Windows管理員發(fā)現(xiàn)Windows Server 2008和之后版本中的活動目錄審計(jì)工具并不能滿足他們的需求,因此他們轉(zhuǎn)向了第三方�。盡管活動目錄含有追蹤目錄服務(wù)變更的本地策略,但管理員可以找到其他的工具來緩解監(jiān)管合規(guī)��、安全與監(jiān)控�。
在我之前的文章《使用第三方工具實(shí)現(xiàn)活動目錄合規(guī)審計(jì)》中,向大家介紹了ManageEngine的ADAudit Plus�����、Dell的ChangeAuditor for Active Directory和LepideAuditor for Active Directory����。它們具有類似的活動目錄數(shù)據(jù)處理能力,當(dāng)然還包括下面這兩款第三方產(chǎn)品:
Netwrix Auditor
Netwrix Auditor監(jiān)控你的活動目錄基礎(chǔ)設(shè)施以檢測����、捕捉和完善審計(jì)數(shù)據(jù)。它能跟蹤誰發(fā)生了什么改變��,什么時候發(fā)生的��,哪里發(fā)生的���。Netwrix Auditor還支持許多其他平臺���,包括Exchange Server、SQL Server和SharePoint Server���。
收集:Netwrix Auditor集中收集動目錄和組策略配置的數(shù)據(jù)動態(tài)變更�����,包括之前和之后的值����。它還可以捕獲目錄快照�����。Netwrix Auditor使用了AuditAssurance技術(shù)��,從多個獨(dú)立源整合審計(jì)數(shù)據(jù)�����,包括事件日志、快照配置和歷史記錄更改�。
報告:Netwrix Auditor可以生成報告,顯示所有用戶和管理員的活動�����。報告可以基于動態(tài)變化或快照數(shù)據(jù)���,使用任何可用的存檔信息生成��。管理員也可以設(shè)定自動報告交付��。
提醒:Netwrix Auditor支持實(shí)時警報�����,提醒不適當(dāng)或高風(fēng)險的活動目錄的修改����。警報是基于可定制的通知模板����,以電子郵件或文本消息方式發(fā)送��。
存檔:所有審計(jì)數(shù)據(jù)壓縮并寫入一個集中的數(shù)據(jù)庫��,數(shù)據(jù)庫可以保留數(shù)據(jù)達(dá)七年或更長時間。任何時期被收集的數(shù)據(jù)都提供了所有活動目錄和組策略變更的完整的審計(jì)歷程�����。
PowerBroker Auditor for Active Directory
來自BeyondTrust的PowerBroker Auditor for Active Directory提供了集中的���、實(shí)時的變更審計(jì)以及取消不必要的修改的能力�。這款工具可擴(kuò)展�,容易部署,能自動整合到本地管理工具如Active Directory Users and Computers���。
收集:PowerBroker使用一個單獨(dú)的代理來收集活動目錄和組策略的變化數(shù)據(jù)���,無需依賴事件日志或修改組策略對象或系統(tǒng)訪問控制列表。所有更改數(shù)據(jù)包括新舊值以及主機(jī)名或IP地址的改變�。
警報:PowerBroker包括一個廣闊的內(nèi)建報告庫,包括安全性���、業(yè)務(wù)操作管理和合規(guī)性����。另外,該產(chǎn)品提供了一套審計(jì)視圖��,可洞察存儲在中央數(shù)據(jù)庫的數(shù)據(jù)�����。視圖數(shù)據(jù)還可以輸出為PowerBroker報告�����。PowerBroker使用SQL Server Reporting Services(SSRS)以通俗易懂的語言顯示出事件數(shù)據(jù)����。管理員們還可以創(chuàng)建自定義報告和審計(jì)視圖。
警報:在任何可審計(jì)的變化發(fā)生在活動目錄和組策略時�,PowerBroker會發(fā)出實(shí)時警報。
存檔:活動目錄和組策略中所有審計(jì)的變更存儲在一個中央數(shù)據(jù)庫����,中央數(shù)據(jù)庫為審計(jì)視圖和SSRS報告提供數(shù)據(jù)。該數(shù)據(jù)庫還包含構(gòu)建特定對象審計(jì)跟蹤的必要數(shù)據(jù)�。此外,PowerBroker的恢復(fù)功能可以訪問數(shù)據(jù)庫以撤消更改��。
選擇審計(jì)和報告工具
當(dāng)考慮審計(jì)和報告系統(tǒng)時,你應(yīng)該考慮到它們的特征——特別是數(shù)據(jù)收集�����、報告����、報警和歸檔——以及每個供應(yīng)商的支持服務(wù)和通用金融穩(wěn)定��。
你也要考慮公司的授權(quán)模式以及域的大小和用戶數(shù)量對此產(chǎn)生的影響�。此外,你應(yīng)該考慮活動目錄的替代實(shí)施方案���。你需要在控制器安裝代理嗎?通過事件日志或活動目錄應(yīng)用程序編程接口收集數(shù)據(jù)是解決方案嗎?
確保你的選擇能夠提供可審計(jì)的數(shù)據(jù)和生成你所需要的能夠輕松展示組織合規(guī)性的報告�����。同時�,你可以考慮這個工具審計(jì)之外的功能��。它會幫助IT進(jìn)行故障排除或變更管理嗎?額外的審計(jì)系統(tǒng)呢�����,如Exchange Server或SharePoint Server?
你可能還想了解回滾到活動目錄之前狀態(tài)的功能。選擇審計(jì)和報告工具時�,需要考慮很多因素,但是這些第三方活動目錄審計(jì)工具能夠提供幫助��。
