Использование сохраненных запросов ADUC для непрерывного аудита Windows Active Directory
Введение
По мере того, как мир безопасности и аудита переходит от годового или двухгодичного графика аудита к сценарию непрерывного аудита, возникает необходимость в создании более эффективных процессов. Сегодня, если бы аудитору потребовалась «непрерывная» информация от администратора сети, администратор сети почти потерял бы сознание от объема работы, необходимого для удовлетворения этого требования. Таким образом, аудитор и другие специалисты по безопасности должны найти методы сбора информации без участия сетевого администратора. В моей последней статье «Использование PowerShell для непрерывного аудита Windows Active Directory» я рассказал, как использовать PowerShell для сбора информации из Active Directory. В этой статье мы будем использовать Active Directory Users and Computers, инструмент Microsoft для администрирования объектов в Active Directory.
Получение пользователей и компьютеров Active Directory (ADUC)
Для вашего рабочего стола Windows XP или рабочего стола Windows 7 ADUC не установлен по умолчанию. С учетом сказанного вам нужно будет приобрести этот инструмент у Microsoft. Инструмент бесплатный, легко загружаемый и простой в использовании. Единственное реальное препятствие, с которым вы столкнетесь, заключается в том, что вам нужно быть локальным администратором вашего рабочего стола, чтобы установить набор инструментов, для которых входит ADUC.
Для Windows XP вам потребуется установить ADMINPAK.msi. Это давний набор «инструментов администратора», которые на самом деле предустановлены на контроллерах домена. Этот файл также доступен на контроллерах домена или на установочном носителе, но я уверен, что вам будет сложнее получить такой доступ, чем просто загрузить его с сайта Microsoft. Чтобы загрузить его из Microsoft, просто перейдите по этой ссылке.
В Windows XP после установки ADMINPAK.msi вы можете не увидеть инструмент ADUC или любой из инструментов администрирования по умолчанию. Это связано с тем, что инструменты администрирования не отображаются в меню «Пуск» по умолчанию. Вы можете легко добавить инструменты администрирования в меню «Пуск».
- Щелкните правой кнопкой мыши кнопку «Пуск» и выберите «Свойства».
- Затем выберите вкладку меню «Пуск».
- Выбрав переключатель меню «Пуск», нажмите кнопку «Настроить».
- В окне «Настройка меню «Пуск» перейдите на вкладку «Дополнительно».
- В списке элементов меню «Пуск» прокрутите вниз до «Инструменты системного администрирования».
- Выберите «Дисплей» в меню «Все программы» и переключатель меню «Пуск».
- Теперь в меню «Пуск» отобразятся «Инструменты администрирования», откуда теперь вы можете получить доступ к ADUC.
Для Windows 7 вам потребуется установить другой инструмент. Windows 7 позволяет вам получить доступ к ADUC из инструмента RSAT, что означает средства администрирования удаленного сервера. Вам нужно будет загрузить RSAT от Microsoft. Вы можете скачать RSAT для Windows 7 здесь.
Для установки RSAT вам нужно быть локальным администратором, как ADMINPAK.msi для Windows XP. После того, как RSAT будет установлен, вам нужно, чтобы опция «Администрирование» отображалась в меню «Пуск», а также чтобы ADUC отображался в этом меню, что не является действием по умолчанию, даже если RSAT установлен. Выполните следующие действия в Windows 7, чтобы отобразить инструменты администрирования.
- Щелкните правой кнопкой мыши кнопку «Пуск» и выберите «Свойства».
- Затем выберите вкладку меню «Пуск».
- Нажмите кнопку Настроить.
- В окне «Настройка меню «Пуск» прокрутите вниз до «Инструменты системного администрирования».
- Выберите «Дисплей» в меню «Все программы» и переключатель меню «Пуск».
- Теперь в меню «Пуск» отобразятся «Инструменты администрирования».
Выполните следующие действия, чтобы получить доступ к инструментам Active Directory в RSAT и отобразить ADUC в пункте меню «Инструменты администрирования»:
- Откройте панель управления, затем нажмите «Программы и компоненты».
- Выберите параметр «Включить или отключить функции Windows». (Примечание: для этого требуются права локального администратора).
- В диалоговом окне «Компоненты Windows» прокрутите вниз до параметра «Средства удаленного администрирования сервера», а затем разверните узел.
- Затем разверните Инструменты администрирования ролей — Инструменты AD DS и AD LDS — Инструменты AD DS — и, наконец, установите флажок «Особенности AD DS и инструменты командной строки».
- Наконец, нажмите на кнопку ОК.
Создание сохраненных запросов в ADUC
Существует два способа создания сохраненного запроса. Вы можете выбрать встроенные параметры по умолчанию или создать собственный запрос.
Чтобы создать сохраненный запрос, выполните следующие действия:
- Щелкните правой кнопкой мыши «Сохраненные запросы» и выберите параметр «Новый запрос».
- Введите имя для сохраненного запроса, например «Отключенные учетные записи пользователей».
- Нажмите кнопку Определить запрос
- Для получения информации о пользователе перейдите на вкладку Пользователи.
- Нажмите на галочку, указывающую, что вы хотите просматривать только отключенные учетные записи, затем нажмите «ОК».
- Нажмите кнопку ОК, чтобы сохранить запрос
- Теперь вы должны видеть только те аккаунты, которые соответствуют критериям, которые вы вводите в запросе.
Если вы знаете больше о LDAP, вы можете создавать собственные запросы. Чтобы создать собственный сохраненный запрос, выполните следующие действия.
- Щелкните правой кнопкой мыши «Сохраненные запросы» и выберите параметр «Новый запрос».
- Введите имя для сохраненного запроса, например, «Все группы администраторов».
- Нажмите кнопку Определить запрос
- В раскрывающемся списке «Найти» выберите «Пользовательский поиск».
- Перейдите на вкладку «Дополнительно».
- Введите запрос, например (objectcategory=group)(samaccountname=*admin*)
- Нажмите кнопку «ОК», чтобы сохранить пользовательскую запись, затем нажмите кнопку «ОК», чтобы сохранить запрос.
- Теперь вы должны видеть только те группы, у которых в названии есть «admin».
Вот несколько примеров пользовательских сохраненных запросов, которые вы можете сразу же использовать.
Пример 1. Чтобы найти все учетные записи пользователей, в которых есть имя «srv_acct», если ваши учетные записи служб соответствуют соглашению об именах.
(objectcategory=человек)(samaccountname=*srv_acct*)
Пример 2. Чтобы найти все группы, в которых нет участников.
(objectCategory=группа)(!member=*)
Пример 3. Найдите пользователей с неограниченным сроком действия паролей.
(objectCategory=человек)(objectClass=пользователь)(userAccountControl:1.2.840.113556.1.4.803:=65536)
Резюме
Использование сохраненных запросов в ADUC может создать для вас быстрый и простой способ проверки учетных записей, соответствующих определенным критериям. Поскольку для запуска сохраненных запросов вам нужно быть только пользователем домена, вы можете быть аудитором и получать доступ к огромному количеству информации из Active Directory. Конечно, вам нужно установить ADUC в качестве локального администратора, но это должно быть то, что вы можете сделать с помощью сетевых администраторов и вашего босса. После того, как вы установите ADUC, вы можете начать генерировать предопределенные запросы или создавать свои собственные сохраненные запросы.