Plynulá správa skupinových politik

V následujícím testu jsme proto prověřili sady nástrojů, které možnosti administrace Active Directory Group Policy v


V následujícím testu jsme proto prověřili sady nástrojů, které možnosti
administrace Active Directory Group Policy výrazně rozšiřují a poskytují pomoc
týkající se funkcionality pro kontrolu přístupů, reporting, řízení změn a
bezpečnostní audit.
Mezi čtyřmi testovanými balíky - jimiž jsou GPOVault od Desktop Standard; Group
Policy Guardian (GPG) a Group Policy Administrator (GPA) od NetIQ; Group Policy
Manager a Intrust for Active Directory od Quest Software; a Active
Administrator od ScriptLogic - je vítězem software NetIQ, a to díky rozsahu
funkcí, které kvalitativně vynikají zejména v oblasti auditování a řízení změn.
Dalším skvělým softwarem byl Quest, který se umístil na druhém místě hned za
vítězem. K jeho hlavním přednostem patří snazší ovládání, nicméně postrádal
některé důležité komponenty, jako je tzv. what-if analýza pro vypnuté/testovací
politiky a reporty typu snapshot-in-time (snímek v daném okamžiku).
Naše testování se točilo kolem toho, jak dobře tyto produkty pomáhají při
správě politik a sledování dodržování bezpečnosti prostřednictvím funkcí pro
řízení změn, reporting, auditování a administraci. Hodnocení funkcí pro řízení
změn se soustředilo na to, jak dobře byly produkty schopny udržovat
kontrolovaný, důvěryhodný stav pro každou z politik pomocí mechanismů, jako je
správa verzí, workflow schvalování, hlášení o změnách a návrat k předchozímu
stavu (rollback).
U nástrojů pro reporting jsme se zajímali o flexibilitu formátů nad rámec toho,
co Microsoft nabízí ve svém systému Microsoft Management Console (MMC).
Například jsme chtěli mít možnost provádět srovnání mezi různými verzemi
skupinových politik (Group Policy), prohlížet aktuální nastavení politik a
vytvářet reporty typu Resultant Set of Policies (RsoP, Výsledná sada zásad),
jež poskytují analytické informace ukazující plnou implementaci politiky.
Úspěšný audit v tomto testu znamenal, že jsme mohli sledovat úplnou cestu změn.
Stejně tak jsme chtěli mít přehled o tom, jaká politika byla platná ve
specifickém bodě v čase. Administrace se pak soustředila na klíčovou
funkcionalitu pro správu skupinových politik (Group Policy) včetně detailní
kontroly přístupů, off-line nebo what-ip analýzy, zálohování/archivace politik
a celkové jednoduchosti použití.
Každý z testovaných produktů se mohl pochlubit podobnou základní funkcionalitou
pro reporting, historii změn a kontrolu změn, avšak u každého byla
implementována odlišným způsobem. U některých produktů, jako třeba u Desktop
Standardu, výrobci stavějí na administračních nástrojích Microsoftu, zatímco
ostatní, například NetIQ, poskytují úplně odlišnou správní konzoli. NetIQ dále
sleduje existující logy auditů, zatímco Quest kontroluje přímo události v
Active Directory. NetIQ používá svůj vlastní interní systém pro kontrolu
přístupů a naproti tomu ScriptLogic spoléhá na nativní oprávnění Active
Directory. A konečně ScriptLogic provádí změny přímo do Active Directory,
zatímco Desktop Standard implementuje proxy. Žádný přístup se nedá jednoznačně
označit za dobrý nebo špatný, každý má nicméně jiný dopad na celé prostředí.

NetIQ
Společnost NetIQ do testů poskytla dva produkty: Group Policy Administrator
(GPA), jenž nabízí funkce pro správu skupinových politik a řízení změn, a Group
Policy Guardian (GPG), který při monitorování skupinových politik spoléhá na
nativní audit Active Directory a posílá varovná hlášení týkající se různých
předem nakonfigurovaných aktivit.
GPA a GPG jsme nainstalovali na doménový členský server (domain member server)
Active Directory, na němž běžel SQL Server a všechny nezbytné systémy. Konzole
je vlastně MMC snap-in se vzhledem vycházejícím z Windows. Přes nástroj
založený na příkazové řádce dodávaný s GPA jsme pak úspěšně naimportovali plnou
Group Policy pro naši testovací doménu. Byli bychom nicméně raději, kdyby byla
tato funkcionalita dostupná přímo přes grafické rozhraní (GUI) produktu.
Politiky jsou následně kopírovány do off-line úložiště SQL Serveru, takže změny
mohou být testovány a schváleny před tím, než jsou zavedeny do produkčního
prostředí.
Group Policy Guardian sestává z několika komponent - z databáze, reportingu,
serveru, sběrného modulu (collectoru) a konzole. Reportingový modul analyzuje
data v databázi a vytváří požadované reporty. Server analyzuje změny provedené
v Active Directory a posílá informace do databáze. Sběrný modul sleduje samotné
události v Active Directory (specificky události, jež mají podle Microsoftu ID
560, 565 a 566) a určuje, zda by měly být příslušné informace zaslány na
server. A konečně konzole poskytuje administrační rozhraní. Group Policy
Guardian obsahuje také konektory k monitorovacím produktům, jako jsou Microsoft
Operations Manager či NetIQ Security Manager a AppManager.
GPG poskytoval nejlepší prověřovací záznamy; lze jej také integrovat s Group
Policy Administratorem tak, aby podával varovná hlášení o autorizovaných i
neautorizovaných změnách v Active Directory, čímž se možnosti prověřovacích
záznamů dále zvýší.
Správa verzí prováděná přes Group Policy Administrator byla excelentní, neboť
vytváří specifická čísla verzí pro každé přihlášení (check-in) politiky. Navíc
odhlášené politiky jsme byli schopni jednoduše identifikovat prostřednictvím
změny ikony. Hlášení o změnách jsou v Group Policy Administratoru dostupná,
avšak pouze přes e-mail. Group Policy Guardian pak nabízí dodatečnou
funkcionalitu týkající se varovných hlášení.
Group Policy Administrator používá svůj vlastní interní bezpečnostní model pro
nastavení i udržování kontroly přístupů. Reporty GPA jsou snadno dostupné, jsou
ovšem generovány pouze v HTML formátu. Uvítali bychom, kdyby byly k dispozici
například také ve formátu PDF. Navíc bylo obtížné rychle určit, které změny
byly v diferenčních reportech provedeny.
K dispozici je také nástroj příkazové řádky pro tvorbu reportu, jenž ukazuje
aktuální GPA politiku ve kterémkoliv okamžiku - užitečná funkce, která by měla
být začleněna do grafického rozhraní front-endu. Resultant Set of Policies
(RsoP) reporting je rovněž k dispozici.
Možnosti zálohování byly v případě NetIQ velmi flexibilní, neboť poskytovaly
zálohování úplných politik i specifických objektů. Navíc plná záloha byla
vytvořena před tím, než byly jakékoliv nové politiky zavedeny do produkčního
provozu, což se hodí pro případ, je-li nutné provést návrat k původnímu stavu.
Díky možnosti prohlížení historie nabízeného Group Policy Administratorem jsme
mohli vzít kteroukoliv politiku zpět.
Obzvláště zajímavou funkcí produktu NetIQ byl účet služby překrytí exportu
(export override service account), který dává administrátorovi adresáře
oprávnění modifikovat produkční Active Directory na omezené množině účtů. NetIQ
proti Active Directory nabízí také unikátní možnost provádět kontroly stavu
(health check).

Quest Software
Firma Quest Software do testu poskytla kombinaci produktů Group Policy Manager
a Intrust for Active Directory. Group Policy Manager obsahuje nástroje pro
administraci adresáře, Intrust for Active Directory (založen na produktu
Intrust for Windows pro sběr informací z logů a podávání hlášení) ukládá data o
událostech týkající se skupinových politik do databáze SQL Server a generuje
hlášení a reporty o záznamech (pokud je na ně dotázán). Přístup Questu
nevyžaduje, aby bylo za účelem shromažďování logů povoleno auditování Active
Directory, nýbrž spoléhá na vlastního agenta umístěného na doménovém
kontroléru. Ten sleduje události a posílá je do databáze. Ještě nutno dodat, že
oba produkty jsme bez problémů nainstalovali na doménový členský server.
Vývojáři Questu by v rámci Group Policy Manageru mohli zlepšit míru podrobnosti
u své kontroly přístupů. Když přijde na správu politik, určitým rolím s různými
právy jsou přiděleny až čtyři skupiny. Ostatní testované produkty nám umožnily
nastavit kontrolu přístupů pro každý objekt až ke specifickým uživatelům.
Správa verzí a funkcionalita pro přihlašování/odhlašování (check-in/check-out)
byla v Group Policy Manageru nejlepší ze všech produktů, které jsme testovali.
Čísla verzí jsou každé modifikované politice přidělována po desetinných
přírůstcích, dokud není nová verze oficiálně schválena, zavedena do produkce a
zaregistrována jako verze s celým číslem. Odhlášené politiky jsou přesouvány do
separátní složky, zatímco změny čekají na schválení. Politiky mohou být
exportovány pro off-line testování, avšak testovací funkcionalita není přímo v
produktu vestavěna.
K funkcím pro návrat do předchozího stavu se můžete dostat přes programového
průvodce pro dodržování politik v rozhraní Group Policy Manageru. Jeho
spuštěním dojde k porovnání současného GPO proti off-line verzi, která má být
nasazena do produkce. Jestliže jsou průvodcem zjištěny a ohlášeny jakékoliv
nesrovnalosti, můžete zvolit možnost navrátit se ke dřívějším verzím politik
uvedených v tabulce historie.
Reporty poskytované Group Policy Managerem ve formátu HTML by mohly být lépe
čitelné. Navíc jsme zjistili, že identifikace rozdílových informací není tak
jasná, jak by mohla být. V Group Policy Manageru vybíráte srovnávací reporty z
rozbalovacího seznamu; u ostatních testovaných produktů jsme pouze myší
zvýraznili dvě politiky. Ačkoliv to není nijak významný rozdíl, druhá z obou
metod je z hlediska použití jednodušší.
Intrust for Active Directory poskytuje úplný prověřovací záznam, avšak snímek
dat můžete získat pouze revizí historie jednotlivých politik. Musíte přitom
projít historii každé skupinové politiky, abyste zjistili, co bylo ve
kterémkoliv časovém okamžiku v platnosti. Poté pro každou politiku ještě
provedete diferenční analýzu, abyste určili, co se od jednoho okamžiku ke
druhému změnilo. Dostupné jsou také RSoP reporty, avšak testovací scénáře pro
tzv. what-if analýzu nikoliv.

ScriptLogic
Active Administrator - ačkoliv jde podle našeho názoru o silný produkt -
postrádá workflow pro schvalování změn v politikách a využívá tabulkovou
konzoli, která není tak intuitivní jako u jiných produktů v testu.
Instalace Active Administratora na doménový server a nezbytného agenta na
doménový kontrolér byla bezproblémová. Pro ukládání logů událostí jsme využili
zabudovanou databázi Microsoft SQL Server 2000 Desktop Engine.
Active Administrator vyžaduje, aby bylo na doménových kontrolérech povoleno
auditování Active Directory a aby pak softwarový agent běžící na těchto
strojích sbíral a četl záznamy z logu bezpečnostních událostí. Administrátoři
přitom určují, které události spouštějí varovná hlášení, jež pak mohou být
zasílána e-mailem na určené adresy.
Správa verzí zajišťuje sledování podle data a času a lze se k ní dostat přes
rozhraní historie politik. Verzím ale nejsou přidělovány značky nebo čísla, na
něž by pak bylo možné jednoduše odkazovat. Politiky mohou být odhlašovány do
off-line úložiště umístěného v lokálním souborovém systému pro testování, ovšem
GPO Vault nezahrnuje workflow proces pro schvalování změn před tím, než jsou
postoupeny do produkce. Změny politik jsou prováděny přímo v Active Directory,
přičemž standardní přístupová práva omezují, kdo je schopen tyto změny provádět.
Návrat k předešlé konfiguraci se ukázal jako možný a velmi detailní, neboť
poskytoval návrat až ke specifickým objektům. Zálohy pak lze provádět na úrovni
jednotlivých objektů, přičemž jsou automatizovány tak, aby probíhaly v
nastavených intervalech. Oba procesy byly v našem testovacím prostředí velmi
rychlé.
Reporty jsou dostupné v mnoha formátech, jde však v podstatě o formátované
záznamy logů, které neposkytují žádné prostředky pro rychlou identifikaci
konkrétních změn. Lze vytvářet i RSoP reporty, které zahrnují také what-if
analýzu.
Nezpracovaný log soubor změn je k dispozici i jako prověřovací záznam, uvítali
bychom však lépe formátovaný report se snáze identifikovatelnými informacemi.

Desktop Standard
GPOVault společnosti Desktop Standard se ukázal velmi slibným produktem,
nicméně aby se stal konkurenceschopným systémem pro podnikové prostředí, musejí
do něj vývojáři přidat další funkce, jako jsou integrovaný RSoP reporting,
what-if analýza, detailní výstupní sestavy prověřovacích záznamů a reporty
snímků v daném časovém okamžiku.
GPOVault, který pracuje jako služba na členském serveru a funguje jako proxy
pro provádění změn v Active Directory, se soustřeďuje na rozšíření
funkcionality nativních nástrojů Active Directory. Dokonce spoléhá i na
standardní konzoli Microsoftu pro správu skupinových politik.
GPOVault poskytuje ke standardnímu rozhraní Active Directory doplňující tabulky
včetně těch, jež prezentují historická data politik, přidávají rozšíření pro
všechny objekty a nabízejí složku kontroly změn pro každou doménu.
GPO Vault nabízí čtyři stupně přístupu - Administrator, Approver, Reviewer a
Editor, které nabízejí detailní možnosti kontroly přístupů až na úroveň
jednotlivých politik.
Zjistili jsme, že verze politik jsou označovány pouze pomocí data a času. Více
by se nám ale zamlouvalo, kdybychom mohli odkazovat jednoduše pomocí
přidělování unikátních čísel verzí. Samostatná čísla identifikují počítače a
uživatele, kteří provádějí změny, nebyli jsme ale schopni přijít na způsob, jak
tato čísla jednoduše asociovat se specifickými jmény strojů.
Přihlašování a odhlašování (check-in/check-out) lze provádět prostřednictvím
ikon, jež jednoduše signalizují stav politiky. K dispozici je i mechanismus
workflow, který vyžaduje přesouvání politik do složky nevyřízených, kde jsou
připraveny ke schválení. Návrat do předchozího stavu (rollback) je prováděn
snadno přes tabulku historie. Následně už jen vyberete politiku a kliknete na
tlačítko pro její nasazení. GPO Vault nabízí i plné zálohy politik, musejí být
ale vytvářeny manuálně.
Diferenční reporty jsou rovněž k dispozici a řadily se mezi testovanými
produkty k těm nejlepším. Položky byly označeny barevně, což nám dovolovalo
rychle identifikovat změny provedené mezi jednotlivými verzemi. Reporty jsou
dostupné v HTML nebo XML formátu. RSoP reporting a what-if analýzu tento
produkt nenabízí. Navíc reporty prověřovacích záznamů a snímků stavu v daném
okamžiku opět nejsou pohotově k dispozici. Log pro audit i snímek v čase můžete
dát dohromady porovnáváním různých verzí politik v sekci historie, byli bychom
nicméně raději, kdyby byly pro tuto funkcionalitu vytvořeny zvláštní reporty.

Poznatky z testu
Celkově se dá říci, že testované produkty poskytly základní funkcionalitu pro
zlepšení správy změn, administrace i auditu skupinových politik. U všech
nástrojů bychom uvítali lepší reporting, a speciálně pak možnost vytvářet
zákaznické reporty, týkající se změn provedených v dané politice, na základě
voleb podle definovaného rozsahu dat, uživatelů či modifikovaných objektů.
NetIQ umožňuje najít tyto informace prostřednictvím utility dostupné přes
příkazovou řádku, bylo by však lepší, kdyby tato funkce byla zahrnuta do
reportingového enginu.
Ocenili bychom také lepší a flexibilnější workflow procesy, a to opět u všech
prověřovaných produktů. Workflow by mělo být možné uživatelsky přizpůsobit pro
různé organizační procesy. Užitečný by byl i odlišný způsob identifikace změn,
které vyžadují schválení. V současnosti je nejlepší cestou k těmto informacím
provedení diferenčního reportu. Vylepšení by si zasloužily i použité metody
varování, kde by byly užitečné třeba SNMP traps. Nebylo by tak nutné spoléhat
se pouze na notifikaci e-mailem.
Nástroje pro administraci Group Policy možná nezabírají přední místa na seznamu
požadavků bezpečnostních týmů, zjistili jsme však, že tyto produkty mohou
přinést výrazná zlepšení do oblasti řízení změn, kontroly přístupů a auditu ve
kterékoliv instalaci Active Directory. Mnohé ze změn prováděných v tomto
prostředí přitom mají kritický dopad na infrastrukturu organizací, a měly by
tedy být náležitě zabezpečeny.Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.