Служба каталогов Active Directory обширна, сложна и в некоторых случаях трудна для понимания. Совсем не просто организовать отслеживание всех изменений, происходящих в Active Directory и содержащихся в ней объектах. Microsoft не предоставляет «волшебной кнопки», нажав на которую, можно было бы решить эту задачу. Кроме того, компания не предусматривает автоматического включения аудита для отслеживания изменений в базе данных Active Directory на контроллерах домена.

Понятно, что каждому администратору хочется контролировать любое изменение и получать о нем и внесшем его лице полную и подробную информацию. Такой уровень детализации труднодостижим, а еще сложнее будет расшифровать зарегистрированные данные. Однако эта цель все же достижима.

Во-первых, следует понимать, что Active Directory располагается на контроллерах домена, поэтому отслеживание изменений в ней предполагает мониторинг серверов. Во-вторых, необходимо включить «аудит» контроллеров домена. Это можно сделать вручную (что, конечно, нелепо) или с помощью групповой политики. Я предлагаю создать новый объект групповой политики и связать его с организационной единицей (OU) контроллеров домена. Существует политика контроллеров домена по умолчанию (Default Domain Controllers Policy), но я предлагаю специально для настройки аудита задействовать новый объект.

Если ваши контроллеры домена работают под управлением Windows Server 2008 R2 или более новой версии, настоятельно рекомендую вам использовать расширенный аудит (Advanced Auditing) вместо традиционного варианта, что позволит получать более подробные данные и сократить общий размер журналов, поскольку можно будет сосредоточиться лишь на том, что требуется отслеживать. Чтобы узнать больше о расширенном аудите, откройте список часто задаваемых вопросов по Advanced Security на Microsoft TechNet (technet.microsoft.com/en-us/library/ff182311(v=WS.10).aspx).

Для отслеживания успешности выполнения операций необходимо настроить следующие параметры расширенного аудита для нового объекта групповой политики:

  • управление учетными записями;
  • аудит управления группами приложений;
  • аудит других событий управления учетными записями;
  • аудит управления группами безопасности;
  • аудит управления учетными записями пользователей;
  • доступ к службе каталогов (DS).

Аудит доступа к службе каталогов

  • Аудит изменения службы каталогов.
  • Доступ к объектам.
  • Аудит файловой системы.
  • Аудит других событий доступа к объектам.

Аудит диспетчера учетных записей безопасности (SAM)

После задания «аудита» изменений на контроллерах домена необходимо указать, что именно требуется отслеживать, путем настройки каждого отслеживаемого «объекта». Для настройки аудита внесите изменения на вкладке Auditing для узла домена вашей системы Active Directory (см. экран 1).

 

Конфигурация аудита для узла домена
Экран 1. Конфигурация аудита для узла домена

Настройка параметров аудита выполняется для следующих типов объектов на узле:

  • Организационные единицы (OU)
  • Объекты групповой политики
  • Пользователи
  • Группы
  • Контакты
  • Компьютеры
  • Контейнеры

Настройка этого типа аудита необходима также для схемы и DNS. Подробное описание настройки приводится в статье о настройках SACL для объектов AD на сайте ManageEngine (www.manageengine.com/products/active-directory-audit/help/reports/access-aduc-to-enable-audit-sacls.html). Организовав отслеживание изменений Active Directory, мы переходим к анализу результатов и изучению ограничений.

Выше я уже рассказал о настройке мониторинга ActiveDirectory с использованием встроенных средств аудита Windows. Наладив отслеживание каждого изменения в базе данных и инфраструктуре Active Directory, необходимо понять, как анализировать получаемые данные. Вся отслеживаемая информация регистрируется в журнале безопасности, который можно увидеть в окне просмотра событий (Event Viewer). На экране 2 показан пример журнала безопасности контроллера домена, отслеживающего изменения в Active Directory. Здесь мы видим, что в журнале зарегистрировано свыше 180 000 событий. Представим себе систему, в которой работает 10, 20 или даже 50 контроллеров домена, генерирующих журналы такого размера. В зависимости от интенсивности деятельности по созданию, изменению и удалению объектов, ведущейся в домене, журналы могут получаться очень большими, и в один день может создаваться много таких журналов.

 

Журнал безопасности в Event Viewer
Экран 2. Журнал безопасности в Event Viewer

Максимальный размер журнала безопасности составляет 4 Гбайт. Однако рекомендуемый Microsoft размер журнала – не более 300 Мбайт. Если уменьшить размер журнала до 300 Мбайт, то, скорее всего, на каждый контроллер домена вы будете иметь от 5 до 10 заархивированных журналов ежедневно.

Существует два способа объединить журналы в один сводный журнал без приобретения дополнительных продуктов (которые я настоятельно рекомендую!). Первый вариант предполагает импорт всех заархивированных журналов в одну консоль Event Viewer и применение фильтров для отделения нужной информации. Это трудоемкий процесс, потому что постоянно создаются новые журналы, и импортировать их придется непрерывно. Второй вариант реализуется за счет возможности Event Log Forwarding с использованием подписок (Subscriptions). Это постоянный сбор заданных идентификаторов событий со всех контроллеров домена и их объединение в один журнал на одном компьютере.

После того, как организован сбор журналов на одном компьютере, нам остается наладить извлечение нужной информации. К сожалению, не существует возможности создавать запросы для поиска информации, содержащейся внутри событий, так что приходится работать на уровне событий и идентификаторов событий. Можно пропустить журналы через фильтры, что позволит выделить подмножество журналов по идентификаторам событий, компьютерам, где были созданы журналы, пользователям, создавшим журналы, и т.д. Фильтровать по словам внутри событий нельзя. Однако существуют другие продукты, которые делают это, и я предлагаю вам их опробовать. Существует также возможность настройки оповещений о генерировании определенных идентификаторов событий. Можно настроить сообщение, которое будет появляться на экране или даже рассылаться по электронной почте. Однако это может породить множество ложных срабатываний, потому что настройка оповещений не предусматривает достаточного уровня детализации. Опять-таки, существуют продукты, которые позволяют организовать отправку сообщений по электронной почте в случае изменения ключевых объектов Active Directory.

Итак, после создания журналов вы уже можете до некоторой степени контролировать процесс поиска нужных данных. Имеются определенные ограничения, но, по крайней мере, информация у вас уже есть. Для преодоления ограничений, свойственных решению от Microsoft, я рекомендую приобрести дополнительный сторонний продукт.