Первая (и одна из многих) white paper, которую я адаптировал в России для NetWrix Corporation.

1. Как выбрать решение для аудита Active Directory
White Paper

2. Как выбрать решение для аудита Active Directory
2

3. Содержание
Содержание........................................................................................................................................................3
Что такое аудит изменений?..............................................................................................................................4
1.Почему аудит изменений важен?..................................................................................................................5
1.1.Аудит изменений: пример из практики..................................................................................................5
1.2.Аудит изменений как средство снижения риска....................................................................................5
1.3.Аудит изменений для целей усиления безопасности............................................................................6
1.4.Аудит изменений в контексте требований нормативов по информационной безопасности............6
1.5.Аудит изменений с целью усовершенствования управляемости.........................................................7
2.Требования к программам, осуществляющим аудит Active Directory.........................................................8
2.1.Автоматический сбор данных..................................................................................................................8
2.2.Эффективное централизованное хранение данных..............................................................................8
2.3.Масштабируемость...................................................................................................................................9
2.4.Возможность формирования расширенных отчетов.............................................................................9
2.5.Уведомления в режиме реального времени........................................................................................10
2.6.Включенные опции восстановления и отмены нежелательных изменений.....................................10
2.7.Дополнительные требования................................................................................................................11
3.SIEM, Управление IT, Риск-менеджмент и аудит изменений Active Directory...........................................12
4.Подход NetWrix к аудиту изменений Active Directory.................................................................................13
О компании NetWrix.........................................................................................................................................14

4. Как выбрать решение для аудита Active Directory
Что такое аудит изменений?
Аудит изменений – это непрерывный процесс, осуществляемый с целью минимизации рисков,
связанных с изменениями IT-систем, служб и приложений. Ограничение несанкционированных
изменений и повышение управляемости IT-инфраструктурой – ключевые аспекты снижения рисков,
связанных с осуществлением IT-изменений в производственных средах. Изменения могут приводить к
непредвиденным последствиям. Аудит изменений позволяет снизить следующие риски:
• Отключение функций безопасности;
• Распространение вредоносного кода среди пользователей;
• Утеря конфиденциальных данных
• Несоответствие требованиям нормативов в сфере информационной безопаности.
Правильность осуществляемого аудита изменений можно определить через те риски, которые он
позволяет минимизировать. Аудит изменений своим результатом имеет формирование защищенных и
контролируемых записей обо всех изменениях IT-инфраструктуры. Такие записи должны вестись
непрерывно. Аудит изменений – тот инструмент, с помощью которого как IT-администраторы, так и
менеджеры могут обеспечивать защиту и стабильность работы организации.

5. Как выбрать решение для аудита Active Directory
1. Почему аудит изменений важен?
1.1. Аудит изменений: пример из практики
Важность аудита изменений лучше всего проиллюстрировать на примере из практики.
Системный администратор Алекс знал, что коллегам хоть и нужно доверять, но и перепроверять их
действия также нужно. Особенно это относилось к двум недавно принятым на работу
администраторам Джеку и Питеру. Парни толковые, но по неопытности могут такого натворить, что
потом ищи и разбирайся, что же они сделали. И они ли это сделали?
Но Алекс был спокоен. Ему не нужно было постоянно держать в голове, что за ними нужен особый
присмотр (как и за другими администраторами). Все изменения, которые происходили в течение дня в
IT-инфраструктуре его организации, были у него как на ладони. Алекс доказал руководству, что
благополучие организации во многом зависит от стабильности ее работы, а обеспечение стабильности
IT-процессов – это уже была его вотчина.
И вот однажды утром, придя на работу, Алекс увидел, что в группе администраторов домена появилась
новая учетная запись. Причем пользователь под этой учетной записью начал активно ставить
непонятного рода ПО на компьютеры пользователей. Это был повод для беспокойства. Алекс увидел,
что этого пользователя в группу добавил Джек (видимо, ему не захотелось под конец рабочего дня
заниматься установкой ПО на компьютере пользователя, вот он и делегировал ему такие расширенные
права). Круг задач был ясен. Созданный пользователь был исключен из группы, а установленное ПО
было проанализировано. Как и можно было ожидать, теперь уже известный пользователь поставил на
компьютеры других пользователей keylogger’ы. Хорошо, что подобная информация вскрылась сразу
же, а не когда важная информация попала бы в чужие руки.
Подобные ситуации редко, но случаются. Без аудита изменений, организация фактически становится
уязвимой для угроз как извне, так и со стороны самих работников организации. Даже если процедуры
детально расписаны, все равно эти процедуры выполняет человек. А человеческие ошибки, как
известно, случаются, и от них не застрахована ни одна организация. Однако без осуществления аудита
изменений, который бы мог подтвердить, что доступ и разрешения в Active Directory были настроены
правильно, невозможно постоянно быть в курсе, что же происходит в Active Directory.
1.2. Аудит изменений как средство снижения риска.
Аудит изменений позволяет фиксировать детальную информацию о событиях в IT-инфраструктуре. С
помощью этого минимизируется риск нарушений информационной безопасности, так как возможность
детального анализа каждого подозрительного события – мощный инструмент в руках IT-специалиста.
Ведь текущие настройки могут быть неприемлемы в будущем. Аудит изменений – это средство, с
помощью которого изменения, осуществленные в IT-инфраструктуре, соотносятся с заранее
установленными рисками, что позволяет впоследствии эти риски снижать. Установление факторов

6. Как выбрать решение для аудита Active Directory
риска – один из наиболее важных шагов в защите любой IT-инфраструктуры. Это гарантирует, что
каждый, кто включен в IT-инфраструктуру, начиная от обычного пользователя до топ-менеджмента,
понимает, что находится в зоне риска. Регулярный пересмотр этих факторов риска также требует их
адаптации к меняющимся потребностям и условиями деятельности организации.
После того, как факторы риска были определены, следующий этап – минимизация риска. В случае с
Active Directory, пользователям даются права доступа к данным и приложениям как локально, так и
удаленно. Членство в группах и групповые политики настраиваются специально для того, чтобы
контролировать поведение при доступе к данным и приложениям. Эффективное управление
взаимодействием пользователей с IT-инфраструктурой снижает риск, так как подразумевает
делегирование определенных прав для выполнения повседневных обязанностей. Аудит изменений
Active Directory предоставляет детализированную информацию, которая может быть использована при
расследовании. Наличие такой информации (представленной, как правило, в отчетах) гарантирует, что
факторы риска управляются должным образом, и в то же время пользователям предоставляются
необходимые права для выполнения их работы.
1.3. Аудит изменений для целей усиления безопасности.
Внутренние угрозы порой имеют гораздо более пугающие последствия, нежели внешние, и причина
тому – излишнее доверие. Аудит изменений позволяет осуществлять проверку всех изменений Active
Directory. Изменения в настройки безопасности обычно вносятся после того, как была обнаружена
брешь в системе. Такой реактивный подход связан с тем, что без ежедневной деятельности по аудиту
изменений отсутствует возможность спрогнозировать, как эти изменения скажутся на IT-
инфраструктуре. Те инфраструктуры, которые полагаются на мандаты доступа к системе (tickets) или
другие процессы одобрения изменений, все равно могут быть подвержены угрозам в области
безопасности, если впоследствии обнаруживается, что присланная информация была неточной или
заведомо ложной. Единственный способ узнать о том, что безопасность была нарушена – получать
информацию об изменениях прямо из Active Directory.
1.4. Аудит изменений в контексте требований нормативов по
информационной безопасности.
Такие нормативы в сфере информационной безопасности, как SOX, HIPAA, FISMA и PCI, по-разному
объясняют стандарты безопасности, а именно что конкретно нужно отслеживать и записывать о
событиях доступа и изменениях. Эти нормативы существуют для того, чтобы обеспечить защиту как
организаций, так и конечных потребителей. В конечном итоге, эти нормативы призваны подтвердить,
что организация защищает, записывает и отслеживает изменения, которые так или иначе
подразумевают доступ к конфиденциальной информации, такой как: банковская информация, номера
социального страхования и карточки больных Подтвердить выполнение требований нормативов -
значит предоставить аудиторам все необходимую информацию с необходимым уровнем ее
детализации. Аудит изменений предоставляет информацию о том, Что, Когда, Где и Кем было
изменено. Именно такая информация требуется аудиторами. Причем информацию нужно хранить в
течение 7 лет, чтобы требования нормативов были выполнены. Для Active Directory этого крайне

7. Как выбрать решение для аудита Active Directory
сложно добиться с помощью встроенных инструментов аудита, что и приводит к возникновению
программ сторонних разработчиков.
1.5. Аудит изменений с целью усовершенствования управляемости
Осуществить изменения Active Directory просто, если пользователь или администратор обладает
необходимыми правами. Однако восстановление после таких изменений может долгие часы и даже
дни. И даже если изначально использовалось тестовое оборудование, неожиданные результаты все
равно могут появиться, делая насущной потребность в управлении изменениями Active Directory. Аудит
изменений может значительным образом усовершенствовать возможность администратора
восстанавливать работоспособность системы после нежелательных изменений. Запись изменений в
течение определенного времени позволяет осуществлять дальнейший анализ - для обнаружения
скрытых проблем, которые не являются очевидными при обычной работе с Active Directory.

8. Как выбрать решение для аудита Active Directory
2. Требования к программам,
осуществляющим аудит Active Directory
Аудит изменений Active Directory – это процесс сбора информации, формирования на ее основании
отчетов, анализ этой информации, принятие определенных решений и оценка. В Active Directory
присутствует встроенная возможность генерировать подобную информацию. Однако такая
информация хранится не централизованно, а локально на каждом контроллере домена. Функция
формирования отчетов также недоступна во встроенных инструментах, что превращает аудит
изменений Active Directory в сложный и долгий процесс. Также существует риск потери данных, если
журнал событий не настроен таким образом, чтобы справиться с объемом генерируемой информации.
Часто это ведет к тому, что свободное место на контроллерах доменов заканчивается. Информация,
сгенерированная с помощью встроенных инструментов, может быть полноценно проанализирована
администратором, который обладает значительным опытом работы с системными событиями и
сообщениями. Интерпретация такой информации должна привести к принятию определенного
решения (принять данное изменение или отклонить его). Ни в коем случае это решение не должно
быть компромиссным или принятым в результате отсутствия необходимой информации. Комбинируя
эти факторы можно заключить, что встроенные инструменты аудита во многом не подходят для
удовлетворения потребностей организаций, за исключением разве что малых, в которых всего лишь
пара серверов и до 100 пользователей. Следующая информация освещает набор тех функций, которые
должны иметь решения по аудиту изменений Active Directory. Также приведены примечания по тому,
как осуществлять внедрение подобных решений.
2.1. Автоматический сбор данных
Для того, чтобы максимизировать эффективность сбор информации, этот процесс должен быть
автоматизирован либо с помощью использования скриптов, либо с помощью сторонних программ. Без
этого сбор информации на постоянной основе невозможен. Размер организации напрямую связан с
объемом генерируемых “сырых” данных, что в свою очередь усложняет отслеживание изменений.
Дополнительные настройки должны быть сделаны на серверах и контроллерах доменов по всех IT-
инфраструктуре для включения системы аудита, который по умолчанию отключен. Более того, если
сбор данных осуществляется нерегулярно, то существует риск потери важной информации вследствие
перезаписи журнала событий или проблем с исчерпанием свободного места на сервере. Это важное
требование к инструментам аудита изменений, так что без него своевременный аудит невозможен.
2.2. Эффективное централизованное хранение данных
Автоматизация обычно требует дополнительных системных ресурсов и может негативно сказываться
на функционировании системы, что в свою очередь может привести к проблемам стабильности. По
этой причине важно, чтобы влияние применяемого метода сбора данных было минимальным. Более
того, хранение данных должно также быть рассмотрено в процессе внедрения программного решения.

9. Как выбрать решение для аудита Active Directory
Пока это является возможным, данные событий и аудита могут храниться исключительно в локальной
системе, где события произошли. Однако предпочтительный метод – централизация этой информации
в отдельном хранилище данных, где они были бы одновременно защищены и доступны. Такой подход
имеет свои преимущества, так как потребность анализировать информацию и формировать на ее
основании отчеты становится частью повседневной деятельности IT-администратора или группы,
ответственной за осуществление аудита изменений Active Directory.
Сбор информации также должен быть надежным. Каждый элемент системы аудита изменений должен
проверяться на периодической основе, чтобы гарантировать целостность генерируемых данных.
Наиболее совершенные методы надежного сбора такой информацией обладают возможностью
предварительного просмотра (prescreen) данных и их фильтрации с целью выделения только важной
информации. В процессе сбора данных, предпочтение должно отдаваться тем методам, которые
используют Журнал событий Windows (Event Log) и другие встроенные инструменты аудита, которые
отличаются от методов, требующих внедрения агентов или изменения кода системы для извлечения
данных о событии. Осуществление этого позволяет устранить любые потенциальные проблемы,
связанные со стабильностью работы системы или несовместимостью программ. Особенно это
актуально для Windows систем, в которых нельзя полагаться исключительно на данные журнала
событий, так как генерируемая информация не является полной. Чтобы полностью понять то или иное
событие, информация из различных источников должна быть агрегирована, и последующий анализ
должен рассматривать уже агрегированную информацию. Защита такой информации для целей
краткосрочного и долгосрочного хранения также является важным процессом. Важно, чтобы никто из
привилегированных пользователей не имел доступа к ним, а тем более возможности удалить или
иным образом вмешаться в эти данные. Доступ к такой информации должен быть ограничен или
вообще запрещен.
2.3. Масштабируемость
Чтобы осуществлять аудит изменений, программное решение для аудита должно быть
масштабируемым. Оно должно приспосабливаться к постоянно меняющейся инфраструктуре
организации, но в то же время без “рывков” в процессе внедрения. Внедрение и дальнейшее
использование решений для аудита изменений будет упрощено в том случае, когда не будут
требоваться дополнительное ПО или значительные изменения конфигурации, чтобы адаптироваться к
изменениям внутри организации. Решение для аудита изменений должно принимать во внимание
постепенные (гранулярные) изменения, такие как изменения общей топологии сети, контроллеров
доменов и Active Directory. Это необходимо для того, чтобы осуществлять постоянный контроль
изменений с целью предоставления наилучшего качества обслуживания пользователям и
предоставления записей аудита IT-службам и службам поддержки.
2.4. Возможность формирования расширенных отчетов
Когда сбор данных из различных источников автоматизирован, а сами данные хранятся в защищенном
месте, тогда аудит изменений Active Directory начинает играть проактивную роль в выполнении
требований нормативов в сфере информационной безопасности, защите информации и повышении

10. Как выбрать решение для аудита Active Directory
общей стабильности работы сети. Расширенные отчеты необходимы для предоставления IT-
администраторам, менеджменту и аудиторам, причем в них должна присутствовать возможность
настройки итоговых результатов по каждому изменению Active Directory за любой период времени.
При хранении данных и формировании отчетов в Windows средах наиболее очевидным является
использование SQL и SQL Reporting Services. Возможность настраивать отчеты по запросу, а также
использовать уже предустановленные сторонними разработчиками отчеты экономит время; в то же
время эти отчеты подходят для большинства возникающих нужд. Ежедневное использование отчетов
гарантирует полную прозрачность всей IT-инфраструктуры и выполнение требований нормативов в
сфере информационной безопасности. Дополнительные возможности, такие как оповещение по
электронной почте и подписка на отчеты, также оказывают влияние на общую эффективность
управления системой. Таким образом, возможность формирования расширенных отчетов является
залогом успешного осуществления аудита изменений и повседневного управления IT-инфраструктурой.
2.5. Уведомления в режиме реального времени
С возможностью формирования расширенных отчетов тесно связана возможность получать
уведомления об изменениях AD в режиме реального времени. Уведомления в режиме реального
времени позволяют администраторам моментально быть в курсе тех изменений, осуществленных с
критическими объектами и данными. Это позволяет администраторам проактивно реагировать на
потенциально опасные инциденты, что раньше было для них недоступно. До того момента, когда аудит
изменений Active Directory возник, такое изменение могло быть случайно обнаружено
администратором или конечным пользователем в процессе выполнения своих повседневных
обязанностей. В большинстве случаев, негативные изменения вели к простоям оборудования,
финансовым потерям и штрафам. Наличие функции уведомления об изменениях в режиме реального
времени в дальнейшем позволит снизить риск возникновения негативных изменений, которые влекут
за собой негативные последствия, или могут вообще их предотвратить. Функция уведомлений в
режиме реального времени должна быть включена в состав программы для аудита изменений Active
Directory.
2.6. Включенные опции восстановления и отмены нежелательных
изменений
В Active Directory присутствует ряд функций для восстановления, хотя они требуют перезагрузки и
значительного объема свободного места для того, чтобы функционировать должным образом. Также
необходимо тестировать настройки для того объекта, который необходимо восстановить. Для аудита
изменений Active Directory требуется комплексное решение, поэтому функция восстановления также
является неотъемлемой функцией программного решения для аудита изменений Active Directory.
Более того, встроенные функции ограничены тем уровнем детальности, с которым объект может быть
восстановлен. Например, измененные атрибуты невозможно восстановить, если не доступна резервная
копия. Наличие возможности гранулярного восстановления бесценно при управлении Active Directory.

11. Как выбрать решение для аудита Active Directory
Например, необходимо восстановить отдельное членство в группах безопасности, которое было
недавно изменено, не отменяя при этом других изменений.
2.7. Дополнительные требования
Предпочитаемые решения должны быть просты во внедрении и обладать возможностью подключения
дополнительных модулей для формирования целостного пакета программ, чтобы максимизировать
потенциальные выгоды от аудита изменений. Некоторые дополнительные типы систем могут включать
файрволы, маршрутизаторы, серверы с базами данных, устройства хранения и другие технологии
Microsoft, такие как Exchange и SharePoint.

12. Как выбрать решение для аудита Active Directory
3.SIEM, Управление IT, Риск-менеджмент и
аудит изменений Active Directory
Данные термины часто встречаются, когда обсуждается аудит изменений и информационная
безопасность. Они представляют собой более широкий взгляд на IT-менеджмент.
SIEM (Security Information and Event Management) связаны с аудитом изменений, однако между ними
имеются важные различия. SIEM системы включают в себя анализ в режиме реального времени
оповещений безопасности и событий, генерируемых в масштабах всей IT-инфраструктуры. При этом
мониторинг распространяется на все устройства и приложения во всей организации.
Аудит изменений - это сбор критичной информации и он представляет собой “слой формирования
отчетов” по сравнению с общими целями SIEM систем. Поэтому решения в сфере аудита изменений
должны обладать высоким уровнем совместимости с SIEM системами и службами для того, чтобы
обеспечить максимальную эффективность. Решения варьируются от внутрифирменных (написанных
специально для данной организации) до массивных модульных систем, дающих возможность
управления всеми IT-ресурсами в инфраструктуре.
Управление IT – термин, часто использующийся для того, чтобы описать общую миссию IT-организации
внутри более широкого контекста организации. Это означает предоставление средств, посредством
которых ключевые активности и услуги, предоставляемые IT, встраиваются в общее направление
деятельности и цели организации.
Риск-менеджмент - это термин, все чаще звучащий в прессе и публикациях с целью поколебать статус
безопасности для точного описания того, как организации подходят к поддержанию стабильности и
защищенности своих ресурсов. Все большее проникновение мобильных устройств и облачных
вычислений как части IT-стратегии организации влечет за собой новые угрозы для традиционных
моделей безопасности и того, как наилучшим образом обеспечить эту безопасность во все более
“мобилизирующемся” мире, где границы IT-инфраструктуры стали размытыми.
Приняв во внимание эти новые термины, Вы можете обеспечить соответствие IT-целей с целями
организации и потребностями по мере изменения требований.

13. Как выбрать решение для аудита Active Directory
4.Подход NetWrix к аудиту изменений Active
Directory
Подход NetWrix включает в себя все необходимые функции для достижения эффективного аудита
изменений, представленного в программном решении. NetWrix Active Directory Change Reporter —
программа, которая отслеживает изменения Active Directory во всей IT-инфраструктуре, включая
популярные устройства хранения. Программа ежедневно присылает полные отчеты и генерирует
уведомления в режиме реального времени по изменениям Active Directory, а именно: кто, когда, где и
что изменил, для каждого изменения AD, включая пользователей, подразделения (OU), группы,
контроллеры домена, конфигурацию, схему раздела и другие изменения. Отчет включает предыдущее
и новое значения для изменений объектов AD с целью повышения защищенности и контроля над
изменениями AD. Автоматический сбор информации и формирование на ее основе отчетов не только
превосходит возможности встроенных инструментов Windows и устройств хранения, но расширяет
возможности, сокращая время и усилия, затрачиваемые на сбор информации об изменениях,
осуществляемый вручную или используя сложные скрипты. Также в программе возможна архивация
всех модификаций, которая поможет выяснить подробности изменений спустя месяцы и годы. Все это
позволяет распространить аудит изменений Active Directory в SIEM системы, такие как SCOM для
повышения контроля за IT инфраструктурой.
Узнайте, как NetWrix Active Directory Change Reporter может помочь Вашей организации при
осуществлении аудита изменений и выполнении требований нормативов в сфере информационной
безопасности.
Скачайте программу – NetWrix ADCR

14. Как выбрать решение для аудита Active Directory
О компании NetWrix
NetWrix Corporation – узко специализированный разработчик программных решений для аудита
изменений IT-инфраструктуры. Аудит изменений – ключевая компетенция компании NetWrix, и никто
из других разработчиков настолько не сфокусирован на этой области. NetWrix предлагает решения для
аудита изменений IT-инфраструктуры, которые были признаны профессионалами по всему миру, о чем
свидетельствуют многочисленные награды компании. Основанная в 2006 году, компания занимает
первое место в сфере аудита изменений, и тысячи удовлетворенных клиентов по всему миру тому
подтверждение. Штаб-квартира компании находится в США, Нью-Джерси, Парамус, а ее региональные
подразделения в Лос-Анжелесе, Майами, Тампе, Бостоне, Санкт-Петербурге и Великобритании.
©2012 All rights reserved. NetWrix is trademark of NetWrix Corporation and/or one or more of its subsidiaries and may be registered in the U.S.
Patent and Trademark Office and in other countries. All other trademarks and registered trademarks are the property of their respective owners.