Софт для автоматизации управления безопасностью AD
Модератор: Модераторы
Сообщений: 8
• Страница 1 из 1
Defence » 05 сен 2005, 12:33
Добрый день всем.
В который раз родилась мысль начать написание софта, упрощающего жизнь админа в плане обеспечения безопасности.
Хотелось бы услышать мнение о необходимости подобного продукта. И может какие-то пожелания или мысли.
Примерный функционал и мое виденье зачем это надо:
1. Возможность формирования сложных запросов к AD в соотвествии с rfc2254, описание собственно здесь http://www.ietf.org/rfc/rfc2254.txt.
В Windows 2003 появились Saved Queries, но возможности их очень ограничены. А порой хочется большего.
2. Настройка автоматического блокирования и разблокирования пользователя по уходу в отпуск.
Во многих организациях по требованиям безопасности необходимо блокировать пользователя, если он уходит в отпуск. Что на самом деле практически никто не делает. Так как при большом числе пользователей это отнимает много времени. Нужно постоянно мониторить, кто ушел, кто пришел. А так один раз настроил по данным из кадров и прога сама все настраивает.
3. Возможность протоколирования дествий программы. Т.е. в любой момент можно будет сделать выборку на определенный период и узнать, что происходило. Например, как отработал пункт 2.
4.Возможность разрешения работы в выходной день всем.
Это гиперпроблема, которая стандартным путем не разрешима. Если у вас 5-дневный рабочий день и в AD настроены LogonHours. То в тот день когда любимое правительство переносит предпразничны день например на субботу, становится грустно. Потому что хоть в Windwos 2003 можно менять параметры сразу у всех пользователей, нельзя добавить время к уже существующему. Старое просто сотрется. И приходится каждому пользователю лично добавлять субботу, а потом в понедельник убирать.
5. Возможность делать выборки по времени работы.
Стандартно это делать нельзя. Да и вообще работа с временем в AD причудлива. Хотя бы то, что возвращаемый битовый массив начинается не с понедельника 00 часов и даже не с воскресенья 00 часов, а с середины недели навевает тоску.
6. Типично админовские задачи, типа смена пароля администратора на всех компах в сети. С возможностью учитывания компов, которые были выключены.
7.Ну и пожалуй формирование всяких отчетов.
Это примерный набросок моего виденья функционала. Хотелось бы услышать мнения.
В который раз родилась мысль начать написание софта, упрощающего жизнь админа в плане обеспечения безопасности.
Хотелось бы услышать мнение о необходимости подобного продукта. И может какие-то пожелания или мысли.
Примерный функционал и мое виденье зачем это надо:
1. Возможность формирования сложных запросов к AD в соотвествии с rfc2254, описание собственно здесь http://www.ietf.org/rfc/rfc2254.txt.
В Windows 2003 появились Saved Queries, но возможности их очень ограничены. А порой хочется большего.
2. Настройка автоматического блокирования и разблокирования пользователя по уходу в отпуск.
Во многих организациях по требованиям безопасности необходимо блокировать пользователя, если он уходит в отпуск. Что на самом деле практически никто не делает. Так как при большом числе пользователей это отнимает много времени. Нужно постоянно мониторить, кто ушел, кто пришел. А так один раз настроил по данным из кадров и прога сама все настраивает.
3. Возможность протоколирования дествий программы. Т.е. в любой момент можно будет сделать выборку на определенный период и узнать, что происходило. Например, как отработал пункт 2.
4.Возможность разрешения работы в выходной день всем.
Это гиперпроблема, которая стандартным путем не разрешима. Если у вас 5-дневный рабочий день и в AD настроены LogonHours. То в тот день когда любимое правительство переносит предпразничны день например на субботу, становится грустно. Потому что хоть в Windwos 2003 можно менять параметры сразу у всех пользователей, нельзя добавить время к уже существующему. Старое просто сотрется. И приходится каждому пользователю лично добавлять субботу, а потом в понедельник убирать.
5. Возможность делать выборки по времени работы.
Стандартно это делать нельзя. Да и вообще работа с временем в AD причудлива. Хотя бы то, что возвращаемый битовый массив начинается не с понедельника 00 часов и даже не с воскресенья 00 часов, а с середины недели навевает тоску.
6. Типично админовские задачи, типа смена пароля администратора на всех компах в сети. С возможностью учитывания компов, которые были выключены.
7.Ну и пожалуй формирование всяких отчетов.
Это примерный набросок моего виденья функционала. Хотелось бы услышать мнения.
Harry33 » 05 сен 2005, 13:48
Defence
Все комментарии IMHO!
Все комментарии IMHO!
| Цитата | ||||||||||
| 2. Настройка автоматического блокирования и разблокирования пользователя по уходу в отпуск.
Во многих организациях по требованиям безопасности необходимо блокировать пользователя, если он уходит в отпуск. Что на самом деле практически никто не делает. Так как при большом числе пользователей это отнимает много времени. Нужно постоянно мониторить, кто ушел, кто пришел. А так один раз настроил по данным из кадров и прога сама все настраивает. [/quote] Для корректной автоматизации этого процесса, ПО должно иметь в АД права, как минимум Account Operator. Наличие подобных разрешений снизит общий уровень безопасности ощутимее чем не вовремя заблокированная учетка человека, который ушел в отпуск. Альтернатива - плотное взаимодействие с ОК в части приказов по персоналу, но непосредственное исполнение по факту приказа ТОЛЬКО руками админа. По пункту 3. 4. 5. В принципе вещь полезная, но по соотношению трудоемкость/еффективность, необходимость ее наличия весьма спорна. На порядок проще, воспользовавшись к примеру GFI Security EventLog Monitor отслеживать ненормальную активность. 6. Эта проблема решается посредствам групповых политик. 7. Относительно отчетов... Опять же при настроенной структуре аудита востребована будет система , позволяющая анализировать состав EventLog на большом количестве хостов по заданным критериям. Знания, которые нельзя применить - бесполезны
Defence
В всему выше сказанному Harry33 могуд добавить, готового бесплатного софта для управления пользователями нет, каждый пишет свое или руками рулит (скрипты и т.д). Для управлкения ограничением регистрации юзеров можно рассмотреть использование MS Limitlogin http://www.microsoft.com/technet/techne ... fault.aspx
Remy
А причем тут письма и LogonHours? Учетная запись на время отпуска не блокируется. Другой вопрос. если во время отпуска сотрудника ему (сотруднику) требуется доступ к почте (через OWA) или другим ресурсам сети (VPN). Вот тут грабли. Так что блокировка на время отпуска имеет множествон "но" Знания, которые нельзя применить - бесполезны
to Harry33
|
Ради этих нескольких человек я думаю сделать исключение будет не проблема.
