со всеми её членами;
— При развитой структуре леса — невозможность восстанавливать объекты с одной машины из разных доменов.
Для того, чтобы обеспечить более эффективное управление IT-инфраструктурой, разрабатываются специализированные решения в сфере аудита AD.
Продукт NetWrix Active Directory Change Reporter как раз является таким решением, рассмотрим его функционал:
1. Создание отчетов по изменениям AD. Раз в сутки программа собирает данные обо всех изменениях, сделанных в Вашей AD и присылает готовый отчёт указанным получателям, с информацией, Кто сделал то или иное изменение и Когда.
2. Фиксация в отчетах значений “До” и “После” по каждому изменению. В отчеты включаются значения до и после изменения для каждого измененного объекта или атрибута.
3. Оповещения в режиме реального времени. Настраиваемые оповещения позволяют в режиме реального времени узнавать о критичных изменениях Active Directory.
4. Широкая библиотека стандартных отчетов и возможность создавать расширенные отчеты (реализованная с помощью дополнения MS SQL — Reporting Services).
5. Отчеты о состоянии Active Directory. Программа позволяет формировать отчеты о текущем и прошлом состоянии структуры Active Directory.
6. Рассылки, основанные на шаблонах отчётов. Любой отчёт можно настроить на рассылку со следующими параметрами: получатели, формат отчёта (Word, Excel, Pdf) и расписание отправки (ежедневно, по дням недели, помесячно).
7. Мастер восстановления объектов AD. Мастер восстановления объектов Active Directory позволяет Вам контролировать нежелательные изменения Active Directory. И восстанавливать удаленные объекты со всеми атрибутами и свойствами.
8. Долгосрочное хранение данных аудита. После сбора данные архивируются, сохраняются в локальное хранилище программы и заливаются в базу SQL сервера. Причем размер сохраненных данных на порядок меньше, чем размер журналов событий.
Как настроить программу?
Создание наблюдаемого объекта:
В главном окне Enterprise Management Console найдите узел дерева “Managed Objects” и через контекстное меню создайте новый объект (Create New Managed Object).
1. Уточните тип объекта.
Запускается мастер “New Managed Object Wizard”. Выберите “Domain” для создания и конфигурирования нового домена для сбора данных и формирования отчетов.
2. Задайте пользователя для запуска программы и сбора данных.
На следующем этапе необходимо выбрать учетную запись, которая будет по умолчанию использоваться Active Directory Change Reporter для сбора данных и генерации отчетов.
3. Задайте SMTP-настройки
На следующем этапе задайте настройки SMTP-сервера, который будет использоваться для отправки отчетов по электронной почте. Задайте имя SMTP сервера, порт и адрес отправителя. Если ваш SMTP сервер требует аутентификации, выберите Use SMTP Authentication и введите имя пользователя и пароль. Если сервер требует SSL, то можно выбрать Use Secure Sockets Layer encrypted connection (SSL).
4. Уточните имя домена.
Введите имя домена, используя FQDN, например “MyDomain.local”.
5. Активируйте отдельные продукты:
Помимо аудита AD в программе можно включить еще аудит групповых политик и сервера Exchange.
6. Сконфигурируйте базу данных
На следующем этапе Вы можете указать настройки SQL сервера для дальнейшего использования шаблонов отчетов, которые включены в программу.
7. Сжатие сетевого трафика.
Функция сжатие сетевого трафика прозволяет значительно ускорить сбор данных за счет использования агентов и сжатия собранных данных до их непосредственной пересылки с контроллера домена на локальную машину Active Directory Change Reporter.
8. Отчеты о состоянии структуры Active Directory (Snapshot Reporting)
Snapshot Reporting – это функция, которая позволяет просматривать структуру Active Directory на момент последнего запуска программы, так и состояние AD на указанный промежуток в прошлом.
9. Настройте список получателей отчетов
10. Настройте уведомления в режиме реального времени (real-time alerts)
Можно добавлять, редактировать и удалять уведомления. По умолчанию включены следующие 3 типа уведомлений:
1. Changes to Admin Group Memberships (Изменения состава групп администраторов домена и enterprise администраторов )
2. Changes to Domain Configuration (Изменения в конфигурации домена)
3. Changes to Any Active Directory Objects (Любые изменения в AD)
Все, программа настроена!
Как работать с программой?
Вся работа с программой осуществляется через консоль NetWrix Enterprise Management Console
1. В узле AD Change Reporter указываются получатели ежедневных отчётов, время их получения и периодичность.
2. В узле Real-Time alerts Вы можете управлять оповещениями в режиме реального времени.
При желании Вы можете сами создать необходимое оповещение на определённое изменение, важное для Вас.
3. В узле Advanced Report, находится библиотека со стандартными шаблонами отчётов.
Открывая отчет, Вы загружаете данные с SQL сервера. Также при необходимости для любого отчета Вы можете сортировать необходимую информацию при помощи встроенных фильтров.
4. Управление Рассылками происходит в разделе Subscriptions
Есть 2 способа создания рассылки: либо нажать кнопку «Subscribe» в меню интересующего Вас отчета в узле Advanced reports, либо кнопку «add» в узле “Subscriptions”.
Далее откроется мастер создания рассылок, где Вам нужно будет указать следующую информацию:
1. Задать имя подписки
2. Выбрать получателей рассылки
3. Формат отчета
4. Задать параметры изменений
5. Периодичность отправки рассылок
5. Восстановление объектов происходит при помощи NetWrix AD Object Restore Wizard, который находится в узле AD Change Reporter
Это модуль восстановления удаленных и модифицированных объектов. В том случае, если необходимо оперативно среагировать на изменение отдельных объектов или быстро восстановить, например, удаленное подразделение, данный модуль незаменим.
Более подробно работа программы показана в презентации.
Здесь собственно сама программа
Если у Вас есть вопросы по функционированию программы (естественно, все описать невозможно в одном посте), то Вы можете задать их в комментариях. Мы постараемся оперативно на них ответить.
Автор: NetWrixRU