Как стать автором
Обновить

Компания Netwrix временно не ведёт блог на Хабре

Сначала показывать

Аудит почтовых ящиков Exchange. Часть 1

Время на прочтение4 мин
Количество просмотров55K


В этой и следующей статьях мы рассмотрим особенности аудита изменений на серверах Microsoft Exchange. Начнем с аудита почтовых ящиков, а в следующий раз продолжим постом про аудит действий администраторов.

Аудит почтовых ящиков является одной из самых важных функций Microsoft Exchange 2013. В почтовых ящиках может содержаться информация различного рода – конфиденциальные данные организации, рабочие документа, а также, персональные данные. Во многих организациях администраторы не включают аудит почтовых ящиков на серверах Exchange. Часто бывает необходимо провести некое «расследование» действий пользователей, но если аудит не включен, то информацию в журналах событий найти невозможно.

Случаи, о которых я говорю, достаточно распространенные:
  1. Почтовый ящик был скомпрометирован, произошла утечка конфиденциальной информации. Необходимо выяснить, кто имел доступ к ящику, и какие действия происходили.
  2. В организации имеется почтовый ящик, доступ к нему делегирован нескольким сотрудникам (например, на время отпуска руководителя – его заместителям). Необходимо понять, — кто из них удалил важные сообщения.
  3. В организации имеется общий почтовый ящик (например, support@domain.ru), доступ к нему имеет множество сотрудников. Необходимо понять, кто из них рассылал нежелательные сообщения от имени общей учетной записи.
  4. В организации имеется стандарт протоколирования доступа к информационным ресурсам, в т.ч. и почтовым ящикам.


Читать дальше →

Результаты исследования Netwrix: две трети ИТ-компаний сами ломают свою ИТ-инфраструктуру

Время на прочтение2 мин
Количество просмотров4.3K
Пару месяцев назад на просторах рунета (и не только) публиковали результаты нашего исследования.

Проводя исследование — мы пытались определить — насколько распространена практика документирования и контроля изменений в ИТ-инфраструктуре, а также узнать — влияют ли изменения, вносимые специалистами, на производительность системы и ее безопасность.

В опросе приняли участие 577 специалистов, из которых: представители крупных предприятий (33%), среднего (42%) и (25%) малого бизнеса. В список вошли предприятия из различных сфер: информационные технологии, обслуживание, банковская сфера, здравоохранение, производство, образование, консалтинг, розничная и оптовая торговля, энергетика и пр.


Читать дальше →

Снова об облаках. Несколько инструментов для администраторов виртуальных инфраструктур от VMware

Время на прочтение2 мин
Количество просмотров5.7K


В VMware Community опубликовано сообщение от Mike Foley, бессменного автора vSphere Hardening Guide о том, что новая версия гайда стала доступна для загрузки.

vSphere Hardening Guide — это сборник информации об уязвимостях, типах операций, которые устраняют эти уязвимости, процедурах оценки соответствия нормативам безопасности и пр. Документ выполнен в виде книги Excel, каждая её страница соответствует типу объекта виртуальной инфраструктуры (VM, ESXi, vNetwrok, vCenterServer, VUM, SSO, WebClient, VCSA).

Читать дальше →

Новая версия Netwrix Auditor: все ходы записаны

Время на прочтение2 мин
Количество просмотров3.5K


На прошедшем Microsoft TechEd North America 2014 мы представили последнюю версию нашего продукта – Netwrix Auditor 6.0.

Мы довольны тем, как изменился продукт со времени последнего релиза и хотим поделиться несколькими улучшениями.

Что нового появилось в версии 6.0?



1. Настраиваемые панели обзора — наглядные графики с изменениями по всем контролируемым системам и приложениям – на одной странице.

Читать дальше →

Расследование манипуляций с панелью управления. Часть 2

Время на прочтение3 мин
Количество просмотров8.2K
Всем привет!

Сегодня продолжаем рассказ о методах расследований и сборе доказательств запуска апплетов Панели управления Windows.
Первая часть материала на эту тему доступна здесь.

Напомню, что с выходом Windows 7 механизм UserAssist претерпел существенные изменения. Сбор надежных доказательств запуска апплетов не поддерживается в системах Windows7|8, вместо этого мы можем использовать т.н. списки переходов (jumplists), источник информации, содержащий следы запуска апплетов.

Списки переходов в Windows 7/8 (Jumplists)




В современных ОС Windows cписки переходов являются одним из самых важных источников информации для расследований, в том числе в них содержатся нужные нам следы запуска апплетов Панели управления. Автор Harlan Carvey написал отличный пост, посвященный спискам переходов. В нем он подробно рассказывает о структуре и практическом применении списков.
Читать дальше →

Истории

[Перевод] Расследование манипуляций с панелью управления. Часть 1

Время на прочтение4 мин
Количество просмотров7.6K
Всем привет! Сегодня предлагаем вашему вниманию перевод статьи «Control Panel Forensics: Evidence of Time Manipulation and More…», автор Chad Tilbury трудился спецагентом в Офисе специальных расследовнаий ВВС США, а после этого стал заниматься проблемами пиратства в Американской Ассоциации Кинопрокатчиков. О расследованиях компьютерных преступлений этот парень знает не из учебников. Итак, начнем!

Панель управления — давно известный инструмент Windows, позволяющий изменять огромное количество настроек системы. Использование панели управления может быть ограничено с помощью Групповых политик, но в любом случае, некоторые элементы панели доступны для большинства учетных записей (для внесения некоторых изменений необходимы права администратора). В ходе расследования мы можем провести аудит использования панели управления для того, чтобы идентифицировать широкий спектр действий пользователей, таких как:

  • Изменения настроек Брандмауэра (firewall.cpl), необходимы для того, чтобы в дальнейшем использовать неавторизованное ПО;
  • Добавление/изменение учетных записей (nusrmgr.cpl);
  • Отключение функций «Восстановление системы» и службы Теневого резервного копирования (sysdm.cpl);
  • Изменение системного времени (timedate.cpl);
  • Взаимодействие с приложениями сторонних производителей, изменяющими настройки безопасности.

Процесс идентификации отдельных изменений в системе позволяет, как минимум, показать – какие апплеты из панели управления запускались пользователем и когда это произошло. Артефакты, т.е. следы, оставленные в системе могут дать дополнительную информацию для нашего расследования. Особенно важен контекст, последовательность действий. Представьте, что вы идентифицируете, как использовалась панель управления и видите следующую картину:



Доступ к центру поддержки (этот апплет в англ.версии называется Security Center) сам по себе не является особенно интересным. Но необходимо учитывать, что этот апплет был открыт сразу же после запуска известного инструмента для подбора паролей на роутерах. Как говорится, почувствуйте разницу!
Читать дальше →

R.I.P. Windows XP

Время на прочтение2 мин
Количество просмотров22K


… Помните свои первые ощущения от Windows XP? Я свои помню — «наконец-то они сделали нормальную Винду!» Старушка XP появилась 12 лет назад, сразу после глючной Windows ME, мы пользовались тогда большими, шумными и туповатыми машинами. Сегодня, я набираю этот текст на планшете, который втрое мощнее любого из тогдашних «ПК», а Android постепенно занимает место настольной ОС. Интересно, что XP — самая долгоживущая система от Microsoft: Windows 95 и ME продержались по шесть лет каждая, Windows 98 — максимум восемь. Сегодня, в последние дни жизни Windows XP, предлагаю вам вспомнить её лучшие функции. Тогда MS действительно радовала нас инновациями, до начала эры бесполезных плиток было еще далеко. Вот мой хит-парад, прошу поделиться в комментариях своим.

#5 Запись CD
О, как это было круто — наконец-то избавиться от Nero! Перетащил файлы на иконку CD-ROM, «далее — далее — далее» и мой диск готов!

#4 Восстановление предыдущей версии драйверов
Я мог отменить любые обновления и вернуться на предыдущую «стабильную» версию. Мои коллеги до сих пор считают эту фичу самой главной.
Читать дальше →

Как мы научились читать мысли системных администраторов

Время на прочтение1 мин
Количество просмотров5.9K
Мы решили поделиться своей новой разработкой – системой, способной читать мысли системных администраторов и предугадывать их действия!

Netwrix Auditor улавливает мозговую активность пользователей, прогнозирует их дальнейшие действия и оповещает об их планах.



Читать дальше →

Безопасное управление Active Directory. Часть 3 (заключительная)

Время на прочтение4 мин
Количество просмотров12K
Сегодня мы завершаем небольшую серию заметок, касающихся безопасного управления Active Directory. Этот материал — перевод текста от Brian Svidergol, автора книги «Active Directory CookBook».

Как всегда – фокус на идеях, которые помогут вашей инфраструктуре стать более защищенной. С предыдущими двумя частями можно ознакомиться по ссылкам ниже:
Часть 1
Часть 2

В этой части мы говорим о мониторинге событий, связанных с AD.


Почему необходимо отслеживать и успешные и неудачные операции?

Вы отслеживаете только неудачные операции? Вам, к сожалению, придется пересмотреть стратегию аудита, считает наш автор. Давайте приведем пару примеров, показывающих, как важно мониторить успешно завершенные события:
Читать дальше →

Безопасное управление Active Directory. Часть 2

Время на прочтение2 мин
Количество просмотров9.9K
Всем доброго дня!

Продолжаем делиться идеями одного из наших авторов — Brian Svidergol, автора книги «Active Directory CookBook». Представляем вторую часть поста, посвященного безопасному управлению AD.



Выделенные подсети для административных задач.

Хороший пример, который приводит Брайан – банковские онлайн-системы: большинство банков использует системы мониторинга рисков, которые отслеживают подозрительные попытки входа в онлайн-клиент, например, если такая попытка осуществляется с нестандартного устройства или на вашем компьютере присутствуют необычные региональные настройки.
Читать дальше →

Безопасное управление Active Directory. Часть 1

Время на прочтение4 мин
Количество просмотров27K
Привет!

Сегодня мы начинаем переводить посты одного из наших авторов, знакомьтесь — Brian Svidergol, автор книги «Active Directory Cookbook». Брайан специализируется на проблемах ИТ-инфраструктуры, в т.ч. управлении AD, Exchange, системами хранения и др. Брайан щедро разбавил оригинальный текст общими фразами, поэтому мы постараемся выделить самую суть.



Принцип минимальных привилегий

Википедия содержит хорошую статью, посвященную принципу минимальных привилегий. В двух словах, соблюдать этот принцип – значит давать пользователю только те привилегии, которые абсолютно необходимы для выполнения его задач.
Читать дальше →

[Перевод] Password Managers и Post-it Notes

Время на прочтение2 мин
Количество просмотров7K
Полдвенадцатого ночи, четверг. Вам срочно нужен доступ к сайту, чтобы, наконец-то, закончить серьезный проект, над которым вы работаете. Вам давно уже пора спать, но работу нужно доделать к 9 утра, и тут выясняется, что пароль от сайта Вы, как назло, забыли.



Вы злитесь, хватаете клавиатуру, чтобы запустить ею в монитор и крикнуть что-нибудь нецензурное. И тут Вы замечаете желтую бумажку, приклеенную на клавиатуру с обратной стороны. Вы с облегчением вспоминаете, что наклеивали эту бумажку с паролем, написанным на ней.
При ближайшем рассмотрении оказывается, что это записка от службы информационной безопасности: «Мы знаем, что запомнить множество паролей сложно, но, пожалуйста, больше так не поступайте. Мы обсуждали этот вопрос с вашим отделом месяц назад. Ваша СБ ;-)»

Читать дальше →

[Перевод ] Ищем, кто отправил письмо с общего почтового ящика. Используем журнал событий Microsoft Exchange

Время на прочтение4 мин
Количество просмотров25K
Автор статьи — Paul Cunningham, обладатель статуса Microsoft MVP и нескольких сертификатов по Exchange Server 2007, 2010 and 2013. Paul также является издателем ресурса Exchange Server Pro.

Оригинальный материал на английском языке.

В годы моей работы администратором Exchаnge самым частым заданием из разряда «ктоэтосделал?!» было найти отправителя конкретного письма с общего почтового ящика.
Представьте себе, что общий почтовый ящик «HelpDesk» используется большой командой ИТ-персонала и все эти сотрудники имеют разрешения на отправку писем от имени общей учетной записи (например, для того, чтобы отправлять оповещения об отключении или техническом обслуживании систем).
В один из дней сотрудник службы поддержки, устав от рутинных операций, отправляет «гениальное» письмо в рассылку по всей компании, письмо получает негативный отклик.


Задача в том, чтобы найти – кто именно отправил такой «подарок», решение можно найти разными способами: например, можно отследить ip-адрес, с которого было отправлено сообщение, затем сопоставить адрес с компьютером и найти пользователя. Можно также потратить время, проверяя вручную папки «Отправленные» у всех подозреваемых. Также неплохим вариантом остаётся задать вопрос, кто это сделал – иногда можно надеяться на честный ответ.
Читать дальше →

Настройка аудита файловых серверов: подробная инструкция и шпаргалка (.pdf)

Время на прочтение4 мин
Количество просмотров87K
Всем привет!

Продолжаем публиковать шпаргалки по настройке аудита различных систем, в прошлый раз мы говорили об AD habrahabr.ru/company/netwrix/blog/140569, сегодня обсудим файловые серверы. Надо сказать, что чаще всего мы выполняем именно настройки аудита файловых серверов – в ходе пилотных инсталляций у заказчиков. Ничего сложного в этой задаче нет, всего лишь три простых шага:



  • Настроить аудит на файловых ресурсах (file shares)
  • Настроить и применить общую и детальную политики аудита
  • Изменить настройки журналов событий

Если у вас большое количество файловых шар, доступ к которым часто требуется сотрудникам – рекомендуем контролировать только изменения объектов аудита. Отслеживание всех событий может привести к тому, что в журналы будет попадать большой объем избыточных данных, которые не представляют особой важности.

Читать дальше →

Ближайшие события

[Промо] Netwrix Password Manager — Теперь бесплатно до 100 пользователей

Время на прочтение1 мин
Количество просмотров3.2K


Неплохие новости для системных администраторов. Теперь программой Netwrix Password Manager – могут бесплатно пользоваться организации, в которых количество учетных записей не превышает 100.

Основные функции ПО:
  • Сброс забытых паролей
  • Разблокировка учетных записей
  • Самостоятельная смена пароля
  • Оповещения об операциях с учетными записями


Подробнее о продукте

Скачать ПО бесплатно

[Акция] Подарки от Санты к Новому Году или перезимуем с Netwrix

Время на прочтение2 мин
Количество просмотров2.9K
Привет всем обитателям хабра! Существует такая традиция – дарить подарки на Новый Год (а в России еще и на Старый Новый Год, если очень захочется).


Мы решили поддержать обычаи и поэтому дарим (да, бесплатно!) всем пользователям хабра – лицензию на продукты Netwrix:

Netwrix Auditor – Active Directory (сроком на 3 месяца)
Контроль малейших изменений в AD, восстановление удаленных объектов и возврат нежелательных изменений

Netwrix User Session Activity Video Reporter (сроком на 3 месяца).
Видеозапись терминальных сессий Citrix, контроль действий привилегированных пользователей на серверах и рабочих станциях

Скачать утилиты можно здесь и здесь.

Ключи и подробнее о функциях ПО — под катом.
Читать дальше →

SkyDrive в Windows 8.1: камень преткновения. Отключение сервиса SkyDrive

Время на прочтение2 мин
Количество просмотров64K
Сегодня мы поговорим о настройке популярного сервиса SkyDrive в новейшей клиентской ОС Windows 8.1
Было заявлено о «глубокой интеграции облачной платформы» и теперь эта интеграция заключается в следующем:

  • по умолчанию включена синхронизация документов для профилей пользователей, выполнивших вход в систему под учетной записью Microsoft.
  • настройки рабочего стола также по умолчанию синхронизируются между всеми компьютерами, на которых выполнен вход.
  • удаление описанных функций не предусмотрено, а клиент SkyDrive теперь устанавливается вместе с системой
Читать дальше →

Group Policy: что нового? Шпаргалка на все случаи жизни

Время на прочтение1 мин
Количество просмотров19K
Компания Microsoft выпустила обновленный файл (в формате Excel), содержащий все настройки групповых политик, доступные для редактирования и применения на клиентских машинах.



В файле на странице «Administrative Templates» появилась колонка «New in Windows 8.1».
Чтобы получить список политик для этой версии клиентской ОС, нужно применить фильтр по значению TRUE.
Читать дальше →

Пять главных качеств хорошего решения для аудита ИТ-инфраструктуры

Время на прочтение2 мин
Количество просмотров4.3K


Хотеть, как известно, не вредно. Многие специалисты хотят вкладывать деньги в разумные проекты и работающие программные решения. За последние 7 лет мы проанализировали тысячи запросов от наших заказчиков. Предлагаем вашему вниманию 5 самых важных качеств, которые стоит требовать от системы контроля за изменениями в ИТ-инфраструктуре.

  1. Функциональность
    • Считается хорошим тоном, если система аудита изменений может предложить вам следующий набор функций:
      Простые и информативные отчеты. Казалось бы – в этом вся суть! Но не каждое решение способно автоматически отправлять отчеты по почте, по определенному расписанию.
    • Оповещения в режиме реального времени с возможностью фильтрации событий.
    • Значение «до» и «после» по каждому изменению. Смотрим отчет – видим измененные параметры и их предыдущие значения (так же и с удаленными файлами – кто, что, откуда удалил).
    • Инструменты для восстановления удаленных данных или возврата нежелательных изменений
    • Возможность хранить данные аудита продолжительное время (7-10 лет).

Читать дальше →

Netwrix Auditor: мы знаем, что вы делали прошлой ночью

Время на прочтение1 мин
Количество просмотров3.1K


Netwrix Auditor — это контроль инфраструктуры на 360 градусов.
Программа поддерживает широкий спектр платформ и элементов: Active Directory, MS Exchange, групповые политики, конфигурации Windows Server, файловые серверы, виртуальные инфраструктуры, системы хранения EMC и NetApp, различные сетевые устройства.

Оценить ПО можно с помощью online тест драйва
Подробнее об опыте использования ПО и проблемах, которые оно позволяет решить.