Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



25.10.2019

Skalowalna infrastruktura

Red Hat OpenStack Platform 15
25.10.2019

Cienki klient 2.0

Windows Virtual Desktop
25.10.2019

Nowy sprzęt Microsoftu

Rodzina Surface się powiększa
24.10.2019

Serwery ARM

Oracle stawia na Ampere Computing
24.10.2019

Wszechstronny i elegancki

Dell XPS 15
10.10.2019

CYBERSEC EXPO - największe w...

Bezpieczeństwo cyfrowe nie jest problemem dotyczącym jedynie działów IT. Obecnie stanowi...
30.09.2019

Nowości w wirtualizacji

VMware World 2019
30.09.2019

Bezpieczeństwo mobile-first

Android 10

Audytowanie środowiska Windows

Data publikacji: 24-10-2019 Autor: Jacek Światowiak
Rys. 1. Ogólna architektura...

Zarządzanie środowiskiem IT nierzadko przyćmiewa inne ważne zadanie stawiane przed administratorami, czyli jego audytowanie. W przypadku systemów operacyjnych Microsoftu w zasadzie nie sposób efektywnie audytować środowiska bez użycia narzędzi firm trzecich. Jednym z nich jest ADAudit Plus.

 

 Administratorzy przeprowadzają zwykle w środowiskach IT dwie podstawowe operacje: zarządzanie oraz audytowanie działań wykonywanych przez użytkowników końcowych i administratorów. Na temat zarządzania literatury i innych opracowań nie brakuje, ale audytowanie często spychane jest na drugi plan. A przecież na gruncie systemów operacyjnych Windows nie jest to wcale operacja trywialna. Systemy Microsoftu z rodziny NT od początku projektowane były zgodnie z wymaganiami Departamentu Obrony Stanów Zjednoczonych jako systemy klasy C2. Co do zasady miały więc zapewnić rozliczalność i audytowanie wszelkiego typu operacji w systemie. W efekcie posiadają one niezbędne do audytowania funkcje, ale uzyskanie do nich dostępu nie jest proste. Efektywne wykorzystanie pozyskanych informacji, w szczególności w zakresie analityki, jest praktycznie niemożliwe bez użycia narzędzi firm trzecich. Zdarza się, że stawiane przed administratorami wymogi dotyczące audytowania operacji wraz z zapewnieniem rozliczalności oraz ze spełnianiem norm zewnętrznych są postawione na równi z wymogami dotyczącymi samego zarządzania środowiskiem. Trzeba zatem odnaleźć rozwiązania, które przynajmniej częściowo wypełniają tę lukę. Trudno sobie przecież wyobrazić, aby zarządzanie środowiskiem IT on-premise, choć w postaci uproszczonej także środowiskiem chmurowym Microsoft, mogło się odbywać bez monitorowania i audytowania.

> ZASTOSOWANIA i WERSJE

Rozsądną propozycją w tej kategorii jest ADAudit Plus. Jest to narzędzie przeznaczone do zbierania, analizowania logów, raportowania i zapewniania zgodności w sześciu podstawowych obszarach: usłudze Active Directory, audycie logowania i wylogowywania na stacjach roboczych Windows, audycie serwerów plików Windows, serwerów plikowych NetApp oraz EMC, innych serwerów Windows (RADIUS, serwery usług terminalowych, serwery wydruków), a także w zakresie raportowania zgodności z rodo, ISO 27001, SOX, HIPPA, PCI-SDD, FISMA oraz GLBA.

ADAudit Plus dostępny jest w dwóch wersjach: Standard i Professional. W pierwszej z nich administrator uzyskuje dostęp do ponad 200 prekonfigurowanych raportów. Ma on możliwość audytowania na bieżąco operacji wykonywanych na kontrolerach domeny AD, kolejek drukarkowych i pamięci masowych podłączanych do portów USB, tworzenia, modyfikacji, kasowania, uzyskiwania dostępu oraz zmiany atrybutów i uprawnień na plikach, monitorowania zmian, grup, komputerów, OU oraz zmian na obiektach użytkowników i polisach domenowych. Może również śledzić zdarzenia systemowe (także te w harmonogramie zadań), otrzymywać powiadomienia e-mail oraz zapoznawać się z raportami generowanymi okresowo i specjalnymi raportami zgodności. Wersja Standard pozwala też na archiwizację danych.

Wariant Professional rozszerza te możliwości o funkcje audytowania i korelacji starych oraz nowych wartości wszystkich atrybutów (zapamiętywanie zmian), zmian uprawnień, zmian wewnątrz polis domenowych, blokady kont (account lockout), w serwerze DNS, na partycjach schematu, kontaktach oraz zmian konfiguracji audytowania. Dostępna jest także możliwość korzystania z bazy danych MS SQL zamiast wbudowanej PostgreSQL. Z możliwościami ADAudit Plus zbliżonymi do wersji Professional można zapoznać się w ramach 30-dniowego okresu próbnego. Po jego upływie możliwe jest dalsze korzystanie z rozwiązania, jednak z ograniczeniem do 25 stacji roboczych i bez możliwości generowania bieżących raportów.

> INSTALACJA I ARCHITEKTURA

Choć czysta instalacja ADAudit Plus zajmuje łącznie z bazą ok. 415 MB przestrzeni dyskowej, to szacunkowa wielkość bazy danych dla audytowania Active Directory może wynieść od 20 do 50 GB. Jeden użytkownik w ciągu jednego dnia to ok. 15 KB wygenerowanych danych. Po 90 dniach audytowania 10 tys. użytkowników wielkość bazy i raportów wyniesie już zatem ok. 13 GB. Podobne proporcje zachowane zostają w przypadku serwerów plikowych: 1 użytkownik w ciągu 1 dnia wygeneruje ok. 4 KB danych, 100 użytkowników i 100 plików w ciągu 90 dni to już 3,5 GB danych. Aplikacja komunikuje się z kontrolerami domeny i serwerami plikowymi w postaci znormalizowanego ruchu Windows: wykorzystuje porty 389 LDAP, 445 NEBIOS Session, 135 oraz wysokie porty dla ruchu typu RPC. Do aplikacji można uzyskać dostęp za pośrednictwem przeglądarki internetowej na porcie HTTP 8081 lub – po instalacji certyfikatu SSL – 8444.

Po instalacji aplikacja działa w trybie on-demand, ale może być przełączona w tryb usługi Windows. W drugim przypadku domyślnie uruchamia się jednak na lokalnym koncie SYSTEM, przez co nie ma poprawnego dostępu do innych serwerów. Producent udostępnił wprawdzie dokument ADAudit Plus Service Account Configuration, gdzie precyzyjnie omówiono proces tworzenia konta serwisowego o wymaganych uprawnieniach w domenie i na serwerach, tak aby móc uzyskiwać dostęp do event logów. Niestety, zapomniał dodać, że tym kontem należy zastąpić domyślne konto SYSTEM. Dopiero po tej operacji będzie można uzyskać dostęp do środowiska i serwerów domeny Windows. W przeciwnym wypadku wyświetlone zostaną niewiele mówiące komunikaty o braku dostępu lub braku uprawnień.

ADAudit Plus składa się z 6 komponentów: silnika pobierającego zdarzenia z event logów na zdalnych serwerach czy kontrolerach domeny (event processing engine), silnika służącego do wysyłania powiadomień, za pomocą e-maila lub SMS-a (alerts engine), bazy przechowującej zarówno konfigurację, jak i przetwarzane zdarzenia (audit database), silnika przetwarzającego dane (data engine), silnika korelującego pojawiające się zdarzenia z wyzwalaczami generującymi akcje, np. powiadomienia, oraz kontenera Tomcat nasłuchującego na porcie 8081. Aplikacja łączy się do wewnętrznej bazy PostgreSQL na porcie 33307 za pomocą interfejsu JDBC (Java Database Connectivity Interface), a z komponentami Active Directory za pomocą standardowego interfejsu ADSI (Component Object Model). W celu pobrania zawartości logów wykorzystywany jest natywny mechanizm Windows Event Log API. Pobrane lub przetworzone zdarzenia mogą zostać przesłane do zewnętrznego narzędzia klasy SIEM (Splunk, ArcSight Common Event Format). Schemat architektury ADAudit Plus przedstawia rys. 1.

 

[...]

 

Autor jest architektem rozwiązań IT, trenerem, autorem książek i publikacji technicznych, wykładowcą Politechniki Gdańskiej. Uzyskane certyfikaty: od rodziny Windows Server 2003 do 2019, Exchange od wersji 2003 do 2016, OCS, Lync 2010/2013, Skype 2015/2019, MCSE Server Infrastructure, Communication, Messaging, Cloud Platform and Infrastructure, Productivity 2017/2018/2019. Przez 5 lat MVP z zakresu Directory Services/Forefront/Exchange. 

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

prenumerata Numer niedostępny Spis treści

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"