使用第三方活动目录审计工具处理Windows数据

Windows管理员发现Windows Server 2008和之后版本中的活动目录审计工具并不能满足他们的需求,因此他们转向了第三方。尽管活动目录含有追踪目录服务变更的本地策略,但管理员可以找到其他的工具来缓解监管合规、安全与监控。

在我之前的文章《使用第三方工具实现活动目录合规审计》中,向大家介绍了ManageEngine的ADAudit Plus、Dell的ChangeAuditor for Active Directory和LepideAuditor for Active Directory。它们具有类似的活动目录数据处理能力,当然还包括下面这两款第三方产品:

Netwrix Auditor

Netwrix Auditor监控你的活动目录基础设施以检测、捕捉和完善审计数据。它能跟踪谁发生了什么改变,什么时候发生的,哪里发生的。Netwrix Auditor还支持许多其他平台,包括Exchange Server、SQL Server和SharePoint Server。

收集:Netwrix Auditor集中收集动目录和组策略配置的数据动态变更,包括之前和之后的值。它还可以捕获目录快照。Netwrix Auditor使用了AuditAssurance技术,从多个独立源整合审计数据,包括事件日志、快照配置和历史记录更改。

报告:Netwrix Auditor可以生成报告,显示所有用户和管理员的活动。报告可以基于动态变化或快照数据,使用任何可用的存档信息生成。管理员也可以设定自动报告交付。

提醒:Netwrix Auditor支持实时警报,提醒不适当或高风险的活动目录的修改。警报是基于可定制的通知模板,以电子邮件或文本消息方式发送。

存档:所有审计数据压缩并写入一个集中的数据库,数据库可以保留数据达七年或更长时间。任何时期被收集的数据都提供了所有活动目录和组策略变更的完整的审计历程。

PowerBroker Auditor for Active Directory

来自BeyondTrust的PowerBroker Auditor for Active Directory提供了集中的、实时的变更审计以及取消不必要的修改的能力。这款工具可扩展,容易部署,能自动整合到本地管理工具如Active Directory Users and Computers。

收集:PowerBroker使用一个单独的代理来收集活动目录和组策略的变化数据,无需依赖事件日志或修改组策略对象或系统访问控制列表。所有更改数据包括新旧值以及主机名或IP地址的改变。

警报:PowerBroker包括一个广阔的内建报告库,包括安全性、业务操作管理和合规性。另外,该产品提供了一套审计视图,可洞察存储在中央数据库的数据。视图数据还可以输出为PowerBroker报告。PowerBroker使用SQL Server Reporting Services(SSRS)以通俗易懂的语言显示出事件数据。管理员们还可以创建自定义报告和审计视图。

警报:在任何可审计的变化发生在活动目录和组策略时,PowerBroker会发出实时警报。

存档:活动目录和组策略中所有审计的变更存储在一个中央数据库,中央数据库为审计视图和SSRS报告提供数据。该数据库还包含构建特定对象审计跟踪的必要数据。此外,PowerBroker的恢复功能可以访问数据库以撤消更改。

选择审计和报告工具

当考虑审计和报告系统时,你应该考虑到它们的特征——特别是数据收集、报告、报警和归档——以及每个供应商的支持服务和通用金融稳定。

你也要考虑公司的授权模式以及域的大小和用户数量对此产生的影响。此外,你应该考虑活动目录的替代实施方案。你需要在控制器安装代理吗?通过事件日志或活动目录应用程序编程接口收集数据是解决方案吗?

确保你的选择能够提供可审计的数据和生成你所需要的能够轻松展示组织合规性的报告。同时,你可以考虑这个工具审计之外的功能。它会帮助IT进行故障排除或变更管理吗?额外的审计系统呢,如Exchange Server或SharePoint Server?

你可能还想了解回滚到活动目录之前状态的功能。选择审计和报告工具时,需要考虑很多因素,但是这些第三方活动目录审计工具能够提供帮助。