Пару месяцев назад на просторах рунета (и не только) публиковали результаты нашего исследования.

Проводя исследование — мы пытались определить — насколько распространена практика документирования и контроля изменений в ИТ-инфраструктуре, а также узнать — влияют ли изменения, вносимые специалистами, на производительность системы и ее безопасность.

В опросе приняли участие 577 специалистов, из которых: представители крупных предприятий (33%), среднего (42%) и (25%) малого бизнеса. В список вошли предприятия из различных сфер: информационные технологии, обслуживание, банковская сфера, здравоохранение, производство, образование, консалтинг, розничная и оптовая торговля, энергетика и пр.

В VMware Community опубликовано сообщение от Mike Foley, бессменного автора vSphere Hardening Guide о том, что новая версия гайда стала доступна для загрузки.

vSphere Hardening Guide — это сборник информации об уязвимостях, типах операций, которые устраняют эти уязвимости, процедурах оценки соответствия нормативам безопасности и пр. Документ выполнен в виде книги Excel, каждая её страница соответствует типу объекта виртуальной инфраструктуры (VM, ESXi, vNetwrok, vCenterServer, VUM, SSO, WebClient, VCSA).

На прошедшем Microsoft TechEd North America 2014 мы представили последнюю версию нашего продукта – Netwrix Auditor 6.0.

Мы довольны тем, как изменился продукт со времени последнего релиза и хотим поделиться несколькими улучшениями.

Что нового появилось в версии 6.0?

1. Настраиваемые панели обзора — наглядные графики с изменениями по всем контролируемым системам и приложениям – на одной странице.

Всем привет!

Сегодня продолжаем рассказ о методах расследований и сборе доказательств запуска апплетов Панели управления Windows.
Первая часть материала на эту тему доступна здесь.

Напомню, что с выходом Windows 7 механизм UserAssist претерпел существенные изменения. Сбор надежных доказательств запуска апплетов не поддерживается в системах Windows7|8, вместо этого мы можем использовать т.н. списки переходов (jumplists), источник информации, содержащий следы запуска апплетов.

Списки переходов в Windows 7/8 (Jumplists)

В современных ОС Windows cписки переходов являются одним из самых важных источников информации для расследований, в том числе в них содержатся нужные нам следы запуска апплетов Панели управления. Автор Harlan Carvey написал отличный пост, посвященный спискам переходов. В нем он подробно рассказывает о структуре и практическом применении списков.

Всем привет! Сегодня предлагаем вашему вниманию перевод статьи «Control Panel Forensics: Evidence of Time Manipulation and More…», автор Chad Tilbury трудился спецагентом в Офисе специальных расследовнаий ВВС США, а после этого стал заниматься проблемами пиратства в Американской Ассоциации Кинопрокатчиков. О расследованиях компьютерных преступлений этот парень знает не из учебников. Итак, начнем!

Панель управления — давно известный инструмент Windows, позволяющий изменять огромное количество настроек системы. Использование панели управления может быть ограничено с помощью Групповых политик, но в любом случае, некоторые элементы панели доступны для большинства учетных записей (для внесения некоторых изменений необходимы права администратора). В ходе расследования мы можем провести аудит использования панели управления для того, чтобы идентифицировать широкий спектр действий пользователей, таких как:

• Изменения настроек Брандмауэра (firewall.cpl), необходимы для того, чтобы в дальнейшем использовать неавторизованное ПО;
• Добавление/изменение учетных записей (nusrmgr.cpl);
• Отключение функций «Восстановление системы» и службы Теневого резервного копирования (sysdm.cpl);
• Изменение системного времени (timedate.cpl);
• Взаимодействие с приложениями сторонних производителей, изменяющими настройки безопасности.

Процесс идентификации отдельных изменений в системе позволяет, как минимум, показать – какие апплеты из панели управления запускались пользователем и когда это произошло. Артефакты, т.е. следы, оставленные в системе могут дать дополнительную информацию для нашего расследования. Особенно важен контекст, последовательность действий. Представьте, что вы идентифицируете, как использовалась панель управления и видите следующую картину:



Доступ к центру поддержки (этот апплет в англ.версии называется Security Center) сам по себе не является особенно интересным. Но необходимо учитывать, что этот апплет был открыт сразу же после запуска известного инструмента для подбора паролей на роутерах. Как говорится, почувствуйте разницу!

Мы решили поделиться своей новой разработкой – системой, способной читать мысли системных администраторов и предугадывать их действия!

Netwrix Auditor улавливает мозговую активность пользователей, прогнозирует их дальнейшие действия и оповещает об их планах.

Сегодня мы завершаем небольшую серию заметок, касающихся безопасного управления Active Directory. Этот материал — перевод текста от Brian Svidergol, автора книги «Active Directory CookBook».

Как всегда – фокус на идеях, которые помогут вашей инфраструктуре стать более защищенной. С предыдущими двумя частями можно ознакомиться по ссылкам ниже:
Часть 1
Часть 2

В этой части мы говорим о мониторинге событий, связанных с AD.


Почему необходимо отслеживать и успешные и неудачные операции?

Вы отслеживаете только неудачные операции? Вам, к сожалению, придется пересмотреть стратегию аудита, считает наш автор. Давайте приведем пару примеров, показывающих, как важно мониторить успешно завершенные события:

Всем доброго дня!

Продолжаем делиться идеями одного из наших авторов — Brian Svidergol, автора книги «Active Directory CookBook». Представляем вторую часть поста, посвященного безопасному управлению AD.



Выделенные подсети для административных задач.

Хороший пример, который приводит Брайан – банковские онлайн-системы: большинство банков использует системы мониторинга рисков, которые отслеживают подозрительные попытки входа в онлайн-клиент, например, если такая попытка осуществляется с нестандартного устройства или на вашем компьютере присутствуют необычные региональные настройки.

Привет!

Сегодня мы начинаем переводить посты одного из наших авторов, знакомьтесь — Brian Svidergol, автор книги «Active Directory Cookbook». Брайан специализируется на проблемах ИТ-инфраструктуры, в т.ч. управлении AD, Exchange, системами хранения и др. Брайан щедро разбавил оригинальный текст общими фразами, поэтому мы постараемся выделить самую суть.



Принцип минимальных привилегий

Википедия содержит хорошую статью, посвященную принципу минимальных привилегий. В двух словах, соблюдать этот принцип – значит давать пользователю только те привилегии, которые абсолютно необходимы для выполнения его задач.

Полдвенадцатого ночи, четверг. Вам срочно нужен доступ к сайту, чтобы, наконец-то, закончить серьезный проект, над которым вы работаете. Вам давно уже пора спать, но работу нужно доделать к 9 утра, и тут выясняется, что пароль от сайта Вы, как назло, забыли.



Вы злитесь, хватаете клавиатуру, чтобы запустить ею в монитор и крикнуть что-нибудь нецензурное. И тут Вы замечаете желтую бумажку, приклеенную на клавиатуру с обратной стороны. Вы с облегчением вспоминаете, что наклеивали эту бумажку с паролем, написанным на ней.
При ближайшем рассмотрении оказывается, что это записка от службы информационной безопасности: «Мы знаем, что запомнить множество паролей сложно, но, пожалуйста, больше так не поступайте. Мы обсуждали этот вопрос с вашим отделом месяц назад. Ваша СБ ;-)»

Автор статьи — Paul Cunningham, обладатель статуса Microsoft MVP и нескольких сертификатов по Exchange Server 2007, 2010 and 2013. Paul также является издателем ресурса Exchange Server Pro.

Оригинальный материал на английском языке.

В годы моей работы администратором Exchаnge самым частым заданием из разряда «ктоэтосделал?!» было найти отправителя конкретного письма с общего почтового ящика.
Представьте себе, что общий почтовый ящик «HelpDesk» используется большой командой ИТ-персонала и все эти сотрудники имеют разрешения на отправку писем от имени общей учетной записи (например, для того, чтобы отправлять оповещения об отключении или техническом обслуживании систем).
В один из дней сотрудник службы поддержки, устав от рутинных операций, отправляет «гениальное» письмо в рассылку по всей компании, письмо получает негативный отклик.


Задача в том, чтобы найти – кто именно отправил такой «подарок», решение можно найти разными способами: например, можно отследить ip-адрес, с которого было отправлено сообщение, затем сопоставить адрес с компьютером и найти пользователя. Можно также потратить время, проверяя вручную папки «Отправленные» у всех подозреваемых. Также неплохим вариантом остаётся задать вопрос, кто это сделал – иногда можно надеяться на честный ответ.

Всем привет!

Продолжаем публиковать шпаргалки по настройке аудита различных систем, в прошлый раз мы говорили об AD habrahabr.ru/company/netwrix/blog/140569, сегодня обсудим файловые серверы. Надо сказать, что чаще всего мы выполняем именно настройки аудита файловых серверов – в ходе пилотных инсталляций у заказчиков. Ничего сложного в этой задаче нет, всего лишь три простых шага:

• Настроить аудит на файловых ресурсах (file shares)
• Настроить и применить общую и детальную политики аудита
• Изменить настройки журналов событий

Если у вас большое количество файловых шар, доступ к которым часто требуется сотрудникам – рекомендуем контролировать только изменения объектов аудита. Отслеживание всех событий может привести к тому, что в журналы будет попадать большой объем избыточных данных, которые не представляют особой важности.

Сегодня мы поговорим о настройке популярного сервиса SkyDrive в новейшей клиентской ОС Windows 8.1
Было заявлено о «глубокой интеграции облачной платформы» и теперь эта интеграция заключается в следующем:

• по умолчанию включена синхронизация документов для профилей пользователей, выполнивших вход в систему под учетной записью Microsoft.
• настройки рабочего стола также по умолчанию синхронизируются между всеми компьютерами, на которых выполнен вход.
• удаление описанных функций не предусмотрено, а клиент SkyDrive теперь устанавливается вместе с системой

Компания Microsoft выпустила обновленный файл (в формате Excel), содержащий все настройки групповых политик, доступные для редактирования и применения на клиентских машинах.



В файле на странице «Administrative Templates» появилась колонка «New in Windows 8.1».
Чтобы получить список политик для этой версии клиентской ОС, нужно применить фильтр по значению TRUE.

Хотеть, как известно, не вредно. Многие специалисты хотят вкладывать деньги в разумные проекты и работающие программные решения. За последние 7 лет мы проанализировали тысячи запросов от наших заказчиков. Предлагаем вашему вниманию 5 самых важных качеств, которые стоит требовать от системы контроля за изменениями в ИТ-инфраструктуре.

1. Функциональность
   
   • Считается хорошим тоном, если система аудита изменений может предложить вам следующий набор функций:
     Простые и информативные отчеты. Казалось бы – в этом вся суть! Но не каждое решение способно автоматически отправлять отчеты по почте, по определенному расписанию.
   • Оповещения в режиме реального времени с возможностью фильтрации событий.
   • Значение «до» и «после» по каждому изменению. Смотрим отчет – видим измененные параметры и их предыдущие значения (так же и с удаленными файлами – кто, что, откуда удалил).
   • Инструменты для восстановления удаленных данных или возврата нежелательных изменений
   • Возможность хранить данные аудита продолжительное время (7-10 лет).

Netwrix Auditor — это контроль инфраструктуры на 360 градусов.
Программа поддерживает широкий спектр платформ и элементов: Active Directory, MS Exchange, групповые политики, конфигурации Windows Server, файловые серверы, виртуальные инфраструктуры, системы хранения EMC и NetApp, различные сетевые устройства.

Оценить ПО можно с помощью online тест драйва
Подробнее об опыте использования ПО и проблемах, которые оно позволяет решить.

Новый пакет для контроля изменений в ИТ-системах содержит обширный набор отчетов и инструментов для распространенных платформ.

• Оригинал обзора
• Автор: Derek Schauland

Контроль изменений, происходящих в ИТ-инфраструктуре – это регулярные мероприятия, к которым айтишники относятся по-разному. С одной стороны непрерывный контроль обеспечивает доступность служб и систем, соответствие стандартам и безопасную работу сотрудников. С другой стороны, нет занятие скучнее и тоскливее, чем просматривать десятки журналов, отлавливать и коррелировать события.

Продукт Netwrix Auditor 5.0, появившийся в августе, делает контроль изменений в инфраструктуре простым и увлекательным занятием. Продукт состоит из отдельных модулей, предназначенных для распространенных ИТ-систем, но основная идея в том, чтобы обеспечить комплексный аудит, предоставить максимальный объем знаний о произошедших событиях в службу ИТ в форме простых и понятных отчетов.
Netwrix Auditor 5.0 поддерживает распространенные элементы инфраструктуры, такие как служба Active Directory, Групповые политики, серверы Microsoft SQL, Exchange и SharePoint, файловые серверы и системы хранения EMC и NetApp, сбор событий на машинах под управлением Windows и Linux, а также из виртуальных инфраструктур производства VMware или Microsoft.

В этом посте мы расскажем про нашу новую программу NetWrix User Activity Video Reporter, предназначенную для видео мониторинга действий пользователей на серверах и важнейших рабочих станциях, а также рассмотрим, как можно продуктивно использовать ее бесплатную версию для того, чтобы отслеживать специфическую активность пользователей.
Под катом — обзор функций, конфигурирование программы, короткий видеообзор и совет по использованию бесплатной версии программы.

Начинаем серию переводов, посвященную управлению службами Windows с помощью PowerShell 2.0 и 3.0.
В данном посте будут рассмотрены следующие вопросы управления службами Windows:

• Получаем статус службы на локальном компьютере
• Получаем статус службы на удаленном компьютере
• Осуществляем фильтрацию служб (например, остановленные службы)
• Зависимые службы

С помощью PowerShell можно гораздо быстрее решить множество задач управление Windows Server 2008, нежели это предполагается GUI. В прошлой статье были рассмотрены наиболее распространенных задач, которые могут быть реализованы с помощью PowerShell. Сегодня рассматриваем оставшиеся 4.

6. Получаем 10 последних ошибок журнала событий
7. Сбрасываем контроль доступа к папке
8. Вычисляем время работы сервера (uptime)
9. Получаем информацию о Service Pack

Оригинал статьи здесь. Заинтересованных приглашаем под кат.