miércoles, 10 de noviembre de 2010

Auditar el AD

Este post nos permitirá sacar informes muy útiles a la hora de hacer una revisión bastante completa de nuestro AD, todas las pruebas realizadas se realizarán con herramientas de Microsoft en la que nos informa que ningún test alterará el estado de nuestra infraestructura.

Observareis que algunos test comparten información lo que no todos la detallan de igual manera.

De momento recomiendo estos 5+1 Test que seguro sorprenden sus resultados y la información mostrada

Test 1: Microsoft IT Environment Health Scanner

De todos los test propuestos este es el que menos datos del AD vamos a extraer, pero he considerado que la información extraida puede ser interesante.





La pantalla siguiente te da opción de parchear el pc, yo la desmarco para no modificar nada






Test 2. Informe General AD y DNS 

Para DNS los datos los extraeremos de nuestro AD con la herramienta DCDIAG y los siguientes parámetros:DCDIAG /test:DNS /DNSALL /e /v 


Para ver mas datos lo mejor es hacer:DCDIAG /e /v /c

Aunque estés logeado como administrador, para asegurarse que las pruebas anteriores se hacen correctamente abrir el cmd de la siguiente manera:



Test 3. Risk and Health Assessment Program for Active Directory
 
Informe de Riesgos y Salud: Risk and Health Assessment Program for Active Directory (ADRAP) – Scoping Tool v1.6




 Empezamos con el Test:


Nos explica que hace cada test:


Nos permite añadir comentarios al informe de cada test específico


Nos descubríra los dominios de nuestro AD y los DC que tenemos


Arranca las pruebas


El "View Log" nos permite ver detalles más técnicos.

No da una primera pantalla general del resultado de las pruebas, en la que podemos seleccionar el servidor que queramos. En la pantalla inferior nos aconsejará de posibles resoluciones.


El "View Log" detallará la información anterior

Finalmente nos formateará un informe detallado de todos los resultados preparado para presentar:

 

También tiene un log de los datos del proceso.





Test 4: Sincronismo del AD 

Para saber si tenemos bien sincronizados nuestros servidores nos puede ayudar mucho el comando W32tm /monitor


Aquí vemos el tiempo que tenemos de diferencia contra nuestro servidor principal (azul) y posibles anomalías (rojas), a parte de un listado de nuestros DC.

Test 5: Último Logon en nuestro AD

Verificar si hay usuarios que en meses o en años no se están autentificando y eliminarlos para evitar agujeros de seguridad. http://gonsystem.blogspot.com/2010/11/ultimo-logon-en-el-ad.html


Test 6: Topologia del AD - Mapa de nuestros DC's

Para complimentar el informe sería de gran ayuda un esquema en formato visio de como están nuestros DC

Test 7: Replicación AD.

Una manera centrarnos en confirmar si se nos están sincronizando bien nuestros DC sería a través del "repadmin"

repadmin /showrepl  -> estado de replicación
repadmin /replsummary -> no ayuda a ver rápidamente si hay errores.
repadmin /syncall  -> Hace un test de replicación
repadmin /kcc  -> Recalcula la topologia

repadmin /replicate -> fuerza la replicación contra un Servidor.

Test 8: Comparar ddbb de AD entre DC.

dsastat.: Compara la base de datos del AD entre diferentes servidores. Que siempre debería ser de igual tamaño.


Verificado en W2003.

GoN Rev v3 Feb. 2015

No hay comentarios: