Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



23.06.2020

PLNOG Online

PLNOG Online
23.06.2020

Nowe zagrożenie

Ramsay
23.06.2020

Chmurowe kopie

Veeam Backup dla Microsoft Azure
19.06.2020

Nowości w kontenerach

Red Hat OpenShift 4.4
19.06.2020

Analityka bezpieczeństwa

FortiAI
19.06.2020

UPS dla obliczeń edge

Schneider APC Smart-UPS
16.06.2020

Przemysłowe SD

Nowe karty Transcend
16.06.2020

Storage dla SMB

QNAP TS-451DeU
16.06.2020

Pamięć masowa

Dell EMC PowerStore

Audytowanie środowiska Windows

Data publikacji: 24-10-2019 Autor: Jacek Światowiak
Rys. 1. Ogólna architektura...

Zarządzanie środowiskiem IT nierzadko przyćmiewa inne ważne zadanie stawiane przed administratorami, czyli jego audytowanie. W przypadku systemów operacyjnych Microsoftu w zasadzie nie sposób efektywnie audytować środowiska bez użycia narzędzi firm trzecich. Jednym z nich jest ADAudit Plus.

 

 Administratorzy przeprowadzają zwykle w środowiskach IT dwie podstawowe operacje: zarządzanie oraz audytowanie działań wykonywanych przez użytkowników końcowych i administratorów. Na temat zarządzania literatury i innych opracowań nie brakuje, ale audytowanie często spychane jest na drugi plan. A przecież na gruncie systemów operacyjnych Windows nie jest to wcale operacja trywialna. Systemy Microsoftu z rodziny NT od początku projektowane były zgodnie z wymaganiami Departamentu Obrony Stanów Zjednoczonych jako systemy klasy C2. Co do zasady miały więc zapewnić rozliczalność i audytowanie wszelkiego typu operacji w systemie. W efekcie posiadają one niezbędne do audytowania funkcje, ale uzyskanie do nich dostępu nie jest proste. Efektywne wykorzystanie pozyskanych informacji, w szczególności w zakresie analityki, jest praktycznie niemożliwe bez użycia narzędzi firm trzecich. Zdarza się, że stawiane przed administratorami wymogi dotyczące audytowania operacji wraz z zapewnieniem rozliczalności oraz ze spełnianiem norm zewnętrznych są postawione na równi z wymogami dotyczącymi samego zarządzania środowiskiem. Trzeba zatem odnaleźć rozwiązania, które przynajmniej częściowo wypełniają tę lukę. Trudno sobie przecież wyobrazić, aby zarządzanie środowiskiem IT on-premise, choć w postaci uproszczonej także środowiskiem chmurowym Microsoft, mogło się odbywać bez monitorowania i audytowania.

> ZASTOSOWANIA i WERSJE

Rozsądną propozycją w tej kategorii jest ADAudit Plus. Jest to narzędzie przeznaczone do zbierania, analizowania logów, raportowania i zapewniania zgodności w sześciu podstawowych obszarach: usłudze Active Directory, audycie logowania i wylogowywania na stacjach roboczych Windows, audycie serwerów plików Windows, serwerów plikowych NetApp oraz EMC, innych serwerów Windows (RADIUS, serwery usług terminalowych, serwery wydruków), a także w zakresie raportowania zgodności z rodo, ISO 27001, SOX, HIPPA, PCI-SDD, FISMA oraz GLBA.

ADAudit Plus dostępny jest w dwóch wersjach: Standard i Professional. W pierwszej z nich administrator uzyskuje dostęp do ponad 200 prekonfigurowanych raportów. Ma on możliwość audytowania na bieżąco operacji wykonywanych na kontrolerach domeny AD, kolejek drukarkowych i pamięci masowych podłączanych do portów USB, tworzenia, modyfikacji, kasowania, uzyskiwania dostępu oraz zmiany atrybutów i uprawnień na plikach, monitorowania zmian, grup, komputerów, OU oraz zmian na obiektach użytkowników i polisach domenowych. Może również śledzić zdarzenia systemowe (także te w harmonogramie zadań), otrzymywać powiadomienia e-mail oraz zapoznawać się z raportami generowanymi okresowo i specjalnymi raportami zgodności. Wersja Standard pozwala też na archiwizację danych.

Wariant Professional rozszerza te możliwości o funkcje audytowania i korelacji starych oraz nowych wartości wszystkich atrybutów (zapamiętywanie zmian), zmian uprawnień, zmian wewnątrz polis domenowych, blokady kont (account lockout), w serwerze DNS, na partycjach schematu, kontaktach oraz zmian konfiguracji audytowania. Dostępna jest także możliwość korzystania z bazy danych MS SQL zamiast wbudowanej PostgreSQL. Z możliwościami ADAudit Plus zbliżonymi do wersji Professional można zapoznać się w ramach 30-dniowego okresu próbnego. Po jego upływie możliwe jest dalsze korzystanie z rozwiązania, jednak z ograniczeniem do 25 stacji roboczych i bez możliwości generowania bieżących raportów.

> INSTALACJA I ARCHITEKTURA

Choć czysta instalacja ADAudit Plus zajmuje łącznie z bazą ok. 415 MB przestrzeni dyskowej, to szacunkowa wielkość bazy danych dla audytowania Active Directory może wynieść od 20 do 50 GB. Jeden użytkownik w ciągu jednego dnia to ok. 15 KB wygenerowanych danych. Po 90 dniach audytowania 10 tys. użytkowników wielkość bazy i raportów wyniesie już zatem ok. 13 GB. Podobne proporcje zachowane zostają w przypadku serwerów plikowych: 1 użytkownik w ciągu 1 dnia wygeneruje ok. 4 KB danych, 100 użytkowników i 100 plików w ciągu 90 dni to już 3,5 GB danych. Aplikacja komunikuje się z kontrolerami domeny i serwerami plikowymi w postaci znormalizowanego ruchu Windows: wykorzystuje porty 389 LDAP, 445 NEBIOS Session, 135 oraz wysokie porty dla ruchu typu RPC. Do aplikacji można uzyskać dostęp za pośrednictwem przeglądarki internetowej na porcie HTTP 8081 lub – po instalacji certyfikatu SSL – 8444.

Po instalacji aplikacja działa w trybie on-demand, ale może być przełączona w tryb usługi Windows. W drugim przypadku domyślnie uruchamia się jednak na lokalnym koncie SYSTEM, przez co nie ma poprawnego dostępu do innych serwerów. Producent udostępnił wprawdzie dokument ADAudit Plus Service Account Configuration, gdzie precyzyjnie omówiono proces tworzenia konta serwisowego o wymaganych uprawnieniach w domenie i na serwerach, tak aby móc uzyskiwać dostęp do event logów. Niestety, zapomniał dodać, że tym kontem należy zastąpić domyślne konto SYSTEM. Dopiero po tej operacji będzie można uzyskać dostęp do środowiska i serwerów domeny Windows. W przeciwnym wypadku wyświetlone zostaną niewiele mówiące komunikaty o braku dostępu lub braku uprawnień.

ADAudit Plus składa się z 6 komponentów: silnika pobierającego zdarzenia z event logów na zdalnych serwerach czy kontrolerach domeny (event processing engine), silnika służącego do wysyłania powiadomień, za pomocą e-maila lub SMS-a (alerts engine), bazy przechowującej zarówno konfigurację, jak i przetwarzane zdarzenia (audit database), silnika przetwarzającego dane (data engine), silnika korelującego pojawiające się zdarzenia z wyzwalaczami generującymi akcje, np. powiadomienia, oraz kontenera Tomcat nasłuchującego na porcie 8081. Aplikacja łączy się do wewnętrznej bazy PostgreSQL na porcie 33307 za pomocą interfejsu JDBC (Java Database Connectivity Interface), a z komponentami Active Directory za pomocą standardowego interfejsu ADSI (Component Object Model). W celu pobrania zawartości logów wykorzystywany jest natywny mechanizm Windows Event Log API. Pobrane lub przetworzone zdarzenia mogą zostać przesłane do zewnętrznego narzędzia klasy SIEM (Splunk, ArcSight Common Event Format). Schemat architektury ADAudit Plus przedstawia rys. 1.

 

[...]

 

Autor jest architektem rozwiązań IT, trenerem, autorem książek i publikacji technicznych, wykładowcą Politechniki Gdańskiej. Uzyskane certyfikaty: od rodziny Windows Server 2003 do 2019, Exchange od wersji 2003 do 2016, OCS, Lync 2010/2013, Skype 2015/2019, MCSE Server Infrastructure, Communication, Messaging, Cloud Platform and Infrastructure, Productivity 2017/2018/2019. Przez 5 lat MVP z zakresu Directory Services/Forefront/Exchange. 

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"