- Related Products
- ADManager Plus
- ADSelfService Plus
- EventLog Analyzer
- Exchange Reporter Plus
- AD360
- Log360
Click here to expand
W miarę rosnącej uwagi na bezpieczeństwo informacji, niezwykle ważne jest, aby wszyscy administratorzy IT wzmacniali bezpieczeństwo w istniejącej infrastrukturze, aby uniknąć możliwych naruszeń. Dokument ten koncentruje się na najlepszych sposobach skonfigurowania ADAudit Plus, aby zapewnić, że Twoje informacje pozostaną bezpieczne.
Konto użytkownika Active Directory (AD) jest zazwyczaj powiązane z ADAudit Plus w celu zbierania zarejestrowanych danych. Jeśli używane jest konto administratora domeny, ADAudit Plus natychmiast rozpoczyna audyt zmian w Twoim środowisku AD. Jednak ogólnie rzecz biorąc, konto administratora domeny ma kilka podniesionych praw i uprawnień, które nie są wymagane przez ADAudit Plus. Dlatego zalecamy tworzenie dedykowanych kont użytkowników, które mają tylko uprawnienia i uprawnienia potrzebne do prawidłowego działanie ADAudit Plus. W ten sposób, nawet jeśli dedykowane konto użytkownika zostanie naruszone, wpływ naruszenia jest w znaczący sposób ograniczony. Tutaj znajdują się wymagane uprawnienia i uprawnienia dla ADAudit Plus.
ADAudit Plus ma wbudowane konto administratora z najwyższymi uprawnieniami. Domyślnie hasło tego konta jest takie samo dla każdego klienta ADAudit Plus, co oznacza, że musisz zmienić to hasło, aby prawidłowo je zabezpieczyć. Jeśli ten krok zostanie pominięty, pozostawisz swój system narażony.
Zalecamy używanie HTTPS zamiast HTTP, aby zapewnić bezpieczny transport informacji w Twojej sieci. Możesz to zrobić z poziomu interfejsu użytkownika w zakładce Admin. Przejdź do ustawień znajdujących się w Ogólne ustawienia → Połączenie.
Te ustawienia można dodatkowo zoptymalizować z poziomu następującego pliku XML:
Jeśli zdecydujesz się zezwolić tylko na określoną wersję Transport Layer Security (TLS), tj. TLSv1, TLSv1.1 lub TLSv1.2, możesz wyłączyć inne wersje, modyfikując następujący parametr, zachowując tylko wymagane wersje TLS:
Jeśli chcesz wyłączyć lub ograniczyć szyfry, możesz to zrobić, modyfikując następujący parametr, aby zawierał tylko wymagane szyfry:
Dzięki tym zmianom możesz zabezpieczyć całą komunikację poprzez ADAudit Plus i wzmocnić bezpieczeństwo.
Aby dodatkowo wzmocnić bezpieczeństwo ADAudit Plus, zalecamy ograniczenie dostępu do logowania na serwer ADAudit Plus, zapobiegając tym samym nieuprawnionemu dostępowi. Możesz zdefiniować lokalne ustawienia polityki w zakładce Przydzielanie uprawnień użytkowników w Edytorze zarządzania polityką grupową, aby zezwolić na logowanie lokalne lub zezwolić na logowanie przez usługi pulpitu zdalnego, tylko dla określonego zbioru użytkowników. W ten sposób zmniejszasz powierzchnię ataku swojej infrastruktury.
Administratorzy mogą ograniczyć dostęp do folderu instalacyjnego ADAudit Plus, modyfikując uprawnienia folderu. Zapewnia to, że nikt poza upoważnionymi użytkownikami nie ma dostępu do plików ADAudit Plus.
ADAudit Plus rejestruje zmiany w swoim folderze instalacyjnym, konfigurując Listę Kontroli Dostępu do Systemu (SACL), jeśli monitorowanie integralności plików (FIM) jest włączone na serwerze, na którym zainstalowana jest aplikacja. W ten sposób możesz mieć pewność, że nikt nie manipulował z informacjami.
Uwaga: Wymaga to również odpowiedniej licencji.
ADAudit Plus zawiera wbudowaną bazę danych PostgreSQL zabezpieczoną hasłem, która pozwala na dostęp tylko upoważnionemu personelowi. Domyślnie usługa PostgreSQL tworzy konto użytkownika z nieograniczonymi uprawnieniami—podobnie jak konto administratora domeny w AD—aby wykonać różne działania administracyjne. ADAudit Plus zmienia domyślne hasło tego konta i tworzy inne konto użytkownika z ograniczonymi uprawnieniami. To nowe konto ma ograniczone uprawnienia, jest używane do łączenia się z bazą danych i jest szyfrowane w celu zapewnienia bezpieczeństwa.
Role techników mogą być konfigurowane w celu ograniczenia dostępu do niektórych raportów. Role te mogą również ograniczyć techników w wykonywaniu funkcji administracyjnych, takich jak dodawanie lub usuwanie serwerów do audytu, modyfikowanie ustawień konfiguracyjnych itp. Dodatkowo, ADAudit Plus zapewnia szczegółowy, oparty na użytkownikach, rejestr audytu wszystkich wykonanych działań.
W celu zbierania logów zdarzeń, ADAudit Plus pozwala wybrać jeden z następujących trybów pobierania zdarzeń:
Domyślnie tryby Rzeczywisty i EvtQuery szyfrują dane przesyłane przez sieć. Tryby WMI i Natywny domyślnie nie szyfrują przesyłanych danych, ale szyfrowanie może być włączone w trybie WMI w celu zwiększenia bezpieczeństwa. Zalecamy, aby administratorzy korzystali z trybu Rzeczywistego, aby zapewnić bezpieczny transfer danych i otrzymywać natychmiastowe aktualizacje wszystkich zmian w AD.
ADAudit Plus, domyślnie, wyłącza dostęp do bazy danych z poziomu swojego interfejsu użytkownika i zezwala tylko domyślnemu kontu administratora na włączenie tej opcji. Administrator może również wybrać, które konta mają to uprawnienie. Zapobiega to innym kontom techników w modyfikacji lub usuwaniu informacji z bazy danych.
Aby zmniejszyć zużycie miejsca na dysku w bazie danych, dane historyczne mogą być kompresowane i przechowywane osobno. Te pliki mogą być następnie przywracane w późniejszym czasie. Te archiwalne pliki są zabezpieczone hasłem przez ADAudit Plus, aby zapewnić bezpieczeństwo. Dla dodatkowego poziomu bezpieczeństwa zalecamy ograniczyć dostęp do folderów zawierających te pliki.
Kiedy użytkownik eksportuje raport w określonym formacie (PDF, CSV itd.), lub kiedy użytkownik planuje zapisanie określonego raportu lokalnie, pliki są zabezpieczone hasłem przez ADAudit Plus. Rekomenduje się również modyfikację uprawnień folderu dla folderu, który zawiera te pliki, aby zapobiec nieuprawnionemu dostępowi.
ADAudit Plus pozwala administratorom włączyć Protokół Dostępu do Lekkich Katalogów (LDAP) przez Warstwę Bezpiecznych Gniazd (SSL), aby zapewnić, że wszystkie komunikaty dotyczące danych Active Directory są szyfrowane. Może to być wykonane z poziomu interfejsu użytkownika ADAudit Plus w ustawieniach połączenia.