[VladDV]

Наверное я слишком общий вопрос задал. Попытаюсь конкретизировать, что нужно:

1) Изменения в AD (создание/изменение/удаление пользователей, групп, объектов и т.п., изменения групповых политик).
2) Появление новых компьютеров в сети, изменения соответствия MAC/IP.
3) Вход под локальным администратором. Создание локальных пользователей.
4) Запуск процессов, не свойственных сети (предполагается, что список использующихся процессов составлен).
5) Изменения на шлюзовых машинах (ISA, Linux).
6) Использование в сети снифферов, vpn-туннелей и т.п.

Может кто частично решал подобные задачи? С какими подводными камнями столкнулись? Например, изменения в AD можно контролировать через встроенный аудит, но во-первых, как организовать уведомления о важных изменениях, а во-вторых, какие события вообще отслеживать? Я как-то включал аудит AD, там журналы ТАК росли, что не то что реагировать, просто просматривать события нереально.

[crouler]

Цитата VladDV:

Сотрудник работает в другом городе »

- в параметрах межсетевого экрана можно запретить доступ к серверу из интернет и оставить только доступ по RDP - тогда удалённый содрудник не воспользуется другим способом подключения кроме как к рабочему столу. Через лог межсетевого екрана можна просмотреть время подключения даного сотрудника к серверу! В системе есть аудит системных событий (Администрирование - Просмотр событий)! Необходимо настроить свойства меню "Безопасносность" вкладка "Фильтр" - там можно выставить параметр отслеживания действий по имени пользователя.

Цитата VladDV:

1) Изменения в AD (создание/изменение/удаление пользователей, групп, объектов и т.п., изменения групповых политик). »

и т.д. - сотрудник, которого Вы подозреваете, не должен входить в группу с администраторскими привелегиями (можно просто оставить ему доступ для работы с теми программами, которые ему не обходимы), а самого сотрудника перевести в группу "Пользователи " присвоиав ему членство в группах "Пользователи домена" и "Пользователи сервера терминалов". Уведомить руководство (письменно) о возможных проблеммах с сотрудником и о ряде проведённых мероприятий!

[VladDV]

crouler, проблема в том, что по должостным обязанностям он должен мочь ввести/вывести клиентский комп в домен, установить на него ПО, подключить принтер. Под удаленной работой понимается удаленный филлиал, в котором он сидит и соответственно имеет физический доступ к филлиальным серверам. Руководство уведомлено.
Вообще конечно я буду вводить определенные ограничения в зависимости от роли сотрудника, но поскольку это необычный сотрудник, все обрезать ему нельзя. Это касается даже не конкретно этого человека, а в принципе - удаленно могут работать люди, которых я вообще в глаза не видел, но им нужно выполнять обязанности по обслуживанию сети своего филлиала (поставить комп, ввести в домен, подключить принтер и т.п.). Для этого ему нужны повышенные привилегии. Соответвтенно можно ожидать разных действий.

[El Scorpio]

Цитата VladDV:

удаленно могут работать люди, которых я вообще в глаза не видел, но им нужно выполнять обязанности по обслуживанию сети своего филлиала »

выделить для филиалов отдельные поддомены

[VladDV]

Цитата El Scorpio:

выделить для филиалов отдельные поддомены »

Как-то не хочется плодить домены ради 15-20 сотрудников в филлиале. Программное обслуживание серверов, ГП, клиентских станций будет производится с центра. Наверное действительно нужно уделить достаточно внимания, чтобы ограничить доступ остальным к AD как к сердцу сети и к шлюзам. Дальше можно поставить какой-нибудь nagios для мониторинга работоспособности основных служб и если возможно такое - включить повышенный аудит на всех серверах для выбранных учетных записей, а в системе мониторинга поставить детект на важные события (например, создание пользователя в AD). А для обнаружения сканеров сетей и т.п. можно поставить Snort. Только насчет него неуверен, т.к. скорее всего ресурсов он кушает много, а отдельный сервер (пусть даже это обычный комп) ставить под такую задачу как-то не хочется. Всего этого наверняка будет достаточно для эффективного контроля.
Если есть у кого опыт использования снорта, буду рад услышать мнения - стоит оно того или ну его?

[kim-aa]

Для контроля за суперпользователями обычно применяют средства с внешними серверами регистрации и учета:
- Cisco Security Agent (Увы снимается с производства, правда и цена для партнеров уменьшена до 10%)
- Symantec Critical System Protection


Либо при развертывании AD применяют схему с отдельно выделенными контроллерами схемы

[Nikitos]

Цитата VladDV:

проблема в том, что по должостным обязанностям он должен мочь ввести/вывести клиентский комп в домен, »

Любой пользователь домена по умолчанию может ввести в него до 10 машин.

Цитата VladDV:

но им нужно выполнять обязанности по обслуживанию сети своего филлиала »

Не давайте ему прав администратора домена, делегируйте необходимые полномочия.
Если все администрирование производится из головного офиса, может имеет смысл поставить контроллер домена только для чтения ?
Защитить данные в сети (документы office, а так же другх RMS совместимых программ) можно при помощи AD RMS.
Наблюдать за несанкционированными действиями сотрудника вы можете (как говорилось выше), с помощью системы аудита винды, а так же программ сторонних разработчиков.

[VladDV]

Всем спасибо! Последние два поста прямо в точку.

Nikitos, про контроллер только для чтения я думал, но не стал (пока что) ставить по двум причинам - нет опыта его использования, мало ли, какие всплывут подводные камни, а ставить нужно было в другой город. А во-вторых, он требует минимум одного DC на базе Win2008 для записи. А у меня таковой только один, который поставлен временно для поддержки GP Preferences. Рискованно завязывать ифраструктуру на один обычный ПК Переводить на 2008й основные контроллеры времени не было.

А вот тему делегирования я незаслуженно обошел стороной, раньше не нужна была и не знал, что у нее такие широкие возможности. А она похоже как раз для этих целей создавалась. Сейчас нашел отличную статью:

http://www.oszone.net/4435/Active_Directory

начну делать подобное.

Ответ на свой вопрос я получил полностью, спасибо