Инструменты для обеспечения безопасности Active Directory

Инструменты для обеспечения безопасности Active Directory

В сегодняшней статье я расскажу о лучших сторонних инструментах, которые призваны улучшить безопасность Active Directory.

Active Directory – довольно распространенная технология от компании Microsoft, на базе которой работают службы аутентификации и авторизации приложений и сетевых ресурсов. В Windows Server есть все необходимое для управления средой Active Directory, но набор инструментов доступных по умолчанию не может заблаговременно предупредить все возможные системные сбои, риски безопасности и другие проблемы, которые могут привести к ошибкам или отказу в работе всей среды.

Еще по теме: Взлом и защита Active Directory

Например, после в стандартной поставке отсутствует инструмент или утилита для проверки прав всех критических объектов, используемых Active Directory, и других сущностей, как, например, групп безопасности и пользователей. Кроме того, нельзя проверить, сколько учетных записей блокируется ежедневно с целью предотвращения угроз безопасности.

В течение рабочего дня среда Active Directory динамично трансформируется, и важно понимать, какие изменения были внесены и кем для предотвращения рисков разного рода. Существуют разнообразные сценарии, и каждая утилита создана для определенных целей. Например, для проверки заблокированных учетных записей в домене, будет полезен инструмент Account Lockout Examiner от компании NetWrix. Или, к примеру, если нужно выполнить полноценный анализ рисков в лесу (Active Directory Forest), пригодится продукт Active Directory Health Profiler от Ossisto 365.

Инструменты для обеспечения безопасности Active Directory

Хотя на рынке есть множество инструментов для безопасности Active Directory, не во всех утилитах есть все необходимые функции. В качестве примера возьмем задачу по проверке, что в административных группах безопасности находятся только уполномоченные пользователи. В этом случае очень пригодилась бы утилита Membership Checker. Еще одна проблема при оценке продукта по безопасности Active Directory – проверка на соответствие стандартам (SOX, PCI-DSS, HIPPA и GDPR) и присутствия всех необходимых отчетов.

Следует помнить, что у разных продуктов – разные функции, и поэтому нельзя обойтись одним инструментом для полноценной безопасности Active Directory. В списке ниже представлен перечень утилит, позволяющих выполнять комплекс задач, начиная от проверки прав и блокировок, и заканчивая мониторингом изменений и всесторонней проверкой на предмет присутствия потенциальных угроз.

SolarWinds Permissions Analyzer

Доступ к тем или иным объектам в Active Directory регулируется при помощи прав, для проверки которых как раз и предназначена утилита SolarWinds Permissions Analyzer. Возможно, вы хотите проверить, как наследуются права пользователя или посмотреть права группы или юзера или проанализировать разрешения на базе членства в определенной группе.

SolarWinds Permissions Analyzer

SolarWind Permissions Analyzer также очень эффективен для анализа прав в лесу из нескольких доменов и может помочь в снижении потенциальных рисков, когда мы быстро выявляем членов команды, у которых есть доступ к конфиденциальной информации и другим объектам. Самое приятное — SolarWinds Permissions Analyzer полностью бесплатен для использования в лесах.

Active Directory Health Profiler

Утилита Active Directory Health Profiler от компании Ossisto представляет собой надежную подсистему выполнения, предназначенную для полноценного анализа рисков и безопасности лесов. Этот инструмент позволяет найти угрозы и избежать сбоев в работе служб.

Active Directory Health Profiler

В AD Health Profiler есть 74 пакета на базе PowerShell для выполнения разного рода проверок множества лесов. Каждый пакет идет с рекомендациями и описанием наилучших практик от компании Microsoft в сфере использования Active Directory. Хотя этот продукт стоит довольно дорого, но может окупить себя в случае обнаружения скрытых угроз, влияющих на безопасность.

Netwrix Auditor (для Active Directory)

Netwrix Auditor для Active Directory позволяет наблюдать, что происходит внутри домена через отслеживание авторизаций и изменений в настройках пользователей, групп, организационных единиц, групповой политики и так далее. В ежедневных отчетах отображаются все изменения и авторизации, произошедшие за последние 24 часа, включая значения параметров до и после изменения.

Netwrix Auditor (для Active Directory)

Доступен базовый бесплатный вариант, но у полноценной платной версии намного больше возможностей.

Account Lockout Examiner

У Netwrix есть еще один бесплатный инструмент Account Lockout Examiner, который вполне заслуживает быть в нашем списке. Эта утилита оповещает о блокировке учетных записей, помогает решать проблемы и выявлять основные причины по каждому событию и быстро восстанавливать работоспособность критических служб.

Account Lockout Examiner

Аккаунты можно разблокировать прямо из консоли в Account Lockout Examiner или через мобильное устройство.

Semperis DS Protector

Semperis DS Protector позволяет отслеживать изменения в Active Directory через репликацию при помощи двух независимых источников данных, что позволяет обойти ограничения традиционных инструментов подобного рода. Использование базы данных исключает необходимость в длительном восстановлении и позволяет добиться высокой достоверности информации. Semperis DSP может отслеживать все изменения внутри Active Directory и даже в случае, если встроенный механизм системного журналирования отключен, логи удалены, и агенты остановлены.

Semperis DS Protector

Также есть возможность оповещения, когда сделаны изменения в важных группах безопасности, у привилегированных пользователей и так далее. Можно сразу же увидеть, кто сделал изменения, найти все изменения, выполненные определенным пользователем и отменить ненужные изменения из единой консоли. Отслеживание и откат (где возможно) изменений в конфигурации, GPO, DNS и компоненте Schema расширяют функционал Групповой политики и добавочных компонентов, используемых в Active Directory.

Administrative Security Groups Checker

Еще один инструмент от компании Ossisto, позволяющий проверять членов указанных групп безопасности с оповещением по почте о любых изменениях в этих группах. Этот инструмент должен быть в распоряжении каждого администратора Active Directory с целью проверки, что только легитимные и уполномоченные пользователи находятся в административной группе.

Administrative Security Groups Checker

Administrative Groups Checker может проверять каждого члена группы безопасности в соответствии с настроенным списком и помогает поддерживать содержимое группы в надлежащем виде. В случае любых изменений, связанных с группой, утилита тут же оповестит по электронной почте.

SekChek Security Auditing

Любой квалифицированный администратор Active Directory понимает важность аудитов. С целью соответствия стандартам SOX и HIPAA необходимо иметь соответствующую систему.

SekChek Security Auditing
SekChek Security Auditing

SekCheck Security позволяет выполнять аудиты сред Active Directory и генерировать отчеты по результатам проверок. Полученные результаты могут сравниваться с отраслевыми стандартами и лучшими практиками. Также по факту сравнения может использоваться рейтинговая система.

Quest Change Auditor (для Active Directory)

Если вы ищете комплексный инструмент для отслеживания изменений в среде Active Directory, утилита Change Auditor от компании Quest – ваш выбор. При помощи этого инструмента вы сможете получить единый взгляд на все изменения, происходящие в локальной среде Active Directory и Azure Active Directory.

Quest Change Auditor (для Active Directory)

Помимо отчетов о ключевых изменениях в конфигурации Quest Change Auditor защищает от изменений в критически важных объектах, как, например, случайного удаления организационных единиц и изменения настроек групповой политики.

Еще по теме: Утилиты аудита безопасности Windows

ВКонтакте
OK
Telegram
WhatsApp
Viber

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *