Netwrix – AD

Modul sledování ActiveDirectory:

Nejdůležitější součástí nástroje Netwrix Auditor je modul pro sledování Microsoft ActiveDirectory (AD).

Modul je vhodný pro všechny interní Microsoft based (využívající technologie Microsoft) interní sítě. Není nutné, aby síť obsahovala tisíce nebo stovky uživatelů, modul je přínosem i pro společnost např. s patnácti uživateli. Během mé několikaleté praxe s tímto nástroje jsem měl možnost jej integrovat do sítí se stovkami tisíci i deseti uživateli. Přínosem byl pro všechny.

Administrátora AD vždy primárně zajímá, co vše žije v jeho síti a kde a co se přihlašuje. Díky AD modulu je možné zjistit kdo, kde, kdy a kam se hlásil. Jak často se, kam hlásil a zda se jednalo o interaktivní nebo neinteraktivní (service) přihlášení. Takto je možné dohledat i historicky zapomenuté služby, které se neustále hlásí již např. deaktivovaným servisním účtem. Na všechny „nálezy“ je možné si nastavit alarmy a při splnění nastaveného thresholdu (mezní hodnoty) informovat Administrátora pomocí emailu.

Z praxe můžu uvést jeden případ. Pomocí Netwrix Auditoru bylo zjištěno, že se na primárním DC neustále „něco“ pokouší přihlásit pomocí původního, již deaktivovaného servisního účtu. V logách DC serveru se nevyskytovala žádná chyba a všechny funkce serveru fungovali bez omezení. Tak kde může být problém? Pomocí AD modulu bylo zjištěno, že k pokusu o přihlášení dochází každou vteřinu po celý den. Musí se tedy jednat o nějakou z tzv. „Discovery“ služeb. Při bližším zkoumání bylo nalezeno, že se jedná o DNS dynamic update v rámci DHCP a problém se opravil. To vše bylo možné okamžitě, jednoduše bez nutností složitých PowerShell příkazů a zdlouhavého dohledávání problému.

To je jen jedna z mnoha přínosných funkcí modulu. Dalším příkladem využití, opět z praxe, ale tentokrát z velké korporátní sítě v řádech tisíců uživatelů. Jedna z velmi užitečných funkcí je sledování aktivních a neaktivních uživatelů. V jednoduchém a přehledném formátu je možné si nechat vypsat všechny neaktivní uživatele, a to buď deaktivované nebo opravdu jen neaktivní. Díky tomu je možné pročistit i rozsáhlá AD od všech artefaktů dob minulých. U zákazníka jsem takto nalezl přes 400 neaktivních, zapomenutých uživatelů, kteří mohli představovat potencionální riziko bezpečnosti interní sítě.

Mimo tohoto je možné sledovat i dobu platnosti uživatelských hesel do AD a kromě opět přehledné tabulky všech účtů kterým bude za týden, čtrnáct dní, měsíc končit platnost hesel je možné nastavit i automatický reset těchto hesel, automatické zamčení účtů s vypršeným heslem a zaslání informací uživatelů, že jim bude končit platnost hesla.

 

Modul sledování ActiveDirectory technicky:

Od výhod Netwrix Auditor AD modulu přejdeme trochu k technické stránce. Sběr dat pro interní logiku tohoto modulu je pomocí Windows Log nástroje. U všech AD Forrestů, které jsou alespoň ve verzi 2008, nejlépe však 2016 je možné nastavit audit jednotlivých součástí AD a Windows serveru na kterém je AD hostováno.

To je možné provést jednoduše pomocí úpravy defaultní doménové politiky a politik jednotlivých DC serverů v rámci GPO nástroje. Změna zabere cca 15 minut.

Je tak umožněno sledovat všechny změny v rámci AD –vytváření, mazání a změny uživatelů, skupin, doménových schémat, změny doménových trustů, politik, vlastností objektů, práv nad objekty atd.

Není nutné se bát, že povolením auditu dojde k nějakému markantnímu zatížení DC serverů a zabrání volného místa na pevném disku. Zátěž je menší než u většiny korporátních antivirových řešení. Sbíraný log je navíc na serveru omezen na velikost 4GB a poté, nebo v určitém časovém intervalu, je přesunut do Netwrix Auditoru, kde je zpracován.

Pro splnění všech zákonných požadavků je součástí Netwrix Auditor i tzv. long term archive, který umožnuje ukládat všechna sebraná data po dobu minimálně stanovenou zákonem. Nad všemi daty je pak možné provádět vyhledávání pomocí Bolean výrazové logiky a dohledat tak jakoukoliv změnu, která kdy byla, od dob sledování Netwrix Auditorem, provedena.