ΠΡΠ΅Π΄ΠΈ Π½ΡΠΊΠΎΠ»ΠΊΠΎ Π³ΠΎΠ΄ΠΈΠ½ΠΈ, ΠΊΠΎΠ³Π°ΡΠΎ Π·Π°ΠΏΠΎΡΠ½Π°Ρ
ΠΌΠ΅ Π΄Π° Π²Π½Π΅Π΄ΡΡΠ²Π°ΠΌΠ΅ Change Auditor Π² Π΅Π΄Π½Π° Π±Π°Π½ΠΊΠ°, Π·Π°Π±Π΅Π»ΡΠ·Π°Ρ
ΠΌΠ΅ ΠΎΠ³ΡΠΎΠΌΠ΅Π½ Π½Π°Π±ΠΎΡ ΠΎΡ PowerShell ΡΠΊΡΠΈΠΏΡΠΎΠ²Π΅, ΠΊΠΎΠΈΡΠΎ ΠΈΠ·ΠΏΡΠ»Π½ΡΠ²Π°Ρ
Π° ΡΠΎΡΠ½ΠΎ ΡΡΡΠ°ΡΠ° Π·Π°Π΄Π°ΡΠ° Π·Π° ΠΎΠ΄ΠΈΡ, Π½ΠΎ ΠΏΠΎ Π·Π°Π½Π°ΡΡΡΠΈΠΉΡΠΊΠΈ Π½Π°ΡΠΈΠ½. ΠΡΡΠΎΠ³Π°Π²Π° ΠΌΠΈΠ½Π° ΠΌΠ½ΠΎΠ³ΠΎ Π²ΡΠ΅ΠΌΠ΅, ΠΊΠ»ΠΈΠ΅Π½ΡΡΡ Π²ΡΠ΅ ΠΎΡΠ΅ ΠΈΠ·ΠΏΠΎΠ»Π·Π²Π° Change Auditor ΠΈ ΡΠΈ ΡΠΏΠΎΠΌΠ½Ρ ΠΏΠΎΠ΄Π΄ΡΡΠΆΠΊΠ°ΡΠ° Π½Π° Π²ΡΠΈΡΠΊΠΈ ΡΠ΅Π·ΠΈ ΡΠΊΡΠΈΠΏΡΠΎΠ²Π΅ ΠΊΠ°ΡΠΎ ΠΊΠΎΡΠΌΠ°Ρ. Π’ΠΎΠ·ΠΈ ΡΡΠ½ ΡΡΡΠΎ ΠΌΠΎΠΆΠ΅ Π΄Π° ΡΠ΅ ΠΏΡΠ΅Π²ΡΡΠ½Π΅ Π² ΠΊΠΎΡΠΌΠ°Ρ, Π°ΠΊΠΎ ΡΠΎΠ²Π΅ΠΊΡΡ, ΠΊΠΎΠΉΡΠΎ Π΅ ΠΎΠ±ΡΠ»ΡΠΆΠ²Π°Π» ΡΡΠ΅Π½Π°ΡΠΈΠΈΡΠ΅ Π² Π΅Π΄ΠΈΠ½ ΡΠΎΠ²Π΅ΠΊ, Π³ΠΎ Π²Π·Π΅ΠΌΠ΅ ΠΈ ΡΠ΅ ΠΎΡΠΊΠ°ΠΆΠ΅, Π·Π°Π±ΡΠ°Π²ΡΠΉΠΊΠΈ Π½Π°Π±ΡΡΠ·ΠΎ Π΄Π° ΠΏΡΠ΅Π΄Π°Π΄Π΅ ΡΠ°ΠΉΠ½ΠΎ Π·Π½Π°Π½ΠΈΠ΅. ΠΡ ΠΊΠΎΠ»Π΅Π³ΠΈ ΡΡΡ
ΠΌΠ΅, ΡΠ΅ ΠΈΠΌΠ° ΡΠ°ΠΊΠΈΠ²Π° ΡΠ»ΡΡΠ°ΠΈ Π½Π° ΠΌΠ΅ΡΡΠ° ΠΈ ΡΠΎΠ²Π° ΡΠΎΠ³Π°Π²Π° Π²Π½Π΅ΡΠ΅ Π·Π½Π°ΡΠΈΡΠ΅Π»Π΅Π½ Ρ
Π°ΠΎΡ Π² ΡΠ°Π±ΠΎΡΠ°ΡΠ° Π½Π° ΠΎΡΠ΄Π΅Π»Π° ΠΏΠΎ ΡΠΈΠ³ΡΡΠ½ΠΎΡΡΡΠ° Π½Π° ΠΈΠ½ΡΠΎΡΠΌΠ°ΡΠΈΡΡΠ°. Π ΡΠ°Π·ΠΈ ΡΡΠ°ΡΠΈΡ ΡΠ΅ Π³ΠΎΠ²ΠΎΡΠΈΠΌ Π·Π° ΠΎΡΠ½ΠΎΠ²Π½ΠΈΡΠ΅ ΠΏΡΠ΅Π΄ΠΈΠΌΡΡΠ²Π° Π½Π° Change Auditor ΠΈ ΡΠ΅ ΠΎΠ±ΡΠ²ΠΈΠΌ ΡΠ΅Π± ΡΠ΅ΠΌΠΈΠ½Π°Ρ Π½Π° 29 ΡΠ»ΠΈ Π·Π° ΡΠΎΠ·ΠΈ ΠΈΠ½ΡΡΡΡΠΌΠ΅Π½Ρ Π·Π° Π°Π²ΡΠΎΠΌΠ°ΡΠΈΠ·ΠΈΡΠ°Π½Π΅ Π½Π° ΠΎΠ΄ΠΈΡΠ°. ΠΠΎΠ΄ ΠΊΡΠΎΠΉΠΊΠ°ΡΠ° Π²ΡΠΈΡΠΊΠΈ Π΄Π΅ΡΠ°ΠΉΠ»ΠΈ.
ΠΠΊΡΠ°Π½Π½Π°ΡΠ° ΡΠ½ΠΈΠΌΠΊΠ° ΠΏΠΎ-Π³ΠΎΡΠ΅ ΠΏΠΎΠΊΠ°Π·Π²Π° ΡΠ΅Π± ΠΈΠ½ΡΠ΅ΡΡΠ΅ΠΉΡΠ° Π·Π° ΡΡΡΡΠ΅Π½Π΅ Π½Π° IT Security Ρ Π»Π΅Π½ΡΠ° Π·Π° ΡΡΡΡΠ΅Π½Π΅, ΠΏΠΎΠ΄ΠΎΠ±Π½Π° Π½Π° Google, Π² ΠΊΠΎΡΡΠΎ Π΅ ΡΠ΄ΠΎΠ±Π½ΠΎ Π΄Π° ΡΠΎΡΡΠΈΡΠ°ΡΠ΅ ΡΡΠ±ΠΈΡΠΈΡ ΠΎΡ Change Auditor ΠΈ Π΄Π° ΠΏΠ΅ΡΡΠΎΠ½Π°Π»ΠΈΠ·ΠΈΡΠ°ΡΠ΅ ΠΈΠ·Π³Π»Π΅Π΄ΠΈ.
Change Auditor Π΅ ΠΌΠΎΡΠ΅Π½ ΠΈΠ½ΡΡΡΡΠΌΠ΅Π½Ρ Π·Π° ΠΎΠ΄ΠΈΡΠΈΡΠ°Π½Π΅ Π½Π° ΠΏΡΠΎΠΌΠ΅Π½ΠΈ Π² ΠΈΠ½ΡΡΠ°ΡΡΡΡΠΊΡΡΡΠ°ΡΠ° Π½Π° Microsoft, Π΄ΠΈΡΠΊΠΎΠ²ΠΈΡΠ΅ ΠΌΠ°ΡΠΈΠ²ΠΈ ΠΈ VMware. ΠΠΎΠ΄Π΄ΡΡΠΆΠ°Π½ ΠΎΠ΄ΠΈΡ: AD, Azure AD, SQL Server, Exchange, Exchange Online, Sharepoint, Sharepoint Online, Windows File Server, OneDrive Π·Π° Π±ΠΈΠ·Π½Π΅ΡΠ°, Skype Π·Π° Π±ΠΈΠ·Π½Π΅ΡΠ°, VMware, NetApp, EMC, FluidFS. ΠΠΌΠ° ΠΏΡΠ΅Π΄Π²Π°ΡΠΈΡΠ΅Π»Π½ΠΎ ΠΈΠ½ΡΡΠ°Π»ΠΈΡΠ°Π½ΠΈ ΠΎΡΡΠ΅ΡΠΈ Π·Π° ΡΡΠΎΡΠ²Π΅ΡΡΡΠ²ΠΈΠ΅ ΡΡΡ ΡΡΠ°Π½Π΄Π°ΡΡΠΈΡΠ΅ GDPR, SOX, PCI, HIPAA, FISMA, GLBA.
ΠΠ΅ΡΡΠΈΠΊΠΈΡΠ΅ ΡΠ΅ ΡΡΠ±ΠΈΡΠ°Ρ ΠΎΡ ΡΡΡΠ²ΡΡΠΈ Π½Π° Windows ΠΏΠΎ Π½Π°ΡΠΈΠ½, Π±Π°Π·ΠΈΡΠ°Π½ Π½Π° Π°Π³Π΅Π½ΡΠΈ, ΠΊΠΎΠ΅ΡΠΎ Π²ΠΈ ΠΏΠΎΠ·Π²ΠΎΠ»ΡΠ²Π° Π΄Π° ΠΈΠ·Π²ΡΡΡΠ²Π°ΡΠ΅ ΠΎΠ΄ΠΈΡ, ΠΊΠ°ΡΠΎ ΠΈΠ·ΠΏΠΎΠ»Π·Π²Π°ΡΠ΅ Π΄ΡΠ»Π±ΠΎΠΊΠ° ΠΈΠ½ΡΠ΅Π³ΡΠ°ΡΠΈΡ Π² ΠΏΠΎΠ²ΠΈΠΊΠ²Π°Π½ΠΈΡ Π² AD ΠΈ, ΠΊΠ°ΠΊΡΠΎ ΠΏΠΈΡΠ΅ ΡΠ°ΠΌΠΈΡΡ Π΄ΠΎΡΡΠ°Π²ΡΠΈΠΊ, ΡΠΎΠ·ΠΈ ΠΌΠ΅ΡΠΎΠ΄ ΠΎΡΠΊΡΠΈΠ²Π° ΠΏΡΠΎΠΌΠ΅Π½ΠΈ Π΄ΠΎΡΠΈ Π² Π΄ΡΠ»Π±ΠΎΠΊΠΎ Π²Π»ΠΎΠΆΠ΅Π½ΠΈ Π³ΡΡΠΏΠΈ ΠΈ Π²ΡΠ²Π΅ΠΆΠ΄Π° ΠΏΠΎ-ΠΌΠ°Π»ΠΊΠΎ Π½Π°ΡΠΎΠ²Π°ΡΠ²Π°Π½Π΅, ΠΎΡΠΊΠΎΠ»ΠΊΠΎΡΠΎ ΠΏΡΠΈ ΠΏΠΈΡΠ°Π½Π΅, ΡΠ΅ΡΠ΅Π½Π΅ ΠΈ ΠΈΠ·Π²Π»ΠΈΡΠ°Π½Π΅ Π½Π° ΡΠ΅Π³ΠΈΡΡΡΠ°ΡΠΈΠΎΠ½Π½ΠΈ ΡΠ°ΠΉΠ»ΠΎΠ²Π΅ (Π΅ΡΠΎ ΠΊΠ°ΠΊ ΡΠ°Π±ΠΎΡΡΡ
Π Change Auditor Π²ΡΠΈΡΠΊΠΈ ΠΏΡΠΎΠΌΠ΅Π½ΠΈ ΡΠ΅ Π½ΠΎΡΠΌΠ°Π»ΠΈΠ·ΠΈΡΠ°Ρ ΠΊΡΠΌ ΠΈΠ·Π³Π»Π΅Π΄Π° 5W - ΠΠΎΠΉ, ΠΠ°ΠΊΠ²ΠΎ, ΠΡΠ΄Π΅, ΠΠΎΠ³Π°, Π Π°Π±ΠΎΡΠ½Π° ΡΡΠ°Π½ΡΠΈΡ (ΠΠΎΠΉ, ΠΠ°ΠΊΠ²ΠΎ, ΠΡΠ΄Π΅, ΠΠΎΠ³Π° ΠΈ Π½Π° ΠΊΠΎΡ ΡΠ°Π±ΠΎΡΠ½Π° ΡΡΠ°Π½ΡΠΈΡ). Π’ΠΎΠ·ΠΈ ΡΠΎΡΠΌΠ°Ρ Π²ΠΈ ΠΏΠΎΠ·Π²ΠΎΠ»ΡΠ²Π° Π΄Π° ΠΎΠ±Π΅Π΄ΠΈΠ½ΠΈΡΠ΅ ΡΡΠ±ΠΈΡΠΈΡΡΠ°, ΠΏΠΎΠ»ΡΡΠ΅Π½ΠΈ ΠΎΡ ΡΠ°Π·Π»ΠΈΡΠ½ΠΈ ΠΈΠ·ΡΠΎΡΠ½ΠΈΡΠΈ.
ΠΠ° 2 ΡΠ½ΠΈ 2020 Π³. Π±Π΅ΡΠ΅ ΠΏΡΡΠ½Π°ΡΠ° Π½ΠΎΠ²Π° Π²Π΅ΡΡΠΈΡ Π½Π° Change Auditor - 7.1. Π’ΠΎΠΉ ΠΈΠΌΠ° ΡΠ»Π΅Π΄Π½ΠΈΡΠ΅ ΠΊΠ»ΡΡΠΎΠ²ΠΈ ΠΏΠΎΠ΄ΠΎΠ±ΡΠ΅Π½ΠΈΡ:
- ΠΡΠΊΡΠΈΠ²Π°Π½Π΅ Π½Π° Π·Π°ΠΏΠ»Π°Ρ Π° Pass-the-Ticket (ΠΎΡΠΊΡΠΈΠ²Π°Π½Π΅ Π½Π° Kerberos Π±ΠΈΠ»Π΅ΡΠΈ Ρ Π΄Π°ΡΠ° Π½Π° ΠΈΠ·ΡΠΈΡΠ°Π½Π΅, ΠΊΠΎΡΡΠΎ Π½Π°Π΄Π²ΠΈΡΠ°Π²Π° ΠΏΠΎΠ»ΠΈΡΠΈΠΊΠ°ΡΠ° Π½Π° Π΄ΠΎΠΌΠ΅ΠΉΠ½Π°, ΠΊΠΎΠ΅ΡΠΎ ΠΌΠΎΠΆΠ΅ Π΄Π° ΠΎΠ·Π½Π°ΡΠ°Π²Π° ΠΏΠΎΡΠ΅Π½ΡΠΈΠ°Π»Π½Π° Π°ΡΠ°ΠΊΠ° Π½Π° Golden Ticket);
- ΠΎΠ΄ΠΈΡ Π½Π° ΡΡΠΏΠ΅ΡΠ½ΠΈ ΠΈ Π½Π΅ΡΡΠΏΠ΅ΡΠ½ΠΈ NTLM ΡΠ΄ΠΎΡΡΠΎΠ²Π΅ΡΡΠ²Π°Π½ΠΈΡ (ΠΌΠΎΠΆΠ΅ΡΠ΅ Π΄Π° ΠΎΠΏΡΠ΅Π΄Π΅Π»ΠΈΡΠ΅ Π²Π΅ΡΡΠΈΡΡΠ° Π½Π° NTLM ΠΈ Π΄Π° ΡΠ²Π΅Π΄ΠΎΠΌΠΈΡΠ΅ Π·Π° ΠΏΡΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΡ, ΠΊΠΎΠΈΡΠΎ ΠΈΠ·ΠΏΠΎΠ»Π·Π²Π°Ρ v1);
- ΠΎΠ΄ΠΈΡ Π½Π° ΡΡΠΏΠ΅ΡΠ½ΠΈ ΠΈ Π½Π΅ΡΡΠΏΠ΅ΡΠ½ΠΈ Kerberos ΡΠ΄ΠΎΡΡΠΎΠ²Π΅ΡΡΠ²Π°Π½ΠΈΡ;
- Π Π°Π·ΠΏΠΎΠ»Π°Π³Π°Π½Π΅ Π½Π° Π°Π³Π΅Π½ΡΠΈ Π·Π° ΠΎΠ΄ΠΈΡ Π² ΡΡΡΠ΅Π΄Π½Π° AD Π³ΠΎΡΠ°.
ΠΠΊΡΠ°Π½Π½Π°ΡΠ° ΡΠ½ΠΈΠΌΠΊΠ° ΠΏΠΎΠΊΠ°Π·Π²Π° ΠΎΡΠΊΡΠΈΡΠ° Π·Π°ΠΏΠ»Π°Ρ
Π° Ρ Π΄ΡΠ»ΡΠ³ ΠΏΠ΅ΡΠΈΠΎΠ΄ Π½Π° Π²Π°Π»ΠΈΠ΄Π½ΠΎΡΡ Π½Π° Kerberos Ticket.
ΠΠ°Π΅Π΄Π½ΠΎ Ρ Π΄ΡΡΠ³ ΠΏΡΠΎΠ΄ΡΠΊΡ ΠΎΡ Quest - On Demand Audit, ΠΌΠΎΠΆΠ΅ΡΠ΅ Π΄Π° ΠΏΡΠΎΠ²Π΅ΡΡΠ²Π°ΡΠ΅ Ρ ΠΈΠ±ΡΠΈΠ΄Π½ΠΈ ΡΡΠ΅Π΄ΠΈ ΠΎΡ Π΅Π΄ΠΈΠ½ ΠΈΠ½ΡΠ΅ΡΡΠ΅ΠΉΡ ΠΈ Π΄Π° Π½Π°Π±Π»ΡΠ΄Π°Π²Π°ΡΠ΅ Π²Π»ΠΈΠ·Π°Π½ΠΈΡΡΠ° Π² AD, Azure AD ΠΈ ΠΏΡΠΎΠΌΠ΅Π½ΠΈΡΠ΅ Π² Office 365.
ΠΡΡΠ³ΠΎ ΠΏΡΠ΅Π΄ΠΈΠΌΡΡΠ²ΠΎ Π½Π° Change Auditor Π΅ Π²ΡΠ·ΠΌΠΎΠΆΠ½ΠΎΡΡΡΠ° Π·Π° ΠΈΠ½ΡΠ΅Π³ΡΠ°ΡΠΈΡ ΠΈΠ·Π²ΡΠ½ ΠΊΡΡΠΈΡΡΠ° ΡΡΡ SIEM ΡΠΈΡΡΠ΅ΠΌΠ° Π΄ΠΈΡΠ΅ΠΊΡΠ½ΠΎ ΠΈΠ»ΠΈ ΡΡΠ΅Π· Π΄ΡΡΠ³ ΠΏΡΠΎΠ΄ΡΠΊΡ Π½Π° Quest - InTrust. ΠΠΊΠΎ Π½Π°ΡΡΡΠΎΠΈΡΠ΅ ΡΠ°ΠΊΠ°Π²Π° ΠΈΠ½ΡΠ΅Π³ΡΠ°ΡΠΈΡ, ΠΌΠΎΠΆΠ΅ΡΠ΅ Π΄Π° ΠΈΠ·Π²ΡΡΡΠ²Π°ΡΠ΅ Π°Π²ΡΠΎΠΌΠ°ΡΠΈΠ·ΠΈΡΠ°Π½ΠΈ Π΄Π΅ΠΉΡΡΠ²ΠΈΡ Π·Π° ΠΏΠΎΡΠΈΡΠΊΠ°Π½Π΅ Π½Π° Π°ΡΠ°ΠΊΠ° ΡΡΠ΅Π· InTrust ΠΈ Π΄Π° Π½Π°ΡΡΡΠΎΠΈΡΠ΅ ΠΈΠ·Π³Π»Π΅Π΄ΠΈ Π² ΡΡΡΠΈΡ Π΅Π»Π°ΡΡΠΈΡΠ΅Π½ ΡΡΠ΅ΠΊ ΠΈ Π΄Π° Π΄Π°Π΄Π΅ΡΠ΅ Π½Π° ΠΊΠΎΠ»Π΅Π³ΠΈΡΠ΅ Π΄ΠΎΡΡΡΠΏ Π·Π° ΠΏΡΠ΅Π³Π»Π΅Π΄ Π½Π° ΠΈΡΡΠΎΡΠΈΡΠ΅ΡΠΊΠΈ Π΄Π°Π½Π½ΠΈ.
ΠΠ° Π΄Π° Π½Π°ΡΡΠΈΡΠ΅ ΠΏΠΎΠ²Π΅ΡΠ΅ Π·Π° Change Auditor, Π²ΠΈ ΠΊΠ°Π½ΠΈΠΌ Π΄Π° ΠΏΡΠΈΡΡΡΡΠ²Π°ΡΠ΅ Π½Π° ΡΠ΅Π±ΠΈΠ½Π°ΡΠ°, ΠΊΠΎΠΉΡΠΎ ΡΠ΅ ΡΠ΅ ΠΏΡΠΎΠ²Π΅Π΄Π΅ Π½Π° 29 ΡΠ»ΠΈ ΠΎΡ 11 ΡΠ°ΡΠ° ΠΌΠΎΡΠΊΠΎΠ²ΡΠΊΠΎ Π²ΡΠ΅ΠΌΠ΅. Π‘Π»Π΅Π΄ ΡΠ΅Π±ΠΈΠ½Π°ΡΠ° ΡΠ΅ ΠΌΠΎΠΆΠ΅ΡΠ΅ Π΄Π° Π·Π°Π΄Π°Π΄Π΅ΡΠ΅ ΡΠ²ΠΎΠΈΡΠ΅ Π²ΡΠΏΡΠΎΡΠΈ.
ΠΡΡΠ³ΠΈ ΡΡΠ°ΡΠΈΠΈ Π·Π° ΡΠ΅ΡΠ΅Π½ΠΈΡΡΠ° Π·Π° ΡΠΈΠ³ΡΡΠ½ΠΎΡΡ Π½Π° Quest:
ΠΠΎΠΆΠ΅ΡΠ΅ Π΄Π° ΠΎΡΡΠ°Π²ΠΈΡΠ΅ Π·Π°ΡΠ²ΠΊΠ° Π·Π° ΠΊΠΎΠ½ΡΡΠ»ΡΠ°ΡΠΈΡ, ΠΊΠΎΠΌΠΏΠ»Π΅ΠΊΡ Π·Π° ΡΠ°Π·ΠΏΡΠΎΡΡΡΠ°Π½Π΅Π½ΠΈΠ΅ ΠΈΠ»ΠΈ ΠΏΠΈΠ»ΠΎΡΠ΅Π½ ΠΏΡΠΎΠ΅ΠΊΡ ΡΡΠ΅Π·
ΠΠ·ΡΠΎΡΠ½ΠΈΠΊ: www.habr.com