Аудит AD и все, все, все в черновиках

Здравствуй, дорогой Хабраюзер!

Сегодня я расскажу об одном из полезных программных продуктов компании Dell – ChangeAuditor’e.
ПО, возможно, не очень известное, но в ситуации, когда надо разобраться в том, кто складывает музыку на хранилище и кто таки её там в это же время слушает – она незаменима.
В своей практике я рассматривал большое количество аналогов, но со всей долей ответственности могу сказать, что более удобного инструмента для аудита изменений надо ещё поискать.
Если у Вас есть проблемы по отслеживанию изменений в Active Directory, Exchange, SQL и файловых серверах – то милости прошу под кат! :)

ChangeAuditor – программное обеспечение, проводящее аудит изменений в Windows инфраструктуре. Он может показать кто, когда, откуда, что поменял в ActiveDirectory, Exchange, файловых серверах и SQL. И какое значение параметра было до изменения, а также заблокировать изменение веток AD\реестра\настроек даже администратору домена.

Со мной как-то был интересный случай – необходимо было выполнять аудит файловой помойки кое-какого крупного реселлера. Пользователей в AD было около 8000, филиалы во всех городах России и все эти люди 24/7 пользовались одним файловым хранилищем, на котором были общие папки пользователей и куча прочих данных. Задача стояла – приглядывать за аутсорсными админами и заодно понять, почему периодически дорогущая хранилка не справляется со своей работой, когда пользователи должны кидать туда только документы.
Для пилота было выбрано ПО ChangeAuditor, ну а дальше дело техники – пришел, поставил, обалдел. Оказалось, что на хранилку одновременно заливают музыку 5 пользователей, 27 её слушают и 9 скачивают. И это только из московского офиса. Я думаю, вы можете представить себе лицо системного администратора. А сколько бы ему понадобилось времени, чтобы найти данную информацию нативными средствами? Даже системы управления хранилищами не всегда дают необходимую информацию в полном виде.

К сожалению, таких случаев может быть огромное количество. Вспоминается один сотовый оператор с большим кол-вом оборудования Huawei и администраторами на аутсорсе. Все они по долгу службы имеют административные права и этим вызывают дикие мигрени у службы безопасности. Согласитесь, не хочется иметь в своей инфраструктуре администраторов домена, которые работают в другой организации и дело тут даже не в NDA или прочих документах, описывающих ответственность. Как-то у них был случай, когда аутсорсер свалил в перманентную перезагрузку домен-контроллеры одной ветки. Сотрудников в этот день работало около 20 и СБ в последствии потратила неделю, чтобы понять, кто, что и где поменял. Отключение функционала AD для современных компаний равносильно банкротству.

Но хватит лирики, давайте рассмотрим само решение.



ChangeAuditor (далее CA) не использует стандартные средства журналирования Windows. Это избавляет от ряда проблем, связанных с заковыристостью стандартного журнала или необходимости специфической настройки служб. На сервер ставится агент, который через API собирает всю необходимую информацию и отправляет её на Координатор (сервер управления CA). Там она сортируется и складывается в БД. Старые записи либо архивируются, либо просто удаляются. Таким образом база не будет бесконечно расти.

Установка решения происходит в лучших традициях современных приложений – далее – далее – далее-готово. При установке Координатора необходимо указать название инстанса и порт. Название инстанса необходимо для разделения различных установок CA в рамках одного леса. Например в AD могут работать две системы параллельно. При установке агента также необходимо указать инстанс. Вся информация хранится в Service Connection Point в AD, поэтому и не надо указывать порты и адрес Координатора.

Просмотреть все отчеты можно через чудесный web-интерфейс, выполненный в фирменных цветах Dell. Кстати, доступ к системе основан на ролях и если Вам надо ограничить группу сотрудников, это можно сделать без каких-либо проблем. Например, аутсорсный администратор решил добавить себя в группу администраторов CA, чтобы позже скрыть свою активность – ничего не выйдет + придет оповещение специально обученным людям, которые обычно готовы подкреплять свои вопросы быстрогреющимися инструментами.



Агентов можно разливать как руками, так и через консоль. Требования к агентами смешные по нынешним временам – 20мб HDD и 30 Мб RAM. Каждый агент набирает маленькую бд изменений и отсылает их Координатору. Если сетевой связи с координатором нет – данные кешируются(граница может настраиваться, по умолчанию 300 МБ).



Несмотря на внешние удобства централизованной установки, очень много заказчиков предпочитают устанавливать агент локально и связано это, в первую очередь, с регламентом безопасности.
Несомненным плюсом продукта является то, что ему не надо обучаться. Вы знаете, когда я только начинал его внедрять(точнее — еще только-только узнал о его существовании), мне на глаза попалась фраза, что разобраться с продуктом можно без инструкции. Обладая приличной долей скептицизма в мышлении, я попробовал установить его и воспользоваться не читая инструкции. И о чудо, никаких пятен серьезных препятствий не возникло. Внимание на картинку ниже:



На одном из моих тестовых серверов настроен аудит реестра. Если присмотреться, то становится понятно, какая ветка и на что меняется, и кто является инициатором процесса. Самое забавное, что на поиск этой информации было затрачено порядка 3х секунд. Вот еще один пример:



Здесь видно, как некий пользователь перемещает файлы. Вообще, что касается файлов, то настроек тут, на удивление, много:



Хотите проверить, кто лез открывать те или иные файлы? Пожалуйста! Кто последний поправил файл финансовой отчетности? Запросто!
Так же есть возможность исключить аудит действий, выполняемых над каким-нибудь файлом указанным процессом.
Конечно, система была бы не полной без удобного поиска по событиям. В «комплекте» идут порядка 200 предустановленных шаблонов поиска по событиям, но если хотите – всегда можно создать свой.



Поисковые критерии можно компоновать, создавая запрос любой детализованности и сложности.



Самое интересное, что поисковый запрос – это стандартный запрос на языке PL/SQL. И есть Вы хотите интегрировать результаты аудита с любой другой системой (например, ArcSight) – Вам для этого не понадобится никаких особых усилий – достаточно понимать, в какой форме системе надо данные подать.
Ну и напоследок – на моей практике работы с разного рода приложениями различных типов сложности не часто удается столкнуться с заботой о пользователе на этапе первоначального траблшутинга. Во-первых – ПО надежно. Ни разу не сталкивался еще с тем, чтобы агент или сервер подвесил систему. Кстати, даже если это произойдет, все сервисы продолжат работу в штатном режиме, так как агент никуда не встраивается и никаких «разрывов» не создает. К тому же, всегда можно посмотреть в лог – он очень подробный и всегда можно понять, что конкретно произошло, на каком шаге отправки\загрузки\соединения и какая функция рубится:



Итак, давайте подведём итог.

Если у Вас есть потребность понять, кто, что, где и как делал в Вашей инфраструктуре на базе Windows – нет ничего проще и лучше. ChangeAuditor позволяет производить аудит ActiveDirectory, Exchange, SQL, Windows File Servers, хранилищ на базе EMC. Агенты продукта не используют нативные сервисы журналирования Windows и это позволяет собирать всю необходимою информацию, да еще и в «красивом» виде. Как вы, наверно, заметили из скриншотов – интерфейс управления полностью переведен на web и не требует тонких\толстых клиентов для работы.

Обезопасьте себя, попробуйте CA!

Скачать демо-версию ChangeAuditor 6.5.143
Узнать больше о продуктах Dell Software и записаться на вебинары

Автор статьи: Сергей Бобров, сертифицированный специалист по продуктам Dell Software и Microsoft