Active Directory (AD) — важнейший компонент ИТ-инфраструктуры на основе Windows, но для отслеживания данных о лицах, изменявших записи в каталоге AD, времени и причинах изменений может потребоваться участие специалиста, занятого полный рабочий день. Вспомним и о дополнительных требованиях, например о необходимости обеспечить соответствие федеральным законам и законодательным актам штатов, от закона Сарбейнса-Оксли до закона об унификации и учете в области медицинского страхования (HIPAA), и станет понятно, что аудит AD доставляет массу хлопот ИТ-специалистам. Однако задачу можно облегчить.
Усовершенствования Windows Server 2008 AD
Разработчики Microsoft прислушались к жалобам ИТ-специалистов относительно аудита AD и дополнили Windows Server 2008 несколькими новыми компонентами, которые должны снять остроту проблемы. «Windows 2008 располагает рядом полезных функций управления событиями, в частности полностью переработана модель хранения журналов событий, — отмечает Гвидо Грилленмейер, главный технолог группы Advanced Technology компании HP и обладатель сертификата Microsoft Directory Services MVP. — Усовершенствованы и встроенные средства аудита AD, которые обеспечивают более детальную и полную проверку изменений AD. Например, можно записать старое и новое значения изменившегося атрибута».
В Server 2008 аудит разделен на четыре категории: Access (доступ), Changes (изменения), Replication (репликация) и Detailed Replication (подробная репликация). В категории Changes усовершенствованы способы обработки изменений AD в Windows Server 2003 и Windows 2000: регистрируются разности изменений атрибутов, подробности создания и перемещения новых объектов, появилась функция создания событий при перемещении объектов в другие домены.
Выбор решения аудита AD
Независимо от используемой операционной системы — Server 2008, Windows 2003 или Windows 2000 — готовый к применению продукт аудита AD поможет снизить рабочую нагрузку. Важно определить необходимый для компании уровень аудита AD. Грилленмейер считает ошибкой попытки найти магическое решение для аудита AD: «Решения квазиуправления, такие как AD Self-Service Suite и Ensim Unify, удобны для делегирования определенных задач управления пользователям с неадминистративными правами и проверки изменений, внесенных ими в AD с помощью данного инструмента. Однако проверяются только изменения, внесенные именно этими инструментами, но не собственные изменения AD; с их помощью нельзя получить полный дневник для аудита».
Грилленмейер отличает инструменты квазиуправления от средств аудита AD, собирающих события безопасности и аудита из журналов событий на контроллерах домена (DC), таких как Microsoft System Center Operations Manager или HP OpenView, и инструментов аудита AD, которые объединяют встроенные журналы событий с данными AD, собранными агентами, таких как Quest InTrust и Quest ChangeAuditor (в прошлом NetPro ChangeAuditor).
«Аудита на основе журналов событий достаточно для многих потребителей, которым нужно выполнить определенные требования по соответствию законодательным актам, — поясняет Грилленмейер. — Главное — правильно организовать аудит в самом каталоге, чтобы верно регистрировать изменения в журналах событий. Обратите внимание, что при использовании инструментов квазиуправления все же необходимо объединить собственные данные о событиях с данными этих инструментов, чтобы выяснить, кто в действительности произвел изменения в AD, так как для изменений, внесенных инструментом, в собственных журналах событий содержится только служебная учетная запись в качестве владельца изменения». Грилленмейер считает, что только продукты, в которых аудит журнала событий сочетается с отдельными агентами сбора данных AD, способны выполнить проверку всех изменений AD.
Том Крейн, менеджер продукта InTrust в компании Quest Software, убежден, что самые полезные продукты обеспечивают сбор сведений об изменениях в AD, не предоставляемых системой Windows Server. «Некоторые сведения об изменениях в AD не отражаются в журнале событий, — поясняет он. Например, некоторые изменения объединяются в одно сообщение о событии, в результате единственное событие может содержать несколько изменений. Благодаря инструменту, обеспечивающему сбор этой информации, можно сократить время, потраченное на диагностику проблем аудита AD».
Не забывайте о данных
Важный аспект аудита AD, который часто упускают из виду, — огромное количество генерируемых данных. «Дневной объем данных аудита в масштабах предприятия измеряется гигабайтами, — говорит Грилленмейер. — Крупным компаниям необходимы инструменты с возможностью эффективно хранить данные аудита в сжатом формате и автоматически очищать их». Важно учесть потребности компании в аудите, количество изменений, вносимых в AD, и глубину этих изменений. Рекомендуется уделить внимание безопасности, резервному копированию и восстановлению после аварий данных аудита AD, точно так же как и данных других типов.
Джефф Джеймс — старший редактор журналов Windows IT Pro и SQL Server Magazine. Специализируется на виртуализации и терминальных службах.