Audit di Active Directory con PRTG

Active Directory (AD) è un servizio di directory creato da Microsoft per essere utilizzato in un ambiente Windows Server. IT fornisce funzioni di autenticazione e autorizzazione e un framework per altri servizi correlati. La directory stessa è un database LDAPS che contiene oggetti AD collegati in rete.

L'auditing di Active Directory è il processo di tracciamento e registrazione degli eventi che si verificano in un ambiente AD. Ciò include azioni quali login, modifiche agli account utente, accesso a file o risorse e attività amministrative. L'auditing aiuta le organizzazioni a mantenere la sicurezza, la conformità e la responsabilità, fornendo un registro dettagliato di chi ha fatto cosa, quando e da dove all'interno della rete. I componenti tipici del processo di audit sono le politiche di audit, i log di audit e i rapporti di audit.

Una delle molte funzioni di Active Directory è quella di guardiano della rete: controllare quali utenti possono utilizzare le risorse della rete e il loro livello di interazione con tali risorse. Condivisioni di file, file server, applicazioni, accesso a Internet, stampanti: tutti dipendono da Active Directory per consentire o negare l'accesso. Per questo motivo, per gli amministratori di sistema è di vitale importanza tenere sotto controllo il modo in cui AD protegge tali risorse.

Microsoft ha incluso in AD eccellenti funzioni di audit. I log on/log off, l'accesso agli oggetti, le modifiche ai criteri, la gestione degli account e molte altre attività lasciano registri dettagliati nel registro eventi di sicurezza di Windows. Purtroppo, anche per una rete di piccole dimensioni, l'auditing di AD può creare un numero enorme di eventi di registro, rendendo molto difficile tenere traccia di quelli veramente importanti. Strumenti di auditing di Active Directory come PRTG aiutano a tenere traccia di questi eventi e ad avvisare se qualcosa non funziona come dovrebbe.

Un audit di Active Directory (AD) coinvolge diversi aspetti critici della sicurezza per garantire l'integrità, la disponibilità e la riservatezza dell'ambiente AD. Ecco alcuni aspetti chiave della sicurezza tipicamente coinvolti in una verifica AD

Gestione degli account manager

• Provisioning e de-provisioning degli account: Assicurarsi che gli account utente siano creati, modificati e disattivati secondo le politiche stabilite e che gli account inattivi siano prontamente disattivati.
• Account privilegiati: Verificare l'utilizzo e la gestione degli account privilegiati per assicurarsi che siano utilizzati in modo appropriato e non siano eccessivamente privilegiati.

Politiche sulle password

• Requisiti di complessità: Verificare che le politiche sulle password applichino i requisiti di complessità per evitare password deboli.
• Scadenza e rotazione: Verificare che le password siano impostate per scadere periodicamente e che gli utenti siano tenuti a cambiarle regolarmente.
• Blocco dell'account: Assicurarsi che siano in vigore politiche di blocco degli account per prevenire gli attacchi brute force.

Oggetti dei criteri di gruppo (GPO)

• Configurazione dei criteri: Esaminare le GPO per assicurarsi che siano configurate secondo le best practice di sicurezza e le politiche organizzative.
• Applicazione e ambito: Assicurarsi che le GPO siano applicate correttamente e che siano assegnate agli utenti e ai computer appropriati.

Controlli di accesso

• Autorizzazioni e diritti: Controllare le autorizzazioni sugli oggetti critici di AD (ad esempio, unità organizzative, account utente) per garantire che siano impostate secondo il principio del minimo privilegio.
• Controllo dell'accesso basato sui ruoli (RBAC): Verificare che l'accesso sia concesso in base ai ruoli e alle responsabilità.

Auditing e logs

• Registro eventi: Assicurarsi che la registrazione sia abilitata per le attività AD critiche, come gli eventi di registro, le modifiche agli oggetti AD e le azioni amministrative.
• Revisione dei log: Esaminare e analizzare regolarmente i logs alla ricerca di segni di attività sospette o non autorizzate.

Configurazione della sicurezza

• Impostazioni di sicurezza di base: Verificare che l'ambiente AD sia conforme alle impostazioni e alle configurazioni di sicurezza di base.
• Gestione delle patch: Assicurarsi che i server AD e i controller di dominio siano regolarmente aggiornati con le patch di sicurezza.

Replicazione e disponibilità

• Salute della replica: Controllare la salute e la configurazione della replica di AD per garantire la coerenza dei dati tra tutti i controller di dominio.
• Backup e ripristino: Verificare che i backup di AD siano eseguiti regolarmente e che le procedure di ripristino siano testate.

Account di servizio

• Utilizzo e gestione: Verificare gli account di servizio per assicurarsi che siano utilizzati in modo appropriato e che abbiano le autorizzazioni minime necessarie.
• Gestione delle password: Assicurarsi che le password degli account di servizio siano gestite in modo sicuro, con modifiche periodiche e conservazione adeguata.

Politiche di sicurezza

• Conformità: Assicurare che le politiche AD siano conformi ai requisiti di sicurezza organizzativi e normativi.
• Applicazione dei criteri: Verificare che i criteri di sicurezza siano applicati in modo coerente in tutto l'ambiente AD.

Sicurezza fisica

• Sicurezza dei controller di dominio: Garantire che l'accesso fisico ai controller di dominio sia limitato e monitorato.

Risposta agli incidenti

• Monitoraggio e avvisi: Assicurarsi che esistano meccanismi per rilevare e rispondere agli incidenti di sicurezza nell'ambiente AD.
• Procedure di gestione degli incidenti: Verificare l'esistenza di procedure chiare per la gestione degli incidenti di sicurezza in AD.

Conformità e rapporti

• Requisiti normativi: Assicurarsi che le configurazioni e le pratiche di AD soddisfino i requisiti normativi e di conformità pertinenti (ad esempio, GDPR, HIPAA).
• Rapporti di audit: Generare ed esaminare rapporti per documentare la conformità e identificare le aree di miglioramento.

No. PRTG è un software di monitoraggio di rete proprietario che consente di tenere sotto controllo l'intera infrastruttura IT, compresi i dati relativi al traffico di dati:

• Monitoraggio SSL: PRTG determina il grado di protezione delle connessioni. È quindi possibile sapere se le connessioni sono forti, deboli o non sono affatto protette.
• Monitoraggio del ping: PRTG utilizza il ping per verificare la disponibilità di tutti i dispositivi di rete. Se il ping fallisce, si riceve una notifica immediata.
• Monitoraggio QoS: La linea è disturbata? Le videochiamate cadono continuamente? Se è così, c'è un problema di qualità del servizio. PRTG consente di impostare un monitoraggio QoS semplice ed efficace e di monitorare valori quali latenza e jitter).
• Monitoraggio dei performance counter di Windows: Individuare i colli di bottiglia della rete, migliorare le prestazioni del sistema e delle applicazioni e ottenere informazioni sulle applicazioni in esecuzione su un server IIS utilizzando i contatori delle prestazioni di Windows.
• Monitoraggio del server web: PRTG è in grado di monitorare la disponibilità dei server web, comprese CPU, memoria, prestazioni del server web, tempi di caricamento e altro ancora.
• E molto altro ancora

Se utilizzate Microsoft Entra ID (ex Azure AD) e volete tenere d'occhio ciò che accade, abbiamo pensato anche a voi.

Impostate, ad esempio, un sensore Microsoft Azure Subscription Cost per tenere sotto controllo i costi degli abbonamenti. Oppure create un sensore personalizzato di PRTG per monitorare le attività che potrebbero rappresentare un rischio:

• Essere informati su accessi rischiosi, ad esempio da un paese insolito o sospetto
• Ricevere avvisi su attività di viaggio impossibili, ad esempio se un account si logga dalla Germania e due minuti dopo da Hongkong
• Controllare gli account AD che Microsoft ritiene siano esposti a un rischio
• Tenere d'occhio i nuovi dispositivi registrati per l'autenticazione a più fattori

In PRTG, i “sensori” sono gli elementi base del monitoraggio. Un sensore monitora solitamente un valore misurato nella tua rete (ad esempio, il traffico di una porta switch, il carico della CPU di un server o lo spazio libero di un’unità disco). In media, occorrono circa 5-10 sensori per ogni dispositivo o un sensore per ogni porta switch.