Windows管理員發(fā)現(xiàn)Windows Server 2008和之后版本中的活動(dòng)目錄審計(jì)工具并不能滿(mǎn)足他們的需求，因此他們轉(zhuǎn)向了第三方。盡管活動(dòng)目錄含有追蹤目錄服務(wù)變更的本地策略，但管理員可以找到其他的工具來(lái)緩解監(jiān)管合規(guī)、安全與監(jiān)控。

在我之前的文章《使用第三方工具實(shí)現(xiàn)活動(dòng)目錄合規(guī)審計(jì)》中，向大家介紹了ManageEngine的ADAudit Plus、Dell的ChangeAuditor for Active Directory和LepideAuditor for Active Directory。它們具有類(lèi)似的活動(dòng)目錄數(shù)據(jù)處理能力，當(dāng)然還包括下面這兩款第三方產(chǎn)品：

Netwrix Auditor

Netwrix Auditor監(jiān)控你的活動(dòng)目錄基礎(chǔ)設(shè)施以檢測(cè)、捕捉和完善審計(jì)數(shù)據(jù)。它能跟蹤誰(shuí)發(fā)生了什么改變，什么時(shí)候發(fā)生的，哪里發(fā)生的。Netwrix Auditor還支持許多其他平臺(tái)，包括Exchange Server、SQL Server和SharePoint Server。

收集：Netwrix Auditor集中收集動(dòng)目錄和組策略配置的數(shù)據(jù)動(dòng)態(tài)變更，包括之前和之后的值。它還可以捕獲目錄快照。Netwrix Auditor使用了AuditAssurance技術(shù)，從多個(gè)獨(dú)立源整合審計(jì)數(shù)據(jù)，包括事件日志、快照配置和歷史記錄更改。

報(bào)告：Netwrix Auditor可以生成報(bào)告，顯示所有用戶(hù)和管理員的活動(dòng)。報(bào)告可以基于動(dòng)態(tài)變化或快照數(shù)據(jù)，使用任何可用的存檔信息生成。管理員也可以設(shè)定自動(dòng)報(bào)告交付。

提醒：Netwrix Auditor支持實(shí)時(shí)警報(bào)，提醒不適當(dāng)或高風(fēng)險(xiǎn)的活動(dòng)目錄的修改。警報(bào)是基于可定制的通知模板，以電子郵件或文本消息方式發(fā)送。

存檔：所有審計(jì)數(shù)據(jù)壓縮并寫(xiě)入一個(gè)集中的數(shù)據(jù)庫(kù)，數(shù)據(jù)庫(kù)可以保留數(shù)據(jù)達(dá)七年或更長(zhǎng)時(shí)間。任何時(shí)期被收集的數(shù)據(jù)都提供了所有活動(dòng)目錄和組策略變更的完整的審計(jì)歷程。

PowerBroker Auditor for Active Directory

來(lái)自BeyondTrust的PowerBroker Auditor for Active Directory提供了集中的、實(shí)時(shí)的變更審計(jì)以及取消不必要的修改的能力。這款工具可擴(kuò)展，容易部署，能自動(dòng)整合到本地管理工具如Active Directory Users and Computers。

收集：PowerBroker使用一個(gè)單獨(dú)的代理來(lái)收集活動(dòng)目錄和組策略的變化數(shù)據(jù)，無(wú)需依賴(lài)事件日志或修改組策略對(duì)象或系統(tǒng)訪(fǎng)問(wèn)控制列表。所有更改數(shù)據(jù)包括新舊值以及主機(jī)名或IP地址的改變。

警報(bào)：PowerBroker包括一個(gè)廣闊的內(nèi)建報(bào)告庫(kù)，包括安全性、業(yè)務(wù)操作管理和合規(guī)性。另外，該產(chǎn)品提供了一套審計(jì)視圖，可洞察存儲(chǔ)在中央數(shù)據(jù)庫(kù)的數(shù)據(jù)。視圖數(shù)據(jù)還可以輸出為PowerBroker報(bào)告。PowerBroker使用SQL Server Reporting Services（SSRS）以通俗易懂的語(yǔ)言顯示出事件數(shù)據(jù)。管理員們還可以創(chuàng)建自定義報(bào)告和審計(jì)視圖。

警報(bào)：在任何可審計(jì)的變化發(fā)生在活動(dòng)目錄和組策略時(shí)，PowerBroker會(huì)發(fā)出實(shí)時(shí)警報(bào)。

存檔：活動(dòng)目錄和組策略中所有審計(jì)的變更存儲(chǔ)在一個(gè)中央數(shù)據(jù)庫(kù)，中央數(shù)據(jù)庫(kù)為審計(jì)視圖和SSRS報(bào)告提供數(shù)據(jù)。該數(shù)據(jù)庫(kù)還包含構(gòu)建特定對(duì)象審計(jì)跟蹤的必要數(shù)據(jù)。此外，PowerBroker的恢復(fù)功能可以訪(fǎng)問(wèn)數(shù)據(jù)庫(kù)以撤消更改。

選擇審計(jì)和報(bào)告工具

當(dāng)考慮審計(jì)和報(bào)告系統(tǒng)時(shí)，你應(yīng)該考慮到它們的特征——特別是數(shù)據(jù)收集、報(bào)告、報(bào)警和歸檔——以及每個(gè)供應(yīng)商的支持服務(wù)和通用金融穩(wěn)定。

你也要考慮公司的授權(quán)模式以及域的大小和用戶(hù)數(shù)量對(duì)此產(chǎn)生的影響。此外，你應(yīng)該考慮活動(dòng)目錄的替代實(shí)施方案。你需要在控制器安裝代理嗎？通過(guò)事件日志或活動(dòng)目錄應(yīng)用程序編程接口收集數(shù)據(jù)是解決方案嗎？

確保你的選擇能夠提供可審計(jì)的數(shù)據(jù)和生成你所需要的能夠輕松展示組織合規(guī)性的報(bào)告。同時(shí)，你可以考慮這個(gè)工具審計(jì)之外的功能。它會(huì)幫助IT進(jìn)行故障排除或變更管理嗎？額外的審計(jì)系統(tǒng)呢，如Exchange Server或SharePoint Server？

你可能還想了解回滾到活動(dòng)目錄之前狀態(tài)的功能。選擇審計(jì)和報(bào)告工具時(shí)，需要考慮很多因素，但是這些第三方活動(dòng)目錄審計(jì)工具能夠提供幫助。