2. Проблемы / Сценарии применения
В средах, где хаотично создаются объекты АД /
Среды разработки (тестировщики, разработчики) /
Большое количество администраторов /
Объекты АД - Компьютеры и их много /
etc...
Yevgeniy Goncharov, Kazhackstan, 2017
3. Плюсы для себя +
Саморазвитие
Всегда порядок
Исключение человеческого фактора
Применение и развитие в будущем
Независимость
Возможная премия или бонус от Организации
Yevgeniy Goncharov, Kazhackstan, 2017
4. Плюсы для Организации +
Экономия бюджета
Свой продукт
Грамотные специалисты - это престижно
Yevgeniy Goncharov, Kazhackstan, 2017
5. Требования / Реализация
ПРЯМЫЕ РУКИ
Использование того, что есть под рукой (встроенные средства):
PowerShell / Task Scheduler / AD Audit
Утвержденная нотация именования объектов
Для расширения функционала в будущем можно привлечь
OpenSource
Yevgeniy Goncharov, Kazhackstan, 2017
6. Как разгребать то, то что есть?
Автоматически:
• Находить неактивные объекты
• Отключать > Перемещать в песочницу /
Удалять
Руками:
• Искать владельца
• Сортировать, что осталось
• Выяснять что это за объект
Yevgeniy Goncharov, Kazhackstan, 2017
7. Как избежать хаоса / боли в будущем?
полностью Автоматизировать
весь процесс
Yevgeniy Goncharov, Kazhackstan, 2017
8. Подготовка
• У всех, кто вводит машины в домен - минимизировать права
• Уровень делегирования, как максимум Account Operator
Определить нотацию именования объектов, например:
• сервер для тестирования, префикс -TEST-
• БД, префикс -DB-
• гипервизор, префикс -VIRT-
• etc...
Yevgeniy Goncharov, Kazhackstan, 2017
9. Cобытия аудита
Event ID 4741
Настройка триггеров на события
Срабатывание по триггеру
Запланированные задания по проверке объектов АД
Yevgeniy Goncharov, Kazhackstan, 2017
10. Модули / Командлеты PS
• Get / New-ADOrganizationalUnit
• Get / Set-ADComputer
• Get / Set-Members
• Add / Remove-ADGroupMember
• Move / Remove-ADObject / Disable-ADAccount
• Get-WinEvent
• Net.Mail
• Работа со строками
Yevgeniy Goncharov, Kazhackstan, 2017
11. Определение изменений AD
Каждое изменение АД > Событие > Триггер > Реакция
• Добавлять инфо о том кто создал и когда
• Если объект создан в соответствии с нотацией именования:
• Перемещать в соотв. OU / Добавлять в соотв. группы безопасности
• Если имя объекта не соотв.:
• Перемещать объект в OU песочницу > Применять Hi-Level Security GPO / AV
• Уведомлятьадминистраторов/ Того, кто ввел машину в домен
• Проверка изменений
• Если измений не произошло - Отключать / Удалять
• Если изменения произошлиперемещать в нужную OU
ДАЛЕЕ ПО НАЛИЧИЮ ФАНТАЗИИ
Yevgeniy Goncharov, Kazhackstan, 2017
12. Результат / Итог
Автоматизированный продукт, который:
• Реагирует на изменения в АД
• Обладает возможностью уведомления заинтересованных лиц
• Следит за существующими объектами
• Практически AD SIEM своими руками :)
• Наличие свободного времени, котрое можно пустить на другие задачи
• Сэкономленные средства Организации
• Новые знания и навыки
ЖИЗНЬ БЕЗ БОЛИ
Yevgeniy Goncharov, Kazhackstan, 2017