9 дополнительных инструментов для обеспечения безопасности Active Directory

Хотя Active Directory широко используется в качестве инструмента управления доступом и системы аутентификации, однако не может защитить от всех рисков. В этой статье мы рассмотрим девять инструментов от сторонних разработчиков, которые могут помочь в обеспечении безопасности сред на базе Active Directory.

Active Directory – широко распространенная технология от компании Microsoft, на базе которой работают службы аутентификации и авторизации для бизнес-приложений и сетевых ресурсов. В Windows Server есть все необходимое для управления средой Active Directory, однако набор инструментов доступных «из коробки» не в состоянии заблаговременно предупредить все возможные системные сбои, риски безопасности и другие проблемы, которые могут привести к отказу в работе всей среды.

Например, после в стандартной поставке отсутствует инструмент или утилита для проверки прав всех критических объектов, используемых Active Directory, и других сущностей, как, например, групп безопасности и пользователей. Кроме того, нельзя проверить, сколько учетных записей блокируется ежедневно с целью предотвращения угроз безопасности.

В течение рабочего дня среда Active Directory динамично трансформируется, и важно понимать, какие изменения были внесены и кем для предотвращения рисков разного рода. Существуют разнообразные сценарии, и каждая утилита создана для определенных целей. Например, для проверки заблокированных учетных записей в домене, будет полезен инструмент Account Lockout Examiner от компании NetWrix. Или, к примеру, если нужно выполнить полноценный анализ рисков в лесу (Active Directory Forest), пригодится продукт Active Directory Health Profiler от Ossisto 365.

Хотя на рынке есть множество инструментов для безопасности Active Directory, не во всех утилитах есть все необходимые функции. В качестве примера возьмем задачу по проверке, что в административных группах безопасности находятся только уполномоченные пользователи. В этом случае очень пригодилась бы утилита Membership Checker. Еще одна проблема при оценке продукта по безопасности Active Directory – проверка на соответствие стандартам (SOX, PCI-DSS, HIPPA и GDPR) и присутствия всех необходимых отчетов.

Следует помнить, что у разных продуктов – разные функции, и поэтому нельзя обойтись одним инструментом для полноценной безопасности Active Directory. В списке ниже представлен перечень утилит, позволяющих выполнять комплекс задач, начиная от проверки прав и блокировок, и заканчивая мониторингом изменений и всесторонней проверкой на предмет присутствия потенциальных угроз.

SolarWinds Permissions Analyzer

Доступ к тем или иным объектам в Active Directory регулируется при помощи прав, для проверки которых как раз и предназначена утилита SolarWinds Permissions Analyzer. Возможно, вы хотите проверить, как наследуются права пользователя или посмотреть права группы или юзера или проанализировать разрешения на базе членства в определенной группе. SolarWind Permissions Analyzer также очень эффективен для анализа прав в лесу из нескольких доменов и может помочь в снижении потенциальных рисков, когда мы быстро выявляем членов команды, у которых есть доступ к конфиденциальной информации и другим объектам. Самое приятное - SolarWinds Permissions Analyzer полностью бесплатен для использования в лесах.

Active Directory Health Profiler

Утилита Active Directory Health Profiler от компании Ossisto представляет собой надежную подсистему выполнения, предназначенную для полноценного анализа рисков и безопасности лесов. Этот инструмент позволяет найти угрозы и избежать сбоев в работе служб. В AD Health Profiler есть 74 пакета на базе PowerShell для выполнения разного рода проверок множества лесов. Каждый пакет идет с рекомендациями и описанием наилучших практик от компании Microsoft в сфере использования Active Directory. Хотя этот продукт стоит довольно дорого, но может окупить себя в случае обнаружения скрытых угроз, влияющих на безопасность.

Netwrix Auditor (для Active Directory)

Netwrix Auditor для Active Directory позволяет наблюдать, что происходит внутри домена через отслеживание авторизаций и изменений в настройках пользователей, групп, организационных единиц, групповой политики и так далее. В ежедневных отчетах отображаются все изменения и авторизации, произошедшие за последние 24 часа, включая значения параметров до и после изменения. Доступен базовый бесплатный вариант, но у полноценной платной версии намного больше возможностей.

Account Lockout Examiner

У Netwrix есть еще один бесплатный инструмент Account Lockout Examiner, который вполне заслуживает быть в нашем списке. Эта утилита оповещает о блокировке учетных записей, помогает решать проблемы и выявлять основные причины по каждому событию и быстро восстанавливать работоспособность критических служб. Аккаунты можно разблокировать прямо из консоли в Account Lockout Examiner или через мобильное устройство.

Semperis DS Protector

Semperis DS Protector позволяет отслеживать изменения в Active Directory через репликацию при помощи двух независимых источников данных, что позволяет обойти ограничения традиционных инструментов подобного рода. Использование базы данных исключает необходимость в длительном восстановлении и позволяет добиться высокой достоверности информации. Semperis DSP может отслеживать все изменения внутри Active Directory и даже в случае, если встроенный механизм системного журналирования отключен, логи удалены, и агенты остановлены. Также есть возможность оповещения, когда сделаны изменения в важных группах безопасности, у привилегированных пользователей и так далее. Можно сразу же увидеть, кто сделал изменения, найти все изменения, выполненные определенным пользователем и отменить ненужные изменения из единой консоли. Отслеживание и откат (где возможно) изменений в конфигурации, GPO, DNS и компоненте Schema расширяют функционал Групповой политики и добавочных компонентов, используемых в Active Directory.

Active Directory Last Logon Checker

Продукция компании Ossisto также упоминается в нашем списке несколько раз. Когда создано много пользователей, важно отслеживать, чтобы в сети работали только легитимные юзеры. Ossisto 365 представляет собой бесплатный инструмент для получения информации о последней авторизации каждого пользователя домена. Отчеты также доступны в формате CSV.

Administrative Security Groups Checker

Еще один инструмент от компании Ossisto, позволяющий проверять членов указанных групп безопасности с оповещением по почте о любых изменениях в этих группах. Этот инструмент должен быть в распоряжении каждого администратора Active Directory с целью проверки, что только легитимные и уполномоченные пользователи находятся в административной группе. Administrative Groups Checker может проверять каждого члена группы безопасности в соответствии с настроенным списком и помогает поддерживать содержимое группы в надлежащем виде. В случае любых изменений, связанных с группой, утилита тут же оповестит по электронной почте.

SekChek Security Auditing

Любой квалифицированный администратор Active Directory понимает важность аудитов. С целью соответствия стандартам SOX и HIPAA необходимо иметь соответствующую систему. SekCheck Security позволяет выполнять аудиты сред Active Directory и генерировать отчеты по результатам проверок. Полученные результаты могут сравниваться с отраслевыми стандартами и лучшими практиками. Также по факту сравнения может использоваться рейтинговая система.

Quest Change Auditor (для Active Directory)

Если вы ищете комплексный инструмент для отслеживания изменений в среде Active Directory, утилита Change Auditor от компании Quest – ваш выбор. При помощи этого инструмента вы сможете получить единый взгляд на все изменения, происходящие в локальной среде Active Directory и Azure Active Directory. Помимо отчетов о ключевых изменениях в конфигурации Quest Change Auditor защищает от изменений в критически важных объектах, как, например, случайного удаления организационных единиц и изменения настроек групповой политики.