Мне нужно реализовать контроль изменений и аудит в сетевой среде Microsoft Windows. Мой вопрос в методах аудита или, еще лучше, в изменениях, внесенных в сетевую среду. Это начинается со всех изменений Active Directory. Я также хотел бы распространить это на сетевое оборудование (например, брандмауэры, маршрутизаторы, коммутаторы) и серверы.
Автоматический аудит изменений в сети позволит нам проверить отправленные средства управления изменениями и точность этих изменений.
У вас есть предложения по программному обеспечению, которое лучше всего подходит в этой области?
Что касается части Active Directory, есть функция / аспект, о котором вы, возможно, захотите знать.
В Windows 2008 появилась возможность аудита создания, удаления, перемещения и изменения объектов. Информация включает в себя, кто выполнил проверяемое событие, и DN объекта. В случае изменений записываются два события, которые, по сути, предоставляют вам текущее и предыдущее значения.
Это включается на контроллере домена с помощью следующей команды:
auditpol /set /subcategory:"directory service changes" /success:enable
Вам также необходимо включить аудит успеха в AD Users & Computers, обычно на уровне домена.
Если вы объедините это с пересылкой журнала событий, в результате вы получите очень мощную и удобную возможность. Например, мы настраиваем наш DC для пересылки идентификатора события 5136-5139,5141 в журнал событий «Перенаправленные события» на центральном служебном сервере.
Простая подписка по запросу с сервера сбора данных на контроллеры домена в высокоселективном запросе XPath для фильтрации шума может легко доставить все, что вам нужно, в одно место, где его можно заархивировать, составить отчет или импортировать в другую систему отчетности. Вот пример такого запроса:
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[System[( (EventID >= 5136 and EventID <= 5139) or EventID=5141) and TimeCreated[timediff(@SystemTime) <= 3600000]]]</Select>
<Suppress Path="Security">*[EventData[Data="S-1-5-18"]]</Suppress>
<Suppress Path="Security">*[EventData[Data[@Name="AttributeLDAPDisplayName"] = "dNSTombstoned"]]</Suppress>
<Suppress Path="Security">*[EventData[Data[@Name="AttributeLDAPDisplayName"] = "dnsRecord"]]</Suppress>
<Suppress Path="Security">*[EventData[Data[@Name="AttributeLDAPDisplayName"] = "msExchExpansionServerName"]]</Suppress>
<Suppress Path="Security">*[EventData[Data[@Name="AttributeLDAPDisplayName"] = "msExchServer1HighestUSNVector"]]</Suppress>
<Suppress Path="Security">*[EventData[Data[@Name="AttributeLDAPDisplayName"] = "msExchMessageJournalRecipient"]]</Suppress>
<Suppress Path="Security">*[EventData[Data[@Name="objectClass"] = "dnsNode"]]</Suppress>
<Suppress Path="Security">*[EventData[Data[@Name="objectClass"] = "printQueue"]]</Suppress>
<Suppress Path="Security">*[EventData[Data[@Name="objectClass"] = "serviceConnectionPoint"]]</Suppress>
<Suppress Path="Security">*[EventData[Data[@Name="objectClass"] = "msExchAddressListService"]]</Suppress>
</Query>
</QueryList>
Для правильной работы подписок необходимо настроить некоторые параметры. Некоторые можно сделать в групповой политике.
Больше информации:
Пошаговое руководство по аудиту AD DS
http://technet.microsoft.com/en-us/library/cc731607%28WS.10%29.aspx
Настройка компьютеров для пересылки и сбора событий
http://technet.microsoft.com/en-us/library/cc748890.aspx
Быстрый и грязный крупномасштабный троеборье для Windows
http://blogs.technet.com/b/wincat/archive/2008/08/11/quick-and-dirty-large-scale-eventing-for-windows.aspx
Я слышал хорошее о Tripwire, хотя я никогда не сталкивался с этим.