Методы обнаружения вирусов

Аудит Active Directory с «человеческим лицом»

19 сентября, 2011

Автор: MCT/MVP:DS Илья Рудь

Введение.

Большинство начинающих системных администраторов считают, что аудит - это слово, имеющее отношение к бухгалтерии, финансам, но уж никак не к информационным технологиям. Их мнение в корне меняется, когда они начинают работать в средних и крупных организациях, где количество администраторов может изменяться десятками. В таких случаях аудит становится страховкой для системного администратора, позволяющей при возникновении форс-мажоров спасти как собственную зарплату, так и в ряде ситуаций - карьеру.

Немного конкретизирую  тему данной статьи. Я хочу рассказать об аудите Active Directory средствами NetWrix Active Directory Change Reporter. Не то, чтобы у Microsoft совсем не было средств аудита службы каталогов, настройки аудита в групповых политиках и журнал «Безопасность» никто не отменял. Но при их использовании администратор быстро понимает, что анализ через оснастку десятков мегабайт журнала «Безопасность» на контроллерах домена зачастую действие утопическое. Поэтому получается, что встроенный аудит как бы есть, но при этом использовать его весьма проблематично. И хотя с выходом Windows 2008 производитель слегка попытался упростить работу с аудитом, исторический ложившуюся ситуацию, когда Microsoft дает заработать на доведении до ума  аудита сторонним производителям, это не изменило.

Знакомьтесь - NetWrix Active Directory Change Reporter, программное обеспечение, отслеживающее все изменения каталога Active Directory Domain Services, включая пользовательскую и администраторскую активность, создающее при этом отчеты и оповещения, автоматически пересылаемые на административный электронный адрес.

В отчетах и оповещениях содержится информация обо всех изменениях, дополнениях и удалениях, как самих объектов, так и их атрибутов. Аудит изменений автоматически архивируется для получения информации об изменениях за любой промежуток времени с различной степенью детализации.

Программа Active Directory Change Reporter является частью комплекта, куда входят инструменты не только аудита Active Directory, но и Exchange, Group Policy, а так же Active Directory Object Restore Wizard.

Логика работы.

Для начала предлагаю разобраться в архитектуре и концепции рассматриваемого продукта.

  1. Во-первых, системный администратор устанавливает сам продукт и конфигурирует параметры для автоматического сбора информации и формирования отчетов
  2. После настройки на сервере с программой создаётся определенная задача (имя по умолчанию – NetWrix Management Console - Active Directory Change Reporter - ) которая стартует раз в 10 минут (значение можно поменять). Это режим «быстрого» сбора, в это время программа собирает события из Журнала безопасности с каждого контроллера домена. Также собираются все изменения в Active Directory за последние 10 минут. Для этого используется специальный протокол репликации между контроллерами домена. После сбора всех данных программа отсылает оповещения.
  3. Данные  аудита помещаются в специальную базу данных SQL с именем «NetWrix_AD_Change_Reporter» и в репозиторий программы.. В три часа ночи производится рассылка информации об изменениях за последние сутки, а так же отчетов, на которые подписан администратор. Кстати по умолчанию SQL Express скачивается  и устанавливается мастером настройки программы.
  4. Если произведена интеграция с SCOM, то информация также записывает все события в просмотрщик событий Windows.
  5. Для изменения отчетов, событий и последующего конфигурирования используется консоль управления продуктом NetWrix Enterprise Management Console.

    Рисунок 1. Архитектура Active Directory Change Reporter.

Установка и настройка.

Хотелось бы заметить, что Active Directory Change Reporter поддерживает все режимы работы домена и леса от Windows 2000 до  Windows 2008R2. Для того чтобы приступить к настройке, понадобится компьютер, на который можно установить  Change Reporter, причем не обязательно с серверной операционной системой. Поддерживается все, начиная от Windows XP SP2 и выше, с одним условием - членства в управляемом или доверенном домене.

 

Рисунок 2. Включение аудита в групповой политике

Еще до установки продукта документация Change Reporter просит включить аудит успешных событий на уровне групповой политики контроллера домена, а также в настройках безопасности разрешить аудит на тех разделах Active Directory, изменения которых должны протоколироваться.
После чего можно переходить к установке самого продукта, которая настолько проста (Next-Next-Finish), что комментировать в ней, что то сложно. Нажав несколько клавиш, вы получите на экране консоль центрального управления продуктом и необходимость его настроить, т.к. на данном этапе никакие отчеты пока не формируются.

Примечание: Для тех, кто боится менять параметры аудита руками, существует еще один способ. А именно вначале установить  Active Directory Change Reporter, а потом запустить Audit Configuration Wizard, который прячется в меню «Пуск» вместе с программой. Мастер настроит в групповой политике аудит и постарается увеличить размер журнала «Безопасность» до 300 мегабайт.

 

Рисунок 3. NetWrix Enterprise Management Console

Пост-установочная настройка начинается с опции «Create new Managed Object», в которой вы должны указать учетную запись  пользователя домена, обладающего правами локального администратора

Следующий шаг - настройка SMTP сервера, через который будут слаться отчеты, и указание   электронного адреса отправителя  отчетов. Для этих целей мною был создан отдельный почтовый ящик с учетной записью  NetWrix. После указания всех необходимых данных по кнопке «Verify» можно проверить корректность настройки.

 

Рисунок 4. Настройка оповещения по электронной почте.

Если вы все сделали правильно, то после запуска проверки получите сообщение о том, что письмо отправлено, а в указанном почтовом ящике появится письмо с текстом «Test Ok». Поскольку я использовал аутентификацию при доставке, фактически доставка шла самому себе (от пользователя NetWrix на адрес NetWrix), то никаких изменений коннектора Exchange сервера производить не пришлось, стандартного слушающего 25 порт вполне достаточно.

На следующем шаге указываем FQDN нашего домена и управляемую учетную запись, от имени которой будет запускаться назначенное задание по сбору изменений. По умолчанию в данное поле подставляется учетная запись с самого первого шага.

Как я уже говорил раньше, программа Active Directory Change Reporter является частью комплекта, а посему на следующем этапе нам предлагается указать, какие компоненты мы будет задействовать -нужен ли нам аудит почтовой системы Exchange и.т.д. В данной статье я ограничился компонентом для Active Directory и остальные блоки оставил не выбранными.

 

Рисунок 5. Выбор используемых компонентов.

Далее настраиваем расширенные отчеты, а для этого придется указать существующий SQL сервер с компонентом Reporting Services. Впрочем, даже если SQL сервера в компании пока нет, мастер предлагает установить на данный компьютер бесплатную версию SQL 2005 Express. SQL в дистрибутив не входит, а поэтому вариантов два. Первый, если есть доступ в интернет – скачать его мастером настройки и автоматически установить, и второй, указать файл дистрибутива SQL явно. После скачивания SQL 2005 Express устанавливает экземпляр по умолчанию с веб-сервером IIS и стандартной возможностью веб-доступа к Reporting Services.

Ну и остается ответить на несколько вопросов:

  1. Нужно ли сжатие трафика? Все просто, если между контроллером домена и компьютером с Active Directory Change Reporter медленный канал, включение сжатия дает возможность уменьшить объём трафика.
  2. Нужно ли включить опцию Snapshot Reporting? Snapshot или снимок это сохраненное состояние каталога, дающее возможность посмотреть, что было месяц, год или два тому назад. Снимки Active Directory делаются всегда и сохраняются в репозитории программы; снимки используются, например, во встроенном мастере восстановления объектов Object Restore Wizard, о котором см. ниже. Смысл Snapshot Reporting в том, чтобы данные снимков импортировались в базу данных и на их основе создавались отчеты. Если вы от них откажетесь, то потеряете возможность формировать часть отчетов аудита - не выберите опцию, лишитесь группы отчетов «AD Snapshots Reports»
  3. Кто будет получать отчеты? В данном блоке достаточно просто указать список адресов и при желании нажать кнопку «Verify» для отправки тестового письма.

    Рисунок 6. Выбор получателя отчетов.
  4. Какие оповещения в режиме реального времени нужны? Настраиваемое поле, где можно указать, какой список действий приводит к немедленному оповещению получателя отчетов. Список по умолчанию делает это только при изменении членства в группе доменных администраторов, поскольку данный список редактируется и после работы мастера, то пока можно ничего не менять.

На этом, собрав все необходимые данные, мастер свою работу завершает, уведомляя нас о том, что время генерации ежедневных отчетов три часа ночи. Теперь, когда продукт установлен, предлагаю немного в нем подразобраться.

Тестирование функций продукта.

Первым делом я внес ряд изменений, а именно создал пару учетных записей, создал и удалил несколько организационных подразделений. После чего открыл SQL Management Studio и подключился к экземпляру SQL Express.

После подключения я обнаружил три базы данных. Назначение их я уже раскрывал в описании архитектуры.

 

Рисунок 7. Базы данных, созданные установкой NetWrix

Первая - NetWrix_AD_Change_Reporter, именно она содержит все изменения Active Directory, которые были запротоколированы аудитом.  Открыв список таблиц, я сразу заметил таблицу «dbo.changes» - таблицу с изменениями каталога - и выполнил запрос «Select * from dbo.changes». Но таблица оказалась пустой, и это не случайно.

Опять же повторюсь, NetWrix AD Change Reporter забирает данные с контроллера домена не сразу, а раз в 10 минут, что определено задачей в планировщике Windows. Ждать 10 минут не хотелось, а поэтому задачу я запустил руками из планировщика. Хотя есть и еще один способ - в консоли управления стать на управляемый домен (Ветка Managed Object) и в правой части оснастки нажать «Run». Задача выполнялась порядка 2 минут и сразу после выполнения запрос «Select * from dbo.changes» начал возвращать результат.  Таблица достаточно простая, например столбец «What» хранит тип действия, а точнее его код. (1- Создать, 2- Удалить, 3 - Переименовать)

 

Рисунок 7. Выполнение запроса SQL после отработки задачи сбора изменений (NetWrix Management Console - Active Directory Change Reporter - ).

T-SQL хоть и удобный инструмент, но все же для ежедневной работы хочется просматривать отчеты без использования языка запросов.  В консоли управления NetWrix для целей просмотра отчетов предназначена специальная ветка с уже пред-настроенными отчетами.

 

Рисунок 8. Просмотр отчета о созданных организационных подразделениях через Management Console.

Выбирая один из отчетов (в моем случае «OU Created») вы инициируете подключение к компоненту SQL Reporting Services, который строит текущий отчет. При построении отчета доступна его настройка по автору изменений, месте изменения и объекту, что приводит к минимизации и выводу на экран только тех записей, которые интересуют администратора. Про печатные формы, которые я воспринимаю, как само собой разумеющееся говорить не стоит, они есть.

Следующее вполне логичное желание - получать данный отчет по электронной почте, и желательно регулярно.  В каждом отчете, еще до его генерации, есть кнопка «Subscribe», или,  в переводе, подписка.

 

Рисунок 9. Создание подписки на отчет.

Подписка - это возможность получать отчет по почте через определенный промежуток времени.  Создавая подписку, вы указываете:

  1. Имя шаблона отчета.
  2. Адрес получателя отчета.
  3. Формат отчета. (PDF или XLS)
  4. Что включать в отчет. (Кто? Когда? Где?)
  5. Расписание доставки. Можно выбрать доставку ежедневно, еженедельно или ежемесячно.

После того, как подписка создана, ее можно удалить  и поменять ее параметры. Все созданные подписки отображаются в консоли управления в блоке «Subscription». Стоит отметить, что из этого блока их можно и создавать, т.е не обязательно выходить на мастер создания подписки непосредственно из самого шаблона отчета.

Примечание: В одном из случаев я использовал SQL сервер, установленный самостоятельно и предварительно (а не мастером настройки ПО). В момент создания подписки я получил сообщение о недоступности шаблонов отчетов, но при этом ручное формирование отрабатывало. Для решения этой проблемы необходимо в консоли управления NetWrix зайти на уровень «Advanced Reports» и выполнить команду «Upload» для погрузки шаблонов на SQL Reporting  Server.

 

Рисунок 10. Доступ к подпискам через ветку оснастки «Subscription».

Для того, что бы проверить отчет, ждать 3 часов ночи (время по умолчанию) очень не хотелось, а поэтому я начал искать в интерфейсе возможности обходных маневров. Как оказалось, если выбрать созданную подписку, то в ее параметрах на закладке «Schedule» есть кнопка «Run now». Если за время после создания подписки ничего не менялось, то письма с отчетом ждать не стоит, изначально пустые отчеты не шлются.

 

Рисунок 11. Содержание отчета о создании новых OU.

Механизм подписок реализован внутри самой программы, поэтому нет смысла искать  задачи в Планировщике. В текущей версии подписка может автоматически отослать отчет только раз в день (руками хоть 10 раз), по заверению разработчика в ближайших версиях это ограничение будет снято.

При установке в «Планировщике заданий Windows» было создано две задачи, о предназначении первой (Сбор информации с журналов и отправка в SQL) уже известно. Но есть еще одна, запускаемая в три часа ночи.  Имя у нее простое – NetWrix Management Console, и при выполнении руками отработка происходит буквально за несколько секунд. Вы уже знаете, что компания NetWrix выпускает большое число продуктов, часть которых может  быть интегрирована  в NetWrix Enterprise Management Console, например, File Server Change Reporter. Эти продукты основаны на «Планировщике заданий». Так вот, задача NetWrix Management Console используется как вспомогательная для выполнения по расписанию функции дополнительных решений. И хоть непосредственно к настройке эта информация отношения не имеет, все же администратор должен знать, что и для чего запускается на его сервере.

Продолжаем освоение, всегда существует список событий, о которых хотелось бы узнать как можно раньше. (девальвация национальной валюты, изменение членства в группы доменных администраторов может послужить примером такого события)

Для решения этой проблемы в ADCR существуют Real Time Alerts или Мгновенные оповещения, которые в случае определенных действий с каталогом произведут отправку администратору информации о происшествии.

 

Рисунок 12. Настройка Real Time Alerts

Изначально таких оповещений три, а именно «Изменение членства административных групп», «Изменение любых объектов» и «Изменения конфигурации домена». Из трех включена только одна, «Изменение членства административных групп». Не буду кривить душой и скажу, что это не совсем моментальные оповещения, действия должно произойти, после чего первый же запуск NetWrix Management Console - Active Directory Change Reporter - приведет к информированию о произошедшем действии, т.е. между временем действия и получением письма может пройти до 10 минут.

Для того, чтобы было понятна реальная эффективность таких средств, расскажу одну реальную историю, которая произошла в филиале довольно крупной организации. Все объекты этого филиала находились в отдельном организационном подразделении Active Directory и полномочия на создание, удаление объектов были делегированы двум местным администраторам. Прав  администратора домена они естественно не имели. Дежурили специалисты по очереди и одновременно в офисе не появлялись. Все было замечательно до одного момента, когда коллеги крупно поссорились между собой и разговаривать перестали. Вроде как и это не смертельно, но в смену первого администратора пропадает несколько учетных записей весьма важных пользователей филиала. Естественно, это приводит к крупному скандалу участником, которого является администратор, работавший в  тот день. И хоть он «рвет на груди рубаху», что это не его работа, отсутствие аудита - (а он там был отключен по причине регулярного переполнения журнала Безопасность на контроллерах домена и весьма затрудняющих восприятие 16 событий в журнале  на каждый «чих» - жизнь не упрощает ) не позволило проверить, кому стоит сказать «спасибо» за эту выходку. Немного сгладила ситуацию информация уже в других логах о том, что второй администратор в этот день использовал VPN подключение к корпоративной сети. А поскольку внятно объяснить, зачем ему это понадобилось, он  не мог, то и основные претензии с первого сотрудника были сняты, а учетные записи восстановлены. И хотя все в итоге решилось, стоило это серьезных нервов большому количеству людей.

Как бы решилась эта проблема, если бы в этой организации был установлен Active Dirctory Change Reporter:

  1. Администратор центрально офиса создал бы Real Time Alert, оповещающую заинтересованных специалистов о создании и удалении объектов в организационном подразделении Самара.

    Рисунок 13. Выбор действий, при которых сработает оповещение.
  2. Злобный администратор выполнил бы удаление объектов.
  3. Через 10 минут у центральных админов на столе лежал бы отчет следующего вида, говорящий о том, что в 1:42 дня администратором с логином «BAD» была удалена учетная запись пользователя «Samara Boss».

    Рисунок 14. Пришедшее письмо с оповещением.
  4. К этой информации бы приложили данные о подключении в это время через VPN зловредного администратора, передали руководству, и закончилось бы все счастливо, а именно увольнением по статье непорядочного специалиста. И прошло бы это все без криков, угроз и нервов порядочных людей.

Подводим итоги:

Если говорить о моем субъективном мнении – решение более чем понравилось. Первое, что стоит отметить, это простота развертывания; при условии, что до этого я не имел опыта работы с ним, процесс настройки и проверки функционала  занял  от силы часа три с перерывами на чтение документации. Была небольшая проблема с отсылкой отчетов на Exchange, но благодаря техподдержке, она решилась достаточно быстро, установкой обновления. В остальном полет штатный, согласно подробной документации.

Второй и самый главный плюс - это удобство, можно смело забывать о журнале  безопасность на контроллерах домена и о тысячах записей для анализа. Только то, что нужно, и в хорошем читаемом виде.

Вы можете вообще не настраивать и не подписываться на всевозможные отчеты, но все равно ежедневно получите свой «Summary Report», сводку об изменениях каталога за день. И в ряде ситуаций этого вполне достаточно.

 

Рисунок 15. Ежедневный итоговый отчет (Summary Report) сообщает, что  все спокойно, объекты не менялись.

Вместе с ADCR поставляется средство восстановления удаленных или измененных объектов и атрибутов - Active Directory Object Restore Wizard. И хотя восстановление AD - немного другое направление,  все же удобный и эффективный мастер не будет лишним инструментом администратора.

 

Следующий плюс скорее для руководства – стоимость. По предварительным прикидкам получается дешевле решений Quest и Script Logic.
А если к аудиту Active Directory добавить возможность аудита Exchange, и Групповых политик, виртуальной среды, и SharePoint, и SQL, и файловых серверов, конфигурации физических машин (одна простая Management Console для всех направлений, входящих в пакет NetWrix Change Reporter Suite) то получается удобное решение, закрывающее тыл ИТ-специалистов сразу по основным уязвимым точкам.

Скачать программу можно на сайте разработчика.

 

НОВОЕ НА САЙТЕ

Скачать в PDF Горячая лента угроз и предупреждений о вирусной опасности!

Скачать в PDF Вирусные новости

6 марта 2024 года

«Доктор Веб» информирует о масштабном обновлении продуктов Dr.Web 12.0 так что 13.0 с централизованным управлением для бизнеса, а уж а а также продукта для обороны АСУ ТП Dr.Web Industrial.Теперь системным админам доступны новейшие способности управления системой защиты, в то период как-либо выявленные ошибки были исправлены.... Антивирус Dr.Web

6 марта 2024 года

Компания «Доктор Веб» выпускает обновление Dr.Web Family Security. В приложении исправлен шеренга ошибок в ингридиентах Контроль приложений, Фильтр звонков так чисто СМС, URL фильтр.

Если вы желаете приобретать оповещения о новеньких версиях приложения, перейдите в Меню - О приложении - Обновление - подключите Уведомля... Антивирус Dr.Web

28 февраля 2024г.

Как так что всякий продукт фирмы «Доктор Веб», Dr.Web FixIt! постоянно совершенствуется. Мы наблюдаем за потребностями юзеров так что жаждем созидать решения, коие перестать навряд эффективны, однако так что благоприятны в использовании.

Чтобы наладить Dr.Web FixIt! версии 2.3 сызнова удобнее, мы: