Обзор продукта: NetWrix Change Reporter Suite

Опубликовано: 9 Апреля, 2023
Обзор продукта: NetWrix Change Reporter Suite

Продукт: NetWrix Change Reporter Suite

Домашняя страница продукта: нажмите здесь

Введение

Управление изменениями стало неотъемлемой частью управления безопасностью ИТ-систем. Изменения в конфигурации системы — даже если они авторизованы — могут привести к непредвиденным последствиям, таким как подверженность систем и сети вредоносному коду или атаке. Возможность отслеживать изменения также необходима для устранения неполадок, которые могли быть вызваны этими изменениями. И, конечно же, очень важно, чтобы вы как можно быстрее уведомлялись о любых несанкционированных изменениях, которые могут указывать на вторжение в сеть или заражение вредоносным ПО.

Именно по этой причине программное обеспечение для аудита изменений играет важную роль в наборе инструментов безопасности сетевых администраторов. На рынке представлено множество таких решений, и выбор одного из них может оказаться непростой задачей. NetWrix специализируется на продуктах для управления и соответствия требованиям, и недавно я протестировал их пакет Change Reporter Suite. Это очень полный набор инструментов, который охватывает широкий спектр категорий изменений, в том числе; Active Directory, файловый сервер, групповая политика, VMware, Microsoft Exchange и SQL Server. Все эти категории позволяют отслеживать, кто выполнял такие изменения, как создание новых пользователей, делегирование прав управления, изменение прав доступа к файлам, доступ к конфиденциальным файлам или удаление файлов, изменение прав доступа к почтовым ящикам, изменение структуры таблиц в базе данных, настройка политики установки нового программного обеспечения., и многое другое.

В моем недавнем практическом испытании я сосредоточился на двух модулях: Active Directory/Group Policy Reporter и File Server Reporter. Не каждая сеть использует VMware в качестве решения для виртуализации, Exchange для своей электронной почты или Microsoft SQL Server для своих баз данных, но как малые, так и корпоративные сети любой сложности, работающие под управлением Windows, развертывают контроллер домена и файловый сервер. И поскольку Active Directory и групповая политика составляют основу для централизованного управления в домене Windows, это был логичный выбор.

Загрузка, установка и настройка

Программное обеспечение Change Reporter Suite можно установить на любой компьютер в домене, на котором установлена ОС Windows XP SP2 или более поздней версии. Контроллеры домена должны работать под управлением Windows Server 2000, 2003 или 2008 и могут работать в любом функциональном режиме домена и леса. На компьютере, на котором вы его устанавливаете, также должны быть установлены.NET Framework версии 2.0 или выше, установщик Windows версии 3.1 или выше, консоль управления Microsoft версии 3.0 (для полнофункционального режима; в противном случае не требуется) и последняя версия версию консоли управления групповыми политиками Microsoft. Обратите внимание, что для расширенной отчетности вам потребуется SQL Server 2005 или 2008 со службами Reporting Services, или вы можете автоматически установить и настроить SQL Server Express с помощью мастера создания объектов управления.

Пакет загружается в виде одного установочного пакета, который представляет собой заархивированную папку размером 23,5 МБ. После извлечения и распаковки вы можете установить весь пакет или отдельные его компоненты, как показано на рис. 1 ниже.

Изображение 23549
Рисунок 1: Варианты установки NetWrix Change Reporter Suite

Если вы решите установить весь пакет, вам будет предложено настроить отдельные компоненты во время установки. Установка очень быстрая; на моем компьютере с Windows Server 2008 это заняло меньше минуты.

После его установки в меню «Пуск» появится новый элемент с надписью «Конфигуратор (полнофункциональный режим)», как показано на рис. 2.

Изображение 23550
Рис. 2. Чтобы открыть консоль управления NetWrix, нажмите «Конфигуратор».

Откроется консоль управления NetWrix, показанная на рисунке 3.

Изображение 23551
Рисунок 3: Консоль управления NetWrix

Обратите внимание, что в кратком руководстве говорится, что консоль откроется автоматически после установки, но этого не произошло, когда я ее установил; Я открыл его из меню «Пуск».

Затем я настроил консоль для Active Directory, щелкнув «Создать новый управляемый объект» на правой панели и выбрав «Домен», как показано на рисунке 4.

Изображение 23552
Рисунок 4: Создание нового управляемого объекта

Если у вас более одного домена, вам нужно будет ввести полное доменное имя домена, которым вы хотите управлять. Затем вам нужно ввести учетные данные для учетной записи администратора домена и указать параметры SMTP-сервера. Этот процесс описан в Кратком руководстве пользователя, поэтому я не буду подробно описывать его. Скачать QSG можно здесь.

Когда вы правильно настроите информацию о SMTP-сервере, вы должны получить тестовое сообщение на указанный вами адрес электронной почты, как показано на рисунке 5.

Изображение 23553
Рисунок 5: Тестовое сообщение покажет, что вы правильно настроили параметры SMTP

Одна небольшая неприятность: после указания получателей отчетов об аудите я получил сообщение о том, что настройки аудита домена и конфигурации по умолчанию могут препятствовать правильному отображению поля «кто изменился», как показано на рисунке 6. Оно отсылает вас к разделу «Устранение неполадок». документации по продукту. Было бы неплохо, если бы это диалоговое окно сообщало вам нужно изменить настройки, чтобы исправить это, или, что еще лучше, если бы была кнопка, по нажатию которой эти настройки изменялись бы для вас (с любыми предостережениями относительно последствий таких изменений). ). Однако это не является серьезной проблемой благодаря мастеру настройки аудита, описанному ниже.

Изображение 23554
Рис. 6. Диалоговое окно отсылает вас к разделу «Устранение неполадок» документации по продукту.

Еще одна такая неприятность возникает, когда вы замечаете, что единственная документация по продукту, предоставленная для пакета на веб-сайте, — это краткое руководство, и, как вы можете видеть на рис. 7, в нем нет раздела «Устранение неполадок».

Изображение 23555
Рис. 7. Где находится раздел «Устранение неполадок» в диалоговом окне?

В противном случае создание объекта управления не представляет сложности, а создание отчета автоматически планируется для отправки на указанный вами адрес электронной почты в 3 часа ночи каждую ночь, как показано на рис. 8.

Изображение 23556
Рис. 8. Конфигурация успешно сохранена, и по умолчанию создание отчета запланировано на 3:00.

После того, как вы настроите объект управления, появится диалоговое окно, сообщающее, что вы можете использовать ознакомительную версию в течение 20 дней, и предоставляющее возможность ввести информацию о лицензии, если она у вас есть.

Теперь ваш новый объект управления отображается в консоли управления, и у вас также есть возможность добавлять и удалять функции, как показано на рис. 9.

Изображение 23557
Рисунок 9: Ваш вновь созданный объект управления появляется в консоли управления

Обратите внимание на то, что на левой панели у вас есть узлы как для репортера изменений Active Directory, так и для репортера изменений групповой политики. Я расширил узел AD, чтобы вы могли видеть перечисленные типы отчетов.

Чтобы создать другой объект управления, просто нажмите «Управляемые объекты» на левой панели, и вы заметите, что теперь у вас есть два варианта:

  • Создать новый управляемый объект
  • Создать новую папку для группировки управляемых объектов

Если вы хотите настроить группу управляемых серверов, вы можете выбрать «Коллекцию компьютеров» в качестве типа объекта, а затем добавить имена компьютеров и/или экземпляры SQL Server. Не добавляйте один и тот же компьютер более чем в одну коллекцию. Это не совсем ясно из Краткого руководства по началу работы, но именно так вы добавляете отчет об изменениях файлового сервера — просто выберите его, когда вы попадете на страницу «Включить функции» диалогового окна, как показано на рисунке 10.

Изображение 23558
Рис. 10. Чтобы добавить отчет об изменениях файлового сервера, необходимо создать управляемый объект «Коллекция компьютеров».

Примечание:
 Существуют дополнительные функции, которые можно бесплатно загрузить с веб-сайта NetWrix, в данном случае это Event Log Manager. Загрузка представляет собой файл.msi размером 6,5 МБ, а установка выполняется быстро и легко. Он дает вам возможность выбрать базовый конфигуратор с простым интерфейсом для несложных настроек или полнофункциональный конфигуратор, если вы хотите запустить полностью интегрированный инструмент управления со встроенными отчетами и поддержкой нескольких доменов.

Теперь давайте посмотрим на мастер Advanced Reporting Configuration Wizard, показанный на рис. 11. Вы можете запустить его, чтобы установить и настроить SQL Server Express, если у вас нет SQL Server, или вы можете настроить существующий экземпляр SQL Server, как показано на рис. 11.

Изображение 23559
Рисунок 11: Вы можете запустить мастер настройки Advanced Reporting Configuration Wizard, чтобы установить SQL Server Express

Загрузка SQL Server Express занимает 256 МБ, поэтому это может занять некоторое время. Также обратите внимание, что если вы устанавливаете SQL Server Express на Windows Server 2008 R2, вы получите сообщение о том, что «эта программа имеет известные проблемы с совместимостью», как показано на рис. 12. Прежде чем вы сможете установить SQL Server 2005 SP3, вам придется установить запустите его в этой версии Windows. SP3 — это загружаемый файл размером 325 МБ, который вы можете найти здесь.

Изображение 23560
Рисунок 12: Если вы попытаетесь автоматически установить SQL Server Express на Windows Server 2008 R2, вы получите предупреждение о совместимости

Примечание:
 Если вы устанавливаете SQL Server Express, вам нужно будет настроить его для разрешения удаленных подключений, что включает в себя включение удаленных подключений, включение службы браузера SQL Server и создание исключения в брандмауэре Windows. Инструкции о том, как это сделать, вы найдете в следующей статье базы знаний 914277.

Настройка аудита

Теперь, когда вы, наконец, все установили, вы можете настроить параметры аудита для своего домена с помощью мастера настройки аудита NetWrix. Вам потребуются соответствующие права (например, права администратора домена на домен или права администратора предприятия на весь лес, если вы настраиваете параметры для корневого домена леса). После выбора домена следующим шагом будет указание учетной записи администратора для сбора данных, а затем определение текущих параметров политики аудита в домене, как показано на рис. 13.

Изображение 23561
Рисунок 13: Определение текущих параметров политики аудита для домена

Отобразится отчет с текущими настройками политики аудита. Тогда вот функция, которая мне очень нравится: вы можете просто нажать кнопку «Настроить», чтобы внести необходимые изменения в настройки. По завершении диалоговое окно сообщит вам, что «изменения политики аудита были успешно применены, как показано на рисунке 14.

Изображение 23562
Рисунок 14: Успех! Если бы все было так просто, как настроить параметры политики аудита

На следующей странице вы можете определить текущие параметры аудита на уровне объекта, просмотреть отчет и настроить параметры таким же образом. Вы выполняете ту же процедуру (обнаружение, просмотр отчета и настройка) в третий раз для настроек хранения журнала событий. Когда все настройки будут правильно настроены, вы увидите диалоговое окно, показанное на рис. 15.

Изображение 23563
Рисунок 15. Все параметры политики аудита успешно изменены

Каждый из модулей NetWrix отображается отдельно в меню «Пуск» Windows, и у каждого есть ссылки на конфигураторы (конфигуратор базового режима уникален для каждого модуля, а при выборе «Полнофункциональный» запускается Консоль управления предприятием), а также другие мастера, средства просмотра отчетов. и применимые компоненты, как показано на рисунке 16.

Изображение 23564
Рис. 16. Каждый из четырех модулей Change Reporter Suite отображается в меню «Пуск» с несколькими компонентами

Обратите внимание, что NetWrix выпускает новые версии различных модулей, и вы будете уведомлены всплывающим окном при открытии определенного модуля, если доступно обновление, как показано на рис. 17, что упрощает поддержание программного обеспечения в актуальном состоянии. свидание.

Изображение 23565
Рисунок 17: NetWrix упрощает обновление каждого модуля

Использование репортера изменений Active Directory

Средство отчетов об изменениях Active Directory позволяет вам проверять информацию «кто» и «когда» о любых изменениях, внесенных в объекты Active Directory. Для этого аудит AD на уровне объекта должен быть настроен для всех объектов AD. Для аудита доступа к Active Directory необходимо включить аудит категорий «Успех» как для политик «Доступ к службе каталогов», так и для политик «Аудит управления учетными записями» в домене по умолчанию. Справка AD Change Reporter (которую вы найдете в меню «Пуск») содержит инструкции по выполнению всего этого в разделе «Настройка аудита AD».

Мне очень нравятся отправляемые по электронной почте отчеты, которые имеют цветовую кодировку, чтобы можно было быстро определить, какие действия были предприняты, как показано на рис. 18. Это отчет об изменениях AD. Вы получите отдельное электронное письмо с отчетом об изменении групповой политики, хотя эти два сообщения являются частью одного и того же модуля.

Изображение 23566
Рис. 18. Отправляемые по электронной почте отчеты имеют цветовую маркировку для быстрого анализа

Если вы хотите отменить какие-либо из зарегистрированных изменений в Active Directory, вы можете использовать мастер восстановления объектов AD (который является одним из компонентов в элементе AD Change Reporter в меню «Пуск»). Мастер позволяет выполнять откат либо из сохраненных точек отката, либо непосредственно из захоронения Active Directory, причем можно восстановить всю Active Directory или только выбранные объекты или атрибуты. Вы выбираете дату отката и вариант восстановления (точка отката или захоронение AD).

Примечание:
 Change Reporter регулярно собирает моментальные снимки для создания точек отката, но вам может потребоваться использовать метод захоронения AD, если у вас нет моментальных снимков (это может произойти, когда вы хотите откатиться к точке, предшествующей дате установки программного обеспечения Change Reporter)..

Анализ изменений может занять некоторое время, в зависимости от размера Active Directory. Когда это будет сделано, вы сможете просмотреть изменения, которые были сделаны с даты/времени моментального снимка, как показано на рис. 19.

Изображение 23567
Рисунок 19: Мастер восстановления объектов AD упрощает отмену нежелательных изменений

Просто установите флажки для тех изменений, которые вы хотите отменить. Вам будет предоставлена подробная информация о том, что именно будет делать откат; в этом случае добавленная учетная запись пользователя будет удалена. Просто нажмите «Далее», и откат будет выполнен, как показано на рис. 20.

Изображение 23568
Рисунок 20: действительно так просто; один клик и изменение отменено

В разделе «Дополнительные инструменты» в пункте меню «Пуск» вы найдете средство импорта базы данных, которое можно использовать для импорта моментальных снимков в базу данных SQL-сервера. Затем вы можете использовать службы Microsoft SQL Server Reporting Services для расширенного анализа. Это необходимо только в случае возникновения проблемы, препятствующей импорту данных по расписанию.

Также в Advanced Tools вы найдете средство просмотра отчетов, которое упрощает создание отчета по выбранным сеансам, как показано на рис. 21.

Изображение 23569
Рисунок 21. Используйте средство просмотра отчетов в дополнительных инструментах для создания отчета по выбранным сеансам.

Вам будет предложено указать место для сохранения отчета в формате HTML. После этого отчет откроется в веб-браузере. Чтобы изменить расписание регулярного создания отчетов, откройте консоль управления NetWrix и разверните узел «Настройки» на левой панели, затем нажмите «Расписание». Здесь вы можете создать несколько расписаний и добавить или удалить новое время расписания, как показано на рисунке 22.

Изображение 23570
Рисунок 22: Вы можете изменить расписание генерации отчетов, в том числе создать несколько расписаний

Использование репортера изменений файлового сервера

Сегодня, когда так много организаций подпадают под действие нормативных требований, контроль доступа к данным в вашей сети может быть обязательным. Однако даже если на вашу компанию не распространяются правительственные или отраслевые предписания, контролировать доступ к документам и другим файлам — это разумный бизнес. Модуль отчетов об изменениях файлового сервера проверяет изменения, внесенные в файлы, папки, общие ресурсы и разрешения на файловом сервере, с информацией «кто» и «когда» для каждого изменения.

Базовый конфигуратор для репортера изменений файлового сервера показан на рис. 23.

Изображение 23571
Рис. 23. Базовый конфигуратор предназначен для быстрой настройки простой настройки файлового сервера.

Базовый конфигуратор удобен для внесения быстрых изменений в конфигурацию простой настройки файлового сервера. Используйте полнофункциональный режим с мастером управляемых объектов, как описано ранее, чтобы включить отчет об изменениях файлового сервера и добавить или удалить управляемые компьютеры и компоненты.

Примечание о паре «подводных камней»:

  • Аудит сетевых ресурсов отключен по умолчанию. Чтобы включить его, вам потребуется изменить записи аудита для всех управляемых папок, которые настроены как общие сетевые ресурсы.
  • Вам потребуется право на управление журналом аудита и безопасности, чтобы иметь возможность получить настройки аудита файлового сервера по умолчанию.

В отчете будет показано, был ли доступ успешным, тип ресурса (например, общий ресурс или папка), время доступа, какая учетная запись использовалась для доступа к объекту, а также путь к серверу и ресурсу, как показано на рисунке 24. Если изменения были сделаны, отчет покажет вам, что было изменено (например, разрешения), и покажет как предыдущие, так и новые значения. Например, он сообщит вам, что Джо Админ предоставил Джейн Джонс разрешения на доступ к папке А, и что ранее Джо Администратор, Джон Смит и Пит Харрис имели разрешения на эту папку.

Изображение 23572
Рис. 24. File Server Change Reporter показывает, к каким ресурсам осуществлялся доступ, когда и кем

Дополнительные модули

В дополнение к модулям Active Directory/Group Policy и File Server, которые я тестировал, NetWrix Change Reporter Suite также включает аудит изменений в Exchange (который включен в модуль Active Directory вместе с аудитом изменений групповой политики), аудит изменений ваших Инфраструктура VMware и аудит изменений SQL Server.

Электронная почта для многих предприятий является одним из наиболее важных приложений, и надежность (или ее отсутствие) вашего почтового решения может повлиять на конечный результат. Несанкционированные изменения серверов Exchange, почтовых ящиков и хранилищ информации могут иметь разрушительные последствия для бизнеса. Exchange Change Reporter помогает отслеживать создание, удаление и модификацию объектов, кем и когда были внесены изменения.

Точно так же в современной бизнес-среде многие организации сильно зависят от своих виртуальных инфраструктур, и изменения в них могут привести к сбоям и простоям важных виртуальных машин. Распространенным явлением является «разрастание виртуальных машин», при котором виртуальная инфраструктура растет неконтролируемым образом. VMware Change Reporter может помочь предотвратить обе эти ситуации, а также подготовить отчеты для аудиторов соответствия. Каждое изменение, внесенное в серверы ESX, папки, кластеры, пулы ресурсов, сами виртуальные машины и их оборудование, можно отслеживать вместе с информацией «кто» и «когда».

Наконец, базы данных SQL Server содержат критически важную (часто чувствительную или конфиденциальную) информацию, на которую могут распространяться нормативные требования. Поскольку SQL — очень сложная система, отследить изменения может быть особенно сложно. Средство отчетов об изменениях SQL Server упрощает этот процесс, предоставляя отчеты об изменениях, внесенных в экземпляры сервера, базы данных, пользователей, схему и другие объекты.

Резюме

Потратив много времени на знакомство с NetWrix Change Reporter Suite и, в частности, с компонентами AD/GP и файлового сервера, я могу засвидетельствовать, что он делает то, на что претендует: упрощает отслеживание любых изменений, внесенных в важные активы в вашей сети, чтобы последствия этих изменений не застали вас врасплох. Потребовалось некоторое время, чтобы все настроить должным образом, но я смог сделать это, не прибегая к технической поддержке. И, честно говоря, большая часть хлопот по установке связана с настройкой SQL Server Express. Это шаг, о котором большинству крупных компаний не придется беспокоиться, поскольку у них будут существующие SQL-серверы, которые они могут использовать для базы данных, но я хотел испытать этот процесс «с нуля» в своей тестовой среде.

Мне очень нравятся отчеты, которые дают вам нужную информацию, не перегружая вас дополнительными, посторонними данными. В дополнение к отчетам, отправляемым по электронной почте, вы можете просматривать веб-отчеты, созданные службами Microsoft SQL Reporting Services (для этого необходимо настроить расширенные отчеты). Веб-интерфейс позволяет фильтровать представление, и вы можете сохранить отчет в виде файла в формате PDF или XLS. Если вы установили функцию диспетчера отчетов в SQL Server, вы можете создавать настраиваемые отчеты с помощью построителя отчетов. Мне также нравится простота, с которой вы можете отменить обнаруженные изменения. В конце концов, знание того, что изменилось, не принесет нам особой пользы, если только не будет быстрого и простого способа откатить эти изменения, а решение NetWrix дает вам это «без суеты, без хлопот». Со всем пакетом вы защищены от изменений почти всех ваших наиболее ценных сетевых серверов и ресурсов, но модель на основе компонентов также позволяет вам развертывать аудит изменений, где и как вы хотите. Это хороший, надежный продукт, который выполняет свои обещания, и хотя можно было бы пожелать, чтобы файлы справки были немного более полезными, интерфейс достаточно интуитивно понятен, так что они вам редко понадобятся.

Из-за незначительных проблем, описанных выше, я долго не мог решить, присудить ли этому продукту серебряную или золотую награду. В конце концов я решил, что он заслуживает золота, потому что, хотя краткое руководство и файлы справки были не такими полными, как могли бы быть, сам продукт достаточно интуитивно понятен, чтобы я смог разобраться с возникающими вопросами. Единственной проблемой, которая потребовала веб-исследований, была правильная настройка SQL Server Express, и я не думаю, что было бы справедливо возлагать ответственность за это на NetWrix, поскольку это продукт Microsoft. Действительно выдающиеся функции; такие как мастеры, которые вносят необходимые изменения в настройки сервера для вас, и простота отката обнаруженных изменений затмевают эти незначительные недостатки до такой степени, что я могу с уверенностью присвоить пакету Change Reporter Suite золотую награду.

WindowSecurity.com Рейтинг: 5/5

Изображение 23062
Дополнительная информация о NetWrix Change Reporter Suite

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023