Промышленный аудит Windows.
В сегодняшнем материале мы продолжаем наш практический обзор самых популярных и функциональных утилит проверки уровня защищенности (Hardening) десктопных и серверных версий Windows. В первой части материала мы сосредоточили внимание на бесплатных и open sources инструментах, доступных абсолютно каждому, сегодня же уклон сделаем в сторону коммерческих программ и комплексных решений, заточенных на enterprise-сектор.
Почему коммерческий софт необходим для enterprise-компаний?
Бесплатные и опенсорсные решения из предыдущей статьи формируют простой, но мощный арсенал средств, которые могут многое сообщить о состоянии hardening state машин под управлением Windows. Однако, если рассматривать задачи аудита ИБ в большой или средней компании с разветвленной сетью, сотнями хостов и разнородной серверной фермой, возможностей таких инструментов может не хватить. И на то существует несколько причин, которые кратко сейчас перечислим.
Бесплатные версии платной программы
Разработчики, которые хотят, чтобы их труд оплачивался, часто наряду с коммерческой версией пускают и бесплатную редакцию программы. При этом бесплатная версия содержит ограничения, а функциональные возможности ее усечены. К примеру, может отсутствовать возможность сканировать по сети, проводить дополнительные тесты, строить полноценные отчеты и графики, выгружать в другие системы или форматы данных. Коммерческие же версии изначально проектировались на enterprise-сектор и уже «из коробки» имеют ряд фич, без которых большую сеть или серверную ферму тестами не покрыть.
Скорость и удобство использования
В большинстве случаев у аудитора время для сбора данных и проведения тестов очень ограниченно, а объем выборки тестируемых ИТ-систем может составлять сотни хостов. Поэтому аудитор ставит своей задачей максимально автоматизировать тестирование и получать результаты на анализ как можно быстрее и с минимальным вмешательством в процесс. Бесплатное ПО всем этим редко когда может похвастаться. А вот коммерческие версии имеют отдельные GUI-консоли для управления, генерации отчетов, агрегации и обмена данными с другими средствами защиты, к примеру сканерами уязвимостей или SIEM-системами.
Также в отличие от бесплатных тулз, где часто каждый новый запуск на новой машине нужно настраивать отдельно, коммерческое ПО позволяет запускать типовые тесты одновременно на всех машинах домена, параллельно собирая дополнительные данные и тут же выкатывая это все в итоговые отчеты.
Формальные требования aka compliance
Требования законов, приказов и стандартов могут быть самыми разными. К примеру, в государственных органах существует директива на использование только отечественного и сертифицированного ПО. PCI DSS содержит строго утвержденный список ПО, которое одобрено платежным консорциумом для использования в качестве средств защиты. Бесплатное ПО просто-напросто никто не сертифицирует и не вносит в перечень системно значимых. Поэтому, даже если бесплатный инструмент обладает возможностями своих коммерческих собратьев, использовать его на постоянной основе, а тем более проходить с помощью него сертификационный аудит будет нельзя.
Обзор инструментов
ADManager Plus & ADAudit Plus (ManageEngine)
Два крутецких инструмента для анализа безопасности каталога Active Directory — это ADManager Plus и ADAudit Plus от компании-разработчика ManageEngine.
ADAudit Plus в режиме реального времени отслеживает активность входа пользователей в систему Windows и мониторит все изменения в объектах групповой политики, доступ к корпоративным ресурсам, задания планировщика, обращение к периферии (USB, принтеры), сообщения безопасности журнала Windows. Также тулзу можно запрограммировать сообщать, когда какому-то пользователю временно или постоянно предоставляются повышенные привилегии в системе, ведь это значимый индикатор потенциальной хакерской атаки! Все отчеты с предупреждениями поступают в GUI-интерфейс программы либо отправляются администраторам и офицерам безопасности на электронную почту.
Главный дашборд представляет собой набор вкладок, переключаясь по которым мы будем попадать в различные конфигурационные блоки. Аудитора будут интересовать прежде всего три: File Audit, Server Audit и Reports. Переходя на каждую вкладку, мы попадаем в соответствующий блок. К примеру, для вкладки Server Audit слева будет меню выбора групп (объектов аудита), а справа — графический дашборд, иллюстрирующий текущее состояние объекта контроля (в данном случае, к примеру, количество созданных, уделенных, модифицированных директорий).
Вкладка с отчетами предоставляет огромное количество фильтров и критериев для генерации отчетов. К примеру, для оперативного управления можно смотреть отчеты за последние 24 часа, сравнивать состояния на определенную дату и выделять различия.
ADAudit Plus бесплатен при использовании до 25 хостов, но несколько урезан в функциональности. Полноценные версии Standart (595 долларов) и Professional (945 долларов) не имеют ограничений и содержат более 200 тестов проверки опций безопасности для Windows-систем. Для тех, кто желает ознакомиться с интерфейсом программы без установки, разработчик предоставляет live demo от лица администратора системы и от лица техника службы HelpDesk.
Кстати, ADAudit Plus используется средними и крупными компаниями не только для аудита, но и для обеспечения соответствия таким compliance-требованиям, как SOX, HIPAA, GLBA, PCI-DSS, FISMA. Таким образом гарантируется выполнение требования о систематической проверке и мониторинге в режиме 24/7 ИТ-инфраструктуры на предмет несанкционированных изменений с генерацией периодических отчетов о безопасности и уведомлениями по электронной почте в качестве стандартной процедуры.
Загрузить ADAudit Plus можно с официальной страницы сайта разработчика — для x86 и x64систем.
ADManager Plus — это простое в использовании решение для каталога Active Directory с целью управления и подготовки отчетности по многим опциям, в том числе и security settings. ADManager Plus решает много задач, но основные из них:
- автоматизация рутинных действий администраторов AD (управление и отчетность AD);
- массовое создание и удаление объектов AD, управление ими;
- управление пользователями AD через мобильные приложения;
- аудит соответствия compliance-требованиям, например SOX, HIPAA, то есть аналогично тому, что делает ADAudit Plus.
После логона в ADManager Plus попадаешь в дашборд панели мониторинга корпоративного каталога Active Directory, среди прочего в реальном времени будет отображаться количество активных пользователей, неактивных/заблокированных пользователей, последние логоны, настройки политик для отдельных OU. При этом можно щелкнуть на каждый юнит и выбрать все доступные действия — от перемещения/удаления до переключения в группы безопасности и настройки индивидуальных прав доступа.
Для перехода в режим управления необходимо на главном дашборде переключиться на вкладку AD Mgmt, она вторая слева в самой верхней полосе меню. После этого перед администратором или аудитором открывается страница с перечислением всех возможных опций управления объектами AD. Функционально все действия, представленные на странице, разбиты на две части: первая — Bulk User Management с доступными пунктами User Creation, User Templates, CSV Import, вторая — Bulk User Modification с кучей возможностей для модификации, в том числе разделенных на подгруппы — Exchange Tasks, Exchange Limits, Terminal Services.
Переключившись на следующую вкладку, AD Reports, мы попадаем на страницу, где можно формировать разнообразные отчеты. Слева представлено меню из 16 групп (User Reports, Password Reports, Group Reports, Computer Reports, Exchange Reports и другие) и основного окна справа, занимающего большую часть экрана, где можно выбирать те критерии, по которым будет формироваться отчет.
ADManager Plus — программа коммерческая, для ознакомления доступна trial-версия на 30 дней — для x86— и x64-систем.
INFO
Hardening — это термин из мира ИБ, который обозначает процесс обеспечения безопасности системы (программы) за счет снижения ее уязвимости и, как правило, с использованием только штатных утилит или механизмов защиты.
AD Permissions Reporter
Еще одна интересная и полезная тулза для экспресс-аудита Active Directory называется AD Permissions Reporter. Как уже понятно из названия, главная ее задача — это проверка прав доступа в объектах AD и генерация отчетов. К примеру, эта утилита отлично подойдет для документирования всех полномочий пользователей и их изменений в корпоративном домене, а также для сравнения текущих значений с эталонной матрицей доступа.
Интерфейс программы выполнен в ленточном стиле, пришедшем к нам из MS Office, и представлен четырьмя вкладками: Report, Import/Export, Command Line и Help. На главной вкладке Report можно просмотреть список всех пользователей домена и, щелкая на каждый отдельный объект, подробно изучить назначение тех или иных прав. Отдельно есть окно для просмотра ошибок, возникших при сканировании AD: возможно, эти объекты удалены или их целостность нарушена — в общем, на это тоже стоит обратить внимание.
Программа предоставляет гибкие возможности выбрать фильтры для получения информативного отчета.
На вкладке Import/Export можно подгружать ранее созданные отчеты либо выгружать с заданными фильтрами результаты текущего сканирования. Пользователю предоставляется большой выбор опций экспортирования в Excel-файл.
Ну а вкладка Command Line, как уже понятно из названия, позволяет формировать автоматически выполняемые задания для систематического сканирования и сохранения результатов в виде отчетов. Также можно выбрать домен, по которому будет выполняться сканирование, учетную запись пользователя, параметры запуска, опции экспорта файла отчета, набор фильтров и тому подобное.
Программа поставляется в двух вариантах — бесплатная версия и professional, стоимость которой варьируется от 149 долларов за single лицензию до 579 долларов за редакцию Enterprise. Главные отличия professional-версии состоят в поддержке экспорта результатов сканирования в файл популярных форматов (Excel XLSX, CSV, HTML), мощной системе фильтрации и полной поддержке командной строки с целью запуска в автоматическом режиме по расписанию.
INFO
По сравнению с проверкой безопасности десктопных версий Windows аудит серверной фермы требует расширенного списка контролей и ряда тестов, характерных для отдельных элементов ИТ-инфраструктуры, таких, например, как Active Directory, MS SQL Server или почтовик Exchange.
Netwrix Auditor Active Directory
Почти любой админ средней и тем более крупной компании со сложной иерархией доменов знает или хотя бы точно слышал о группе продуктов Netwrix Tools от компании-разработчика Netwrix. Среди них множество отдельных утилит, к примеру для работы с объектами AD (Account Lockout Examiner, Active Directory Object Restore Wizard, Group Policy Auditing), пользователями и паролями (Inactive User Tracking, Logon Reporter, Password Expiration Alerting).
Нас же будет интересовать продукт Netwrix Auditor Active Directory, призванный предоставлять полный контроль над событиями в Active Directory и Group Policy, формировать отчеты и оповещения по каждому изменению, что позволяет сравнивать текущие объекты и настройки с их значением на любую дату в прошлом.
Соответственно, это дает администратору или офицеру безопасности возможность анализировать несанкционированные изменения в AD, на этом основании генерировать уведомления об угрозах безопасности (хакерской атаке), проводить автоматизированный контроль прав доступа, отслеживать неактивные учетные записи, истекшие пароли, а также проводить аудит входа пользователей в систему.
Для больших компаний в части обязательных compliance-требований это позволяет снижать риск злоупотребления привилегиями, помогает соблюдать внутреннюю политику безопасности, а также помогает проходить сертификацию по государственным и отраслевым стандартам ИБ.
К сожалению для избалованных халявой соотечественников, тулза коммерческая и в свободном доступе ее нет, но для ознакомления с возможностями разработчики предлагают полноценную 20-дневную trial-версию, которую можно получить с сайта компании, заполнив небольшую анкету.
Заключение
Вот и вторая часть нашего обзора подошла к завершению. На сей раз мы подробно рассмотрели самые ходовые коммерческие инструменты аудита безопасности, которые можно применять как для десктопа, так и для серверных редакций Windows. Это прежде всего утилиты, ориентированные на большую сеть предприятия, включающую такие инфраструктурные элементы, как Active Directory, Exchange Server, IIS, MS SQL Server и подобные.
А чтобы усилить исходный уровень защищенности (hardening state), нельзя забывать про все фичи, которые идут в поставке с операционной системой: это и старые добрые UAC, BitLocker, NAP, AppLocker, и новые SmartScreen, Credential Guard, Device Guard, Microsoft Passport, Advanced Threat Protection и тому подобные. Не стоит и пренебрегать рекомендациями Microsoft и других организаций по настройке соответствующих опций безопасности (Hardening Guide).