riavviate il
Transcript
riavviate il
Le Sfide della Compliance: facilitare le classiche operazioni di audit monitorando l’andamento della propria infrastruttura www.netwrix.it | Tel.: +39 02 947 53539 Sommario 1. Introduzione 3 2. Gli strumenti presenti all’interno di Windows 4 3. Overview di Netwrix Auditor 5 4. Scenari di utilizzo di Netwrix Auditor 10 File Server 10 Active Directory 11 Users Logon Audit 12 5. Conclusioni 13 6. Su Silvio di Benedetto 14 7. Su Netwrix Corporation 14 Le Sfide della Compliance 2 Introduzione L’essere “compliant” a volte porta gli amministratori IT a fare gravi errori, in quanto, molte volte, non si ha un metro di giudizio unico che permetta di capire se quello che si sta facendo è giusto solo a livello personale oppure a livello più ampio. Un campo in cui è difficile avere un’interpretazione personale di compliance è sicuramente quello della sicurezza. Un’infrastruttura IT si può ritenere “a regola” quando i server sono sempre con le ultime patch, quando sono presenti antivirus configurati correttamente, quando i firewall sono funzionanti e quando sono configurate le regole che impediscono attacchi e che limitano azioni potenzialmente pericolose. Purtroppo la realtà dei fatti si scontra con un’equazione molto semplice che vuole che se le regole sono troppo ferree, automaticamente gli utenti finali avranno diversi rallentamenti durante la giornata lavorativa o iter macchinosi anche per fare le attività più semplici. Questo costringe gli IT Admin ad avere strumenti che monitorino le varie attività aziendali in modo indiscreto, al fine di capire cosa sta succedendo all’interno dell’infrastruttura aziendale. Uno degli esempi più classici, e forse il più comune, è quello relativo ai File Server: molte volte ci si trova in scenari in cui vengono eliminati file/cartelle importanti o file/cartelle spostati dal path originale. La domanda che si fa sempre è: “Chi è stato? Quando è stato fatto?”; solitamente queste richieste avvengono a danno fatto ed il più delle volte finiscono con un nulla di fatto per mancanza di strumenti. Tuttavia, se finora si è trattato di teoria, in quanto non esistono delle regole universali che costringano le aziende di tutto il mondo a seguire la stessa linea guida, esiste un aspetto molto importante legato alla legislatura del proprio paese, che obbliga le aziende a seguire per forza delle regole. Nel caso della legislatura Italiana, il Garante Privacy con un provvedimento del 27 novembre 2008, ha introdotto l'obbligo per gli amministratori di sistema di conservare gli "access log" per almeno sei mesi in archivi immodificabili e inalterabili. Questo significa che le aziende devono avere degli strumenti che tracciano le attività dei vari amministratori e che forniscano dei report dettagliati e di facile lettura. Benché sia obbligatorio fare questo tipo di operazione, le aziende non sempre sono propense a spendere soldi per un software che faccia audit solo per tracciare i propri amministratori, perciò diventa fondamentale avere una soluzione universale. Le Sfide della Compliance 3 Strumenti Presenti all’Interno di Windows Le attività di audit, partono sempre dallo strumento primario: l’Event Viewer di Windows Server. Senza utilizzare applicazioni di terze parti è possibile visionare l’andamento della propria infrastruttura, come accesso ai file/folder, attività degli amministratori e molto altro ancora. Event Viewer La controparte della gratuità è la difficoltà di interpretazione, dato che l’event viewer espone i dati in modo molto grezzo. Leggere i dati generati da ogni log è veramente difficile, soprattutto nella parte di Security. Un’altra cosa da tenere in considerare è che non tutti i log sono utili alla causa, quindi è necessario conoscere gli Event ID corretti per recuperare le informazioni richieste. Le Sfide della Compliance 4 Overview di Netwrix Auditor Netwrix Auditor, creato dall’omonima azienda, è un applicativo che permette di collezionare le audit di sistemi ed applicazioni in una piattaforma unificata facile da consultare. Console Netwrix Auditor Il software può essere installato sulle seguenti piattaforme: Desktop OS: Windows 7 (32 and 64-bit) e superiori Server OS: Windows Server 2008 R2 e superiori Per quanto riguarda la risorse hardware: RAM: Minimo 2 GB – Consigliato 8 GB Disco Installazione: 500 MB Disco Audit: 1 GB Le Sfide della Compliance 5 Disco Database: 500 MB Netwrix Auditor cattura i vari log generati dai diversi server ed i dati vengono collezionati all’interno di un SQL Server ed esposti tramite Reporting Services, quindi è possibile utilizzare un’istanza esistente, oppure installare SQL Server 2012 Express all’interno della stessa macchina dove si trova il software. Tra i workload che si possono mettere sotto audit troviamo: Active Directory Exchange Server SharePoint Server SQL Server VMware Windows Server A questi si aggiungono altre interessanti funzionalità, che prevedono il controllo di: IIS Cisco NetApp EMC Event Log Group Policy Inactive User Tracking Password Expiration Alerting User Activtity Un agent installato sulle macchine che si intendono monitorare, assicura la cattura dei vari eventi che vengono generati, creando una collection molto dettagliata che comunque può essere configurata sulla base delle esigenze degli amministratori di sistema. Le Sfide della Compliance 6 Configurazione Server Tracking Oltre a poter visionare l’andamento dei cambiamenti tramite console è possibile creare una sottoscrizione di report per avere un dettaglio delle operazioni svolte dai vari utenti da ricevere via mail. Enterprise Overview Le Sfide della Compliance 7 Una feature molto apprezzata è chiamata Real-Time Alerts che invia notifiche via mail in tempo reale allo scatenarsi di condizioni “critiche”, come la modifica dei gruppi dei Domain Admins di Active Directory. Email Report Le Sfide della Compliance 8 Se è vero che di software che fanno audit ne esistono tanti, è altrettanto vero che di applicativi che registrano le attività sulle varie macchine ce ne sono molto pochi. Netwrix consente di fare il recording delle operazioni svolte dagli utenti in formato video. La console offre la granularità di quali utenti tracciare e per quali tipi di software. Activity Records Le Sfide della Compliance 9 Scenari di utilizzo di Netwrix Auditor Seppur capace di tracciare attività di tanti workload, ed oggetti, ci sono probabilmente tre scenari più “interessanti” per la maggior parte delle aziende. File Server Attraverso Netwrix Auditor è possibile sapere quali file, o cartelle, sono stati creati, cancellati o modificati. Per far capire la granularità del prodotto, è possibile anche intercettare l’apertura, la modifica o la cancellazione dei singoli file da parte degli utenti. File Server Activities Le Sfide della Compliance 10 Active Directory Il modulo di Active Directory è sicuramente utile in quegli scenari in cui ci sono più persone preposte alla creazione/modifica di account, gruppi e computer, in quanto è possibile capire chi effettua la modifica, quando e quale oggetto è stato coinvolto. La quantità di report generabili da questo modulo è veramente elevata e va dall’elenco degli ultimi logon effettuati, al livello di Service Pack presente sulle macchine, passando dagli account bloccati o scaduti. Un’interessante funzione permette di fare il Rollback delle modifiche “non gradite” senza effettuare il restore di Active Directory. Active Directory Activities Le Sfide della Compliance 11 Users Logon Audit L’ultimo scenario che affrontiamo è quello legato alla tracciatura dei logon/logoff effettuati dagli utenti sui server. Netwrix lavora sull’Event Viewer in modo da avere tutte le varie attività svolte dai vari computer; nel caso non fossero presenti gli ID a voi utili, è possibile creare appositi filtri. Event Log Filters User Logon Activities Le Sfide della Compliance 12 Conclusioni Netwrix Auditor è uno strumento che ogni amministratore IT dovrebbe avere installato, per facilitare le classiche operazioni di audit ma anche per monitorare l’andamento della propria infrastruttura. Per chi fosse interessato, esiste la possibilità di scaricare la versione trial di 20 giorni ed eventualmente di attivare le licenze solo per i moduli che realmente interessano. Maggiori informazioni sul sito. Le Sfide della Compliance 13 Su Silvio di Benedetto Silvio Di Benedetto è titolare della Inside Technologies, azienda di consulenza e formazione, ed è specializzato in Private e Public Cloud, Virtualization, Security & Identity Management e Collaboration. E' Owner e Community Lead di WindowServer.it, della Veeam Italian Community e della Azure Community. Certifications: Microsoft Certified Solutions Expert – Private Cloud Microsoft Certified Trainer Microsoft MVP System Center Cloud and Datacenter Management Su Netwrix Corporation Netwrix Corporation è un fornitore leader di software di audit delle modifiche (change auditing), provvedendo la più ampia copertura di sistemi e applicazioni sottoposti ad audit - più di qualsiasi altro fornitore sul mercato - tra cui Active Directory, Exchange, File Server, SQL Server, SharePoint, VMware, Windows Server, ed altri. Fondata nel 2006, Netwrix si classifica nella lista di Top 100 US di aziende software in Inc. 5000 e Deloitte Technology Fast 500. I software di Netwrix sono utilizzati da oltre 160.000 clienti in tutto il mondo. Netwrix Headquarter Spectrum Center Drive, Suite 820, Irvine, CA 92618 Italy Email: [email protected] Phone: +39 02 947 53539 (int.2300) Le Sfide della Compliance netwrix.com/social 14 Copyright © Netwrix Corporation. Tutti i diritti riservati. Questo documento è protetto da copyright in ogni sua parte. . La riproduzione, la pubblicazione e la distribuzione, totale o parziale, di questo documento sono espressamente vietate in assenza di autorizzazione scritta.