Инструменты для обеспечения безопасности Active Directory

Faaerw

Если есть вопросы-пишите )
Главный Модератор

Faaerw

Если есть вопросы-пишите )
Главный Модератор
Регистрация
10 Янв 2020
Сообщения
193
Реакции
1,068
Инструменты для обеспечения безопасности Active Directory

Содержание.
  1. Инструменты для обеспечения безопасности Active Directory
  2. SolarWinds Permissions Analyzer
  3. Active Directory Health Profiler
  4. Netwrix Auditor (для Active Directory)
  5. Account Lockout Examiner
  6. Semperis DS Protector
  7. Administrative Security Groups Checker
  8. SekChek Security Auditing
  9. Quest Change Auditor (для Active Directory)
В сегодняшней статье Я расскажу Вам ,о лучших сторонних инструментах, которые призваны улучшить безопасность Active Directory.


Для начала вам расскажу ,что такое Active Directory

-Active Directory
Службы каталогов корпорации Microsoft для операционных систем семейства Windows Server. Первоначально создавалась, как LDAP-совместимая реализация службы каталогов, однако, начиная с Windows Server 2008, включает возможности интеграции с другими службами авторизации, выполняя для них интегрирующую и объединяющую роль...

Active Directory – довольно распространенная технология от компании Microsoft, на базе которой работают службы аутентификации и авторизации приложений и сетевых ресурсов. В Windows Server есть все необходимое для управления средой Active Directory, но набор инструментов доступных по умолчанию не может заблаговременно предупредить все возможные системные сбои, риски безопасности и другие проблемы, которые могут привести к ошибкам или отказу в работе всей среды.

Например, после в стандартной поставке отсутствует инструмент или утилита для проверки прав всех критических объектов, используемых Active Directory, и других сущностей, как, например, групп безопасности и пользователей. Кроме того, нельзя проверить, сколько учетных записей блокируется ежедневно с целью предотвращения угроз безопасности.

В течение рабочего дня среда Active Directory динамично трансформируется, и важно понимать, какие изменения были внесены и кем для предотвращения рисков разного рода. Существуют разнообразные сценарии, и каждая утилита создана для определенных целей. Например, для проверки заблокированных учетных записей в домене, будет полезен инструмент Account Lockout Examiner от компании NetWrix. Или, к примеру, если нужно выполнить полноценный анализ рисков в лесу (Active Directory Forest), пригодится продукт Active Directory Health Profiler от Ossisto 365.

Инструменты для обеспечения безопасности Active Directory
Хотя на рынке есть множество инструментов для безопасности Active Directory, не во всех утилитах есть все необходимые функции. В качестве примера возьмем задачу по проверке, что в административных группах безопасности находятся только уполномоченные пользователи. В этом случае очень пригодилась бы утилита Membership Checker. Еще одна проблема при оценке продукта по безопасности Active Directory – проверка на соответствие стандартам (SOX, PCI-DSS, HIPPA и GDPR) и присутствия всех необходимых отчетов.

Следует помнить, что у разных продуктов – разные функции, и поэтому нельзя обойтись одним инструментом для полноценной безопасности Active Directory. В списке ниже представлен перечень утилит, позволяющих выполнять комплекс задач, начиная от проверки прав и блокировок, и заканчивая мониторингом изменений и всесторонней проверкой на предмет присутствия потенциальных угроз.

SolarWinds Permissions Analyzer
Доступ к тем или иным объектам в Active Directory регулируется при помощи прав, для проверки которых как раз и предназначена утилита SolarWinds Permissions Analyzer. Возможно, вы хотите проверить, как наследуются права пользователя или посмотреть права группы или юзера или проанализировать разрешения на базе членства в определенной группе.

SolarWind Permissions Analyzer также очень эффективен для анализа прав в лесу из нескольких доменов и может помочь в снижении потенциальных рисков, когда мы быстро выявляем членов команды, у которых есть доступ к конфиденциальной информации и другим объектам. Самое приятное — SolarWinds Permissions Analyzer полностью бесплатен для использования в лесах.

Active Directory Health Profiler
Утилита Active Directory Health Profiler от компании Ossisto представляет собой надежную подсистему выполнения, предназначенную для полноценного анализа рисков и безопасности лесов. Этот инструмент позволяет найти угрозы и избежать сбоев в работе служб.


В AD Health Profiler есть 74 пакета на базе PowerShell для выполнения разного рода проверок множества лесов. Каждый пакет идет с рекомендациями и описанием наилучших практик от компании Microsoft в сфере использования Active Directory. Хотя этот продукт стоит довольно дорого, но может окупить себя в случае обнаружения скрытых угроз, влияющих на безопасность.

Netwrix Auditor (для Active Directory)
Netwrix Auditor для Active Directory позволяет наблюдать, что происходит внутри домена через отслеживание авторизаций и изменений в настройках пользователей, групп, организационных единиц, групповой политики и так далее. В ежедневных отчетах отображаются все изменения и авторизации, произошедшие за последние 24 часа, включая значения параметров до и после изменения.


Доступен базовый бесплатный вариант, но у полноценной платной версии намного больше возможностей.

Account Lockout Examiner
У Netwrix есть еще один бесплатный инструмент Account Lockout Examiner, который вполне заслуживает быть в нашем списке. Эта утилита оповещает о блокировке учетных записей, помогает решать проблемы и выявлять основные причины по каждому событию и быстро восстанавливать работоспособность критических служб.

Аккаунты можно разблокировать прямо из консоли в Account Lockout Examiner или через мобильное устройство.

Semperis DS Protector
Semperis DS Protector позволяет отслеживать изменения в Active Directory через репликацию при помощи двух независимых источников данных, что позволяет обойти ограничения традиционных инструментов подобного рода. Использование базы данных исключает необходимость в длительном восстановлении и позволяет добиться высокой достоверности информации. Semperis DSP может отслеживать все изменения внутри Active Directory и даже в случае, если встроенный механизм системного журналирования отключен, логи удалены, и агенты остановлены.
1578840112679.png

Также есть возможность оповещения, когда сделаны изменения в важных группах безопасности, у привилегированных пользователей и так далее. Можно сразу же увидеть, кто сделал изменения, найти все изменения, выполненные определенным пользователем и отменить ненужные изменения из единой консоли. Отслеживание и откат (где возможно) изменений в конфигурации, GPO, DNS и компоненте Schema расширяют функционал Групповой политики и добавочных компонентов, используемых в Active Directory.

Administrative Security Groups Checker
Еще один инструмент от компании Ossisto, позволяющий проверять членов указанных групп безопасности с оповещением по почте о любых изменениях в этих группах. Этот инструмент должен быть в распоряжении каждого администратора Active Directory с целью проверки, что только легитимные и уполномоченные пользователи находятся в административной группе.


Administrative Groups Checker может проверять каждого члена группы безопасности в соответствии с настроенным списком и помогает поддерживать содержимое группы в надлежащем виде. В случае любых изменений, связанных с группой, утилита тут же оповестит по электронной почте.

SekChek Security Auditing
Любой квалифицированный администратор Active Directory понимает важность аудитов. С целью соответствия стандартам SOX и HIPAA необходимо иметь соответствующую систему.

SekCheck Security позволяет выполнять аудиты сред Active Directory и генерировать отчеты по результатам проверок. Полученные результаты могут сравниваться с отраслевыми стандартами и лучшими практиками. Также по факту сравнения может использоваться рейтинговая система.

Quest Change Auditor (для Active Directory)
Если вы ищете комплексный инструмент для отслеживания изменений в среде Active Directory, утилита Change Auditor от компании Quest – ваш выбор. При помощи этого инструмента вы сможете получить единый взгляд на все изменения, происходящие в локальной среде Active Directory и Azure Active Directory.

Помимо отчетов о ключевых изменениях в конфигурации Quest Change Auditor защищает от изменений в критически важных объектах, как, например, случайного удаления организационных единиц и изменения настроек групповой политики.
 
Сверху