Аудит журнала событий безопасности — важный инструмент обеспечения соответствия требованиям законодательных актов для администраторов Windows, поскольку в этом журнале содержатся свидетельства о произошедших в системе событиях, связанных с безопасностью. Обычно чтобы доказать соответствие законодательным актам, аудитору нужно вести поиск в журналах целого ряда компьютеров. Это отнимает много времени, к тому же велика вероятность ошибок. Компонент Audit Collection Services (ACS) диспетчера Microsoft Systems Center Operations Manager 2007 упрощает задачу сбора и аудита событий безопасности на многочисленных компьютерах Windows, благодаря сбору событий из журналов безопасности сетевых компьютеров и их объединению в централизованном хранилище. В данной статье рассматриваются способы планирования, установки и настройки ACS в Operations Manager 2007.
Планируем развертывание ACS
Прежде чем установить и настроить службы ACS, необходимо подготовить план развертывания. Для ACS требуется, чтобы в компании уже был развернут продукт Operations Manager 2007, и службы ACS устанавливаются только на сервере с Operations Manager 2007. Службы ACS используют диспетчер для настройки агента сбора данных аудита на управляемых серверах и рабочих станциях. Клиентский агент, именуемый ретранслятором (forwarder) ACS, входит в состав Operations Manager, но по умолчанию отключен. Серверный компонент ACS, именуемый коллектором (collector), собирает события от ретрансляторов и сохраняет их в базе данных. Для повышения отказоустойчивости и масштабируемости можно установить более одного коллектора ACS. Ретрансляторы ACS можно настроить для пересылки событий в один коллектор, а в случае его отказа — на другой. И наконец, необходимы база данных ACS, которая должна представлять собой Microsoft SQL Server 2005 с пакетом обновления SP1 (или более поздней версии), и службы подготовки отчетов SQL Server Reporting Services (SSRS).
Каждому серверу ACS требуются память большой емкости (не менее 2 Гбайт) и мощный процессор (2 ГГц). Каждый сервер Operations Manager с установленным коллектором ACS поддерживает до 150 контроллеров домена (DC); 3000 рядовых серверов домена или 20 000 рабочих станций или сочетаний контроллеров домена, рядовых серверов и рабочих станций, каждый с настроенным и активным ретранслятором ACS. Поэтому большинству компаний придется установить службы ACS на более чем одном сервере Operations Manager.
Установка ACS
Первый шаг — установка коллектора. Для этого нужно запустить файл SetupOM.exe с установочного диска Operations Manager и выбрать режим Install Audit Collection Server. Необходимо зарегистрироваться в качестве члена локальной группы Administrators на компьютере, в котором устанавливается коллектор. Если база данных для хранения собранных событий будет установлена на удаленном компьютере, то учетная запись пользователя должна быть членом локальной группы Administrators и на этом компьютере, а группа Administrators или учетная запись пользователя должны иметь роль sysadmin на сервере базы данных.
Установка коллектора выполняется с помощью мастера и начинается с экрана приветствия. После нажатия Next появляется лицензионное соглашение. Нужно принять его условия и нажать Next; появляется экран Database Installation Options, на котором необходимо создать новую базу данных или выбрать существующую. В целях повышения производительности настоятельно рекомендуется построить новую базу данных.
Следует помнить еще об одном обстоятельстве, указанном в электронной документации по ACS. Если используется выпуск Server 2005 Standard Edition, то транзакции базы данных SQL Server будут приостанавливаться на время подготовки ежедневных отчетов ACS. В версии SQL Server 2005 Enterprise Edition этого не происходит. События помещаются в очередь в коллекторе для доставки в базу данных после завершения обработки. Если база данных используется совместно с диспетчером Operations Manager, то приостановка транзакций повлияет и на него.
На следующем этапе мастер запрашивает имя источника данных, с помощью которого коллектор устанавливает соединение с базой данных. По умолчанию это OpsMgrAC, и если нет серьезных оснований изменить источник данных, рекомендуется принять стандартное имя. На следующем шаге мастера нужно выбрать локальный или удаленный (по умолчанию) сервер базы данных. Специализированная удаленная база данных предпочтительна в целях повышения производительности. Если используется удаленный сервер базы данных, необходимо указать имя компьютера — сервера базы данных. Если нежелательно использовать экземпляр базы данных, выбираемый по умолчанию, введите имя нужного экземпляра. Можно также указать имя создаваемой базы данных; по умолчанию это OperationsManagerAC.
На следующем этапе назначается режим проверки подлинности, используемый коллектором при подключении к базе данных. Возможные варианты: проверка подлинности Windows (по умолчанию) и проверка подлинности SQL. В целях безопасности следует по возможности использовать проверку подлинности Windows. Если создана новая база данных, на следующем этапе нужно указать место для хранения файлов журнала и базы данных.
На очередном шаге мастер выдает запрос о времени суток для обслуживания базы данных и количестве дней, в течение которых события в ней хранятся. Значения по умолчанию — 2 ч 00 мин местного времени и 14 дней. На следующем этапе требуется выбрать формат метки времени. По умолчанию время — местное, поэтому метки времени будут принадлежать к тому временному поясу, в котором находится сервер базы данных. Другой вариант — указать время в формате UTC (всемирное скоординированное время). Если коллектор будет получать события из различных часовых поясов или коллекторы расположены в разных часовых поясах, рекомендуется использовать формат UTC, в котором проще сопоставлять события на разных компьютерах.
На следующем этапе по нажатию кнопки Next начинается установка коллектора. В процессе установки пользователь должен ввести свои учетные данные, чтобы настроить базу данных SQL Server, в которой будут храниться события.
После установки коллектора должна быть запущена служба коллектора ACS. Существует проблема, которая мешает запуску службы коллектора. При этом в журнал системных событий записывается ошибка, свидетельствующая об отказе в доступе, Access denied. Дополнительные сведения об этой проблеме приведены в статье Microsoft по адресу http://support.microsoft.com/?kbid=936579. Хотя в этой статье приводится конкретный идентификатор события (ID) 4668, мне приходилось видеть, как в результате этой же неполадки в журнал системных событий вносились записи с другими ID. Причина неполадки в том, что у файла %SystemRoot%system32SecurityAdtServerAcsConfig.xml
установлен атрибут Read-Only файловой системы FAT, а коллектору необходимо выполнять запись в этот файл. Снять атрибут Read-Only можно с помощью команды
attrib -r
Затем введите команду
net start adtserver
чтобы запустить службу коллектора.
Активация ретрансляторов ACS
После установки коллектора нужно активировать ретрансляторы ACS. Это можно сделать из консоли Operations диспетчера Operations Manager 2007. Запустите консоль, затем нажмите кнопку Monitoring. Если необходимо, разверните узел Monitoring, а затем узлы Operations Manager и Agent, и щелкните Agent Health State. В центре консоли Operations Manager находятся две панели со списками компьютеров. В правой панели нужно выбрать компьютеры, которые должны быть ретрансляторами, затем выбрать команду Enable Audit Collection в области Health Service Tasks раздела Actions, как показано на экране 1.
Когда откроется диалоговое окно Run Task — Enable Audit Collection, щелкните на кнопке Override. В окне Override Task Parameters выберите столбец New Value строки CollectorServer. Введите полное имя FQDN сервера коллектора и щелкните на кнопке Override. Затем в диалоговом окне Run Task в разделе Task Credentials выберите Other и введите учетные данные пользователя домена, имеющего административные права на каждом компьютере, настроенном в качестве ретранслятора ACS. Окно Run Task будет выглядеть примерно так, как показано на экране 2. Щелкните на кнопке Run, чтобы начать активизацию служб ACS. Состояние задания отображается в диалоговом окне Task Status (см. экран 3).
После того, как ретрансляторы ACS настроены и активны, их состояние будет показано в консоли Operations Manager. Если нажата кнопка Monitoring, последовательно разверните узлы Monitoring, Operations Manager, Agent, а затем выберите пункт Agent Health State, чтобы увидеть состояние каждого агента, развернутого на компьютере. Если состояние любое другое, кроме Healthy, дважды щелкните на записи, чтобы выяснить причину неполадки. Если ретранслятор не может обмениваться данными с коллектором, то состояние агента изменится с Healthy на Warning.
Установка Operations Manager Reporting
Службы SSRS используются в ACS для формирования заранее подготовленных отчетов. Установите компонент Operations Manager 2007 Reporting, если это не было сделано раньше. Запустите файл SetupOM. EXE с установочного диска Operations Manager и выберите команду Install Operations Manager 2007 Reporting. Для установки Reporting for ACS не требуется специальных шагов, но следует помнить, что при установленном компоненте Reporting на сервере SSRS применяются более строгие разрешения для Operations Manager, и ранее настроенные отчеты могут оказаться недоступными. По этой причине не следует устанавливать Operations Manager 2007 Reporting на существующем экземпляре SSRS (например, Microsoft Forefront Client Security).
При установке компонента Operations Manager 2007 Reporting может возникнуть проблема, из-за которой процесс может сорваться. Скорее всего, сбой происходит, если в ходе установки не удается найти DC. Дополнительные сведения об этой проблеме и программе коррекции для нее приводятся в статье Microsoft по адресу http://support.microsoft.com/?kbid=936219. Обратите внимание, что после завершения работы мастера установки Reports может пройти некоторое время, прежде чем все отчеты Operations Manager будут загружены и станут видимыми для пользователя.После установки Reporting необходимо вручную установить отчеты ACS. Создайте папку с именем C:ToolsAudit Reports. Скопируйте папку ACS и ее содержимое из папки ReportModels на установочном диске Operations Manager в C:ToolsAudit Reports. Затем скопируйте файл ReportingConfig.exe из папки SupportTools на установочном диске в папку ACS на жестком диске. Откройте командную строку на коллекторе и перейдите в папку C:ToolsAudit ReportsACS. Запустите команду
UploadAuditReports.cmd
В команде указывается три аргумента. Первый — имя сервера базы данных и экземпляр базы данных в формате serverinstance. Если используется экземпляр по умолчанию, достаточно просто указать имя сервера. Второй аргумент — URL-адрес сервера SSRS. Если используется экземпляр базы данных, нужно добавить к URL-адресу символ $ со следующим за ним именем экземпляра. Третий и последний аргумент — имя папки ACS, например
UploadAuditReports ACSDB
http://ACSDB/ReportServer
«C:TOOLSAUDIT REPORTSacs».
При выполнении команды, особенно для двух файлов audit.smdl и audit5.smdl, могут быть получены предупреждения. Не обращайте на них внимания. После выполнения команды требуется открыть браузер и перейти к адресу http://reportserverurl/Reports. По этому адресу находится папка с именем Audit Reports, в которой содержится несколько заранее подготовленных отчетов. На данном этапе необходимо выполнить ряд дополнительных действий по настройке.
При просмотре содержимого Audit Reports щелкните пиктограмму Show Details на панели инструментов в правом верхнем углу экрана. Прокрутите список отображаемых элементов до Db Audit и щелкните на нем. В разделе Connect using следует выбрать режим Windows integrated security. В нижней части страницы щелкните на кнопке Apply, чтобы сделать изменения постоянными.
Просмотр отчетов ACS для аудита журнала событий
Хотя в консоли Operations Manager Operations Console имеется кнопка Reporting для настройки отчетов и просмотра ограниченной информации, все отчеты ACS отображаются в браузере. Нужно открыть браузер, перейти к адресу http://reportserverurl/Reports и щелкнуть на папке Audit Reports.
Стандартные отчеты организованы по группам, среди которых — нарушения доступа, события управления учетными записями, криминалистические отчеты, планирование, целостность и использование системы, как показано на экране 4. Одни отчеты содержат все соответствующие данные (например, Access Violation — Unsuccessful Logon Attempts), а в других требуется ввести такие данные, как имя пользователя (например, Usage — User Logon), как показано на экране 5. Можно указать даты, между которыми требуется получить подробности событий. Обычно события в отчетах перечисляются в нисходящем порядке; первыми показаны самые недавние события. По умолчанию данные хранятся только 14 дней, если этот параметр не изменен при установке служб ACS. Кроме того, временная метка Date/Time для каждой записи может быть местным временем сервера коллектора или временем в формате UTC, в зависимости от того, что выбрано при установке.
Оптимизация ACS
Если имеется несколько коллекторов, в целях масштабируемости и отказоустойчивости может потребоваться посетить каждый коллектор и сформировать отчеты о конкретных событиях, например, неудачных попытках регистрации и завершения сеанса. Число посещений коллекторов можно сократить, заранее связав ретрансляторы с коллекторами и выделив коллекторы для группы ретрансляторов. Один из возможных подходов — разместить все ретрансляторы в одной географической точке или на сайте Active Directory и использовать только коллекторы, предназначенные для этой группы. При этом уменьшается вероятность, что придется обращаться к отчетам на удаленных коллекторах.
Одна из особенностей заключается в том, что все ретрансляторы эквивалентны. Если ретранслятор не получил подтверждения о записи событий коллектором, то он повторно посылает события на резервный коллектор (если таковой имеется). К сожалению, нельзя проследить, какие события были посланы повторно; необходимо вручную обследовать каждое событие в поисках дубликатов. Поэтому одно и то же событие может быть записано на двух или нескольких коллекторах. Ретранслятор может не получить подтверждения по многим причинам, в частности, из-за отказа контроллера или неполадок в сети. Благодаря размещению коллекторов рядом с ретрансляторами снижается вероятность того, что неполадки сети приведут к неоднократной записи событий, так как локальные сети надежнее общедоступных каналов связи.
ACS — чрезвычайно гибкие службы, которые можно дополнительно настраивать и оптимизировать. Дополнительные сведения о настройках ACS можно получить в файле подсказки. Также рекомендуется посетить журнал группы управления Microsoft по адресу blogs.technet.com/smsandmom/archive/tags/ACS/default.aspx, в котором содержится последняя информация об ACS, в том числе о необходимых ресурсах. Начав использовать ACS, администраторы быстро убедятся, насколько проще стало управлять и готовить отчеты на основе данных из журнала событий безопасности.
Джон Хоуи (jhowie@microsoft.com) — руководитель подразделения World Wide Services and IT Technical Community for Security компании Microsoft. Имеет сертификаты CISSP, CISM и CISA