Главная Security, Новое Аудит файловых серверов. Полный контроль
  • Аудит файловых серверов. Полный контроль

    Search

    Не так давно я писал статью об аудите Active Directory Domain Services средствами «человеческого» решения — NetWrix AD Change Reporter. Думаю всем прекрасно понятно, что аудит штука важная, нужная и увы не заканчивающаяся службой каталогов. Несмотря на 21 век файловые сервера живее всех живых и подавляющий процент файлов с данными хранится именно на них, что в свою очередь требует от ит четких ответов на следующие вопросы.

     

    Обращаются ли пользователи к определенному контенту?

    Если обращаются то, кто?

    Какие персоны лезут не в свои дела и пытаются получить несанкционированный доступ к контенту?

    Кто удалил годовой отчет или последний менял цифры?

    Почему разрешения доступа совершенно случайно изменились?

    Умение быстро и четко ответить на любой из вышеуказанных вопросов показывает руководству, что ИТ отдел и инженер в частности не зря ест свой хлеб. Именно это нам и нужно, а посему в данной статье я буду настраивать аудит файлового сервера. Как наверно стало понятно по прошлой статье, я не высокого мнения о штатном аудите Windows Server. Т.к я подразумеваю, что для ежедневного анализа данных аудите мне не нужно копаться в логе «Безопасность», то опять же инструментом для аудита будет выступать NetWrix но уже File Server Change Reporter.

    Развертывание.

    До установки FSCR рекомендуется выполнить предварительные требования. А именно создать объект групповой политики и применить его к файловому серверу. В данной политике требуется включить аудит доступа к объектам. ('Audit object access').

    Аудит бывает двух видов:

    1. Успеха. А значит запись аудита формируется когда кто то успешно осуществил действие – удалил файл, прочитал файл, поменял разрешения.

    2. Отказа. Событие формируется, если кто то что то не смогу сделать. Хотел удалить, но не хватило прав, открыл файл а нет доступа на чтение.

    Сфера применения у каждого вида аудита своя. В первом случае аудит успеха говорит о том, кто сделал интересующее вас действие. (например удалил отчет) Аудит Отказа преследует другую задачу, он должен показать людей, которые пытаются получить несанкционированный доступ и вообще вычислить «зловредов» пытающихся «совать нос» в чужие данные.

    image

    И в заключении подготовительного этапа нужно не забыть указать на папках файлового сервера какой конкретно аудит нас интересует.

    Стандартным набором является:

    1. List Folder / Read Data
    2. Create Files / Write Data
    3. Create Folders / Append Data
    4. Write Attributes
    5. Write Extended Attributes
    6. Delete Subfolders and Files
    7. Delete
    8. Change Permissions
    9. Take Ownership

    Прежде чем выбирать события для аудита ответьте себе на вопрос, информацию о каких событиях вы должны получать. В моем случае я указал аудит чтения, создания, удаления файлов\папок и изменения разрешений и владельца, причем как успешных событий, так и нет.

    image

    Учтите, что если к данным обращается большое число пользователей, события для аудита стоит выбирать очень аккуратно, включение отслеживания всех событий может привести созданию множества записей аудита, и переполнению журнала.

    При установке FSCR на Windows Server 2003, приложение запросило .Net Framework 2.0, получив который установилось буквально за несколько десятков секунд.

    Сразу после установки, программа спрашивает, какой вариант настройки я буд использовать, давая выбрать между базовым и полным мастером. Поскольку мне известно, что в перспективе будущий версий в платных версиях останется только полным режим настройки, именно он и был выбран.

    image

    Как такого отдельного мастера не оказалось, а на экране появилась «Netwrix Management Console» с предложением создать управляемый объект.

    Что нужно указать при настройке:

    1. Учетную запись от имени которой будут собираться данные и генерироваться отчеты. С ней не все так просто, для этой доменной учетной записи нужны доп. права.

    Право чтения данных подверженных аудиту

    Привелегия «Manage auditing and security log» на файл серверах.

    Права локального админа на компьютере, где снепшоты будут храниться в репозитарии

    Для расширенных отчетов будет необходимо дать роль «Content Manager» для папки «SSRS Home».

    Впрочем запоминать все это не стоит, т.к данные пункты описаны в офиц документации раздел «2.1 System Requirements». В моём случае все оказалось проще, т.к и файловый сервер и компьютер с FSCR были одной машиной, а по совместительству еще и контроллером домена, то мне пришлось создать доменную “учетку” и включить в доменную группу администраторов. Небезопасно, но в в данном случае единственно доступный вариант.

    image

    2. Настройки почты. Так как основной механизм оповещения безопасников о событиях все же электронная почта, то вам необходимо указать сервер через который будет осуществляться рассылка. Все очень просто, имя сервера, порт, адрес отправителя. Выбор аутентифицироваться или нет на вашей совести.

    3. В следующем окне необходимо указать имя создаваемой коллекции компьютеров. Коллекция это объединение компьютеров с общими параметрами аудита. По имени должно быть просто определеить, группу наблюдаемых обьектов, а поэтому я создал коллекцию с именем «File Servers». Дальше интересней – ввод «Management Account». Management Account – учетная запись, от имени которой запускается программа «File Server Change Reporter». Причем в роли «Management Account» может выступать «Default Account», а может созданная вами новая учетная запись. Создавать ли новую учетную запись или использовать существующую решает администратор, я же под запуск программы оставил «Default Account».

    image

    4. Поскольку в рамках «Change Reporter» существует целый комплект продуктов (Active Directory,EMC Celerra,Exchange,File Server,Group Policy,SharePointm,SQL Server,VMware и.т.д) на следующем окне нужно выбрать, что именно вас интересует. В дистрибутиве используемом мной кроме FSCR ничего не было, поэтому выбор был номинальный.

    image

    5. При работе с продуктами семейста Netwrix Change Reporter если не ограничиваться Ad-Hoc и стандартными отчетами, то SQL Server 2005 или 2008 вещь обязательная. С одной стороны собранные данные аудита помещаются в специальную базу данных SQL, с другой сервис отчетов создает свои базы под шаблоны отчетов и их настройки, а так же базу под сгенерированные пользователями отчеты. Если у вас уже есть SQL сервер с пред установленными Reporting Services, то можно использовать его, но как один из вариантов можно воспользоваться мастером, который скачает Express версию SQL, установит и настроит на том компьютере, где производится развертывание FSCR. Я пошел другим путем и скачал SQL Server 2008 Express with Advanced Services. Обращаю внимание на окончание «Advanced Services», именно в этой версии есть сервис отчетов, который нужен для FSCR.

    image

    Если вы правильно указали имя сервера баз данных, то при нажатии кнопки «Next» вам будет предложено создать необходимые базы данных. Если есть сомнения адресах сервера отчетов, то уточнить их можно через оснастку «Reporting services Configuration Manager» на серер баз данных.

    6. Теперь самое важное указать, за какими конкретно папками с общим доступом мы будем наблюдать. Самый простой способ добавить UNC пути этих серверов. Хотелось бы еще раз отметить, что для серверов где находятся папки с общим доступом должен быть включен 'Audit object access' (см. самое начало статьи) и в свойствах наблюдаемых папок так же должен быть включен аудит.

    image

    7. На заключительном этапе настройки остается указать, кто должен получать и какую информацию. Я остановился на том, что на ящик администратора должна приходить информация о успешных и неуспешных изменениях. Если бы я хотел получить данные о неуспешных попытках чтения, то адрес администратора потребовалось бы добавить и в нижний список. (Recipient of Audit reports on file and folder read access). И в качестве доп. условия запросил информацию в CSV вложении.

    image

    Получение информации

    Теперь можно перейти к тому, собственно ради чего установка и производилась – к получению информации аудита. В прошлой статье по аудиту ( писал про другой продукт от Netwrix — Active Directory Change Reporter) в операционной системе создавалась задача быстрого сбора информации каждые 10 минут. Первое на что я обратил внимание в этом продукте такой задачи не оказалось. В File Server Change Reporter сбор информации осуществляется в 3 ночи через запуск задачи «Netwrix Management Console» или через ручной запуск в любой момент времени в консоли.

    image

    image

    Раз в день собирать информацию редко, запускать руками утомительно. Поэтому отвечаю на вопрос как собирать информацию аудита в течении всего дня. Для этого нужно включить задачу, а точнее добавить триггер запуска в задаче “NetWrix Management Console – File Server Change Reporter — File_X0020_Servers”. В этом случае запуск сбора данных будет происходить независимо от работы задачи ‘NetWrix Management Console’. По-умолчанию эта задача создана, но не запускается, собственно это можно увидеть и на предыдущем изображении.

    image

    Я считаю, что сбор информации раз в час более чем достаточно, а поэтому при настройке задачи «NetWrix Management Console – File Server Change Reporter — File_X0020_Servers» именно так и указал.

    После отработки задачи, можно проверить корректность функционирования Ad-Hoc отчетов. Эти отчеты доступны независимо от того есть ли у вас SQL сервер и позволяют осуществить выборку по файл серверу, дате событий и типу изменений, получив на выходе либо HTML, либо CSV.

    image

    Если судить по моим результатам Ad-Hoc отчета, то можно сделать вы вод о том, что администратора дважды менял настройки аудита на папке \Finance Information, один раз в 12:23, второй в 12:27, подробности естественно прилагаются. Ну и пользователь Rupert успешно создал файл Hello.txt

    image

    С Advanced Reports пришлось поработать руками. Во-первых в настройках Advanced Reports -> Settings необходимо подгрузить для Reporting Services отчеты. В противном случает постоение отчетов через оснастку «File Server Change Reporter» просто не работает.

    image

    Но это еще не все. Через оснастку SQL Management Studio для «Management Account», которая задавалась на этапе настройки FSCR необходимо создать SQL логин, дать роль Sysadmin и добавить в список пользователей базы NetWrix_File_Server_Change_Reporter.

    Advanced Reports предоставляют следующие дополнительные возможности:

    1. Расширенный набор отчетов.
    2. Разнообразные методы фильтрации и группировки.
    3. Возможность создания своих отчетов (это может сделать NetWrix или сам клиент, поскольку документация по SQL базу предоставляется)
    4. SQL SRS subscriptions
    5. Доступ к отчетам через браузер c возможностью авторизации и разграничения доступа

    Работая с Advanced Reports я не увидел возможности подписаться на конкретный отчет, как это было в аудите AD DS. Оказалось, что текущая версия FSCR не предоставляет такого функционала, однако можно настроить подписку непосредственно на SQL сервере.

    image

    Если есть желание получать оповещения по электронной почте, то на почтовом сервере, который был прописан на этапе настройки необходимо разрешить прием почты с сервера FSCR. В коннекторе приема на моем сервере Exchange 2010 был разрешен анонимный прием почты, хотя FSCR умеет аутентифицироваться при устаноке SMTP сессий.

    image

    image

    В Active Directory Change Reporter есть реалтайм оповещения, когда вы получаете оповещение в течении 10 минут после наступления события. В текущей версии File Server Change Reporter такой возможности нет. (Real-time Alerts стоят в roadmap, на будущие версии продукта) Поэтому получать информацию вы будете либо в три часа ночи, когда стартует задача «Netwrix Management Console» либо при запуске задачи “NetWrix Management Console – File Server Change Reporter — File_X0020_Servers”. А поскольку расписание последней задачи в вашей власти, то настроить многократные e-mail отчеты в течении дня не проблема. В письме содержится краткая сводка колличестве успешных и неуспешных действий. Детали по действиям идут в за-зипованном CSV файле.

    Итоги.

    Даже любя SharePoint, признаю — файловые сервера будут жить долго и счастливо. За последние годы в плане аудита Microsoft кардинально ничего не меняла и по-прежнему не предоставляет нормальных средств для работы с результатами аудита. Тем, кто собирается осуществлять реальный адит доступа к файловым данным в любом случае придется использовать сторонние решения. На мой взгляд «File Server Change Reporter» весьма серьезный продукт. Да есть некоторые моменты, которые можно доработать, вроде подписки на отчет напрямую из оснастки, но это мелочи существующие в любом ПО. И хотя в процессе эксплуатации приходилось обращаться в тех. поддержку, в целом создалось впечатление не перегруженного лишними опциями и весьма качественного продукта.

     

    Скачать File Server Change Reporter

    MVP/MCT Илья Рудь

    • Рубрика: Security,Новое
    • Автор: Илья Рудь
    • Дата: Среда 28 Мар 2012

Комментарии

  1. оч. интересненько, спаибки 🙂

  2. Все, что требует включения аудита, силпьно нагружает файловый сервер и кушает много места. Лучше брать софт использующий специальный драйвер (Varonis, ScriptLogic/Quest, Imperva)

  3. Александр,

    По этому поводу есть разные мнения. На сказанное Вами мы хотели бы привести свои доводы и возражения:

    — Далеко не факт, что такой драйвер будет нагружать систему меньше, чем аудит NetWrix. А кушать места он будет почти наверняка больше. Сравните на практике. Мы будем Вам благодарны , если Вы поделитесь результатами!

    — Методы, о которых Вы говорите, многие недолюбливают из-за вмешательства в работу Windows и снижение надежности работы системы в целом.

  4. Никакого вмешательства. В Windows есть стандартные события доступа к файлам, эти продукты просто подписываются на эти события и собирают их. Я видел одно из таких решений, работающее с данными примерно в 300Гб, около 200 пользователей. На сервер не было вообще никакой доп. нагрузки, при этом все данные льются напрямую в SQL-сервер. Огромным плюсом таких программ является гранулярность — т.е. в БД уходят только те события и пути, которые указаны админом, причем поддерживаются обычно фильтры типа c:\*\temp\*

    А использование событий — это, извините, головная боль и на долго. Особенно в Win2003, они там ужасно кривые и их крайне не удобно обрабатывать.

  5. Varonis, ScriptLogic/Quest, Imperva

    А как полностью называются эти программы?

  6. Спасибо за статью.

    Относительно использование не стандартных драйверов если вы работаете на 1 сервере в 1 локации может это и выход. Но вообще-то при развитой офисной структуре это будет не посильная задача.

    Включение на мониторинг определенных папок это в общем-то простая задача если файлы не двигают по файловой системе или не удаляют каждый день.)

    Обычно реализуется такия система мониторинга сетевой активности именно через евенты. Хотя парсить их всегда было не удобно, но это самое надежное средство. Главное написать правильный выгруз логов с анализом и последующей очисткой. А тут софт который делает это за вас притом с неплохим интерфейсом. Так что еще раз спасибо автору.

  7. Пробовали Netwrix, не понравился, т.к. штатный Windows Audit — зло, сильно нагружает сервера.

    Используем больше года Varonis DatAdvantage for Windows/NAS — отличный продукт, рекомендую.

    Так же используем еще модули для Exchange и AD (Directory Services)

    Описания продуктов есть у них на сайте www.varonis.ru

  8. Давно занимаюсь вопросом. Полностью согласен с Александром. Минимальную нагрузку дают на сегодня только Varonis, ScriptLogic/Quest, Imperva. Стоят соответственно.

Опубликовать

Я не робот.