Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



23.01.2020

Google Project Zero

Inicjatywa Google Project Zero
23.01.2020

Ochrona tylko w chmurze

Kaspersky Security Cloud Free
23.01.2020

Eksport SI pod lupą

Export Control Reform Act
23.01.2020

Orkiestracja na medal

Bug bounty dla Kubernetes
23.01.2020

Długie pożegnanie

Chrome na Windows 7
23.01.2020

Dell XPS 13

Dell zaprezentował najnowszą odsłonę laptopa będącego jednym z najczęstszych wyborów...
23.01.2020

Inteligentne drukowanie

Ricoh IM C300, C400
23.01.2020

Bezpieczny punkt dostępowy

D-Link Covr AC2200
23.01.2020

Elastyczny laptop

Lenovo ThinkPad X1 Fold

Audytowanie środowiska Windows

Data publikacji: 24-10-2019 Autor: Jacek Światowiak
Rys. 1. Ogólna architektura...

Zarządzanie środowiskiem IT nierzadko przyćmiewa inne ważne zadanie stawiane przed administratorami, czyli jego audytowanie. W przypadku systemów operacyjnych Microsoftu w zasadzie nie sposób efektywnie audytować środowiska bez użycia narzędzi firm trzecich. Jednym z nich jest ADAudit Plus.

 

 Administratorzy przeprowadzają zwykle w środowiskach IT dwie podstawowe operacje: zarządzanie oraz audytowanie działań wykonywanych przez użytkowników końcowych i administratorów. Na temat zarządzania literatury i innych opracowań nie brakuje, ale audytowanie często spychane jest na drugi plan. A przecież na gruncie systemów operacyjnych Windows nie jest to wcale operacja trywialna. Systemy Microsoftu z rodziny NT od początku projektowane były zgodnie z wymaganiami Departamentu Obrony Stanów Zjednoczonych jako systemy klasy C2. Co do zasady miały więc zapewnić rozliczalność i audytowanie wszelkiego typu operacji w systemie. W efekcie posiadają one niezbędne do audytowania funkcje, ale uzyskanie do nich dostępu nie jest proste. Efektywne wykorzystanie pozyskanych informacji, w szczególności w zakresie analityki, jest praktycznie niemożliwe bez użycia narzędzi firm trzecich. Zdarza się, że stawiane przed administratorami wymogi dotyczące audytowania operacji wraz z zapewnieniem rozliczalności oraz ze spełnianiem norm zewnętrznych są postawione na równi z wymogami dotyczącymi samego zarządzania środowiskiem. Trzeba zatem odnaleźć rozwiązania, które przynajmniej częściowo wypełniają tę lukę. Trudno sobie przecież wyobrazić, aby zarządzanie środowiskiem IT on-premise, choć w postaci uproszczonej także środowiskiem chmurowym Microsoft, mogło się odbywać bez monitorowania i audytowania.

> ZASTOSOWANIA i WERSJE

Rozsądną propozycją w tej kategorii jest ADAudit Plus. Jest to narzędzie przeznaczone do zbierania, analizowania logów, raportowania i zapewniania zgodności w sześciu podstawowych obszarach: usłudze Active Directory, audycie logowania i wylogowywania na stacjach roboczych Windows, audycie serwerów plików Windows, serwerów plikowych NetApp oraz EMC, innych serwerów Windows (RADIUS, serwery usług terminalowych, serwery wydruków), a także w zakresie raportowania zgodności z rodo, ISO 27001, SOX, HIPPA, PCI-SDD, FISMA oraz GLBA.

ADAudit Plus dostępny jest w dwóch wersjach: Standard i Professional. W pierwszej z nich administrator uzyskuje dostęp do ponad 200 prekonfigurowanych raportów. Ma on możliwość audytowania na bieżąco operacji wykonywanych na kontrolerach domeny AD, kolejek drukarkowych i pamięci masowych podłączanych do portów USB, tworzenia, modyfikacji, kasowania, uzyskiwania dostępu oraz zmiany atrybutów i uprawnień na plikach, monitorowania zmian, grup, komputerów, OU oraz zmian na obiektach użytkowników i polisach domenowych. Może również śledzić zdarzenia systemowe (także te w harmonogramie zadań), otrzymywać powiadomienia e-mail oraz zapoznawać się z raportami generowanymi okresowo i specjalnymi raportami zgodności. Wersja Standard pozwala też na archiwizację danych.

Wariant Professional rozszerza te możliwości o funkcje audytowania i korelacji starych oraz nowych wartości wszystkich atrybutów (zapamiętywanie zmian), zmian uprawnień, zmian wewnątrz polis domenowych, blokady kont (account lockout), w serwerze DNS, na partycjach schematu, kontaktach oraz zmian konfiguracji audytowania. Dostępna jest także możliwość korzystania z bazy danych MS SQL zamiast wbudowanej PostgreSQL. Z możliwościami ADAudit Plus zbliżonymi do wersji Professional można zapoznać się w ramach 30-dniowego okresu próbnego. Po jego upływie możliwe jest dalsze korzystanie z rozwiązania, jednak z ograniczeniem do 25 stacji roboczych i bez możliwości generowania bieżących raportów.

> INSTALACJA I ARCHITEKTURA

Choć czysta instalacja ADAudit Plus zajmuje łącznie z bazą ok. 415 MB przestrzeni dyskowej, to szacunkowa wielkość bazy danych dla audytowania Active Directory może wynieść od 20 do 50 GB. Jeden użytkownik w ciągu jednego dnia to ok. 15 KB wygenerowanych danych. Po 90 dniach audytowania 10 tys. użytkowników wielkość bazy i raportów wyniesie już zatem ok. 13 GB. Podobne proporcje zachowane zostają w przypadku serwerów plikowych: 1 użytkownik w ciągu 1 dnia wygeneruje ok. 4 KB danych, 100 użytkowników i 100 plików w ciągu 90 dni to już 3,5 GB danych. Aplikacja komunikuje się z kontrolerami domeny i serwerami plikowymi w postaci znormalizowanego ruchu Windows: wykorzystuje porty 389 LDAP, 445 NEBIOS Session, 135 oraz wysokie porty dla ruchu typu RPC. Do aplikacji można uzyskać dostęp za pośrednictwem przeglądarki internetowej na porcie HTTP 8081 lub – po instalacji certyfikatu SSL – 8444.

Po instalacji aplikacja działa w trybie on-demand, ale może być przełączona w tryb usługi Windows. W drugim przypadku domyślnie uruchamia się jednak na lokalnym koncie SYSTEM, przez co nie ma poprawnego dostępu do innych serwerów. Producent udostępnił wprawdzie dokument ADAudit Plus Service Account Configuration, gdzie precyzyjnie omówiono proces tworzenia konta serwisowego o wymaganych uprawnieniach w domenie i na serwerach, tak aby móc uzyskiwać dostęp do event logów. Niestety, zapomniał dodać, że tym kontem należy zastąpić domyślne konto SYSTEM. Dopiero po tej operacji będzie można uzyskać dostęp do środowiska i serwerów domeny Windows. W przeciwnym wypadku wyświetlone zostaną niewiele mówiące komunikaty o braku dostępu lub braku uprawnień.

ADAudit Plus składa się z 6 komponentów: silnika pobierającego zdarzenia z event logów na zdalnych serwerach czy kontrolerach domeny (event processing engine), silnika służącego do wysyłania powiadomień, za pomocą e-maila lub SMS-a (alerts engine), bazy przechowującej zarówno konfigurację, jak i przetwarzane zdarzenia (audit database), silnika przetwarzającego dane (data engine), silnika korelującego pojawiające się zdarzenia z wyzwalaczami generującymi akcje, np. powiadomienia, oraz kontenera Tomcat nasłuchującego na porcie 8081. Aplikacja łączy się do wewnętrznej bazy PostgreSQL na porcie 33307 za pomocą interfejsu JDBC (Java Database Connectivity Interface), a z komponentami Active Directory za pomocą standardowego interfejsu ADSI (Component Object Model). W celu pobrania zawartości logów wykorzystywany jest natywny mechanizm Windows Event Log API. Pobrane lub przetworzone zdarzenia mogą zostać przesłane do zewnętrznego narzędzia klasy SIEM (Splunk, ArcSight Common Event Format). Schemat architektury ADAudit Plus przedstawia rys. 1.

 

[...]

 

Autor jest architektem rozwiązań IT, trenerem, autorem książek i publikacji technicznych, wykładowcą Politechniki Gdańskiej. Uzyskane certyfikaty: od rodziny Windows Server 2003 do 2019, Exchange od wersji 2003 do 2016, OCS, Lync 2010/2013, Skype 2015/2019, MCSE Server Infrastructure, Communication, Messaging, Cloud Platform and Infrastructure, Productivity 2017/2018/2019. Przez 5 lat MVP z zakresu Directory Services/Forefront/Exchange. 

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"