使用第三方工具实现活动目录合规审计

日期: 2013-11-13 作者:Robert Sheldon翻译:杨旭 来源:TechTarget中国 英文

微软在发布Windows Server 2008时,增加了活动目录的审计支持策略来帮助跟踪目录服务更改。然而许多IT管理员仍认为使用Windows本地审计功能满足不了需求,特别是当涉及到遵守规章制度时。因此IT专业人员经常使用第三方活动目录替代方案来解决他们的审计和报告需要。 关于为什么活动目录审计工具不符合标准,IT人员的一个答案是缺少集中制度。

目前,管理员必须借助于每个域控制器上的事件日志,拉动在整个组织中的数据审查,而日志中的数据很难一直保持有用、完整和清楚的状态。 当对活动目录进行审计时,分析师希望容易生成详细易懂并包含粒度细节的报告,而粒度细节不容易通过Windows功能实现。本地审……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

微软在发布Windows Server 2008时,增加了活动目录的审计支持策略来帮助跟踪目录服务更改。然而许多IT管理员仍认为使用Windows本地审计功能满足不了需求,特别是当涉及到遵守规章制度时。因此IT专业人员经常使用第三方活动目录替代方案来解决他们的审计和报告需要。

关于为什么活动目录审计工具不符合标准,IT人员的一个答案是缺少集中制度。目前,管理员必须借助于每个域控制器上的事件日志,拉动在整个组织中的数据审查,而日志中的数据很难一直保持有用、完整和清楚的状态。

当对活动目录进行审计时,分析师希望容易生成详细易懂并包含粒度细节的报告,而粒度细节不容易通过Windows功能实现。本地审计功能缺乏有效的报警功能和高效、安全的长期数据归档。

由于存在这些限制,最近几年出现了很多第三方产品。然而选择一个产品不是简单的任务。一个全面的产品必须收集到必要的数据,生成报告,提供实时和历史信息,支持有效的报警功能并利于长期存档。

让我们来看看一些受欢迎的产品,这些产品可以实现高效的活动目录审计以及生成报告。我们在这里介绍了三种产品,之后将继续关注即将发布的另外两款产品。

ADAudit Plus

ManageEngine的ADAudit Plus基于Web系统,追踪登录活动和用户、计算机、用户组和域策略的更改。管理员可以在任何地方通过域使用浏览器访问ADAudit仪表板。

收集:ADAudit Plus将收集来活动目录数据放到一个集中的位置,在这里还可以查看从事件日志检索来的数据。管理员可以跟踪用户管理和登录操作(包括故障)以及组策略对象(GPO)和活动目录属性的修改。ADAudit Plus也可以审计Windows文件服务器权限的变更。

报告:ADAudit Plus包括150多个预配置的审计报告,报告包含了项目相关的数据。你可以使用可配置的规则来定义报告的粒度。每个规则都关联一个或多个活动目录对象可审计的动作。这些报告可以提供任何用户、计算机或组的变更历史,可以导出为PDF、HTML、XML或CSV文件。

警报:管理员可以创建任何可审计事件的警报。警报基于可配置的概要文件,针对管理员或其他选定的用户发送电子邮件。

归档:ADAudit Plus将收集到的所有数据自动归档。管理员可以指定任何网络上的服务器用于存储归档的信息。存储的数据分成多个压缩文件并以事件日期进行标记。

ChangeAuditor for Active Directory

戴尔的ChangeAuditor for Active Directory实时跟踪整个企业所有关键活动目录配置的变化。ChangeAuditor在一个单一的客户端运行,不依赖本地审计以及随之产生的开销。

收集:ChangeAuditor提供可定制的审计,它使用一个高性能引擎将数据收集到一个集中的位置。该产品依靠服务器端代理跟踪关键活动目录和文件系统的变化模式、GPO、嵌套组和域名系统。

报告:ChangeAuditor利用SQL Server Reporting Services(SSRS)提供内置的报告,该报告将原始事件数据翻译成能满足监管要求的有意义的信息。ChangeAuditor报告也允许分析员建立自己的报告。可以根据特定事件和与其他事件的相关关系对数据进行搜索和筛选报告。

警报:ChangeAuditor提供实时的重要政策变化和安全漏洞警报。警报通过电子邮件发送或以短信形式发送到移动设备。

归档:ChangeAuditor使用SQL数据库服务器归档事件数据,所以你可以利用SQL Server的备份和恢复等功能。你可以无需通过ChangeAuditor服务直接从SQL Server访问数据而。

LepideAuditor for Active Directory

Lepide Software的LepideAuditor for Active Directory提供了一个集中的平台用来实时跟踪发生在多个领域的活动目录的变化。它还可以提供完整的审计记录。

收集:LepideAuditor提供了代理和无代理数据收集方式。代理运行在域控制器,一旦发生变化就可以收集数据。这两种方法都可以跟踪活动目录的所有的变化,收集用户、电脑、组、政策和组织单位的信息。LepideAuditor还定期创建Windows活动目录的快照,可以用于将目录恢复到一个特定的位置。

报告:管理员可以根据需要生成完整域或特定域控制器的临时报告。报告数据经过过滤和排序,然后导出为PDF、CSV和MHT格式的文件。报告也可以安排成自动输送。LepideAuditor还包括专用报告,跟踪用户登录和退出活动。

警报:为了预防意外变化,LepideAuditor可以配置成当重要事件发生时,为IT发送实时电子邮件警报。

归档:LepideAuditor搜集的登录日志存储在一个中央数据库。LepideAuditor还允许你将以前创建的数据库文件添加到现有的系统。

下次我们将看到更多的活动目录选择,可以帮助你更好地展示组织的法规遵从性。

相关推荐

  • Azure Active Directory Connect是如何协助管理员工作的?

    Azure的AD Connect工具可以协助管理员在本地Active Directory环境中顺利工作,也有助于从Azure云中获取管理资源。

  • Active Directory数据库太杂乱?ADSI Edit来清理

    随着Active Directory数据库老化,系统会在局部删除用户账号、安装应用程序失败或者其他管理上的失误后积累乱七八糟的东西,以及出现崩溃现象。本文介绍如何使用ADSI Edit来清理Active Directory数据库。

  • 如何执行活动目录备份和恢复?

    我需要做活动目录备份,但我不确定该使用哪个方法。哪一种才是比较容易的备份和恢复方法呢?

  • Azure进阶教程

    微软从未放松其云战略脚步,作为其云计算平台,Azure今年已增加了众多更新,受人瞩目。本期技术手册将深入介绍Azure更多相关知识,涉及Azure新功能、Azure监控与管理,以及Azure的安全措施等等。