riavviate il

Le Sfide della Compliance:
facilitare le classiche operazioni
di audit monitorando
l’andamento della propria
infrastruttura
www.netwrix.it | Tel.: +39 02 947 53539
Sommario
1. Introduzione
3
2. Gli strumenti presenti all’interno di Windows
4
3. Overview di Netwrix Auditor
5
4. Scenari di utilizzo di Netwrix Auditor
10
File Server
10
Active Directory
11
Users Logon Audit
12
5. Conclusioni
13
6. Su Silvio di Benedetto
14
7. Su Netwrix Corporation
14
Le Sfide della Compliance
2
Introduzione
L’essere “compliant” a volte porta gli amministratori IT a fare gravi errori, in quanto, molte volte, non si ha un
metro di giudizio unico che permetta di capire se quello che si sta facendo è giusto solo a livello personale
oppure a livello più ampio.
Un campo in cui è difficile avere un’interpretazione personale di compliance è sicuramente quello della
sicurezza. Un’infrastruttura IT si può ritenere “a regola” quando i server sono sempre con le ultime patch,
quando sono presenti antivirus configurati correttamente, quando i firewall sono funzionanti e quando sono
configurate le regole che impediscono attacchi e che limitano azioni potenzialmente pericolose.
Purtroppo la realtà dei fatti si scontra con un’equazione molto semplice che vuole che se le regole sono
troppo ferree, automaticamente gli utenti finali avranno diversi rallentamenti durante la giornata lavorativa
o iter macchinosi anche per fare le attività più semplici. Questo costringe gli IT Admin ad avere strumenti che
monitorino le varie attività aziendali in modo indiscreto, al fine di capire cosa sta succedendo all’interno
dell’infrastruttura aziendale.
Uno degli esempi più classici, e forse il più comune, è quello relativo ai File Server: molte volte ci si trova in
scenari in cui vengono eliminati file/cartelle importanti o file/cartelle spostati dal path originale. La domanda
che si fa sempre è: “Chi è stato? Quando è stato fatto?”; solitamente queste richieste avvengono a danno
fatto ed il più delle volte finiscono con un nulla di fatto per mancanza di strumenti.
Tuttavia, se finora si è trattato di teoria, in quanto non esistono delle regole universali che costringano le
aziende di tutto il mondo a seguire la stessa linea guida, esiste un aspetto molto importante legato alla
legislatura del proprio paese, che obbliga le aziende a seguire per forza delle regole.
Nel caso della legislatura Italiana, il Garante Privacy con un provvedimento del 27 novembre 2008, ha
introdotto l'obbligo per gli amministratori di sistema di conservare gli "access log" per almeno sei mesi in
archivi immodificabili e inalterabili. Questo significa che le aziende devono avere degli strumenti che
tracciano le attività dei vari amministratori e che forniscano dei report dettagliati e di facile lettura.
Benché sia obbligatorio fare questo tipo di operazione, le aziende non sempre sono propense a spendere
soldi per un software che faccia audit solo per tracciare i propri amministratori, perciò diventa fondamentale
avere una soluzione universale.
Le Sfide della Compliance
3
Strumenti Presenti all’Interno di Windows
Le attività di audit, partono sempre dallo strumento primario: l’Event Viewer di Windows Server. Senza
utilizzare applicazioni di terze parti è possibile visionare l’andamento della propria infrastruttura, come
accesso ai file/folder, attività degli amministratori e molto altro ancora.
Event Viewer
La controparte della gratuità è la difficoltà di interpretazione, dato che l’event viewer espone i dati in modo
molto grezzo. Leggere i dati generati da ogni log è veramente difficile, soprattutto nella parte di Security.
Un’altra cosa da tenere in considerare è che non tutti i log sono utili alla causa, quindi è necessario conoscere
gli Event ID corretti per recuperare le informazioni richieste.
Le Sfide della Compliance
4
Overview di Netwrix Auditor
Netwrix Auditor, creato dall’omonima azienda, è un applicativo che permette di collezionare le audit di
sistemi ed applicazioni in una piattaforma unificata facile da consultare.
Console Netwrix Auditor
Il software può essere installato sulle seguenti piattaforme:
Desktop OS: Windows 7 (32 and 64-bit) e superiori
Server OS: Windows Server 2008 R2 e superiori
Per quanto riguarda la risorse hardware:
RAM: Minimo 2 GB – Consigliato 8 GB
Disco Installazione: 500 MB
Disco Audit: 1 GB
Le Sfide della Compliance
5
Disco Database: 500 MB
Netwrix Auditor cattura i vari log generati dai diversi server ed i dati vengono collezionati all’interno di un
SQL Server ed esposti tramite Reporting Services, quindi è possibile utilizzare un’istanza esistente, oppure
installare SQL Server 2012 Express all’interno della stessa macchina dove si trova il software.
Tra i workload che si possono mettere sotto audit troviamo:
Active Directory
Exchange Server
SharePoint Server
SQL Server
VMware
Windows Server
A questi si aggiungono altre interessanti funzionalità, che prevedono il controllo di:
IIS
Cisco
NetApp
EMC
Event Log
Group Policy
Inactive User Tracking
Password Expiration Alerting
User Activtity
Un agent installato sulle macchine che si intendono monitorare, assicura la cattura dei vari eventi che
vengono generati, creando una collection molto dettagliata che comunque può essere configurata sulla base
delle esigenze degli amministratori di sistema.
Le Sfide della Compliance
6
Configurazione Server Tracking
Oltre a poter visionare l’andamento dei cambiamenti tramite console è possibile creare una sottoscrizione
di report per avere un dettaglio delle operazioni svolte dai vari utenti da ricevere via mail.
Enterprise Overview
Le Sfide della Compliance
7
Una feature molto apprezzata è chiamata Real-Time Alerts che invia notifiche via mail in tempo reale allo
scatenarsi di condizioni “critiche”, come la modifica dei gruppi dei Domain Admins di Active Directory.
Email Report
Le Sfide della Compliance
8
Se è vero che di software che fanno audit ne esistono tanti, è altrettanto vero che di applicativi che registrano
le attività sulle varie macchine ce ne sono molto pochi. Netwrix consente di fare il recording delle operazioni
svolte dagli utenti in formato video. La console offre la granularità di quali utenti tracciare e per quali tipi di
software.
Activity Records
Le Sfide della Compliance
9
Scenari di utilizzo di Netwrix Auditor
Seppur capace di tracciare attività di tanti workload, ed oggetti, ci sono probabilmente tre scenari più
“interessanti” per la maggior parte delle aziende.
File Server
Attraverso Netwrix Auditor è possibile sapere quali file, o cartelle, sono stati creati, cancellati o modificati.
Per far capire la granularità del prodotto, è possibile anche intercettare l’apertura, la modifica o la
cancellazione dei singoli file da parte degli utenti.
File Server Activities
Le Sfide della Compliance
10
Active Directory
Il modulo di Active Directory è sicuramente utile in quegli scenari in cui ci sono più persone preposte alla
creazione/modifica di account, gruppi e computer, in quanto è possibile capire chi effettua la modifica,
quando e quale oggetto è stato coinvolto.
La quantità di report generabili da questo modulo è veramente elevata e va dall’elenco degli ultimi logon
effettuati, al livello di Service Pack presente sulle macchine, passando dagli account bloccati o scaduti.
Un’interessante funzione permette di fare il Rollback delle modifiche “non gradite” senza effettuare il restore
di Active Directory.
Active Directory Activities
Le Sfide della Compliance
11
Users Logon Audit
L’ultimo scenario che affrontiamo è quello legato alla tracciatura dei logon/logoff effettuati dagli utenti sui
server. Netwrix lavora sull’Event Viewer in modo da avere tutte le varie attività svolte dai vari computer; nel
caso non fossero presenti gli ID a voi utili, è possibile creare appositi filtri.
Event Log Filters
User Logon Activities
Le Sfide della Compliance
12
Conclusioni
Netwrix Auditor è uno strumento che ogni amministratore IT dovrebbe avere installato, per facilitare le
classiche operazioni di audit ma anche per monitorare l’andamento della propria infrastruttura.
Per chi fosse interessato, esiste la possibilità di scaricare la versione trial di 20 giorni ed eventualmente di
attivare le licenze solo per i moduli che realmente interessano.
Maggiori informazioni sul sito.
Le Sfide della Compliance
13
Su Silvio di Benedetto
Silvio Di Benedetto è titolare della Inside Technologies, azienda di consulenza e formazione, ed è
specializzato in Private e Public Cloud, Virtualization, Security & Identity Management e Collaboration. E'
Owner e Community Lead di WindowServer.it, della Veeam Italian Community e della Azure Community.
Certifications:
Microsoft Certified Solutions Expert – Private Cloud
Microsoft Certified Trainer
Microsoft MVP System Center Cloud and Datacenter Management
Su Netwrix Corporation
Netwrix Corporation è un fornitore leader di software di audit delle modifiche (change auditing),
provvedendo la più ampia copertura di sistemi e applicazioni sottoposti ad audit - più di qualsiasi altro
fornitore sul mercato - tra cui Active Directory, Exchange, File Server, SQL Server, SharePoint, VMware,
Windows Server, ed altri. Fondata nel 2006, Netwrix si classifica nella lista di Top 100 US di aziende software
in Inc. 5000 e Deloitte Technology Fast 500. I software di Netwrix sono utilizzati da oltre 160.000 clienti in
tutto il mondo.
Netwrix Headquarter
Spectrum Center Drive, Suite 820,
Irvine, CA 92618
Italy
Email: [email protected]
Phone: +39 02 947 53539 (int.2300)
Le Sfide della Compliance
netwrix.com/social
14
Copyright © Netwrix Corporation. Tutti i diritti riservati. Questo documento è protetto da copyright in ogni sua parte. . La riproduzione, la pubblicazione e la
distribuzione, totale o parziale, di questo documento sono espressamente vietate in assenza di autorizzazione scritta.