9 додаткових інструментів для забезпечення безпеки Active Directory

9 додаткових інструментів для забезпечення безпеки Active Directory

У цій статті ми розглянемо дев’ять інструментів від сторонніх розробників, які можуть допомогти у забезпеченні безпеки середовищ на базі Active Directory.

Хоча Active Directory широко використовується в якості інструменту управління доступом і системи аутентифікації, однак не може захистити від усіх ризиків. У цій статті ми розглянемо дев’ять інструментів від сторонніх розробників, які можуть допомогти у забезпеченні безпеки середовищ на базі Active Directory.

Active Directory – широко поширена технологія від компанії Microsoft, на базі якої працюють служби аутентифікації і авторизації для бізнес-додатків та мережевих ресурсів. У Windows Server є все необхідне для управління середовищем Active Directory, проте набір доступних інструментів «з коробки» не в змозі завчасно попередити всі можливі системні збої, ризики безпеки та інші проблеми, які можуть призвести до відмови в роботі всієї середовища.

Наприклад, в стандартній поставці відсутній інструмент або утиліта для перевірки прав усіх критичних об’єктів, використовуваних Active Directory, і інших сутностей, як, наприклад, групи безпеки та користувачів. Крім того, не можна перевірити, скільки облікових записів блокується щодня з метою запобігання загроз безпеки.

Протягом робочого дня середовище Active Directory динамічно трансформується, і важливо розуміти, які зміни були внесені і ким для запобігання ризиків різного роду. Існують різноманітні сценарії, і кожна утиліта створена для певних цілей. Наприклад, для перевірки заблокованих облікових записів в домені, буде корисний інструмент Account Lockout Examiner від компанії NetWrix. Або, наприклад, якщо потрібно виконати повноцінний аналіз ризиків в лісі (Active Directory Forest), необхідний продукт Active Directory Health Profiler від Ossisto 365.

Хоча на ринку є безліч інструментів для безпеки Active Directory, не у всіх утиліти є всі необхідні функції. В якості прикладу візьмемо завдання по перевірці, що в адміністративних групах безпеки знаходяться тільки авторизовані користувачі. В цьому випадку дуже знадобилася б утиліта Membership Checker. Ще одна проблема при оцінці продукту з безпеки Active Directory – перевірка на відповідність стандартам (SOX, PCI-DSS, HIPPA і GDPR) і присутності всіх необхідних звітів.

Слід пам’ятати, що в різних продуктів – різні функції, і тому не можна обійтися одним інструментом для повноцінної безпеки Active Directory. У списку нижче представлений перелік утиліт, що дозволяють виконувати комплекс завдань, починаючи від перевірки прав і блокувань, і закінчуючи моніторингом змін і всебічною перевіркою на предмет присутності потенційних загроз.

SolarWinds Permissions Analyzer

Доступ до тих чи інших об’єктів Active Directory регулюється за допомогою прав, для перевірки яких якраз і призначена утиліта SolarWinds Permissions Analyzer. Можливо, ви хочете перевірити, як успадковуються права користувача або подивитися права групи або юзера або проаналізувати дозволу на базі членства в певній групі. SolarWind Permissions Analyzer також дуже ефективний для аналізу прав в лісі з декількох доменів і може допомогти у зниженні потенційних ризиків, коли ми швидко виявляємо членів команди, у яких є доступ до конфіденційної інформації та іншим об’єктам. Найприємніше – SolarWinds Permissions Analyzer повністю безкоштовний для використання в лісах.

Active Directory Health Profiler

Утиліта Active Directory Health Profiler від компанії Ossisto являє собою надійну підсистему виконання, призначену для повноцінного аналізу ризиків та безпеки лісів. Цей інструмент дозволяє знайти загрози та уникнути збоїв в роботі служб. У AD Health Profiler є 74 пакету на базі PowerShell для виконання різного роду перевірок безлічі лісів. Кожен пакет йде з рекомендаціями і описом найкращих практик від компанії Microsoft у сфері використання Active Directory. Хоча цей продукт коштує досить дорого, але може окупити себе в разі виявлення прихованих загроз, що впливають на безпеку.

Netwrix Auditor (для Active Directory)

Netwrix Auditor для Active Directory дозволяє спостерігати, що відбувається всередині домену через відстеження авторизацій і змін в настройках користувачів, груп, організаційних одиниць, групової політики і так далі. У щоденних звітах відображаються всі зміни та авторизації, що відбулися за останні 24 години, включаючи значення параметрів до і після зміни. Доступний безкоштовний базовий варіант, але у повноцінної платній версії набагато більше можливостей.

Account Lockout Examiner

У Netwrix є ще один безкоштовний інструмент Account Lockout Examiner, який цілком заслуговує бути в нашому списку. Ця утиліта сповіщає про блокування облікових записів, допомагає вирішувати проблеми і виявляти основні причини по кожній події і швидко відновлювати працездатність критичних служб. Акаунти можна розблокувати прямо з консолі в Account Lockout Examiner або через мобільний пристрій.

Semperis DS Protector

Semperis DS Protector дозволяє відстежувати зміни в Active Directory через реплікацію за допомогою двох незалежних джерел даних, що дозволяє обійти обмеження традиційних інструментів подібного роду. Використання бази даних виключає необхідність у тривалому відновленні і дозволяє досягти високої достовірності інформації. Semperis DSP може відстежувати всі зміни всередині Active Directory і навіть у разі, якщо вбудований механізм системного журналювання відключений, логи видалені, і агенти зупинені. Також є можливість оповіщення, коли зроблені зміни у важливих групах безпеки, у привілейованих користувачів і так далі. Можна відразу ж побачити, хто зробив зміни, знайти всі зміни, виконані певним користувачем і скасувати непотрібні зміни з єдиної консолі. Відстеження і відкат (де можливо) змін в конфігурації, GPO, DNS і компоненті Schema розширюють функціонал Групової політики і додаткових компонентів, що використовуються в Active Directory.

Active Directory Last Logon Checker

Продукція компанії Ossisto також згадується в нашому списку декілька разів. Коли створено багато користувачів, важливо відстежувати, щоб в мережі працювали тільки легітимні юзери. Ossisto 365 являє собою безкоштовний інструмент для отримання інформації про останньої авторизації кожного користувача домену. Звіти також доступні в форматі CSV.

Administrative Security Groups Checker

Ще один інструмент від компанії Ossisto, що дозволяє перевіряти членів зазначених груп безпеки з оповіщенням по пошті про будь-які зміни в цих групах. Цей інструмент повинен бути у розпорядженні кожного адміністратора Active Directory з метою перевірки, що тільки легітимні і уповноважені користувачі знаходяться в адміністративній групі. Administrative Groups Checker може перевіряти кожного члена групи безпеки у відповідності з налаштованим списком і допомагає підтримувати вміст групи в належному вигляді. У разі будь-яких змін, пов’язаних з групою, утиліта відразу сповістить по електронній пошті.

SekChek Security Auditing

Будь-який кваліфікований адміністратор Active Directory розуміє важливість аудитів. З метою відповідності стандартам SOX і HIPAA необхідно мати відповідну систему. SekCheck Security дозволяє виконувати аудити середовищ Active Directory і генерувати звіти за результатами перевірок. Отримані результати можуть порівнюватися з галузевими стандартами та кращими практиками. Також за фактом порівняння може використовуватися рейтингова система.

Quest Change Auditor (для Active Directory)

Якщо ви шукаєте комплексний інструмент для відстеження змін у середовищі Active Directory, утиліта Change Auditor від компанії Quest – ваш вибір. За допомогою цього інструменту ви зможете отримати єдиний погляд на всі зміни, що відбуваються в локальній службі Active Directory, Microsoft Active Directory. Крім звітів про ключові зміни в конфігурації Quest Change Auditor захищає від змін в критично важливих об’єктах, як, наприклад, випадкового видалення організаційних одиниць і зміни параметрів групової політики.

Джерело

Поділитися
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
Реклама

192

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *

Схожі записи

Почніть набирати текст зверху та натисніть "Enter" для пошуку. Натисніть ESC для відміни.

Повернутись вверх