2. NetWrix Active Directory Change Reporter – обзор программы для аудита Active Directory
Содержание
Недостатки штатных инструментов аудита ........................................................ 3
Функции программы ............................................................................................ 3
Как настроить программу? .................................................................................. 4
Как работать с программой? ............................................................................. 10
О компании NetWrix .......................................................................................... 14
2
3. NetWrix Active Directory Change Reporter – обзор программы для аудита Active Directory
Недостатки штатных инструментов аудита
Недавно мы писали о том, как быстро настроить аудит Active Directory своими силами. Сейчас же
немного расскажем о программе, которая осуществляет аудит AD и помогает преодолеть
ограничения встроенных инструментов AD (event viewer, tombstone, recycle bin…), у которых есть
ряд важных недостатков:
1. Большой объем “не нужной ” информации в журналах. Если пытаться искать
информацию о том или ином событии вручную, то можно потратить уйму времени, чтобы
найти его. Количество событий, которые записываются в журнал, очень велико, поэтому
анализ журнала событий может быть довольно трудоемкой задачей. Поэтому существуют
различные утилиты, которые обрабатывают и фильтруют журнал событий, тем самым
предоставляя только информативные данные.
2. Короткий период хранения данных из-за перезаписывания журнала. Журнал событий не
предназначен для долгосрочного хранения данных в больших доменах. Для длительного
хранения событий, можно включить автоархивацию журнала событий, но надо быть
осторожным, потому что архивы могут очень быстро заполнить все свободное место на
диске, что приведет к серьезным последствиям.
3. Ведение журналов на каждом из контроллеров доменов. Отсутствует возможность
штатными средствами добиться объединения всех записей журналов в едином месте.
Записи в журнале нужно анализировать на каждом из контроллеров домена. Но
количество этих записей даже в средних доменах на одном контроллере домена может
достигать нескольких десятков в секунду, что делает процесс поиска проблематичным.
4. Возможность удаления записей из журнала. Записи журнала можно удалить, поэтому,
если учетная запись администратора была взломана, то история событий, содержащихся в
журнале, становится недостоверной.
5. Ограниченные возможности восстановления. А именно:
- Отсутствие графического интерфейса;
- Возможность восстанавливать только удалённые объекты. Изменения откатывать нельзя.
- Отсутствие возможности массового восстановления, например сразу восстановить
организационную единицу со всеми её членами;
- При развитой структуре леса, невозможность восстанавливать объекты с одной машины
из разных доменов.
Функции программы
Для того чтобы обеспечить более эффективное управление IT-инфраструктурой, разрабатываются
сторонние решения в сфере аудита AD.
Продукт NetWrix Active Directory Change Reporter как раз является таким решением, рассмотрим
его функционал:
3
4. NetWrix Active Directory Change Reporter – обзор программы для аудита Active Directory
1. Создание отчетов по изменениям AD. Раз в сутки программа собирает данные обо всех
изменениях, сделанных в Вашей AD и присылает готовый отчёт указанным получателям, с
информацией Кто сделал то или иное изменение и Когда.
2. Фиксация в отчетах значений “До” и “После” по каждому изменению. В отчеты
включаются значения до и после изменения для каждого измененного объекта или
атрибута.
3. Оповещения в режиме реального времени. Настраиваемые оповещения позволяют в
режиме реального времени узнавать о критичных изменениях Active Directory.
4. Широкая библиотека стандартных отчетов и возможность создавать расширенные
отчеты (реализованная с помощью дополнения MS SQL - Reporting Services).
5. Отчеты о состоянии Active Directory. Программа позволяет формировать отчеты о
текущем и прошлом состоянии структуры Active Directory.
6. Рассылки, основанные на шаблонах отчётов. Любой отчёт можно настроить на рассылку
со следующими параметрами: получатели, формат отчёта (Word, Excel, Pdf) и расписание
отправки (ежедневно, по дням недели, помесячно).
7. Мастер восстановления объектов AD. Мастер восстановления объектов Active Directory
позволяет Вам контролировать нежелательные изменения Active Directory. И
восстанавливать удаленные объекты со всеми аттрибутами и свойствами.
8. Долгосрочное хранение данных аудита. После сбора данные архивируются, сохраняются
в локальное хранилище программы и заливаются в базу SQL сервера. Причем размер
сохраненных данных на порядок меньше, чем размер журналов событий.
Как настроить программу?
Создание наблюдаемого объекта:
В главном окне Enterprise Management Console найдите узел дерева “Managed Objects” и через
контекстное меню создайте новый объект (Create New Managed Object).
1. Уточните тип объекта.
Запускается мастер “New Managed Object Wizard”. Выберите “Domain” для создания и
конфигурирования нового домена для сбора данных и формирования отчетов.
4
5. NetWrix Active Directory Change Reporter – обзор программы для аудита Active Directory
2. Задайте пользователя для запуска программы и сбора данных.
На следующем этапе необходимо выбрать учетную запись, которая будет по умолчанию
использоваться Active Directory Change Reporter для сбора данных и генерации отчетов.
3. Задайте SMTP-настройки
На следующем этапе задайте настройки SMTP-сервера, который будет использоваться для
отправки отчетов по электронной почте. Задайте имя SMTP сервера, порт и адрес отправителя.
Если ваш SMTP сервер требует аутентификации, выберите Use SMTP Authentication и введите имя
5
6. NetWrix Active Directory Change Reporter – обзор программы для аудита Active Directory
пользователя и пароль. Если сервер требует SSL, то можно выбрать Use Secure Sockets Layer
encrypted connection (SSL).
4. Уточните имя домена.
Введите имя домена, используя FQDN, например “MyDomain.local”.
5. Активируйте отдельные продукты:
Помимо аудита AD в программе можно включить еще аудит групповых политик и сервера
Exchange.
6
7. NetWrix Active Directory Change Reporter – обзор программы для аудита Active Directory
6. Сконфигурируйте базу данных
На следующем этапе Вы можете указать настройки SQL сервера для дальнейшего использования
шаблонов отчетов, которые включены в программу.
7. Сжатие сетевого трафика.
Функция сжатие сетевого трафика прозволяет значительно ускорить сбор данных за счет
использования агентов и сжатия собранных данных до их непосредственной пересылки с
контроллера домена на локальную машину Active Directory Change Reporter.
7
8. NetWrix Active Directory Change Reporter – обзор программы для аудита Active Directory
8. Отчеты о состоянии структуры Active Directory (Snapshot Reporting)
Snapshot Reporting – это функция, которая позволяет просматривать структуру Active Directory на
момент последнего запуска программы, так и состояние AD на указанный промежуток в прошлом.
8
9. NetWrix Active Directory Change Reporter – обзор программы для аудита Active Directory
9. Настройте список получателей отчетов
10. Настройте уведомления в режиме реального времени (real-time alerts)
Можно добавлять, редактировать и удалять уведомления. По умолчанию включены следующие 3
типа уведомлений:
1. Changes to Admin Group Memberships (Изменения состава групп администраторов
домена и enterprise администраторов )
2. Changes to Domain Configuration (Изменения в конфигурации домена)
3. Changes to Any Active Directory Objects (Любые изменения в AD)
Все, программа настроена!
9
10. NetWrix Active Directory Change Reporter – обзор программы для аудита Active Directory
Как работать с программой?
Вся работа с программой осуществляется через консоль NetWrix Enterprise Management Console
1. В узле AD Change Reporter указываются получатели ежедневных отчётов, время их
получения и периодичность.
2. В узле Real-Time alerts Вы можете управлять оповещениями в режиме реального времени.
10
11. NetWrix Active Directory Change Reporter – обзор программы для аудита Active Directory
При желании Вы можете сами создать необходимое оповещение на определённое изменение,
важное для Вас.
3. В узле Advanced Report, находится библиотека со стандартными шаблонами отчётов.
Открывая отчет, Вы загружаете данные с SQL сервера. Также при необходимости для любого
отчета Вы можете сортировать необходимую информацию при помощи встроенных фильтров.
11
12. NetWrix Active Directory Change Reporter – обзор программы для аудита Active Directory
4. Управление Рассылками происходит в разделе Subscriptions
Есть 2 способа создания рассылки: либо нажать кнопку «Subscribe» в меню
интересующего Вас отчета в узле Advanced reports, либо кнопку «add» в узле
“Subscriptions”.
Далее откроется мастер создания рассылок, где Вам нужно будет указать следующую
информацию:
1. Задать имя подписки
2. Выбрать получателей рассылки
3. Формат отчета
12
13. NetWrix Active Directory Change Reporter – обзор программы для аудита Active Directory
4. Задать параметры изменений
5. Периодичность отправки рассылок
5. Восстановление объектов происходит при помощи NetWrix AD Object Restore Wizard,
который находится в узле AD Change Reporter
Это модуль восстановления удаленных и модифицированных объектов. В том случае, если
необходимо оперативно среагировать на изменение отдельных объектов или быстро
восстановить, например, удаленное подразделение, данный модуль незаменим.
Вот собственно и все!
Саму программу для самостоятельного опробования можно скачать на нашем сайте.
13