Обзор NetWrix Active Directory Change Reporter

NetWrix Active Directory Change Reporter Обзор программы для аудита Active Directory

NetWrix Active Directory Change Reporter – обзор программы для аудита Active Directory

2

Содержание

Недостатки штатных инструментов аудита ........................................................ 3

Функции программы ............................................................................................ 3

Как настроить программу? .................................................................................. 4

Как работать с программой? ............................................................................. 10

О компании NetWrix .......................................................................................... 14


3

Недостатки штатных инструментов аудита

Недавно мы писали о том, как быстро настроить аудит Active Directory своими силами. Сейчас же

немного расскажем о программе, которая осуществляет аудит AD и помогает преодолеть

ограничения встроенных инструментов AD (event viewer, tombstone, recycle bin…), у которых есть

ряд важных недостатков:

1. Большой объем “не нужной ” информации в журналах. Если пытаться искать

информацию о том или ином событии вручную, то можно потратить уйму времени, чтобы

найти его. Количество событий, которые записываются в журнал, очень велико, поэтому

анализ журнала событий может быть довольно трудоемкой задачей. Поэтому существуют

различные утилиты, которые обрабатывают и фильтруют журнал событий, тем самым

предоставляя только информативные данные.

2. Короткий период хранения данных из-за перезаписывания журнала. Журнал событий не

предназначен для долгосрочного хранения данных в больших доменах. Для длительного

хранения событий, можно включить автоархивацию журнала событий, но надо быть

осторожным, потому что архивы могут очень быстро заполнить все свободное место на

диске, что приведет к серьезным последствиям.

3. Ведение журналов на каждом из контроллеров доменов. Отсутствует возможность

штатными средствами добиться объединения всех записей журналов в едином месте.

Записи в журнале нужно анализировать на каждом из контроллеров домена. Но

количество этих записей даже в средних доменах на одном контроллере домена может

достигать нескольких десятков в секунду, что делает процесс поиска проблематичным.

4. Возможность удаления записей из журнала. Записи журнала можно удалить, поэтому,

если учетная запись администратора была взломана, то история событий, содержащихся в

журнале, становится недостоверной.

5. Ограниченные возможности восстановления. А именно:

- Отсутствие графического интерфейса;

- Возможность восстанавливать только удалённые объекты. Изменения откатывать нельзя.

- Отсутствие возможности массового восстановления, например сразу восстановить

организационную единицу со всеми её членами;

- При развитой структуре леса, невозможность восстанавливать объекты с одной машины

из разных доменов.

Функции программы

Для того чтобы обеспечить более эффективное управление IT-инфраструктурой, разрабатываются

сторонние решения в сфере аудита AD.

Продукт NetWrix Active Directory Change Reporter как раз является таким решением, рассмотрим

его функционал:

http://habrahabr.ru/post/140569/


4

1. Создание отчетов по изменениям AD. Раз в сутки программа собирает данные обо всех

изменениях, сделанных в Вашей AD и присылает готовый отчёт указанным получателям, с

информацией Кто сделал то или иное изменение и Когда.

2. Фиксация в отчетах значений “До” и “После” по каждому изменению. В отчеты

включаются значения до и после изменения для каждого измененного объекта или

атрибута.

3. Оповещения в режиме реального времени. Настраиваемые оповещения позволяют в

режиме реального времени узнавать о критичных изменениях Active Directory.

4. Широкая библиотека стандартных отчетов и возможность создавать расширенные

отчеты (реализованная с помощью дополнения MS SQL - Reporting Services).

5. Отчеты о состоянии Active Directory. Программа позволяет формировать отчеты о

текущем и прошлом состоянии структуры Active Directory.

6. Рассылки, основанные на шаблонах отчётов. Любой отчёт можно настроить на рассылку

со следующими параметрами: получатели, формат отчёта (Word, Excel, Pdf) и расписание

отправки (ежедневно, по дням недели, помесячно).

7. Мастер восстановления объектов AD. Мастер восстановления объектов Active Directory

позволяет Вам контролировать нежелательные изменения Active Directory. И

восстанавливать удаленные объекты со всеми аттрибутами и свойствами.

8. Долгосрочное хранение данных аудита. После сбора данные архивируются, сохраняются

в локальное хранилище программы и заливаются в базу SQL сервера. Причем размер

сохраненных данных на порядок меньше, чем размер журналов событий.

Как настроить программу? Создание наблюдаемого объекта:

В главном окне Enterprise Management Console найдите узел дерева “Managed Objects” и через

контекстное меню создайте новый объект (Create New Managed Object).

1. Уточните тип объекта.

Запускается мастер “New Managed Object Wizard”. Выберите “Domain” для создания и

конфигурирования нового домена для сбора данных и формирования отчетов.


5

2. Задайте пользователя для запуска программы и сбора данных.

На следующем этапе необходимо выбрать учетную запись, которая будет по умолчанию

использоваться Active Directory Change Reporter для сбора данных и генерации отчетов.

3. Задайте SMTP-настройки

На следующем этапе задайте настройки SMTP-сервера, который будет использоваться для

отправки отчетов по электронной почте. Задайте имя SMTP сервера, порт и адрес отправителя.

Если ваш SMTP сервер требует аутентификации, выберите Use SMTP Authentication и введите имя


6

пользователя и пароль. Если сервер требует SSL, то можно выбрать Use Secure Sockets Layer

encrypted connection (SSL).

4. Уточните имя домена.

Введите имя домена, используя FQDN, например “MyDomain.local”.

5. Активируйте отдельные продукты:

Помимо аудита AD в программе можно включить еще аудит групповых политик и сервера

Exchange.


7

6. Сконфигурируйте базу данных

На следующем этапе Вы можете указать настройки SQL сервера для дальнейшего использования

шаблонов отчетов, которые включены в программу.

7. Сжатие сетевого трафика.

Функция сжатие сетевого трафика прозволяет значительно ускорить сбор данных за счет

использования агентов и сжатия собранных данных до их непосредственной пересылки с

контроллера домена на локальную машину Active Directory Change Reporter.


8

8. Отчеты о состоянии структуры Active Directory (Snapshot Reporting)

Snapshot Reporting – это функция, которая позволяет просматривать структуру Active Directory на

момент последнего запуска программы, так и состояние AD на указанный промежуток в прошлом.


9

9. Настройте список получателей отчетов

10. Настройте уведомления в режиме реального времени (real-time alerts)

Можно добавлять, редактировать и удалять уведомления. По умолчанию включены следующие 3

типа уведомлений:

1. Changes to Admin Group Memberships (Изменения состава групп администраторов

домена и enterprise администраторов )

2. Changes to Domain Configuration (Изменения в конфигурации домена)

3. Changes to Any Active Directory Objects (Любые изменения в AD)

Все, программа настроена!


10

Как работать с программой? Вся работа с программой осуществляется через консоль NetWrix Enterprise Management Console

1. В узле AD Change Reporter указываются получатели ежедневных отчётов, время их

получения и периодичность.

2. В узле Real-Time alerts Вы можете управлять оповещениями в режиме реального времени.


11

При желании Вы можете сами создать необходимое оповещение на определённое изменение,

важное для Вас.

3. В узле Advanced Report, находится библиотека со стандартными шаблонами отчётов.

Открывая отчет, Вы загружаете данные с SQL сервера. Также при необходимости для любого

отчета Вы можете сортировать необходимую информацию при помощи встроенных фильтров.


12

4. Управление Рассылками происходит в разделе Subscriptions

Есть 2 способа создания рассылки: либо нажать кнопку «Subscribe» в меню

интересующего Вас отчета в узле Advanced reports, либо кнопку «add» в узле

“Subscriptions”.

Далее откроется мастер создания рассылок, где Вам нужно будет указать следующую

информацию:

1. Задать имя подписки

2. Выбрать получателей рассылки

3. Формат отчета


13

4. Задать параметры изменений

5. Периодичность отправки рассылок

5. Восстановление объектов происходит при помощи NetWrix AD Object Restore Wizard,

который находится в узле AD Change Reporter

Это модуль восстановления удаленных и модифицированных объектов. В том случае, если

необходимо оперативно среагировать на изменение отдельных объектов или быстро

восстановить, например, удаленное подразделение, данный модуль незаменим.

Вот собственно и все!

Саму программу для самостоятельного опробования можно скачать на нашем сайте.

http://www.netwrix.com/ru/active_directory_change_reporting_freeware.html


14

О компании NetWrix NetWrix Corporation – высокоспециализированный разработчик программных решений

для аудита изменений IT-инфраструктуры. Аудит изменений – ключевая компетенция компании

NetWrix, и никто из других разработчиков настолько не сфокусирован на этой области. NetWrix

предлагает решения для аудита изменений IT-инфраструктуры, которые были признаны

профессионалами по всему миру, о чем свидетельствуют многочисленные награды компании.

Основанная в 2006 году, компания занимает первое место в сфере аудита изменений, и тысячи

удовлетворенных клиентов по всему миру тому подтверждение. Штаб-квартира компании

находится в США, Нью-Джерси, Парамус, а ее региональные подразделения в Лос-Анжелесе,

Майами, Тампе, Бостоне, Санкт-Петербурге и Великобритании.

©2012 All rights reserved. NetWrix is trademark of NetWrix Corporation and/or one or more of its subsidiaries and may be registered in the

U.S. Patent and Trademark Office and in other countries. All other trademarks and registered trademarks are the property of their respective

owners.

http://www.netwrix.com/ru/change_auditing_solution.html

http://www.netwrix.com/ru/awards_reviews.html

http://www.netwrix.com/ru/customers.html

http://www.netwrix.com/ru/customers.html

Technology

Обзор NetWrix Active Directory Change Reporter