Iis настройка аудита и мониторинг


Содержание

Как включить аудит доступа к файлам Windows в картинках

Запускаем редактор групповых политик

Для этого в Windows 10 или Server 2012 R2 кликаем правой кнопкой мыши по Пуск и нажимаем Панель управления:

В более ранних версиях Windows кликаем по Пуск и выбираем Панель управления:

Теперь открываем Система и безопасность:

И выбираем Локальная политика безопасности:

* Совет: редактор групповых политик можно открыть через командную строку командой gpedit.msc.

* Нюанс: в доменной среде с сервером Active Directory необходимо открывать групповые политики на стороне контроллера домена и применять их к серверам или компьютерам компании.

Настраиваем политику

Раскрываем Конфигурация компьютераКонфигурация WindowsПараметры безопасностиЛокальные политикиПолитика аудита:

В окне справа кликаем дважды по Аудит доступа к объектам:

В открывшемся окне ставим галочки на Успех и Отказ:

Нажимаем OK и закрываем редактор управления групповыми политиками.

Настраиваем аудит для файлов и папок

Кликаем правой кнопкой мыши по папке, для которой нужно настроить аудит и выбираем Свойства:

Переходим на вкладку Безопасность:

Нажимаем по Дополнительно:

В открывшемся окне переходим на вкладку Аудит и нажимаем Продолжить:

Кликаем по Выберите субьект:

и выбираем учетную запись или группу пользователей, для которых необходимо установить аудит, например, все:

Нажимаем OK и выставляем галочки напротив действий, для которых система будет протоколировать события:

Как оценить посещаемость (количество пользователей) на сайте IIS

Как быстро оценить текущее количество подключений пользователей к сайтам на веб сервере IIS, работающем на Windows Server? Подобная информация позволит точнее оценить и спрогнозировать нагрузку на сервер, выбрать оптимальное время для проведения обслуживания и обновления сайта, спрогнозировать нагрузку на сервер при увеличении количества пользователей.

Проще всего определить количество активных сессией пользователей на веб сайте IIS при помощи счетчиков производительности в мониторе производительности Windows (Performance Monitor).

Откройте консоль Performance Monitor, выполнив команду perfmon и перейдите в консоль монитора производительности (Monitoring Tools —> Performance Monitor).

Далее нужно добавить в окно монитора необходимые нам счетчики (по умолчанию в окне отображается счетчик общей загрузки CPU — его можно удалить). Чтобы добавить новый счетчик, нажмите зеленую кнопку в панели инструментов (на скриншоте она выделена) или нажмите комбинацию клавиш Ctrl+N.

В списке доступных категорий счетчиков найдем и развернем группу Web Service. В этой категории нас интересуют три счетчика:

  • CurrentAnonymousUsers – количество анонимных пользователей IIS;
  • CurrentNon-AnonymousUsers – количество авторизованных (неанонимных) пользователей IIS;
  • CurrentConnections – общее число активных подключений на сервере IIS.

Выберем нужный счетчик и в поле экземпляров счетчика (Instances of selected objects) выберем один или несколько сайтов IIS, для которых нужно отобразить информацию о подключениях. Информация по пользователям всех сайтов на сервере содержится в экземпляре _Total. Осталось нажать кнопку Add >>, чтобы нужный счетчик переместился в список добавляемых счетчиков в правом окне.

Точно так же добавим все необходимые счетчики и нажмем ОК.

Теперь в консоли Performance Monitor в режиме реального времени будет отображаться информация о количестве активных подключений (сессий) пользователей на веб сервере/сайте IIS (по умолчанию значения счетчиков выводятся в виде линейных графиков). Выбрав в нижней панели любой из счетчиков можно посмотреть его текущее (last), среднее (average), минимальное (minimum) и максимальное (maximum) значение за данный период времени.

В текущую консоль можно добавить собственные счетчики производительности и сохранить их в отдельном представлении, которое в дальнейшем можно использовать для быстрого доступа к информации о нагрузке на веб-сервер.

Доступ к данным счетчиков производительности для сайтов IIS можно получить и из PowerShell. Для этого достаточно использовать командлет получения данных из счетчика производительности Get-Counter.

Список всех доступных счетчиков производительности для службы Web Service можно вывести так:

Чтобы получить информацию о текущем количестве активных подключений на сервере IIS (счетчик \Web Service(*)\Current Connections) воспользуйтесь такой командой:

Get-Counter -Counter “\Web Service(*)\Current Connections”

Как вы видите, данная команда вернула как суммарное количество подключений к серверу IIS, так и статистику для каждого из сайтов.

  • Значения нескольких счетчиков можно вывести, указав их через запятую;
  • С ключем Continuous информация о значении счетчика будет выводится в консоль постоянно, пока не будет выполнено прерывание командой CTRL+C.

Как мы уже говорили, можно получить количество активных сессии для конкретного сайта IIS. Например, чтобы получить текущее количество соединений на сайте с именем Site1, выполните команду (вы можете указать имя сервера, на котором проверяется значение счетчика, при проверке количества подключений на сайте локально, указывать localhost недопустимо):

Get-Counter «web service(Site1)\current connections» -ComputerName web-app01

Чтобы не указывать каждый раз имя сервера, можно использовать переменную окружения COMPUTERNAME

Get-Counter «web service(Site1)\current connections» -ComputerName $env:COMPUTERNAME

Для получения числового значения счетчика «current connections» всего веб-сервера IIS (суммарная нагрузка на IIS) можно использовать такой код:

((Get-Counter -Counter ‘web service(_total)\current connections’ -computer $env:COMPUTERNAME) | Select-Object -Expand countersamples).Cookedvalue

Попробуем с помощью простого скрипта создать несколько дополнительных сессии с нашим сайтом и проверить значение счетчика. Можно накрутить количество обращений к IIS с помощью с помощью командлета Invoke-WebRequest, а можно просто открыть несколько окон в браузере:

$counter = 20
for($i=1;$i -le $counter;$i++)<
$SiteAdress = «http://localhost:9666/»
Start-Process $SiteAdress
>

После этого проверьте значение счетчика current connections и убедитесь, что он увеличиться.

Если на сервере запушено несколько сайтов IIS, и нужно получить количество подключений к каждому из них в табличном виде, можно воспользоваться таким скриптом (для получения данных из IIS в PowerShell нужно загрузить модуль WebAdministration):

import-module webadministration
function get-CurrentConnection($Site) <
Get-Counter «web service($Site)\current connections,web service($Site)\ Bytes Received/sec,web service($Site)\Bytes Sent/sec» -ComputerName $env:COMPUTERNAME
>
$IISsites = dir IIS:\Sites | Select Name
$CurrentConnection = @()
foreach ($site in $IISsites)
<
Write-Host $site
$ConnCount = New-Object psobject | get-CurrentConnection -Site $site.name
$CurrentConnection += $ConnCount
>
$CurrentConnection|out-gridview

Также вы можете вывести числовые значения счетчиков подключений по всем сайтам так (первое значение – суммарное количество подключений к IIS):

Get-wmiObject -class Win32_PerfRawData_W3SVC_WebService | select-object -expand currentconnections

Также вы можете отобразить информацию о количество полученных/переданных данных для каждого сайта или всего веб сервера с помощь счетчиков web service(sitename)\ Bytes Received/sec и web service(sitename)\Bytes Sent/sec».

Итак, мы рассмотрели методику, позволяющую получить информацию о нагрузке на сайты, запущенные на веб сервере IIS.

Аудит событий. Настройка аудита событий

Лабораторно-практическая работа № 4

1. Теоретическая часть: Получение информации о процессах,
происходящих в системе

Аудит событий. Настройка аудита событий

Практически все события системы, отражающие процессы, происходящие на уровне ядра ОС и выше и представляющие интерес для пользователя лю­бого уровня, могут быть определены и сохранены в файле благодаря специ­альному механизму Windows XP, называемому аудитом системы. Просмотр сохраненных событий осуществляется специальной программой Просмотр событий.

Этот механизм является очень гибким в настройке и позволяет вести аудит различных событий, происходящих в системе, как по их классу принадлеж­ности, так и по тому, удачно или неудачно было завершено событие. Напри­мер, можно заставить систему контролировать все успешные попытки пользователей и приложений получения доступа к реестру. Или можно контролировать все попытки входа пользователей в систему, которые закончились неудачно.

Настройки аудита локальной системы находятся в программе Локальная политика безопасности (Local Security Settings):

Пуск\Все программы\Панель управления\Администрирование\ Локальная политика безопасности

Для настройки аудита событий следует:

запустить программу Локальная политика безопасности;

— выбрать пункт Локальные политики (рис.1.1.);

— выбирать пункт Политика аудита;

— появятся настройки поли­тики аудита (рис.1.2.).

Рисунок 1.1. Окно программы Локальные параметры безопасности

Рисунок 1.2. Окно настройки аудита

Настройки аудита событий представ­ляют собой список контролируемых событий, а также признак того, когда будет осуществляться запись этого события: при его успешном исходе, отка­зе или в обоих случаях. Факт успешности завершения события определяется по его коду завершения, существующему внутри системы. Для определения того, когда будет происходить запись того или иного события, определенного соответствующей строкой списка поли­тики аудита, следует по ней сделать двойной щелчок мышью, после чего на экране появится окно настройки политики аудита (рис.1.3).

Рисунок 1.3. Диалоговое окно ввода значений опций,

определяющих, когда будет производиться аудит определенного события

Данное окно позволяет пользователю выбрать вид аудита события для просмотра: при успешном завершении события, в случае его сбоя или в любом случае, настройки достигаются установкой флажка в соответствующих режимах: Успех, Отказ или в обоих режимах. Каждая из политик аудита обладает своими характерными особенностями:

1.Политика аудита Аудит событий входа в систему ответственна за запись событий, генерируемых операционной системой при входе и выходе пользователей на других сетевых компьютерах, при условии, что данный компьютер используется для проверки подлинности учетной записи. При установке опции Успех, будет производиться запись событий, в ре­зультате которых пользователи успешно вошли в систему, в случае уста­новки опции Отказ, будет производиться запись событий, в результате которых пользователи не смогли войти в систему. В случае установки обеих опций будет производиться запись всех попыток входа пользователей в систему, как удачных, так и нет.

В больших системах используется полное протоколирование входа пользователей в систему, которое достигается установкой обоих опций. Для небольших организаций и до­машних систем достаточно вести протоколирование входа пользова­телей только по критерию Отказ, чтобы всегда можно было обнаружить случаи подбора паролей или попытки вторжения взломщиков, которые не увенчались успехом, и принять соответствующие меры. Так же будет получена информация о возможном источнике про­блеем и пользователях, которые постоянно забывают свой пароль, и, вероятно, пытаются его где-то записывать.

2.Политика аудита Аудит управления учетными записями ответственна за запись событий, возникающих при работе с учетными записями пользователей: создание, изменение или удаление группы пользователей; переименование учетной записи пользователя, ее выключение, включение; установка иди смена пароля. Во всех случаях системой, в соответствии с установ­ленными опциями Успех и Отказ будет производить­ся запись событий. Рекомендуется поставить политику на запись события в случае неудачного завершения операции доступа к объектам этой службы, что предохранит от возможных атак, которые могут проводиться в се­тевых структурах.

3.Политика аудита Аудит доступа к службе каталогов ответственна за протоко­лирование доступа к объектам службы Active Directory, которая представляет собой, специальную сетевую файловую систему, элементами которой могут быть не только файлы и папки. Рекомендуется ее поставить на запись события в случае неудачного завершения операции доступа к объектам этой службы, что предохранит от возможных атак, которые могут проводиться в се­тевых структурах.

4.Политика аудита Аудит входа в систему ответственна за запись событий, генерируемых операционной системой при входе и выходе пользо­вателей на данном компьютере. При установке опции Успех бу­дет производиться запись событий, в результате которых пользователи ус­пешно вошли в систему. В случае установки опции Отказ будет про­изводиться запись событий, в результате которых пользователи по каким-либо причинам не смогли войти в систему. В случае установки обеих опций можно производить запись всех попыток входа пользователей.

5.Политики аудита Аудит доступа к объектам и Аудит изменения политики от­ветственны, соответственно, за аудит доступа к различным объектам систе­мы, которые контролируются с помощью прав доступа, и за аудит работ с правами пользователей и политики аудита. В большинстве случаев достаточно будет производить аудит по отказу для этих двух собы­тий. Данные записи могут пригодиться в случае, если в системе будет происходить что-то странное и необходимо выяснить причины возникших ситуаций.

6.Политика аудита Аудит использований привилегий производит запись событий, в случае использования пользователями специфических системных привиле­гий. Рекомендуется установить ее на запись событий в случае отказа для их получения пользователям. Данная информация может помочь специалистам по компьютерной безопасности в выяснении того, что произошло с систе­мой.

7.Политика аудита Аудит отслеживания процессов позволяет вести аудит по таким событиями процесса, как запуск программы, выход из нее, а также другим важным системным событиям. Установка аудита данных событий по отказу может помочь понять, что происходит в системе и, возможно, где ей требуется помощь.

8.Политика аудита Аудит системных событий позво­ляет проводить аудит таких системных событий как перезагрузка или выключение компьютера, а также других важных сообщений, касающихся безопасности системы. Рекомендуется всегда устанавливать данную политику аудита, как минимум, на запись собы­тия, в случае его отказа.

Особенности аудита системы:

1.Чем больше событий в различных ситуациях протоколируется, тем больше сообщений аудита системы будете получено, следовательно, тем больше инфор­мации будет о процессах, происходящих внутри систе­мы, инициируемые пользователями или различным программным обеспечением.

2.Чем больше сообщений системы будет получено, тем мед­леннее будет работать система и возможно слишком быстрое пе­реполнение внутреннего лога безопасности операционной системы. В резуль­тате чего придется достаточно часто производить его очистку в программе Просмотр событий.

Не нашли то, что искали? Воспользуйтесь поиском:

Аудит Active Directory с «человеческим лицом»

NetWrix Active Directory Change Reporter — программное обеспечение, отслеживающее все изменения каталога Active Directory Domain Services, включая пользовательскую и администраторскую активность, создающее при этом отчеты и оповещения, автоматически пересылаемые на административный электронный адрес.

Автор: MCT/MVP:DS Илья Рудь

Введение.

Большинство начинающих системных администраторов считают, что аудит — это слово, имеющее отношение к бухгалтерии, финансам, но уж никак не к информационным технологиям. Их мнение в корне меняется, когда они начинают работать в средних и крупных организациях, где количество администраторов может изменяться десятками. В таких случаях аудит становится страховкой для системного администратора, позволяющей при возникновении форс-мажоров спасти как собственную зарплату, так и в ряде ситуаций — карьеру.

Немного конкретизирую тему данной статьи. Я хочу рассказать об аудите Active Directory средствами NetWrix Active Directory Change Reporter. Не то, чтобы у Microsoft совсем не было средств аудита службы каталогов, настройки аудита в групповых политиках и журнал «Безопасность» никто не отменял. Но при их использовании администратор быстро понимает, что анализ через оснастку десятков мегабайт журнала «Безопасность» на контроллерах домена зачастую действие утопическое. Поэтому получается, что встроенный аудит как бы есть, но при этом использовать его весьма проблематично. И хотя с выходом Windows 2008 производитель слегка попытался упростить работу с аудитом, исторический ложившуюся ситуацию, когда Microsoft дает заработать на доведении до ума аудита сторонним производителям, это не изменило.

Знакомьтесь — NetWrix Active Directory Change Reporter, программное обеспечение, отслеживающее все изменения каталога Active Directory Domain Services, включая пользовательскую и администраторскую активность, создающее при этом отчеты и оповещения, автоматически пересылаемые на административный электронный адрес.

В отчетах и оповещениях содержится информация обо всех изменениях, дополнениях и удалениях, как самих объектов, так и их атрибутов. Аудит изменений автоматически архивируется для получения информации об изменениях за любой промежуток времени с различной степенью детализации.

Программа Active Directory Change Reporter является частью комплекта, куда входят инструменты не только аудита Active Directory, но и Exchange, Group Policy, а так же Active Directory Object Restore Wizard.

Логика работы.

Для начала предлагаю разобраться в архитектуре и концепции рассматриваемого продукта.

  1. Во-первых, системный администратор устанавливает сам продукт и конфигурирует параметры для автоматического сбора информации и формирования отчетов
  2. После настройки на сервере с программой создаётся определенная задача (имя по умолчанию – NetWrix Management Console — Active Directory Change Reporter — ) которая стартует раз в 10 минут (значение можно поменять). Это режим «быстрого» сбора, в это время программа собирает события из Журнала безопасности с каждого контроллера домена. Также собираются все изменения в Active Directory за последние 10 минут. Для этого используется специальный протокол репликации между контроллерами домена. После сбора всех данных программа отсылает оповещения.
  3. Данные аудита помещаются в специальную базу данных SQL с именем «NetWrix_AD_Change_Reporter» и в репозиторий программы.. В три часа ночи производится рассылка информации об изменениях за последние сутки, а так же отчетов, на которые подписан администратор. Кстати по умолчанию SQL Express скачивается и устанавливается мастером настройки программы.
  4. Если произведена интеграция с SCOM, то информация также записывает все события в просмотрщик событий Windows.
  5. Для изменения отчетов, событий и последующего конфигурирования используется консоль управления продуктом NetWrix Enterprise Management Console.

Рисунок 1. Архитектура Active Directory Change Reporter.

Установка и настройка.

Хотелось бы заметить, что Active Directory Change Reporter поддерживает все режимы работы домена и леса от Windows 2000 до Windows 2008R2. Для того чтобы приступить к настройке, понадобится компьютер, на который можно установить Change Reporter, причем не обязательно с серверной операционной системой. Поддерживается все, начиная от Windows XP SP2 и выше, с одним условием — членства в управляемом или доверенном домене.

Рисунок 2. Включение аудита в групповой политике

Еще до установки продукта документация Change Reporter просит включить аудит успешных событий на уровне групповой политики контроллера домена, а также в настройках безопасности разрешить аудит на тех разделах Active Directory, изменения которых должны протоколироваться.
После чего можно переходить к установке самого продукта, которая настолько проста (Next-Next-Finish), что комментировать в ней, что то сложно. Нажав несколько клавиш, вы получите на экране консоль центрального управления продуктом и необходимость его настроить, т.к. на данном этапе никакие отчеты пока не формируются.

Примечание: Для тех, кто боится менять параметры аудита руками, существует еще один способ. А именно вначале установить Active Directory Change Reporter, а потом запустить Audit Configuration Wizard, который прячется в меню «Пуск» вместе с программой. Мастер настроит в групповой политике аудит и постарается увеличить размер журнала «Безопасность» до 300 мегабайт.

Рисунок 3. NetWrix Enterprise Management Console

Пост-установочная настройка начинается с опции «Create new Managed Object», в которой вы должны указать учетную запись пользователя домена, обладающего правами локального администратора

Следующий шаг — настройка SMTP сервера, через который будут слаться отчеты, и указание электронного адреса отправителя отчетов. Для этих целей мною был создан отдельный почтовый ящик с учетной записью NetWrix. После указания всех необходимых данных по кнопке «Verify» можно проверить корректность настройки.

Рисунок 4. Настройка оповещения по электронной почте.

Если вы все сделали правильно, то после запуска проверки получите сообщение о том, что письмо отправлено, а в указанном почтовом ящике появится письмо с текстом «Test Ok». Поскольку я использовал аутентификацию при доставке, фактически доставка шла самому себе (от пользователя NetWrix на адрес NetWrix), то никаких изменений коннектора Exchange сервера производить не пришлось, стандартного слушающего 25 порт вполне достаточно.

На следующем шаге указываем FQDN нашего домена и управляемую учетную запись, от имени которой будет запускаться назначенное задание по сбору изменений. По умолчанию в данное поле подставляется учетная запись с самого первого шага.

Как я уже говорил раньше, программа Active Directory Change Reporter является частью комплекта, а посему на следующем этапе нам предлагается указать, какие компоненты мы будет задействовать -нужен ли нам аудит почтовой системы Exchange и.т.д. В данной статье я ограничился компонентом для Active Directory и остальные блоки оставил не выбранными.

Рисунок 5. Выбор используемых компонентов.

Далее настраиваем расширенные отчеты, а для этого придется указать существующий SQL сервер с компонентом Reporting Services. Впрочем, даже если SQL сервера в компании пока нет, мастер предлагает установить на данный компьютер бесплатную версию SQL 2005 Express. SQL в дистрибутив не входит, а поэтому вариантов два. Первый, если есть доступ в интернет – скачать его мастером настройки и автоматически установить, и второй, указать файл дистрибутива SQL явно. После скачивания SQL 2005 Express устанавливает экземпляр по умолчанию с веб-сервером IIS и стандартной возможностью веб-доступа к Reporting Services.

Ну и остается ответить на несколько вопросов:

  1. Нужно ли сжатие трафика? Все просто, если между контроллером домена и компьютером с Active Directory Change Reporter медленный канал, включение сжатия дает возможность уменьшить объём трафика.
  2. Нужно ли включить опцию Snapshot Reporting? Snapshot или снимок это сохраненное состояние каталога, дающее возможность посмотреть, что было месяц, год или два тому назад. Снимки Active Directory делаются всегда и сохраняются в репозитории программы; снимки используются, например, во встроенном мастере восстановления объектов Object Restore Wizard, о котором см. ниже. Смысл Snapshot Reporting в том, чтобы данные снимков импортировались в базу данных и на их основе создавались отчеты. Если вы от них откажетесь, то потеряете возможность формировать часть отчетов аудита — не выберите опцию, лишитесь группы отчетов «AD Snapshots Reports»
  3. Кто будет получать отчеты? В данном блоке достаточно просто указать список адресов и при желании нажать кнопку «Verify» для отправки тестового письма.

Рисунок 6. Выбор получателя отчетов.

  • Какие оповещения в режиме реального времени нужны? Настраиваемое поле, где можно указать, какой список действий приводит к немедленному оповещению получателя отчетов. Список по умолчанию делает это только при изменении членства в группе доменных администраторов, поскольку данный список редактируется и после работы мастера, то пока можно ничего не менять.
  • На этом, собрав все необходимые данные, мастер свою работу завершает, уведомляя нас о том, что время генерации ежедневных отчетов три часа ночи. Теперь, когда продукт установлен, предлагаю немного в нем подразобраться.

    Тестирование функций продукта.

    Первым делом я внес ряд изменений, а именно создал пару учетных записей, создал и удалил несколько организационных подразделений. После чего открыл SQL Management Studio и подключился к экземпляру SQL Express.

    После подключения я обнаружил три базы данных. Назначение их я уже раскрывал в описании архитектуры.

    Рисунок 7. Базы данных, созданные установкой NetWrix

    Первая — NetWrix_AD_Change_Reporter, именно она содержит все изменения Active Directory, которые были запротоколированы аудитом. Открыв список таблиц, я сразу заметил таблицу «dbo.changes» — таблицу с изменениями каталога — и выполнил запрос «Select * from dbo.changes». Но таблица оказалась пустой, и это не случайно.

    Опять же повторюсь, NetWrix AD Change Reporter забирает данные с контроллера домена не сразу, а раз в 10 минут, что определено задачей в планировщике Windows. Ждать 10 минут не хотелось, а поэтому задачу я запустил руками из планировщика. Хотя есть и еще один способ — в консоли управления стать на управляемый домен (Ветка Managed Object) и в правой части оснастки нажать «Run». Задача выполнялась порядка 2 минут и сразу после выполнения запрос «Select * from dbo.changes» начал возвращать результат. Таблица достаточно простая, например столбец «What» хранит тип действия, а точнее его код. (1- Создать, 2- Удалить, 3 — Переименовать)

    Рисунок 7. Выполнение запроса SQL после отработки задачи сбора изменений (NetWrix Management Console — Active Directory Change Reporter — ).

    T-SQL хоть и удобный инструмент, но все же для ежедневной работы хочется просматривать отчеты без использования языка запросов. В консоли управления NetWrix для целей просмотра отчетов предназначена специальная ветка с уже пред-настроенными отчетами.

    Рисунок 8. Просмотр отчета о созданных организационных подразделениях через Management Console.

    Выбирая один из отчетов (в моем случае «OU Created») вы инициируете подключение к компоненту SQL Reporting Services, который строит текущий отчет. При построении отчета доступна его настройка по автору изменений, месте изменения и объекту, что приводит к минимизации и выводу на экран только тех записей, которые интересуют администратора. Про печатные формы, которые я воспринимаю, как само собой разумеющееся говорить не стоит, они есть.


    Следующее вполне логичное желание — получать данный отчет по электронной почте, и желательно регулярно. В каждом отчете, еще до его генерации, есть кнопка «Subscribe», или, в переводе, подписка.

    Рисунок 9. Создание подписки на отчет.

    Подписка — это возможность получать отчет по почте через определенный промежуток времени. Создавая подписку, вы указываете:

    1. Имя шаблона отчета.
    2. Адрес получателя отчета.
    3. Формат отчета. (PDF или XLS)
    4. Что включать в отчет. (Кто? Когда? Где?)
    5. Расписание доставки. Можно выбрать доставку ежедневно, еженедельно или ежемесячно.

    После того, как подписка создана, ее можно удалить и поменять ее параметры. Все созданные подписки отображаются в консоли управления в блоке «Subscription». Стоит отметить, что из этого блока их можно и создавать, т.е не обязательно выходить на мастер создания подписки непосредственно из самого шаблона отчета.

    Примечание: В одном из случаев я использовал SQL сервер, установленный самостоятельно и предварительно (а не мастером настройки ПО). В момент создания подписки я получил сообщение о недоступности шаблонов отчетов, но при этом ручное формирование отрабатывало. Для решения этой проблемы необходимо в консоли управления NetWrix зайти на уровень «Advanced Reports» и выполнить команду «Upload» для погрузки шаблонов на SQL Reporting Server.

    Рисунок 10. Доступ к подпискам через ветку оснастки «Subscription».

    Для того, что бы проверить отчет, ждать 3 часов ночи (время по умолчанию) очень не хотелось, а поэтому я начал искать в интерфейсе возможности обходных маневров. Как оказалось, если выбрать созданную подписку, то в ее параметрах на закладке «Schedule» есть кнопка «Run now». Если за время после создания подписки ничего не менялось, то письма с отчетом ждать не стоит, изначально пустые отчеты не шлются.

    Рисунок 11. Содержание отчета о создании новых OU.

    Механизм подписок реализован внутри самой программы, поэтому нет смысла искать задачи в Планировщике. В текущей версии подписка может автоматически отослать отчет только раз в день (руками хоть 10 раз), по заверению разработчика в ближайших версиях это ограничение будет снято.

    При установке в «Планировщике заданий Windows» было создано две задачи, о предназначении первой (Сбор информации с журналов и отправка в SQL) уже известно. Но есть еще одна, запускаемая в три часа ночи. Имя у нее простое – NetWrix Management Console, и при выполнении руками отработка происходит буквально за несколько секунд. Вы уже знаете, что компания NetWrix выпускает большое число продуктов, часть которых может быть интегрирована в NetWrix Enterprise Management Console, например, File Server Change Reporter. Эти продукты основаны на «Планировщике заданий». Так вот, задача NetWrix Management Console используется как вспомогательная для выполнения по расписанию функции дополнительных решений. И хоть непосредственно к настройке эта информация отношения не имеет, все же администратор должен знать, что и для чего запускается на его сервере.

    Продолжаем освоение, всегда существует список событий, о которых хотелось бы узнать как можно раньше. (девальвация национальной валюты, изменение членства в группы доменных администраторов может послужить примером такого события)

    Для решения этой проблемы в ADCR существуют Real Time Alerts или Мгновенные оповещения, которые в случае определенных действий с каталогом произведут отправку администратору информации о происшествии.

    Рисунок 12. Настройка Real Time Alerts

    Изначально таких оповещений три, а именно «Изменение членства административных групп», «Изменение любых объектов» и «Изменения конфигурации домена». Из трех включена только одна, «Изменение членства административных групп». Не буду кривить душой и скажу, что это не совсем моментальные оповещения, действия должно произойти, после чего первый же запуск NetWrix Management Console — Active Directory Change Reporter — приведет к информированию о произошедшем действии, т.е. между временем действия и получением письма может пройти до 10 минут.

    Для того, чтобы было понятна реальная эффективность таких средств, расскажу одну реальную историю, которая произошла в филиале довольно крупной организации. Все объекты этого филиала находились в отдельном организационном подразделении Active Directory и полномочия на создание, удаление объектов были делегированы двум местным администраторам. Прав администратора домена они естественно не имели. Дежурили специалисты по очереди и одновременно в офисе не появлялись. Все было замечательно до одного момента, когда коллеги крупно поссорились между собой и разговаривать перестали. Вроде как и это не смертельно, но в смену первого администратора пропадает несколько учетных записей весьма важных пользователей филиала. Естественно, это приводит к крупному скандалу участником, которого является администратор, работавший в тот день. И хоть он «рвет на груди рубаху», что это не его работа, отсутствие аудита — (а он там был отключен по причине регулярного переполнения журнала Безопасность на контроллерах домена и весьма затрудняющих восприятие 16 событий в журнале на каждый «чих» — жизнь не упрощает ) не позволило проверить, кому стоит сказать «спасибо» за эту выходку. Немного сгладила ситуацию информация уже в других логах о том, что второй администратор в этот день использовал VPN подключение к корпоративной сети. А поскольку внятно объяснить, зачем ему это понадобилось, он не мог, то и основные претензии с первого сотрудника были сняты, а учетные записи восстановлены. И хотя все в итоге решилось, стоило это серьезных нервов большому количеству людей.

    Как бы решилась эта проблема, если бы в этой организации был установлен Active Dirctory Change Reporter:

      Администратор центрально офиса создал бы Real Time Alert, оповещающую заинтересованных специалистов о создании и удалении объектов в организационном подразделении Самара.

    Рисунок 13. Выбор действий, при которых сработает оповещение.

  • Злобный администратор выполнил бы удаление объектов.
  • Через 10 минут у центральных админов на столе лежал бы отчет следующего вида, говорящий о том, что в 1:42 дня администратором с логином «BAD» была удалена учетная запись пользователя «Samara Boss».

    Рисунок 14. Пришедшее письмо с оповещением.

  • К этой информации бы приложили данные о подключении в это время через VPN зловредного администратора, передали руководству, и закончилось бы все счастливо, а именно увольнением по статье непорядочного специалиста. И прошло бы это все без криков, угроз и нервов порядочных людей.
  • Подводим итоги:

    Если говорить о моем субъективном мнении – решение более чем понравилось. Первое, что стоит отметить, это простота развертывания; при условии, что до этого я не имел опыта работы с ним, процесс настройки и проверки функционала занял от силы часа три с перерывами на чтение документации. Была небольшая проблема с отсылкой отчетов на Exchange, но благодаря техподдержке, она решилась достаточно быстро, установкой обновления. В остальном полет штатный, согласно подробной документации.

    Второй и самый главный плюс — это удобство, можно смело забывать о журнале безопасность на контроллерах домена и о тысячах записей для анализа. Только то, что нужно, и в хорошем читаемом виде.

    Вы можете вообще не настраивать и не подписываться на всевозможные отчеты, но все равно ежедневно получите свой «Summary Report», сводку об изменениях каталога за день. И в ряде ситуаций этого вполне достаточно.

    Рисунок 15. Ежедневный итоговый отчет (Summary Report) сообщает, что все спокойно, объекты не менялись.

    Вместе с ADCR поставляется средство восстановления удаленных или измененных объектов и атрибутов — Active Directory Object Restore Wizard. И хотя восстановление AD — немного другое направление, все же удобный и эффективный мастер не будет лишним инструментом администратора.

    Следующий плюс скорее для руководства – стоимость. По предварительным прикидкам получается дешевле решений Quest и Script Logic.
    А если к аудиту Active Directory добавить возможность аудита Exchange, и Групповых политик, виртуальной среды, и SharePoint, и SQL, и файловых серверов, конфигурации физических машин (одна простая Management Console для всех направлений, входящих в пакет NetWrix Change Reporter Suite) то получается удобное решение, закрывающее тыл ИТ-специалистов сразу по основным уязвимым точкам.

    Скачать программу можно на сайте разработчика.

    Подписывайтесь на каналы «SecurityLab» в Telegram и Яндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

    Iis настройка аудита и мониторинг

    Аудит системы — один из важнейших аспектов системного администрирования, аудит безопасности является неплохим дополнением, например ты задавался вопросом, что и когда происходит с файлом shadow или passwd, когда он изменяется и т.п.? Такой мониторинг можно осуществить при помощи auditd, далее кратко расскажу о том, как установить audit в CentOS, настроить мониторинг изменений passwd и shadows.

    Установка и настройка Auditd

    По умолчанию размер файла лога auditd составляет 8 мегабайт, ротироваться будут 5 файлов, эти параметры можно изменить в файле конфигурации:

    После изменений файла конфигурации необходимо перезапустить сервис:

    Проверить набор правил (по умолчанию их нет):

    Создание правил Auditd

    Правила аудита папок / файлов имеют следующий формат:

    • путь — полный путь до аудируемого файла / папки
    • разрешения — указываются в виде комбинаций read, write, xecute
    • ключ — используется для более удобной фильтрации логов в дальнейшем

    Правила необходимо добавлять в файл — /etc/audit/rules.d/audit.rules, в нашем случае это будут правила:

    После добавления правил, сервис auditd необходимо перезапустить:

    Снова смотрим используемые правила:

    Временные правила можно запускать командой:

    Работа с логом аудита

    Для примера я создал пользователя и изменил ему пароль, в логах появилась об этом информация с указанными ключами key=»shadow» и key=»passwd», по ключу можно грепать логи например так:

    Где можно увидеть, что пользователь с u >

    Логи можно читать используя специальную команду, которая выдает в читабельном виде содержимое лога:

    Так-же можно создавать отчеты, где можно посмотреть количество срабатываний по ключам:

    Или несколько более детально:

    Можно посмотреть к примеру события входа в систему, например за последние сутки:

    Немного о визуализации

    Скрипты которые понадобятся:

    Так-же понадобится graphviz:

    Разрешаем исполнение скриптов:

    Теперь смотрим кто у нас изменял файлы:

    В итоге будет сгенерирован архив gr.ps.gz с PostScript диаграммой:

    Интересные примеры по построению графиков можно посмотреть на странице Audit Data Visualization

    How to Monitor Microsoft IIS

    By Nassos Katsaounis, of Server Density.
    Published on the 21st July, 2020.

    Internet Information Services (IIS) serves no less than a third of all websites out there. With rich features, good performance, and major security improvements in the last few incarnations, opting for IIS might come naturally, especially when you need to host your website under Windows.

    As with any business critical app, running IIS without consistent and targeted monitoring, is an accident waiting to happen. Here is how we monitor IIS here at Server Density.

    Monitoring IIS, and any web server, involves two types of counters:

    • System-related: Memory, Processor, Disk performance, et cetera
    • Web server counters: Web Service and Web Service Cache

    Let’s start with system-related counters.

    Monitor IIS: Memory

    A memory deficit can drastically reduce the performance of IIS. Here are some important counters you need to keep an eye on:

    • Available MB – This is the amount of physical memory immediately available for allocation to a process, or for system use. It is equal to the sum of memory assigned to the standby (cached), free and zero page lists. A healthy system should have more than 50% of its memory available.
    • Pages/sec – This is the rate at which pages are read from or written to disk to resolve hard page faults. This counter is a primary indicator of the kinds of faults that cause system-wide delays. It is the sum of Memory\Pages Input/sec and Memory\Pages Output/sec. Pages / sec tracks the numbers of pages, so you can compare it to other counts such as Memory\Page Faults/sec. It includes pages retrieved to satisfy faults in the file system cache (usually requested by applications) non-cached mapped memory files. If this number remains high (e.g. >500), in combination with low Available Mbytes then you could consider memory a possible bottleneck.

    CPU utilisation

    An obvious target of your monitoring plan is CPU utilisation. Here are two key metrics:

    • Processor\% Processor Time – This is the percentage of elapsed time the processor spends on a non-Idle thread. It is calculated by measuring the percentage of time the processor spends executing the idle thread and then subtracting that value from 100%. Each processor has an idle thread that consumes cycles when no other threads are ready to run. This counter is the primary indicator of processor activity and displays the average percentage of busy time observed during the sample interval. Here, values above 80-85% would probably raise some questions.
    • System\Processor Queue Length – This is the number of threads waiting for processor time when the server’s processors are busy servicing other threads. There is one single queue for processor time even on computers with multiple processors.

    The key here is to monitor those two counters together. As a rule of thumb, if queue length is consistently over 2 and % Processor Time remains high, then processors are a bottleneck.

    Disk & Network

    • Physical Disk\% Disk Time – this is the percentage of elapsed time that the selected disk drive was busy servicing read or write requests. Under normal conditions this counter should stay low.
    • Physical Disk\Avg. Disk Bytes/Transfer – This is the average number of bytes transferred to or from the disk during write or read operations. A higher value for this counter indicates an efficient disk.
    • Physical Disk\Avg. Disk Queue Length – This is the average number of read and write requests that were queued for the selected disk during the sample interval. As a general rule a value over 2 (per disk, i.e. per counter) for extended periods of time is undesirable.
    • Network Interface\Bytes Total/sec – This value is the rate at which bytes are sent and received over each network adapter, including framing characters. High values indicate a large number of successful transmissions.

    Web Service Cache

    The File Cache counters indicate whether you have enough memory for IIS:

    • File Cache Hits – Total number of successful lookups in the user-mode file cache since service startup. The preferred value depends on content. For example, for static content, the value should be high.
    • File Cache Hits % – The ratio of user-mode file cache hits to total cache requests (since service startup). A low counter value (combined with a low Kernel: URI Cache Hits % value) could possibly mean that you need to examine why your files are not being cached.
    • File Cache Misses – Total number of unsuccessful lookups in the user-mode file cache since service startup.
    • File Cache Flushes – The number of files removed from the user-mode cache since service startup.

    URI cache counters provide performance metrics regarding websites and web applications that might be running on your server.

    • URI Cache Flushes – Counts the number of URI cache flushes that have occurred since the service startup. Files are flushed if a response is taking longer than specified in the threshold or if a file was edited or modified.
    • URI Cache Hits – Counts the number of successful lookups in the URI cache since the service startup. A low value for this counter is a strong indication that requests are not finding cached responses.
    • URI Cache Hits % – The ratio of URI Cache Hits to total cache requests since service startup.
    • URI Cache Misses – Total number of unsuccessful lookups in the user-mode URI cache since service startup. You might want to investigate for issues if this value is high, in combination with a low URI Cache Hits value.

    This TechNet article delves deeper into Web Service cache counters.

    Web Service

    These counters provide important information about the number of users accessing the web service and the volume of data exchanged.

    • Bytes received/sec – This counter shows the rate that data is received by the Web service.
    • Bytes sent/sec – This is the rate that data is sent by the Web service.
    • Bytes total/sec – The sum of the two counters above. It indicates the total rate of bytes transferred by the Web service.
    • Connection attempts/sec: The rate that connections to the Web service are attempted.
    • Get Requests/sec – This is the rate of HTTP GET requests. High values indicate that your web server is overloaded.
    • Post Requests/sec – This is the rate HTTP POST requests. Again, high values suggest the need to take measures.

    • Current Connections – number of current connections to the Web service. This counter’s interpretation depends upon many variables, such as the type of requests (ISAPI, CGI, static HTML, etc.), CPU utilization, et cetera. So you’d need to do some investigation to triage any underlying issues.

    In addition to these counters, if you are developing web applications with ASP.NET there are some useful ASP.NET Performance Counters you should keep track of, to ensure smooth running of your applications and server.

    For a more detailed overview of Web Service counters check out this TechNet article.

    Windows Tools

    Windows OS comes equipped with some handy tools you can use out of the box.

    Performance Monitor

    One of the simplest ways to perform monitoring in Windows, Performance Monitor is a real-time graphical monitoring tool that ships with Windows and provides steady measurements for all sorts of operating systems and web service counters.

    Performance monitor offers numerous options related to monitoring performance, such as display of metrics in graphs or reports, defining alerts or exporting data and allowing for extensive configuration of settings.

    For more information on how to use Windows Performance monitor visit TechNet’s guide.

    Event Viewer

    IIS events show up in the Application Log of the Event Viewer. They can give you a detailed first look at a problem. When the following keywords appear in column “Source” of the Application Log, they might indicate issues possibly related to IIS activity:

    NNTP Service (NNTPSVC), WWW Service (W3SVC), FTP Service (MSFTPSVC), SMTP Service (SMTP SVC), Active Server Pages, Microsoft Distributed Transaction Control (MSDTC), Certificate Services related to SSL (CERTSVC).

    For more information on viewing IIS Events in the Event Viewer check out this MSDN article. As an alternative to Event Viewer, you can use one of the many 3rd party log parsing tools like Visual Log Parser, Elastic stack, Stackify, and Splunk.

    Task Manager

    The Windows Task Manager offers a quick overview of CPU and memory usage related to IIS services inetinfo.exe and (especially) w3wp.exe. By selecting some useful columns to display, such as Working Set Delta for memory you can see if there is a memory leak somewhere, degrading your web server’s performance. For more information on how to use Task Manager see here (Windows 7) or here (Windows 8/10).

    IIS starts a new Working Process (w3wp.exe) for each Application Pool setup. For a more detailed picture, however, you will need to monitor the Worker Processes in IIS Manager – read on.

    IIS Manager and IIS 7 improvements

    One of the most important tools related to IIS is IIS Manager, a graphical user interface enabled application that ships with Windows. Although IIS Manager is primarily responsible for configuring and managing IIS operation, the introduction of IIS 7 saw two major advances in diagnosing and troubleshooting web sites and applications.

    The first refers to real-time state information about application pools, worker processes, sites, application domains, and running requests. The second involves detailed trace events that track a request throughout the complete request-and-response process.

    Thus, Health and Diagnostics, now available within IIS Manager, include the following features:

    • Failed Request Tracing Rules – Failed request tracing rules let you capture an XML-formatted log of a problem when it occurs, so that you don’t necessarily have to reproduce the problem before you start troubleshooting.
    • Logging – By configuring IIS to log site visits, when users access your server IIS logs the information. The logs provide valuable information that you can use to identify any unauthorized attempts to compromise your Web server.
    • Worker Processes – The worker processes feature lets you monitor sites, application pools, server worker processes, application domains, and requests.

    Third party tools

    If you are looking for richer features, reports and analytics, you will probably want to check out 3rd party tools such as Site24x7, Lean Sentry, Solarwinds, AppDynamics, and Nagios Log Server, that offer a wealth of features and free trials to start with.

    At this point, we might opt for a little self-praise, as Server Density has some monitoring power reserved for IIS too. Make sure to check out our elastic graphs and powerful analytics, and register for a free trial.

    Summary

    Whether your website serves thousands of visitors or a handful of internal users, monitoring your web server’s activity is key. Windows provides several metrics and built-in tools to keep an eye on availability, performance and response times, but you should also try one of the numerous 3rd party tools.

    So what about you? What are your thoughts on IIS monitoring?

    Настройка параметров аудита для семейства веб-сайтов

    Примечание: Мы стараемся как можно оперативнее обеспечивать вас актуальными справочными материалами на вашем языке. Эта страница переведена автоматически, поэтому ее текст может содержать неточности и грамматические ошибки. Для нас важно, чтобы эта статья была вам полезна. Просим вас уделить пару секунд и сообщить, помогла ли она вам, с помощью кнопок внизу страницы. Для удобства также приводим ссылку на оригинал (на английском языке) .

    Можно использовать функцию аудита Microsoft SharePoint Server 2010 отслеживать, кто из пользователей выравнивание какие действия по левому краю сайты, типы контента, списки, библиотеки, список элементов и файлов библиотеки семейств веб-сайтов. Знание того, кто выполнил текстом поля которой сведения о важных для многих бизнес-требований, такие как управление записями и соответствии нормам.

    Администратор семейства веб-сайтов может получить журнал действий, выполненных определенным пользователем, либо просмотреть журнал событий, произошедших за определенный промежуток времени. Например, можно определить, какие пользователи и когда изменяли конкретный документ.

    Ниже — страница » Настройка параметров аудита. Управление размером журнала аудита в разделе Усечение журнала аудита и указать, какие события для аудита в разделах документы и элементы и списки, библиотеки и сайты.

    События, выберите для аудита будут записываться в отчеты аудита, основанные на Microsoft Excel 2010 и доступны со страницы отчетов по журналу аудита. Можно также создать пользовательский отчет, который включает ряд этих событий через заданный период времени, в рамках определенной области семейства веб-сайтов, или отфильтрованные для отдельных пользователей. Нельзя изменять события, когда они вошли, но администраторы семейства веб-сайтов можно удалить элементы из журнала аудита и настроить автоматическое сжатие данных в журнале аудита.

    Сведения о событиях аудита

    Журнал аудита содержит перечисленные ниже сведения о событиях, к которым применяется аудит.

    Сайт, на котором возникло событие.

    Код, тип, имя и расположение элемента.

    Идентификатор пользователя, связанный с событием.

    Тип, дата, время и источник события.

    Действие, произведенное с элементом.

    Ниже приведен пример данных в отчете по журналу аудита удалений. Этот отчет содержит сведения о том, кто удалял и восстанавливал данные в семействе веб-сайтов. Для фильтрации, сортировки и анализа этих данных можно использовать функции Excel.

    Примечание: Аудит сведения об изменении элемента, но не сведения о изменения. Таким образом он не должен считаться как управление версиями документов или средства архивации.

    Усечение журналов аудита

    Если какое-либо событие (например, удаление и восстановление) выбрано для аудита в семействе веб-сайтов, аудит будет выполняться для каждого элемента в семействе веб-сайтов каждый раз, когда будет происходить это событие. Так как события аудита могут происходить очень часто, журнал аудита может иметь большой размер. В результате жесткий диск может заполниться, что повлияет на производительность и другие показатели работы семейства веб-сайтов.

    Важно: Чтобы предотвратить заполнение жесткого диска данными журнала аудита и потенциальное снижение производительности семейства веб-сайтов, рекомендуется разрешить усечение журналов аудита для семейств веб-сайтов с большими объемами аудита.

    При управлении размером журнала аудита есть возможность настроить его автоматическое усечение и (необязательно) архивирование его текущих данных в библиотеке документов до их усечения. Расписание усечения журнала аудита настраивается администратором сервера в центре администрирования. По умолчанию усечение выполняется в конце каждого месяца.

    Настройка усечения журнала аудита

    В меню Действия сайта пункт Параметры сайта.

    Если текущий сайт не является корневым в семействе веб-сайтов, в разделе Администрирование семейства сайтов щелкните ссылку Переход к параметрам сайта верхнего уровня.

    Примечание: При отсутствии необходимых разрешений раздел «Администрирование семейства сайтов» будет недоступен.

    На странице «Параметры сайта» в разделе Администрирование семейства сайтов выберите пункт Параметры аудита семейства сайтов.

    На странице «Настройка параметров аудита» в разделе Усечение журнала аудита выберите для параметра Усекать журнал аудита для этого сайта автоматически? значение Да.

    При желании можно задать число дней для хранения данных в журнале аудита.

    Примечание: Мы рекомендуем не установлена этот параметр, если не бизнеса диктовки в противном случае. Если этот параметр не настроен он будет использовать параметр фермы, который находится в конце месяца по умолчанию. Потребности бизнеса объясняется, что в вашей организации есть требование Ведение журнал аудита в формате достичь для другой период времени. Полученные формат — отчета по журналу аудита.

    При необходимости можно указать библиотеку документов для сохранения журналов аудита перед их усечением. Этот параметр следует задавать, если после усечения журналов аудита должна оставаться возможность получать доступ к их данным с помощью отчетов по этим журналам.

    Настройка событий для аудита

    В меню Действия сайта пункт Параметры сайта.

    Если текущий сайт не является корневым в семействе веб-сайтов, в разделе Администрирование семейства сайтов щелкните ссылку Переход к параметрам сайта верхнего уровня.

    Примечание: При отсутствии необходимых разрешений раздел «Администрирование семейства сайтов» будет недоступен.

    На странице «Параметры сайта» в разделе Администрирование семейства сайтов выберите пункт Параметры аудита семейства сайтов.

    На странице «Настройка параметров аудита» в разделах Документы и элементы и Списки, библиотеки и сайты выберите события, для которых нужно выполнять аудит, и нажмите кнопку ОК.

    Выбор событий для аудита зависит от конкретных потребностей организации. Например, соблюдение регулятивных норм обычно определяет требования, указывающие на необходимость аудита отдельных событий. Рекомендуется выполнять аудит событий только в необходимом объеме. Излишний объем аудита может повлиять на производительность и другие параметры работы семейства веб-сайтов.

    При использовании SharePoint Online для Microsoft Office 365 для предприятий, аудит для открытия или загрузка документов, просмотр элементов в списках или Просмотр свойств элементов недоступен из-за проблем хранения данных и производительности.

    Рекомендуется выбирать только Открытие и загрузка документов, просмотр элементов в списках или Просмотр свойств элементов для сайтов SharePoint Server 2010 при крайней необходимости. Этот параметр, вероятнее всего, создавать большое количество событий, которые будут потенциально снижения производительности и других аспектов семейства веб-сайтов.

    Iis настройка аудита и мониторинг

    Эту статью не стоит рассматривать как полноценное руководство по безопасности при настройке Internet Information Services версии 7.x — для того уже существует несколько талмудов, которые описывают предмет нашего разговора во всей его красе. Но не у всякого администратора имеется возможность досконально изучить эти книги, а конфигурировать веб-сервер надо уже сейчас. Поэтому хочется опубликовать краткий обзор мер безопасности, которые необходимо иметь в виду, работая с IIS , некий чек- лист что ли, по которому можно быстро пробежаться, сравнить с требованиями своего проекта и корпоративными гайдами по информационной безопасности.

    Обозначение 7.x означает, что здесь собран материал для обеих версий продукта: IIS 7 , поставляемый с Windows Server 2008 и Windows Vista , и IIS 7.5 , который Вы можете найти в «коробке» от Windows Server 2008 R2 и Windows 7 .

    Все меры, представленные в данной подборке, ни в коем случае не являются ОБЯЗАТЕЛЬНЫМИ. Более того, они могут даже противоречить системным требованиям Ваших веб-приложений. Решение о принятии той или иной меры все таки необходимо выносить в условиях конкретной ситуации. Здесь меры будут носить лишь ОПИСАТЕЛЬНЫЙ характер, чтобы администратор знал — вот здесь еще можно подкрутить ;)

    Все ответы

    Основы безопасности IIS

    Административные меры безопасности IIS

    Максимальное усиление безопасности IIS

    Кратко об Internet Information Services 7.x

    Internet Information Services 7.x — компонент веб-сервиса компании Microsoft для операционной системы Windows Server 2008 (R2) .

    На момент написания данного материала IIS 7.5 является последним в длинной линейке версий IIS . Начиная с версии 6.0, Microsoft в цикле разработки данного продукта решила сосредоточить особое внимание на безопасности и непрерывно следует этому подходу до сих пор. В результате IIS 7.x поставляется с большим количеством изменений по сравнению со своим предшественником и имеет огромное количество новых возможностей, которыми только надо умело пользоваться. IIS 7.x был полностью переработан и сейчас базируется на новой модульной архитектуре. Это означает, что вместо монолитного «черного ящика», который устанавливается по умолчанию и имеет лишь пару дополнительных возможностей, IIS 7.x теперь имеет около 40 отдельных компонентов — так называемых модулей. По умолчанию устанавливаются только самые основные модули; дополнительные же могут быть легко добавлены в случае необходимости. Это помогает значительно уменьшить площадь атаки на сервер, просто потому, что ненужные средства отсутствуют в системе. Модульная архитектура имеет множество преимуществ, и в части безопасности, и в администрировании, и в производительности веб-сервера. Кроме того, IIS 7.x не ограничивает Вас набором предразработанных модулей — пишите свои, если хотите заменить существующие, или есть требование расширить функциональность веб-сервера.

    AUDITPOL – управление политиками аудита Windows.

    Команда AUDUTPOL используется для управления политиками аудита в операционных системах Windows 7 и старше. Аудит — это процесс отслеживания действий пользователей и фиксации происходящих событий с записью в журнал безопасности операционной системы (ОС). В этот журнал записываются попытки входа в систему, сведения о выполнении определенных действий и результатах их выполнения, а также события, связанные с созданием, открытием, изменением и уничтожением определенных объектов ОС. Политики аудита используются для определения четких правил использования ресурсов, для выявления узких мест в системе безопасности, для контроля действий пользователей а также выявления атак на сеть и локальные ресурсы организации.

    Для управления политиками аудита в графической среде пользователя применяется редактор локальной групповой политики ( gpedit.msc ). Для редактирования политик аудита используется раздел Конфигурация компьютера — Конфигурация Windows — Параметры безопасности — , и в значительной степени — Конфигурация компьютера — Конфигурация Windows — Параметры безопасности — — Конфигурация расширенной политики аудита — Политика аудита системы – Объект локальной групповой политикию.

    По умолчанию, параметры политики аудита не заданы – имеют состояние ”Нет аудита” (или ”Не определено”).

    Утилита командой строки auditpol.exe является стандартным средством управления политиками аудита в операционных системах Windows 7 и более поздних. Должна выполняться в контексте учетной записи администратора системы (”Запустить от имени Администратора”). Формат командной строки:

    При каждом запуске можно указывать только одну команду.

    /get — Отображение текущей политики аудита.

    /set — Установка политики аудита.

    /list — Отображение элементов политики, которые можно выбрать.

    /backup — Сохранение политики аудита в файл.

    /restore — Восстановление политики аудита из файла.

    /clear — Очистка политики аудита.

    /remove — Удаление политики аудита для каждого из пользователей учетной записи.

    /resourceSACL — Настройка системных списков управления доступом для глобальных ресурсов. System Access-Control List (SACL) — системный список управления доступом . SACL управляется системой и используется для обеспечения аудита попыток доступа к объектам файловой системы, определяя условия при которых генерируется события безопасности. В операционных системах Windows Vista и более поздних, SACL используется еще и для реализации механизма защиты системы с использованием уровней целостности ( Integrity Level, IL).

    Для получения сведений о соответствующей команде используется синтаксис:

    Примеры использования утилиты Auditpol.exe

    Порядок использования утилиты auditpol.exe практически ничем не отличается для различных версий Windows, начиная с Windows 7. Рассматриваемые ниже примеры приведены для случая применения программы auditpol.exe в среде ОС Windows 10. В редких случаях, некоторые параметры политики аудита, рассматриваемые в примерах, могут отсутствовать при выполнении команды в среде ОС Windows 7-8.1. Для работы с утилитой auditpol.exe требуется повышение привилегий пользователя через ”Запуск от имени администратора”

    Сброс в исходное состояние политик аудита.

    При использовании параметра командной строки /clear выполняется удаление политики аудита по пользователям для всех пользователей, сброс политики аудита системы для всех подкатегорий и отключение всех параметров аудита.

    Формат командной строки:

    AuditPol /clear [/y]

    /y — Запрос на подтверждение очистки всех политик аудита не отображается.

    auditpol /clear /y — выполнить сброс политик аудита без отображения запроса на подтверждение данной операции.

    Сохранение и восстановление политик аудита.

    Для сохранения и восстановления текущих политик аудита используются команды:

    AuditPol /backup /file:имя_файла — сохранить параметры политики аудита системы, и параметры аудита по пользователям в файл с указанным именем. Выходные данные будут записаны в формате CSV.

    AuditPol /restore /file:имя_файла — восстановить параметры политики аудита системы, и параметры аудита по пользователям из файла с указанным именем.

    auditpol /backup /file:c:\auditpolicy.csv — сохранить текущие параметры политики аудита в файл c:\auditpolicy.csv . О результате выполнения команды на экране консоли отображается соответствующее сообщение (ошибка или успешное выполнение).

    auditpol /restore /file:c:\auditpolicy.csv — восстановить текущие параметры политики аудита из файла c:\auditpolicy.csv . О результате выполнения команды на экране консоли отображается соответствующее сообщение (ошибка или успешное выполнение).

    Получение справочно-информационных данных для управления политиками аудита.

    Для вывода списка категорий или подкатегорий политики аудита, либо списка пользователей, для которых определена политика аудита по пользователям, используется команда /list . Подсказку по использованию можно отобразить при выполнении команды:

    Формат командной строки при использовании команды /list

    AuditPol /list [/user|/category|/subcategory[: | |*] [/v] [/r]

    Параметры командной строки:

    /user — Вывод списка всех пользователей, для которых определена политика аудита по пользователям. При использовании с параметром /v также отображается SID пользователя.

    /category — Отображение распознанных системой имен категорий. Если используется с параметром /v, также отображается GUID.

    /subcategory — Отображение распознанных системой имен подкатегорий для указанной категории. Если используется параметр /v, также отображаются GUID подкатегорий.

    auditpol /list /user — отобразить список пользователей, для которых определена политика аудита.

    auditpol /list /category — отобразить список имен категорий, допустимых в данной системе. Пример отображаемой информации для русскоязычной Windows 10:

    Категория или подкатегория:

    Вход учетной записи

    Доступ к объектам

    Доступ к службе каталогов (DS)

    auditpol /list /category /v — то же, что и в предыдущем примере, но с отображением глобальных уникальных идентификаторов (GUID) для каждой категории. В командах утилиты auditpol.exe можно использовать как наименования категорий, так и значения их идентификаторов GUID.

    auditpol /list /subcategory:Вход/Выход — отобразить список подкатегорий для категории Вход/Выход . Пример отображаемой информации для Windows 10:

    Категория или подкатегория

    Выход из системы

    Блокировка учетной записи

    Основной режим IPsec

    Быстрый режим IPsec

    Расширенный режим IPsec

    Другие события входа и выхода

    Сервер сетевых политик

    Заявки пользователей или устройств на доступ


    Членство в группах

    auditpol /list /subcategory:”Доступ к объектам”,”Доступ к службе каталогов (DS)” — то же, что и в предыдущем примере, но указано более одной подкатегории через запятую. Если в имени категории имеется хотя бы один пробел, оно заключается в двойные кавычки.

    auditpol /list /subcategory:Вход/Выход, <6997984a-797a-11d9-bed3-505054503030>— то же, что и в предыдущем примере, но вместо имени категории используется соответствующий GUID.

    auditpol /list /subcategory:Вход/Выход, <6997984a-797a-11d9-bed3-505054503030>/v — то же, что и в предыдущем примере, но кроме имен подкатегорий отображаются их идентификаторы GUID.

    Отображение параметров текущей политики аудита.

    Формат командной строки:

    AuditPol /get [/user[: | ]] [/category:*| | [,: | . ]] [/subcategory: | [,: | . ]] [/option: ] [/sd] [/r]

    Параметры командной строки:

    /user — Субъект безопасности, для которого опрашивается политика аудита по пользователям. Необходимо указать либо параметр /category, либо /subcategory. Пользователь может быть задан с помощью SID или по имени. Если не задана учетная запись пользователя, опрашивается политика аудита системы.

    /category — Одна или несколько категорий аудита, заданные с помощью GUID или по имени. Чтобы установить опрос всех категорий аудита, используйте звездочку («*»).

    /subcategory — Одна или несколько подкатегорий аудита, заданные с помощью GUID или по имени.

    /sd — Извлечение дескриптора безопасности, используемого для делегирования доступа к политике аудита.

    /option — Извлечение существующей политики для CrashOnAuditFail, FullPrivilegeAuditing, AuditBaseObjects или AuditBaseDirectories.

    /r — Отображение результатов в формате отчета (CSV) .

    auditpol /get /category:* — отобразить параметры политики аудита для всех категорий и пользователей. Обычно, данная команда используется для получения списка установленных и настроенных политик аудита, поэтому системные администраторы часто используют ее в цепочке с командой поиска текста find : auditpol /get /category:* | find /v «Без аудита» — отобразить настроенные категории политик аудита, т.е. не содержащие ( find /v ) строку Без аудита .

    auditpol /get /category:* | find «Сбой» — отобразить список категорий, настроенных на аудит отказов в доступе. Строка ”Сбой” соответствует значению ”Отказ” в редакторе групповых политик gpedit.msc

    auditpol /get /category:* | find «Успех» — отобразить список категорий, настроенных на аудит успехов.

    auditpol /get /user:win10\user /Category:»Система»,»Вход/Выход» — отобразить состояние политики аудита для пользователя user домена win10 для категорий Система и Вход/Выход

    auditpol /get /Category:»Система» — отобразить состояние системной политики аудита для категории Система . Пример отображаемой информации:

    Политика аудита системы
    Категория или подкатегория
    Система
    Расширение системы безопасности
    Целостность системы
    Драйвер IPSEC
    Другие системные события
    Изменение состояния безопасности
    Параметр

    Без аудита
    Успех и сбой
    Без аудита
    Успех и сбой
    Успех

    auditpol /get /Subcategory: <0cce9212-69ae-11d9-bed3-505054503030>/r — отобразить параметры политики аудита для подкатегории с указанным GUID (соответствует категории Система , подкатегории Целостность системы . Результат отображается в формате CSV (значения разделенные запятой). Если параметр /r не задан, то результат будет представлен в виде таблицы, как в предыдущем примере.

    auditpol /get /option:CrashOnAuditFail — отобразить значение параметра политики аудита CrashOnAuditFail . Данный параметр используется для гарантированного прекращения обслуживания пользователей при возникновении события переполнения журналов аудита.

    auditpol /get /user: /Category:»Система» – вместо имени пользователя используется соответствующий идентификатор GUID.

    auditpol /get /sd — отобразить дескриптор безопасности политики аудита. Пример отображаемой информации:

    Дескриптор безопасности политики аудита: D:(A;;DCSWRPDTRC;;;BA)(A;;DCSWRPDTRC;;;SY)

    Изменение параметров текущей политики аудита.

    Формат командной строки:

    AuditPol /set [/user[: | ][/include][/exclude]] [/category: | [,: | . ]] [/success: | ][/failure: | ] [/subcategory: | [,: | . ]] [/success: | ][/failure: | ] [/option: /value: | ]

    Параметры командной строки:

    /user — Субъект безопасности, для которого устанавливается политика аудита по пользователям, заданная параметром category или /subcategory. Необходимо задать либо категорию, либо подкатегорию с помощью SID или по имени.

    /include — Указывается вместе с параметром /user, означает, что политикой для данного пользователя создается аудит, даже если он не указан политикой аудита системы. Этот параметр используется по умолчанию и применяется автоматически, если ни параметр /include, ни параметр /exclude не указаны явно.

    /exclude — Указывается вместе с параметром /user, означает, что политикой для данного пользователя запрещается аудит, независимо от параметров политики аудита системы. Этот параметр не учитывается для членов локальной группы «Администраторы».

    /category — Одна или несколько категорий аудита, заданные с помощью GUID или по имени. Если пользователь не указан, устанавливается политика системы.

    /subcategory — Одна или несколько категорий аудита, заданные с помощью GUID или по имени. Если пользователь не указан, устанавливается политика системы.

    /success — Установка успешного аудита. Этот параметр используется по умолчанию и применяется автоматически, если ни параметр /success, ни /failure не указаны явно. Этот параметр следует использовать с параметром, разрешающим или запрещающим его.

    /failure — Установка неудачного аудита. Этот параметр следует использовать с параметром, разрешающим или запрещающим его.

    /option — Установка политики аудита для CrashOnAuditFail, FullPrivilegeAuditing, AuditBaseObjects или AuditBaseDirectories.

    /sd — Установка дескриптора безопасности, используемого для делегирования доступа к политике аудита. Дескриптор безопасности следует указывать с помощью SDDL. Дескриптору безопасности должен быть назначен список DACL.

    auditpol /set /subcategory:»Целостность системы» /failure:disable — установить системную политику аудита для подкатегории Целостность системы в состояние ”Успех”.

    auditpol /set /subcategory:»Целостность системы» — аналог предыдущей команды, но используется значение по умолчанию (”Успех”)

    auditpol /set /subcategory:»Целостность системы» /success:enable — также аналог предыдущих команд, но с использованием параметра success

    auditpol /set /subcategory: <0cce9212-69ae-11d9-bed3-505054503030>/failure:disable — аналог предыдущих команд, но подкатегория задана идентификатором GUID

    Для просмотра установленного значения политики можно воспользоваться командой auditpol /get /subcategory:»Целостность системы»

    auditpol /set /user:win10\user /subcategory:»Целостность системы» /success:enable — аналогично предыдущим командам, но политика определяется для пользователя user домена или компьютера win10

    auditpol /set /option:CrashOnAuditFail /value:enable — разрешить режим отказа обслуживания пользователей при переполнении журнала аудита. Если этот параметр задан, и произошло переполнение журнала безопасности, то система аварийно завершится стоп-ошибкой (”Синий экран смерти Windows”)

    STOP 0xC0000244 when security log full

    STOP 0xC0000244 — когда журнал безопасности полон

    auditpol /set /sd:D:(A;;DCSWRPDTRC;;;BA)(A;;DCSWRPDTRC;;;SY) — изменить дескриптор безопасности политики аудита.

    Аудит доступа к глобальным объектам.

    Формат командной строки:

    AuditPol /resourceSACL [/set /type: [/success] [/failure] /user: [/access: ] [/condition: ]] [/remove /type: user: /type: ]] [/clear [/type: ]] [/view [/user: ] [/type: ]]

    Параметры командной строки:

    /? — Выводит справку по команде.

    /set — Добавляет новую или обновляет существующую запись в системном списке управления доступом для указанного типа ресурса.

    /remove — Удаляет все записи для данного пользователя из списка аудита доступа к глобальным объектам, указанного типом ресурса.

    /clear — Удаляет все записи из списка аудита доступа к глобальным объектам для указанного типа ресурса.

    /view — Отображает список записей аудита доступа к глобальным объектам для указанного типа ресурса и пользователя. Пользователя указывать не обязательно.

    /type — Ресурс, для которого выполняется настройка аудита доступа к объектам. Поддерживаемые значения аргумента: File и Key (с учетом регистра).

    File — каталоги и файлы.
    Key — разделы реестра.

    /success — Задает аудит успехов.

    /failure — Задает аудит отказов.

    /user — Задает пользователя в одной из следующих форм:
    — имя_домена\учетная_запись (например, DOM\Administrators)
    — автономный_сервер\группа
    — учетная запись (см. API-интерфейс LookupAccountName)
    . Здесь x имеет десятичный формат, а весь
    ИД безопасности должен быть заключен в фигурные скобки.
    Например:

    Предупреждение. Если используется ИД безопасности, проверка существования учетной записи не выполняется.

    /access — Маска разрешения в одной из двух форм:

    Последовательность простых прав:

    права универсального доступа:

    GA — полный универсальный доступ
    GR — универсальный доступ на чтение
    GW — универсальный доступ на запись
    GX — универсальный доступ на выполнение

    права доступа к файлам:

    FA — полный доступ к файлу
    FR — доступ к файлу на чтение
    FW — доступ к файлу на запись
    FX — доступ к файлу на выполнение

    Права доступа к разделам реестра:

    KA — полный доступ к разделу
    KR — доступ к разделу на чтение
    KW — доступ к разделу на запись
    KX — доступ к разделу на выполнение

    Например: «/access:FRFW» — включение событий аудита для операция чтения и записи.

    Шестнадцатеричное значение, представляющее маску доступа (например, 0x1200a9). Это полезно при использовании битовых масок ресурсов, не входящих в стандарт SDDL. Если значение не задано, используется полный доступ.

    /condition — Добавление выражения на основе атрибутов, такого как:
    документ имеет конфиденциальность HBI («Высокая») — «(@Resource.Sensitivity == \»Высокая\»)»

    auditpol /resourceSACL /set /type:Key /user:MYDOMAIN\myuser /success — аудит успехов пользователя myuser домена MYDOMAIN при обращении к реестру системы.

    auditpol /resourceSACL /remove /type:File /user: — аудит успехов пользователя с указанным SID при обращении к файлам.

    auditpol /resourceSACL /set /type:File /user:everyone /success /failure /access:FRFW condition:»(@Resource.Sensitivity == \»Высокая\»)» — аудит успехов и отказов всех пользователей при обращению к файлам с высокой конфиденциальностью на чтение и запись.

    auditpol /resourceSACL /type:File /clear — удалить все записи из списка аудита доступа к глобальным объектам для файлов.

    auditpol /resourceSACL /type:Key /view — отобразить все записи аудита системного списка управления доступом для реестра.

    auditpol /resourceSACL /type:Key /view /user:win10\user — отобразить записи аудита обращений к реестру пользователя user домена win10

    Бесплатные утилиты от NetWrix для аудита и администрирования в домене Active Directory

    Netwrix — компания специализирующаяся на разработке, внедрении и сопровождении программного обеспечения которое помогает автоматизировать процессы управления корпоративной IT-инфраструктурой и решать множество задач. Предлагаю ознакомиться с бесплатными и полезными для администратора программами от этой компании.

    Active Directory Change Reporter

    NetWrix Active Directory Change Reporter предназначен для аудита Active Directory. Продукт отслеживает все сделанные в AD и групповых политиках изменения, генерирует отчеты и оповещения, отражающие информацию о том, КТО, ЧТО, КОГДА и В ЧЕМ изменил для всех изменений. Программа дает возможность настройки графика отправки отчетов. В отчетах отображаются добавления, удаления и изменения всех пользователей, групп, компьютеров, подразделений, членств в группах, прав доступа, сайтов Active Directory, объектов и конфигураций групповых политик, схемы AD и всех остальных типов объектов.
    Относительно каждого изменения фиксируется значение «до» и «после» для каждого из измененных параметров – например, предыдущее имя недавно переименованного пользователя или состояние прав доступа к OU до их изменения. Продукт позволяет создавать отчеты о состоянии службы на конкретный момент на базе «снимков» (snapshots) AD на текущую дату (например, «Все члены группы администраторов домена») или конкретный момент времени создания «снимка» (например, «Все члены группы администраторов домена 31 декабря 2011 года»).

    Скачать: netwrix.com/ru/active_directory_auditing.html

    NetWrix Inactive Users Tracker

    Inactive Users Tracker автоматизирует управление неактивными учетными записями пользователей. Периодически проверяя все учетные записи в указанных доменах, программа сообщает обо всех учетных записях, бездействующих в течение определенного количества дней.

    Основные функции:

    • Проверка всех пользователей и предоставление отчетов о неактивных в течение заданного количества дней учетных записях.
    • Автоматическое отключение неактивных учетных записей пользователей путем блокировки, установки случайного пароля, перемещения в другое подразделение или полного удаления таких учетных записей.
    • Отправка уведомлений менеджерам о неактивных учетных записях подчиненных.
    • Возможность отправки отчетов ИТ-аудиторам в соответствии с нормативными документами (SOX, HIPAA, SAS-70 и пр.).

    Чтобы определить отсутствие активности, для каждой пользовательской учетной записи инструмент проверяет атрибуты «lastLogon» и «lastLogonTimestamp», отображающие последнюю аутентификацию пользователя определенным контроллером домена. AD не копирует эти атрибуты, поэтому для каждого контроллера домена значения будут разными. Inactive Users Tracker корректно решает эту проблему, отправляя запросы всем контроллерам в домене и ориентируясь на самое позднее время входа в систему («true last logon»).

    NetWrix Network Infrastructure Change Reporter

    Network Infrastructure Change Reporter — инструмент для аудита и составления отчетов по сетевым устройствам, отслеживающий изменения для всех сетевых устройств и их параметров. Решение автоматически находит новые устройства в заданных IP-диапазонах и контролирует изменения в их настройках — модификации в таблицах IP-маршрутов, правилах межсетевых экранов, настройках безопасности, параметрах протоколов. С помощью решения Network Configuration Change Reporter сетевые администраторы могут автоматически фиксировать все до единого изменения в управляемых устройствах, а также распознать неуправляемые и неконтролируемые устройства. Данные аудита изменений могут использоваться для анализа безопасности, решения проблем и аудита соответствия требованиям информационной безопасности.

    Скачать: netwrix.com/ru/network_device_audit.html

    NetWrix Group Policy Change Reporter

    NetWrix Group Policy Change Reporter делает предельно простой и ясной задачу аудита изменений групповых политик. Программа ежедневно отправляет отчеты с детальной информацией по каждому изменению в конфигурации групповых политик. В отчете отображаются вновь созданные и удаленные объекты групповой политики (GPO), изменения связей GPO, политик аудита и паролей, развертывания ПО, изменение конфигурации пользовательских рабочих станций и других настроек. Программа фиксирует значения до и после изменения, предоставляя информацию о том, КТО, ЧТО и КОГДА изменил.

    Основные функции:

    • Аудит всех регулярных задач управления групповыми политиками и отчетность;
    • Создание отчетов по соответствию нормативным документам, в т.ч. для аудиторов SOX, GLBA и HIPAA;
    • Обзор всех процессов управления групповыми политиками для ИТ-менеджеров;
    • Автоматическое резервное копирование и восстановление объектов групповой политики;
    • Интеграция с Microsoft System Center Operations Manager.

    Решение фиксирует все изменения групповых политик и архивирует их для статистической отчетности. Программа позволяет получить объединенную информацию по изменениям групповой политики за любой период для детального анализа. Так, например, можно узнать, кто добавил для развертывания на клиентских компьютерах новое ПО, кто изменил настройки межсетевого экрана и блокировки для рабочих станций и многое другое.

    Скачать: netwrix.com/ru/group_policy_auditing.html

    NetWrix Active Directory Object Restore Wizard

    NetWrix AD Object Restore позволяет оперативно восстановить удаленные и модифицированные объекты в службе Active Directory Windows 2003 и 2008 без перезагрузки контроллера домена. Программа не ограничивается обычными функциями объектов tombstone в Active Directory, сохраняет больше информации по сравнению с типовыми объектами AD tombstone и этим превосходит решения, основанные на стандартных интерфейсах Microsoft Tombstone Reanimation. Ни одно решение не сможет восстановить модифицированные и некорректно добавленные объекты, ориентируясь исключительно на tombstone.

    Скачать: netwrix.com/ru/active_directory_recovery_software.html

    NetWrix VMware Change Reporter Freeware Edition

    NetWrix VMware Change Reporter отслеживает все изменения и обеспечивает контроль внесения изменений модификаций в виртуальную среду. Программа ежедневно отправляет отчет с перечислением всех без исключения изменений, затронувших сервера ESX, папки, кластеры, пулы ресурсов, виртуальные машины и их аппаратное обеспечение. Для каждого из параметров конфигурации указываются значения «до» и «после».

    NetWrix VMware Change Reporter может применяться для:

    • ежедневного обзора изменений в конфигурации с целью повышения уровня внутреннего ИТ-управления;
    • подготовки отчётов для аудита соответствия нормативным документам по ИТ (SOX, HIPPA, GLBA и др.);
    • аудита создания виртуальных машин для предотвращения бесконтрольного роста их количества;
    • поддержки платформ VMware VI3 и выше, vSphere, ESX, ESXi.

    Скачать: netwrix.com/vmware_auditing_reporting.html

    NetWrix Server Configuration Change Reporter

    Server Configuration Change Reporter — бесплатный инструмент для автоматического аудита и создания отчетов по всем изменениям в конфигурациях серверов: в аппаратных устройствах, драйверах, ПО, службах, сетевых настройках и пр. Решение централизованно контролирует группу серверов и ежедневно отправляет итоговые отчеты со всеми обнаруженными за последний день изменениями. Новые устройства, обновления драйверов, изменения в службах и приложениях — ни одна модификация не останется незамеченной, независимо от того, кто и как ее сделал. Достаточно установить Server Configuration Change Reporter, и вам останется лишь получать ежедневные отчеты обо всех изменениях, сгруппированных по именам серверов.

    Скачать: netwrix.com/windows_server_auditing.html

    NetWrix USB Blocker

    NetWrix USB Blocker обеспечивает централизованный контроль доступа, предотвращая несанкционированное использование сменных носителей, подключаемых к USB-портам компьютера (карты памяти, внешние жесткие диски, устройства iPod и др.). Независимо от возможностей антивируса и межсетевого экрана, контроль доступа через USB-порты — важный аспект защиты компьютеров сети. Блокировка USB-устройств защищает сеть от вредоносного ПО, предотвращает кражу секретной корпоративной информации

    Решение основывается на встроенных механизмах групповых политик и легко интегрируется в существующую среду. Одним из преимуществ программы является ее простота в установке и настройке.

    Скачать: netwrix.com/ru/usb_blocker_freeware.html

    NetWrix Exchange Change Reporter

    NetWrix Exchange Change Reporter — средство для аудита Microsoft Exchange, отслеживающее все изменения конфигураций и прав доступа сервера Exchange и оповещающее о них. Создаваемые отчеты отображают все созданные, удаленные и модифицированные объекты и настройки и таким образом дают ответы на четыре базовых вопроса: Что изменилось? Как изменилось? Кто это сделал? Когда вносились изменения? NetWrix Exchange Change Reporter фиксирует изменения настроек конфигурации, создаваемых и удаляемых почтовых ящиков, Information Stores, серверов Exchange, параметров протоколов, групп хранилищ и других объектов и их прав доступа. Программа фиксирует значения до и после изменения: например, предыдущее имя недавно переименованного почтового ящика или квоты почтового ящика до внесения изменений.

    Основные функции:

    • Регулярный обзор действия по администрированию Exchange для выявления фактов нарушения политики безопасности;
    • Полный аудит изменений объектов Exchange и прав доступа с предоставлением отчета по соответствию требованиям информационной безопасности и нормативных документов;
    • Распознавание несанкционированных и внеплановых изменений в результате избыточности делегированных прав;
    • Интеграция с Microsoft System Center Operations Manager

    Скачать: netwrix.com/ru/exchange_server_auditing.html

    NetWrix Bulk Password Reset

    Bulk Password Reset — простой инструмент для быстрой смены паролей для локальных учетных записей на нескольких компьютерах. Периодическая смена паролей помогает повысить безопасность системы, а с инструментом Bulk Password Reset для этого достаточно нескольких щелчков мыши. Для операции можно указать весь домен, выбрать отдельные подгруппы компьютеров или сослаться на список компьютеров из текстового файла.

    Скачать: netwrix.com/ru/local_admin_bulk_password_reset_freeware.html

    NetWrix Event Log Manager

    NetWrix Event Log Manager — инструмент для объединения журналов событий, оповещения и архивирования, поддерживающий сбор журналов событий с многочисленных компьютеров сети, предупреждающий о критических событиях и централизованно сохраняющий все события в сжатом формате для удобства анализа архивных данных журналов.

    Основные функции:

    • архивирование журналов событий
    • объединение журналов событий
    • оповещения в режиме реального времени
    • веб-отчеты
    • готовые отчеты по соответствию требованиям информационной безопасности и нормативным документам

    Скачать: netwrix.com/ru/event_log_management.html

    NetWrix Password Expiration Notifier

    NetWrix Password Expiration Notifier предназначен для автоматического напоминания о смене пароля для всех пользователей Active Directory, в том числе работающих удаленно. Программа периодически проверяет всех пользователей заданного подразделения либо домена AD, находит тех, у кого срок действия пароля истекает через определенное число дней, и рассылает им по электронной почте настраиваемые уведомления.

    Итоговые отчеты направляются по электронной почте системным администраторам (посмотреть пример отчета).
    Таким образом, с помощью данного продукта администраторы в проактивном режиме решают проблемы с истекающими сроками действия паролей для конечных пользователей и сервисных учетных записей.

    Дополнительная функция Plan & Test позволяет проверить конфигурацию и узнать, сколько пользователей будет затронуто при запланированных изменениях в политике паролей. Для этого не придется ни отвлекать пользователей, ни менять настройки AD.

    Скачать: netwrix.com/ru/password_change_reminder.html

    File Server Change Reporter

    Программа фиксирует изменения, сделанные в файлах, папках и разрешениях и отслеживает, какие файлы были созданы и удалены. Эта программа полезна, например, для фиксирования того, какие файлы были ошибочно удалены, и позволяет быстро их восстановить в случае, если они являются важными.

    Скачать: netwrix.com/ru/file_server_reporting.html

    Password Manager

    NetWrix Password Manager дает пользователям сети возможность безопасного управления паролями их учетных записей без участия системного администратора. Это позволяет организациям внедрять жесткую политику паролей в средах Active Directory, добиваться соответствия требованиям информационной безопасности и решать проблемы управления идентификационными данными.
    Основные функции программы: сброс забытых паролей, поиск и устранение неисправностей блокировки учетных записей, ручная блокировка учетной записи как через защищенный веб-интерфейс, так и через приложение Windows и многое другое. Новая бесплатная версия поддерживает интеграцию с процедурой входа в Windows, Google Apps работает на русском языке.

    Скачать: netwrix.com/ru/password_manager.html

    Service Monitor

    Service Monitor — БЕСПЛАТНЫЙ инструмент для мониторинга критичных служб Windows с опциональным перезапуском службы после сбоя. Программа отслеживает все автоматически запускаемые службы на группе серверов и в случае внезапного сбоя одной или нескольких из них отправляет уведомления по электронной почте. Функция перезапуска гарантирует, что все подконтрольные службы будут работать без простоев. Легковесная программа проста в настройке: устанавливаем, вводим имена компьютеров и указываем нужный адрес электронной почты.

    Скачать: netwrix.com/ru/windows_services_monitoring_freeware.html

    Disk Space Monitor

    Disk Space Monitor: Даже несмотря на терабайтные объемы современных жестких дисков, свободное место на сервере имеет тенденцию быстро и непредсказуемо заканчиваться. NetWrix Disk Space Monitor — БЕСПЛАТНЫЙ инструмент для ИТ-профессионалов, отслеживающий дисковое пространство на серверах (контроллеры домена, файловые серверы, серверы SharePoint и Exchange, серверы баз данных и пр.). Централизованно контролируя свободное дисковое пространство на заданных серверах, решение пересылает ежедневные отчеты и оповещения о недостаточном объеме дискового пространства при достижении указанных пороговых значений. Бесплатная версия поддерживает до 10 серверов

    Скачать: netwrix.com/ru/disk_space_monitor_freeware.html

    Non-owner Mailbox Access Reporter

    Non-owner Mailbox Access Reporter: БЕСПЛАТНЫЙ инструмент NetWrix Non-owner Mailbox Access Reporter фиксирует все факты доступа администраторов и других пользователей к чужим почтовым ящикам.Кто получал доступ и к каким почтовым ящикам за последний день, месяц и год — решение предоставит точные данные, позволяя распознать несанкционированные действия со стороны пользователей с избыточными или неверно заданными правами. Потенциально подобная активность может быть связана с хищением конфиденциальной информации из почтовых ящиков директоров и руководителей компании. Аудит доступа к чужим почтовым ящикам с составлением отчетов — гарантия соблюдения корпоративных политик и требований информационной безопасности.

    Скачать: netwrix.com/mailbox_access_auditing.html

    SharePoint Change Reporter

    SharePoint Change Reporter: Программа ежедневно направляет автоматические отчеты, в которых отражены все изменения в конфигурации SharePoint, оповещает администраторов SharePoint о том, что изменилось, и фиксирует значения «до» и «после» по каждому изменению.

    Скачать: netwrix.com/sharepoint_auditing.html

    Не нашли того, что подошло именно Вам и Вашей компании?

    Посмотрите полный список всех программ, которые предлагает NetWrix и скачивайте как триальные, так и бесплатные версии: netwrix.com/ru/products.html

    Будем рады, если они помогут Вам в Вашей работе!

    Илон Маск рекомендует:  Что такое код lockdata
    Понравилась статья? Поделиться с друзьями:
    Кодинг, CSS и SQL