用于监控 Windows 网络环境的软件(变更控制)

tag-icon tag-icon untagged
用于监控 Windows 网络环境的软件(变更控制)

我需要在 Microsoft Windows 网络环境中实施变更控制和审计。我的问题是关于审计方法,或者更好的是审计对网络环境所做的更改。这从所有 Active Directory 更改开始。我还想将其扩展到网络设备(例如防火墙、路由器、交换机)和服务器。

通过对网络变化的自动审核,我们可以验证已提交的变更控制及其准确性。

您对在这个领域表现出色的软件有什么建议吗?

答案1

对于 Active Directory 部分,您可能需要了解一个功能/方面。

Windows 2008 引入了审核对象创建、删除、移动和修改的功能。信息包括执行可审核事件的人员以及对象的 DN。在修改的情况下,会记录两个事件,这实际上为您提供了当前值和以前的值。

使用以下命令在 DC 上启用此功能:

auditpol /set /subcategory:"directory service changes" /success:enable

您还需要在 AD 用户和计算机中启用成功审核,通常在域级别。

当您将其与事件日志转发相结合时,结果将是非常强大和方便的功能。例如,我们配置我们的 dc 将事件 ID 5136-5139,5141 转发到中央实用程序服务器上的“转发事件”事件日志。

一个简单的从收集服务器到 DC 的拉取订阅,使用高度选择性的 XPath 查询来过滤噪音,可以轻松地将您所需的内容带到一个位置,在那里可以存档、报告或导入到另一个报告系统。以下是此类查询的示例:

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">*[System[( (EventID &gt;= 5136 and EventID &lt;= 5139)  or EventID=5141) and TimeCreated[timediff(@SystemTime) &lt;= 3600000]]]</Select>
    <Suppress Path="Security">*[EventData[Data="S-1-5-18"]]</Suppress>
    <Suppress Path="Security">*[EventData[Data[@Name="AttributeLDAPDisplayName"] = "dNSTombstoned"]]</Suppress>
    <Suppress Path="Security">*[EventData[Data[@Name="AttributeLDAPDisplayName"] = "dnsRecord"]]</Suppress>
    <Suppress Path="Security">*[EventData[Data[@Name="AttributeLDAPDisplayName"] = "msExchExpansionServerName"]]</Suppress>
    <Suppress Path="Security">*[EventData[Data[@Name="AttributeLDAPDisplayName"] = "msExchServer1HighestUSNVector"]]</Suppress>
    <Suppress Path="Security">*[EventData[Data[@Name="AttributeLDAPDisplayName"] = "msExchMessageJournalRecipient"]]</Suppress>
    <Suppress Path="Security">*[EventData[Data[@Name="objectClass"] = "dnsNode"]]</Suppress>
    <Suppress Path="Security">*[EventData[Data[@Name="objectClass"] = "printQueue"]]</Suppress>
    <Suppress Path="Security">*[EventData[Data[@Name="objectClass"] = "serviceConnectionPoint"]]</Suppress>
    <Suppress Path="Security">*[EventData[Data[@Name="objectClass"] = "msExchAddressListService"]]</Suppress>
  </Query>
</QueryList>

需要配置一些内容才能使订阅正常工作。有些可以在组策略中完成。

更多信息:

AD DS 审核分步指南
http://technet.microsoft.com/en-us/library/cc731607%28WS.10%29.aspx

配置计算机以转发和收集事件
http://technet.microsoft.com/en-us/library/cc748890.aspx

适用于 Windows 的快速而粗略的大型事件
http://blogs.technet.com/b/wincat/archive/2008/08/11/quick-and-dirty-large-scale-eventing-for-windows.aspx

答案2

我听说过绊线,尽管我从来没有接触过它。

相关内容