Handbuch
Transcrição
Handbuch
GFI LANguard Network Security Scanner 7 Handbuch GFI Software Ltd. http://www.gfisoftware.de E-Mail: [email protected] Die Informationen in diesem Dokument können ohne vorherige Ankündigung geändert werden. In den Beispielen verwendete Firmen, Namen und Daten sind, wenn nicht anders angegeben, rein fiktiv. Ohne vorherige ausdrückliche und schriftliche Zustimmung von GFI Software Ltd. darf dieses Dokument weder ganz noch teilweise in irgendeiner Form, sei es elektronisch oder mechanisch oder zu irgendeinem anderen Zweck, reproduziert bzw. übertragen werden. GFI LANguard ist ein urheberrechtlich geschütztes Produkt von GFI SOFTWARE Ltd. 2000-2006 GFI SOFTWARE Ltd. Alle Rechte vorbehalten. Version 7.0 – Letzte Aktualisierung: 03.04.2006 Inhaltsverzeichnis Einführung 1 Funktionsweise von GFI LANguard Network Security Scanner .................................... 1 Potenzieller Schwachpunkt interne Netzwerk-Sicherheit .............................................. 2 Hauptmerkmale von GFI LANguard N.S.S. ................................................................... 3 Komponenten von GFI LANguard N.S.S. ...................................................................... 4 Information zur Lizenzierung.......................................................................................... 7 Installieren von GFI LANguard N.S.S. 9 Systemanforderungen.................................................................................................... 9 Hinweise bei Einsatz von Firewalls................................................................... 9 Starten der Installation ................................................................................................... 9 Eingeben des Registrierschlüssels nach der Installation............................................. 13 Erste Schritte: Durchführen eines Sicherheits-Audits 15 Einführung.................................................................................................................... 15 Informationen zu Scan-Profilen (Liste der Sicherheits-lückenChecks/Tests) ................................................................................................. 15 Zugangsdaten für den Zugriff auf Zielrechner ................................................ 16 Wichtige Hinweise vor Scan-Beginn ............................................................... 16 Durchführen von Sicherheits-Scans mit Standardvorgaben........................................ 17 Durchführen eines Scans mit verschiedenen (standardmäßigen) Scan-Profilen................................................................................................................ 19 Durchführen eines Scans mit alternativen Zugangsdaten ........................................... 20 Direktes Starten von Sicherheits-Scans über die Werkzeugleiste .............................. 21 Erste Schritte: Analysieren der Scan-Ergebnisse 23 Einführung.................................................................................................................... 23 Analysieren der Scan-Ergebnisse................................................................................ 23 Vulnerabilities (Sicherheitslücken) .................................................................. 25 Potential Vulnerabilities (Potenzielle Sicherheitslücken) ................................ 29 Open Shares (Offene Freigaben) ................................................................... 30 Password Policy (Passwort-Richtlinien) ......................................................... 31 Registry (Registrierdatenbank) ....................................................................... 32 Security Audit Policy (Richtlinien für Sicherheits-Audits)................................ 33 Open Ports (Offene Ports) .............................................................................. 35 Users and groups (Benutzer und Gruppen).................................................... 36 Logged On Users (Angemeldete Benutzer).................................................... 37 Services (aktive Dienste) ................................................................................ 37 Processes (aktive Remote-Prozesse) ............................................................ 38 Applications (installierte Applikationen) .......................................................... 39 Network devices (Netzwerk-Hardware) .......................................................... 40 USB-Geräte..................................................................................................... 41 Anzeigen unautorisierter USB-Geräte als kritische Sicherheitslücken ............................................................................................ 42 System patching status (Status von Patches/Service Packs) ........................ 42 NetBIOS names (NetBIOS-Namen)................................................................ 43 Computer (Informationen zu gescannten Zielrechnern) ................................. 43 Sessions (aktive Sitzungen)............................................................................ 44 GFI LANguard N.S.S. Handbuch Inhaltsverzeichnis • i Remote time of day (Uhrzeit des Zielrechners) .............................................. 45 Local drives (Lokale Festplatten) .................................................................... 45 Speichern und Abrufen von Scan-Ergebnissen 47 Einführung.................................................................................................................... 47 Speichern von Scan-Ergebnissen in einer externen (XML-)Datei ............................... 47 Abrufen von Scan-Ergebnissen ................................................................................... 48 Abrufen gespeicherter Scan-Daten aus dem DatenbankBackend .......................................................................................................... 48 Abrufen gespeicherter Scan-Ergebnisse aus einer externen (XML-)Datei..................................................................................................... 49 Filtern von Scan-Ergebnissen 51 Einführung.................................................................................................................... 51 Anwenden von Filtern auf Scan-Ergebnisse................................................................ 52 Erstellen eigener Scan-Filter........................................................................................ 53 Konfigurieren von GFI LANguard N.S.S. 59 Einführung.................................................................................................................... 59 Scan-Profile.................................................................................................................. 59 Scans nach Zeitplan..................................................................................................... 60 Erstellen eines Scans nach festem Zeitplan................................................... 61 Konfigurieren der Zusendung von Scan-Berichten......................................... 63 Computer-Profile .......................................................................................................... 64 Informationen zur SSH-basierten Authentifizierung per Private Key-Datei ............................................................................................ 64 Erstellen eines neuen Computer-Profils ......................................................... 65 Ändern der Eigenschaften eines Computer-Profils......................................... 66 Verwenden von Computer-Profilen für einen SicherheitsScan ................................................................................................................ 66 Parameter-Dateien....................................................................................................... 67 Datenbankwartungsoptionen ....................................................................................... 68 Einführung....................................................................................................... 68 Konfigurieren des Datenbank-Backends ........................................................ 68 Speichern von Scan-Ergebnissen in einer Microsoft AccessDatenbank....................................................................................................... 69 Datenbank-Wartung – Verwalten gespeicherter ScanErgebnisse ...................................................................................................... 71 Datenbank-Wartung – erweiterte Optionen .................................................... 72 Scan-Profile 75 Einführung.................................................................................................................... 75 Einsetzen von Scan-Profilen........................................................................................ 77 Scannen eines lokalen Rechners mit dem "Default Scanning Profile"............................................................................................................. 77 Scannen eines lokalen Rechners mit dem "Applications Scanning Profile"............................................................................................. 77 Erstellen eines neuen Scan-Profils .............................................................................. 78 Anpassen eines Scan-Profils ....................................................................................... 80 Konfigurieren der TCP/UDP-Port-Scans...................................................................... 80 Aktivieren/Deaktivieren der TCP-Port-Scans.................................................. 80 Aktivieren/Deaktivieren der UDP-Port-Scans ................................................. 80 Anpassen der Liste zu scannender TCP/UDP-Ports ...................................... 81 Erweitern der Liste mit neuen TCP/UDP-Ports............................................... 81 Bearbeiten oder Entfernen eines Ports........................................................... 82 Konfigurieren des Abrufs von Betriebssystem-Daten .................................................. 83 Anpassen des Abrufs von Betriebssystem-Daten .......................................... 83 Konfigurieren der Optionen von Sicherheitslücken-Scans .......................................... 84 ii • Inhaltsverzeichnis GFI LANguard N.S.S. Handbuch Aktivieren/Deaktivieren von Sicherheitslücken-Scans.................................... 84 Anpassen der Liste zu kontrollierender Sicherheitslücken ............................. 84 Anpassen der Eigenschaften von Sicherheitslücken-Checks ........................ 85 Sicherheitslücken-Checks – erweiterte Optionen ........................................... 87 Konfigurieren der Patch-Scan-Optionen ...................................................................... 88 Aktivieren/Deaktivieren von Patch-Checks..................................................... 88 Anpassen der Liste zu kontrollierender Patches ............................................ 89 Verwenden der Suchfunktion für Sicherheitsbulletins .................................... 89 Konfigurieren der Scanner-Optionen ........................................................................... 90 Konfigurieren der Kontrolle extern angeschlossener Hardware .................................. 91 Aktivieren/Deaktivieren von Checks für installierte NetzwerkHardware......................................................................................................... 93 Anlegen einer Liste unautorisierter Netzwerk-Hardware ................................ 94 Anlegen einer Liste erwünschter/sicherer NetzwerkHardware......................................................................................................... 94 Konfigurieren erweiterter Scan-Optionen für NetzwerkHardware......................................................................................................... 95 Aktivieren/Deaktivieren von Checks für angekoppelte USBGeräte ............................................................................................................. 96 Anlegen einer Liste unautorisierter USB-Hardware........................................ 96 Anlegen einer Liste erwünschter/sicherer USB-Hardware ............................. 97 Konfigurieren der Kontrolloptionen für Anwendungen ................................................. 97 Aktivieren/Deaktivieren von Checks für installierte Anwendungen ................................................................................................. 98 Anlegen einer Liste unautorisierter Anwendungen ......................................... 99 Anlegen einer Liste erwünschter/sicherer Anwendungen ............................100 Aktivieren/Deaktivieren von Checks für Sicherheitsanwendungen..............................................................................100 Anpassen der Liste zu scannender Sicherheitsanwendungen.....................101 Konfigurieren von Sicherheitsanwendungen – erweiterte Optionen........................................................................................................102 GFI LANguard N.S.S. Programm-Updates 103 Einführung..................................................................................................................103 Versionskontrolle des Build und der N.S.S.-Datenbanken ........................................103 Downloaden von Software-Updates für Microsoft-Produkte in mehreren Sprachen ...................................................................................................104 Manuelle Programm-Updates ....................................................................................105 Suchen nach Software-Updates beim Start von GFI LANguard N.S.S. ....................106 Konfigurieren der beim Programmstart zu kontrollierenden Updates........................107 Patch-Verwaltung: Bereitstellung von Microsoft-Updates 109 Einführung..................................................................................................................109 Informationen zum Agent für die Patch-Bereitstellung .................................109 Informationen zu zurückgezogenen Patches................................................110 Verwaltung von Patches in unterschiedlichen Sprachen..............................111 Auswählen der Zielrechner zur Bereitstellung von Patches ......................................111 Bereitstellen fehlender Updates auf einem einzelnen Zielrechner ....................................................................................................112 Bereitstellen fehlender Updates für mehrere Zielrechner.............................112 Bereitstellen fehlender Updates auf allen Zielrechnern................................112 Auswählen bereitzustellender Patches ......................................................................113 Downloaden der Patch- und Service Pack-Dateien...................................................114 Abbruch aktiver Downloads ..........................................................................115 Konfigurieren alternativer Bereitstellungsparameter für Patch-Dateien (optional) ....................................................................................................................116 Bereitstellen von Updates ..........................................................................................117 Starten der Bereitstellung .............................................................................117 GFI LANguard N.S.S. Handbuch Inhaltsverzeichnis • iii Patch-Verwaltung: Installieren eigener Software 119 Einführung..................................................................................................................119 Auswählen der Zielrechner zur Bereitstellung eigener Software/Patches .......................................................................................................119 Festlegen der bereitzustellenden Software ...............................................................120 Beginnen der Bereitstellung.......................................................................................122 Patch-Bereitstellung nach Zeitplan ...............................................................122 Bereitstellungsoptionen..............................................................................................123 Vor der Bereitstellung durchzuführende Aktionen ........................................123 Nach Bereitstellung durchzuführende Aktionen............................................124 Erweiterte Bereitstellungsoptionen ...............................................................125 Vergleichen von Scan-Ergebnissen 127 Einführung..................................................................................................................127 Interaktives Vergleichen von Scan-Ergebnissen .......................................................127 Festlegen der im Vergleichsbericht aufzuführenden Daten..........................127 Erstellen eines Vergleichsberichts ................................................................129 GFI LANguard N.S.S. Status-Monitor 131 Anzeigen geplanter Aktionen .....................................................................................131 Anzeigen des Verlaufs von Scans nach Zeitplan .........................................131 Anzeigen des Verlaufs von Patch-Bereitstellungen nach Zeitplan .........................................................................................................132 Werkzeuge 133 Einführung..................................................................................................................133 DNS-Lookup...............................................................................................................133 Traceroute..................................................................................................................134 Whois Client ...............................................................................................................135 SNMP-Walk................................................................................................................136 SNMP-Audit ...............................................................................................................137 Microsoft SQL Server-Audit .......................................................................................137 Tool zum Auflisten von Rechnern ..............................................................................138 Starten eines Sicherheits-Scans...................................................................139 Bereitstellen eigener Patches .......................................................................139 Aktivieren von Audit-Richtlinien ....................................................................139 Tool zum Auflisten von Anwendern ...........................................................................140 Verwenden von GFI LANguard N.S.S. per Befehlszeile 141 Verwenden des Befehlszeilen-Tools "lnsscmd.exe" für NetzwerkScans .........................................................................................................................141 Beispiel: Starten eines Zielrechner-Scans per BefehlszeilenTool ...............................................................................................................142 Verwenden des Befehlszeilen-Tools "deploycmd.exe" zur PatchBereitstellung .............................................................................................................143 Beispiel: Starten der Patch-Bereitstellung per BefehlszeilenTool ...............................................................................................................144 Hinzufügen von Sicherheits-Checks per Benutzer-Bedingungen/Skripten145 Einführung..................................................................................................................145 GFI LANguard N.S.S. VBScript .................................................................................145 GFI LANguard N.S.S. SSH-Modul .............................................................................146 Erkennen des Check-Status anhand von Stichwörtern ................................146 Hinzufügen von auf individuellen VBS-Skripten basierenden Sicherheits-Checks ....................................................................................................147 Schritt 1: Erstellen des Skripts ......................................................................147 iv • Inhaltsverzeichnis GFI LANguard N.S.S. Handbuch Schritt 2: Hinzufügen des neuen Schwachstellen-Checks: ..........................148 Hinzufügen von auf eigenen Shell-Skripten basierenden Schwachstellen-Checks.............................................................................................149 Schritt 1: Erstellen des Skripts ......................................................................150 Schritt 2: Hinzufügen des neuen Schwachstellen-Checks: ..........................150 Hinzufügen eines Sicherheits-Checks für CGI-Schwachstellen ................................152 Hinzufügen weiterer Kontrollen für Sicherheitslücken ...............................................154 Ergänzende Optionen 159 Aktivieren von NetBIOS auf einem Netzwerk-Rechner .............................................159 Installieren des Client für Microsoft-Netzwerke unter Windows 2000 oder höher..................................................................................................................160 Konfigurieren von Passwort-Richtlinien einer Active Directorybasierten Domäne......................................................................................................162 Anzeigen von Passwort-Richtlinien einer Active Directory-basierten Domäne......................................................................................................................166 Troubleshooting 169 Einführung..................................................................................................................169 Knowledge-Base ........................................................................................................169 Support-Anfrage per E-Mail .......................................................................................169 Support-Anfrage per Web-Chat .................................................................................170 Support-Anfrage per Telefon .....................................................................................170 Web-Forum ................................................................................................................170 Mitteilungen zu neuen Builds .....................................................................................170 Index GFI LANguard N.S.S. Handbuch 171 Inhaltsverzeichnis • v Einführung Funktionsweise von GFI LANguard Network Security Scanner GFI LANguard Network Security Scanner (GFI LANguard N.S.S.) ist ein Tool für Sicherheitsüberprüfungen, mit dem sich proaktive Netzwerk-Scans durchführen lassen, um Schwachstellen rasch aufzufinden und zu beheben. Während eines Sicherheits-Audits scannt GFI LANguard N.S.S. das gesamte Netzwerk, IP für IP, und informiert Sie über alle gefundenen Sicherheitslücken. Gemeinsam mit den Funktionen des Betriebssystems und des Security-Scanners können Sicherheitsprobleme nach der Überprüfung umgehend gelöst werden. Schließen Sie beispielsweise nicht benötigte Ports und Freigaben, oder installieren Sie Service Packs und Hotfixes, um Anfälligkeiten zu beseitigen, bevor diese für Angriffe missbraucht werden können. Mit GFI LANguard N.S.S. können Sie Windows- und Linux-basierte Rechner einem Sicherheits-Audit unterziehen. Während eines Audits sammelt die Scan-Engine unterschiedliche Hardware- und SoftwareInformationen zu den kontrollierten Zielen. Hierzu zählen Service Packs, die auf jedem überprüften Rechner installiert sind, Daten zu stark gefährdeten Geräten wie WLAN-Access-Points und USBHardware, installierte Applikationen sowie offene Freihaben und Ports. Der Scanner informiert auch über besondere Konfigurationseinstellungen des Betriebssystems, z. B. in der Windows-Registry oder den Passwortrichtlinien, und hilft somit, gängige Sicherheitsprobleme zu entdecken, die durch ein falsch konfiguriertes Betriebssystem hervorgerufen werden (z. B. durch die Beibehaltung von Standardvorgaben bei Systemeinstellungen). GFI LANguard N.S.S. kontrolliert zudem, ob Sicherheitssoftware wie Anti-Viren- und Anti-Spyware-Anwendungen installiert sind und ob die Signaturdateien dieser Programme auf dem neuesten Stand sind. Wo dies möglich ist, führt GFI LANguard N.S.S. zudem eine Konfigurationskontrolle durch, ob wichtige Sicherheitsfunktionen dieser Security-Produkte, z. B. Echtzeit-Scans, aktiviert sind. So ist garantiert, dass die im Netzwerk eingesetzten Sicherheitslösungen effektiv arbeiten. Standardmäßig lassen sich mit GFI LANguard N.S.S. Patches für verschiedene Sprachversionen von Betriebssystemen verwalten. Dank dieser Unterstützung können fehlende Microsoft-Updates somit auch für nicht englischsprachige Systeme automatisch heruntergeladen und netzwerkweit bereitgestellt werden. Zusätzlich lassen sich über die Engine zur Patch-Verteilung eigene Software und Microsoft-fremde Patches von Drittanbietern (z. B. Updates der Virensignaturen) im gesamten Netzwerk per Fernzugriff installieren. GFI LANguard N.S.S. Handbuch Einführung • 1 Potenzieller Schwachpunkt interne Netzwerk-Sicherheit Das Problem der internen Netzwerk-Sicherheit wird in den meisten Fällen von Administratoren nicht genügend beachtet und unterschätzt. In vielen Umgebungen besteht kein Schutz gegen Angriffe von innen, sodass Benutzer, begünstigt durch bekannte Exploits, Vertrauensstellungen oder sogar Standardeinstellungen, mühelos auf Rechner von Kollegen zuzugreifen können. Für den überwiegenden Teil dieser Angriffe ist kein oder nur wenig Fachwissen erforderlich, und die Integrität des Netzwerks kann jederzeit kompromittiert werden. Für den normalen Betrieb interner Netzwerke ist jedoch ein hohes Maß an Flexibilität erforderlich. Mit Regeln, die maximale Sicherheit garantieren, wäre die Produktivität zu sehr eingeschränkt. Fehlen hingegen entsprechende Sicherheitsmechanismen, können interne Benutzer zu einer großen Gefahr für das Intranet werden. Das CERT Coordination Center der US-amerikanischen Carnegie Mellon University beschreibt das Problem interner Sicherheitsverletzungen wie folgt: "'Insider Intrusion' bezeichnet die Kompromittierung eines Netzwerks, Systems oder einer Datenbank durch eine Person, die dafür Zugriffsrechte besitzt (oder besaß). Zu diesen 'Insidern' zählen aktuelle oder ehemalige Mitarbeiter, Teilzeitbeschäftigte, Geschäftspartner, Berater und Lieferanten." – Computer Weekly Mitarbeiter innerhalb eines Unternehmens haben oftmals bereits weit reichenden Zugriff auf viele interne Quellen. Um an vertrauliche Daten im internen Netzwerk zu kommen, müssen sie nicht einmal Firewalls oder andere Sicherheitsbarrieren überwinden, die zum Schutz vor Anfragen aus nicht vertrauenswürdigen externen Quellen (z. B. aus dem Internet) errichtet worden sind. Die größte Gefahrenquelle stellen somit interne Benutzer dar. Sie können sich mit ein wenig Fachkenntnis sogar umfangreiche Netzwerkrechte verschaffen. Dieser Missbrauch bleibt oftmals vollkommen unerkannt oder ist nur sehr schwer als ein solcher zu identifizieren. Die vom amerikanischen Computer Security Institute und dem FBI im Jahr 2003 erstellte Studie "Computer Crime and Security Survey" ergab, dass ungefähr 65 % der Befragten Kenntnis von mindestens einer von einem Insider begangenen Sicherheitsverletzung hatten. Eine unzureichende Netzwerk-Sicherheit bedeutet zudem, dass beim erfolgreichen Zugriff eines externen Hackers auf nur einen Rechner des Netzwerks auch das übrige interne Netzwerk ohne größere Probleme kontrolliert werden kann. Versierte Angreifer hätten somit die Möglichkeit, vertrauliche E-Mails und Dokumente zu lesen, diese zu veröffentlichen oder Rechner unbrauchbar zu machen, indem sie z. B. wichtige Systemdaten löschen. Zudem können Ihr Netzwerk und die Netzwerk-Ressourcen auch selbst als Ausgangspunkt für neue Angriffe auf andere Sites und zu deren Ausspionieren eingesetzt werden. Wird ein solcher Angriff zurückverfolgt, sind nur Sie und Ihr Unternehmen als Verursacher erkennbar, jedoch nicht der Hacker. Die meisten Sicherheitsschwachstellen lassen sich mühelos beheben, und auch Angriffe, die über bekannte Exploit-Schwachstellen von Netzwerken erfolgen, können problemlos abgewehrt werden – Voraussetzung hierfür ist jedoch, dass der Administrator über die 2 • Einführung GFI LANguard N.S.S. Handbuch Sicherheitslücken informiert ist! Zur Identifizierung dieser Gefahrenquellen können Administratoren auf die umfassenden Suchmöglichkeiten von GFI LANguard N.S.S. zurückgreifen. Hauptmerkmale von GFI LANguard N.S.S. • Identifiziert schädliche Dienste und offene TCP- und UDP-Ports. • Erkennt bekannte Sicherheitsschwachstellen in den Bereichen CGI, DNS, FTP, E-Mail, RPC u. v. m. • Identifiziert Backdoor-User. • Erkennt offene Freigaben und listet Anwender auf, die darauf Zugriff haben (inklusive Berechtigungen). • Listet während des Scanvorgangs Gruppen und deren Mitglieder auf. • Führt USB-Geräte (z. B. Apple iPod und andere tragbare Massenspeicher) auf, die an Zielrechner angeschlossen sind. • Zeigt Netzwerk-Hardware an mit der Information, ob sie kabel/funkbasiert oder virtuell ist. • Listet Dienste mit ihrem jeweiligen Status auf. • Informiert über auf Zielrechnern aktive Prozesse. • Gibt installierte Applikationen an. • Kontrolliert, ob die Signaturdateien der unterstützten Sicherheitsanwendungen (Anti-Virenund Anti-SpywareProgramme) auf dem neuesten Stand sind. Wo möglich, führt GFI LANguard N.S.S. zudem eine Konfigurationskontrolle einzelner Security-Produkte (z. B. für die Anti-Viren-Lösung von BitDefender) durch um sicherzustellen, dass wichtige Funktionen wie Echtzeit-Scans aktiviert sind. • Führt Netzwerk-Scans nach einem festen Zeitplan durch und liefert Scan-Ergebnisse per E-Mail-Bericht. • Stellt Sicherheits-Scans für Windows-Betriebssysteme bereit und sammelt Betriebssystemdaten. • Stellt Sicherheits-Scans für Linux-Betriebssysteme bereit und sammelt Betriebssystemdaten per SSH. • Meldet sich über herkömmliche Zugangsdaten oder Public-KeyAuthentifizierung (d. h. per SSH mit Public/Private Keys) an entfernten Linux-Rechnern an. • Ruft beim Programmstart Definitionsdateien für die neuesten Schwachstellen-Checks und Informationen zu fehlenden Patches automatisch ab. • Unterstützt Patch-Verwaltung für Windows 2000/XP/2003, Microsoft Office XP oder neuer sowie Microsoft Exchange 2000 und Microsoft SQL Server 2000 oder neuer. • Erlaubt Patch-Verwaltung für verschiedene Sprachversionen von Betriebssystemen. • Ermöglicht die Speicherung von Scan-Ergebnissen per Microsoft Access oder Microsoft SQL Server Datenbank-Backend und in XML-Dateien. GFI LANguard N.S.S. Handbuch Einführung • 3 • Liefert dem Administrator nach Abschluss eines geplanten Scans detaillierte Scan-Ergebnisse und/oder Informationen zu Änderungen zwischen aufeinander folgenden Scans. • Erlaubt Host-Erkennung und Identifizierung des Betriebssystems in Echtzeit. • Bietet SNMP-Überwachung. • Unterstützt Microsoft SQL-Auditing. • Bietet Skript-Debugger zum Erstellen und Debuggen eigener Schwachstellen-Checks. (Checkerstellung erfolgt mit Hilfe einer VBScript-kompatiblen Skriptsprache.) • Unterstützt Multi-Threading, damit mehrere Rechner gleichzeitig gescannt werden können. • Liefert Befehlszeilen-Tools mit denen sich SoftwareUpdates/Patches und Dritthersteller-Applikationen ohne Aufruf der GUI von GFI LANguard N.S.S. scannen und bereitstellen lassen. (Tool-Verwendung erfolgt direkt über die Eingabeaufforderung, aus Dritthersteller-Applikationen heraus oder über selbst definierte Skripten und Batch-Dateien.) Komponenten von GFI LANguard N.S.S. Die leistungsfähige, zuverlässige und skalierbare Architektur von GFI LANguard N.S.S. unterstützt sowohl mittlere als auch größere Netzwerke. GFI LANguard N.S.S. besteht aus fünf Komponenten: 4 • Einführung • GFI LANguard N.S.S. Konfigurationsoberfläche/GUI • GFI LANguard N.S.S. Attendant • GFI LANguard N.S.S. Status-Monitor • GFI LANguard N.S.S. Patch-Agent • GFI LANguard N.S.S. Script-Debugger GFI LANguard N.S.S. Handbuch GFI LANguard N.S.S. Konfigurationsoberfläche/GUI Screenshot 1 – Konfigurationsoberfläche Starten Sie GFI LANguard N.S.S. über Start ` Programme ` GFI LANguard Network Security Scanner 7.0 ` LANguard Network Security Scanner. Mit der so gestarteten Anwendung können Sie • Netzwerk-Sicherheits-Scans und die Patch-Bereitstellung starten • Ergebnisse von gespeicherten und aktuellen Scans anzeigen lassen • Scan-Optionen und -profile sowie Berichtfilter konfigurieren • Spezielle Administrations-Tools für Netzwerksicherheit aufrufen GFI LANguard N.S.S. Attendant Mit diesem im Hintergrund laufenden Dienst werden Vorgänge nach einem festen Zeitplan gestartet. Hierzu zählen Sicherheits-Scans und die Bereitstellung von Patches. GFI LANguard N.S.S. Patch-Agent Dieser im Hintergrund laufende Dienst sorgt für die korrekte Bereitstellung von Patches, Service Packs und Software-Updates auf den Zielrechnern. GFI LANguard N.S.S. Handbuch Einführung • 5 GFI LANguard N.S.S. Script-Debugger Screenshot 2 – Script Debugger Dieses Modul ermöglicht das Erstellen und Debuggen eigener Skripten mit Hilfe einer VBScript-kompatiblen Skriptsprache. Nutzen Sie es, um Skripten für eigene Schwachstellen-Checks zu schreiben. Diese Checks können von GFI LANguard N.S.S. verwendet werden, um Zielrechner im Netzwerk unter Beachtung Ihrer Vorgaben zu scannen. Starten Sie den GFI LANguard N.S.S. Script Debugger über Start ` Programme ` GFI LANguard Network Security Scanner 7.0 ` LNSS Script Debugger. 6 • Einführung GFI LANguard N.S.S. Handbuch GFI LANguard N.S.S. Status-Monitor Screenshot 3 – Status-Monitor Mit diesem Modul können Sie den Status der geplanten Scans und der terminierten Bereitstellung von Software-Updates kontrollieren. Geplante Aktionen, die noch nicht ausgeführt wurden, können zudem deaktiviert werden. Starten Sie den GFI LANguard N.S.S. Status Monitor über Start ` Programme ` GFI LANguard Network Security Scanner 7.0 ` LNSS Status Monitor. Information zur Lizenzierung Die Lizenzierung von GFI LANguard N.S.S. erfolgt auf Grundlage der Anzahl der Rechner und Geräte, die gescannt werden sollen. Bei einer Lizenz für 100 IPs können Sie zum Beispiel bis zu 100 Rechner oder Geräte von einem einzigen Arbeitsplatzrechner/Server in Ihrem Netzwerk aus scannen. Weitere Informationen zur Lizenzierung von GFI LANguard N.S.S. erhalten Sie unter http://www.gfi.com/pricing/pricelist.aspx?product= LANSS&curr=EUR&lang=de. GFI LANguard N.S.S. Handbuch Einführung • 7 8 • Einführung GFI LANguard N.S.S. Handbuch Installieren von GFI LANguard N.S.S. Systemanforderungen Für die Installation von GFI LANguard Network Security Scanner sind erforderlich: • Windows 2000 (SP4)/XP (SP2)/2003. • Internet Explorer 5.1 oder höher. • Client für Microsoft-Netzwerke – standardmäßig im Lieferumfang von Windows 95 und höher enthalten. Hinweis: Nähere Informationen zur Installation des Client für Microsoft-Netzwerke erhalten Sie im Kapitel "Ergänzende Optionen" unter "Installation des Client für Microsoft-Netzwerke unter Windows 2000 oder höher". • Secure Shell (SSH) – standardmäßig im Lieferumfang jeder LinuxDistribution enthalten Hinweise bei Einsatz von Firewalls Auf dem Host-Rechner oder den zu überprüfenden Zielrechnern installierte Firewalls beeinträchtigen die korrekte Funktionsweise von GFI LANguard N.S.S. Folgende Vorgehensweise ist erforderlich: • Deaktivieren Sie zum Zweck eines Sicherheits-Audits die FirewallSoftware auf dem Host-/Zielrechner(n) oder • Legen Sie über die Domänenrichtlinien der Internetverbindungsfirewall von Windows die Ports und Dienste fest, die von GFI LANguard N.S.S. für eine korrekte Funktionsweise benötigt werden. Weitere Informationen, wie die Active Directory-Richtlinien zu konfigurieren sind, damit abgehende und eingehende Scans von Rechnern mit aktivierter Internetverbindungsfirewall (Windows XP SP2 oder 2003 SP1) unterstützt werden, erhalten Sie unter: http://kbase.gfi.com/showarticle.asp?id=KBID002177. Starten der Installation 1. Starten Sie den Installationsassistenten von GFI LANguard Network Security Scanner per Doppelklick auf languardnss7.exe. Klicken Sie im angezeigten Willkommen-Bildschirm auf die Schaltfläche Next, um mit der Installation zu beginnen. GFI LANguard N.S.S. Handbuch Installieren von GFI LANguard N.S.S. • 9 2. Lesen Sie die angezeigte Lizenzvereinbarung. Bestätigen Sie die Lizenzvereinbarung, indem Sie die Option Accept the Licensing agreement wählen und auf die Schaltfläche Next klicken. 3. Geben Sie den vollständigen Benutzernamen, den Firmennamen und den Registrierschlüssel ein. Wenn Sie das Produkt zu Testzwecken einsetzen, ändern Sie den vorgegebenen Eintrag "Evaluation" bitte nicht. Klicken Sie auf die Schaltfläche Next um fortzufahren. Screenshot 4 – Angabe der Zugangsdaten des Domänen-Administrators/Verwendung eines lokalen Systemkontos 4. Geben Sie das Dienstkonto an, unter dem GFI LANguard N.S.S laufen soll. Klicken Sie auf die Schaltfläche Next um fortzufahren. Wichtig: GFI LANguard N.S.S. muss mit Administratorrechten gestartet werden. Es ist zu empfehlen, ein Konto eines Domänenadministrators oder Organisationsadministrators anzugeben. Um Zugriff auf die in Ihrem Netzwerk zu kontrollierenden Zielrechner nehmen zu können, benötigt GFI LANguard N.S.S. in den meisten Fällen Administratorrechte. Es ist jedoch nicht notwendig, für jeden Zielrechner ein Domänen-/Organisationsadministratorkonto zu benennen, da einzelne Zugangsdaten auch noch nach der Produktinstallation über die Konfigurationsoberfläche angegeben werden können (über den Knoten Configuration ` Computer Profiles). 10 • Installieren von GFI LANguard N.S.S. GFI LANguard N.S.S. Handbuch Screenshot 5 – Auswahl des Datenbank-Backend 5. 5. Legen Sie fest, welches Datenbank-Backend für die Speicherung der Scan-Ergebnisse verwendet werden soll. Sie können zwischen Microsoft Access, Microsoft SQL Server 7/2000 oder MSDE auswählen. Klicken Sie auf die Schaltfläche Next um fortzufahren. Hinweis 1: Die Verwendung von Microsoft Access als DatenbankBackend wird nur für kleinere Netzwerke empfohlen. Bei mittleren und großen Netzwerken sollten Sie MS SQL Server 7/2000 einsetzen. Hinweis 2: MSDE kann nur bis zu 2 GB an Daten verarbeiten. Der Einsatz von MS SQL Server hingegen ist effizienter, da sich ein weitaus größeres Datenaufkommen ohne Einschränkungen sichern lässt. GFI LANguard N.S.S. Handbuch Installieren von GFI LANguard N.S.S. • 11 Screenshot 6 – Angabe der Datenbank-Informationen bei Einsatz von MS SQL Server 6. Wenn Sie Microsoft SQL Server als Datenbank-Backend ausgewählt haben, müssen Sie die Zugangsdaten angeben, die für die Datenbankanmeldung erforderlich sind. Der Zugriff auf die Datenbank kann sowohl über die Daten des SQL ServerBenutzerkontos als auch die Windows NT-Authentifizierung erfolgen. Klicken Sie auf die Schaltfläche Next um fortzufahren. Hinweis: Bei der Windows NT-Authentifizierung müssen die Dienste von GFI LANguard N.S.S. unter Benutzerkonten mit administrativen Zugriffsrechten für die Anmeldung und Verwaltung der SQL ServerDatenbanken laufen. 12 • Installieren von GFI LANguard N.S.S. GFI LANguard N.S.S. Handbuch Screenshot 7 – Angabe von E-Mail-Adresse und -Server für Warnmeldungen 7. Geben Sie die Daten des SMTP/E-Mail-Servers (Host-Name/IPAdresse und Port) und die E-Mail-Adresse an, die von GFI Network Server Monitor für Warnmeldungen/Mitteilungen verwendet werden sollen. Klicken Sie auf die Schaltfläche Next um fortzufahren. 8. Geben Sie das Installationsverzeichnis für GFI LANguard N.S.S. an, und klicken Sie auf die Schaltfläche Next. Für die Installation sind ca. 40 MB freier Speicherplatz auf der Festplatte erforderlich. 9. 9. Klicken Sie auf die Schaltfläche Finish, um die Installation abzuschließen. Eingeben des Registrierschlüssels nach der Installation Nachdem Sie GFI LANguard N.S.S. erworben haben, geben Sie Ihren Registrierschlüssel unter dem Knoten General ` Licensing ein. Zur Nutzung des Produkts als kommerzielle Vollversion ist nach der Eingabe des Schlüssels keine Neukonfiguration oder erneute Installation erforderlich. Hinweis 1: GFI LANguard N.S.S. kann standardmäßig 10 Tage lang als UNL-Version mit vollem Funktionsumfang getestet werden. Bei korrekter Angabe Ihrer Kontaktdaten im Download-Formular erhalten Sie per E-Mail einen Registrierschlüssel, mit dem Sie das Produkt insgesamt 30 Tage lang testen können. Hinweis 2: Die Lizenzierung von GFI LANguard N.S.S. erfolgt auf Grundlage der • Anzahl der Computer/IPs, auf denen GFI LANguard Network Security Scanner laufen soll • Anzahl der Computer/IPs, die gescannt werden sollen Beispiel: Wenn Sie GFI LANguard N.S.S. auf einem Server installieren und ein Netzwerk mit 20 Rechnern scannen wollen, ist eine Lizenz für 25 IPs erforderlich. GFI LANguard N.S.S. Handbuch Installieren von GFI LANguard N.S.S. • 13 Hinweis 3: Die Eingabe des Registrierschlüssels ist nicht mit der Online-Registrierung Ihrer Firmendaten auf der GFI-Web-Site zu verwechseln. Die Registrierung ist wichtig, um Ihnen bei Problemen schneller helfen und Sie über wichtige Produktmitteilungen informieren zu können. Bitte lassen Sie sich registrieren unter http://www.gfisoftware.de/de/pages/regfrm.htm Hinweis 4: Hinweise zum Kauf von GFI LANguard N.S.S. finden Sie unter dem entsprechenden Unterknoten General ` How to purchase zu den allgemeinen Einstellungen. 14 • Installieren von GFI LANguard N.S.S. GFI LANguard N.S.S. Handbuch Erste Schritte: Durchführen eines Sicherheits-Audits Einführung Mit Hilfe eines Sicherheits-Audits können Administratoren potenzielle Sicherheitslücken in einem Netzwerk aufdecken und bewerten. Eine manuelle Überprüfung ist sehr zeitaufwendig, da sich viele Arbeitsschritte und Aufgaben wiederholen und für jeden einzelnen Netzwerk-Rechner durchgeführt werden müssen. Mit GFI LANguard N.S.S. lassen sich Sicherheits-Audits Ihres Netzwerks automatisch durchführen. Netzwerkrechner werden in kürzester Zeit effizient per Fernzugriff auf bekannte Schwachstellen, gängige Fehlkonfigurationen und andere potenzielle Sicherheitslücken überprüft. Die während des Scan-Vorgangs gesammelten Informationen helfen dann bei Verfolgung und Behebung identifizierter Schwachstellen. Typische Informationen, die während eines Scanvorgangs ermittelt werden, sind: • Aktueller Stand der auf dem Rechner installierten Service Packs • Fehlende Sicherheits-Patches • WLAN-Access-Points • USB-Geräte • Offene Freigaben • Offene Ports • Auf überprüften Rechnern aktive Dienste/Applikationen • Wichtige Registry-Einträge • Unsichere Passwörter • Benutzer und Gruppen Vor der Durchführung eines Sicherheits-Audits müssen folgende drei Scan-Engine-Parameter festgelegt werden: 1. Der zu überprüfende Zielrechner, 2. das zu verwendende Scan-Profil (Art der durchzuführenden Schwachstellen-Checks/Tests), 3. die für die Anmeldung an den Zielrechnern erforderlichen Authentifizierungsdaten. Informationen zu Scan-Profilen (Liste der Sicherheitslücken-Checks/Tests) Vor dem Start eines Scans müssen Sie festlegen, mit welchen Sicherheitslücken-Checks/Tests die Zielrechner kontrolliert werden sollen. GFI LANguard N.S.S. Handbuch Erste Schritte: Durchführen eines Sicherheits-Audits • 15 Dieser Schritt ist erforderlich, da GFI LANguard N.S.S. zur Überprüfung der Netzwerkinfrastruktur eine große Anzahl von Schwachstellen-Checks zur Verfügung steht. Viele dieser Checks können auf alle Rechner des Netzwerks angewandt werden. Der Einsatz einiger Checks hängt jedoch von der Rolle des zu kontrollierenden Computers ab, d. h., für korrekte Scan-Ergebnisse sind die auf Zielrechnern laufenden Dienste und die Art des gewünschten Sicherheits-Scans zu berücksichtigen. Checks zur Suche nach CGI-Sicherheitslücken sollten beispielsweise nur beim Scannen von Web-Servern verwendet werden. Schwachstellen-Checks zur Kontrolle von Zielrechnern sind in GFI LANguard N.S.S. in Form von Vorlagen, den Scan-Profilen, organisiert. Diese Scan-Profile enthalten die Scan-Anweisungen/Parameter, die die Scan-Engine während eines Sicherheits-Audits berücksichtigt. Neben den durchzuführenden Schwachstellenchecks werden hierbei somit auch die von den Zielrechnern abzurufenden Informationen definiert. Weitere Informationen zu Scan-Profilen erhalten Sie im Kapitel "Scan-Profile" in diesem Handbuch. Nutzen Sie die beispielsweise die Option Default Scanning Profile, um Sicherheits-Scans zu starten, die einen breiten Scan-Bereich abdecken. Zugangsdaten für den Zugriff auf Zielrechner Bei einigen Checks, die Informationen abrufen oder Schwachstellen überprüfen, muss sich GFI LANguard N.S.S. per Fernzugriff an den zu überprüfenden Zielrechnern anmelden. Die Kontrolle läuft standardmäßig im Sicherheitskontext des Benutzers ab, der GFI LANguard N.S.S. gestartet hat. Sie können auch alternative Zugangsdaten bereitstellen, um einen Scan in einem anderen Sicherheitskontext als dem des aktuell angemeldeten Benutzers zu starten. Die überwiegende Anzahl an Netzwerk-Scans kann im oben beschriebenen Sicherheitskontext erfolgen. In einigen Fällen ist es jedoch erforderlich, sich über unterschiedliche Administratorkonten an einzelnen Zielrechnern anzumelden. Hierfür stellt GFI LANguard N.S.S. die Möglichkeit bereit, für verschiedene Zielrechner in Ihrem Netzwerk eigene Computer-Profile zu definieren. Mit Hilfe von Computer-Profilen können Sie Zugangsdaten für die Anmeldung an einem Zielrechner festlegen, selbst wenn ein Sicherheits-Scan in einem anderen Sicherheitskontext durchgeführt wird. Beispielsweise können Sie durch Einsatz von Computer-Profilen sicherstellen, dass der Computer FILESERVER immer über das Konto COMPANY\fileserveradmin und der Computer WEBSERVER immer über das Konto COMPANY\webserveradmin gescannt wird. Weitere Informationen zu Computer-Profilen erhalten Sie im Kapitel "Konfigurieren von GFI LANguard N.S.S." unter "Computer-Profile". Wichtige Hinweise vor Scan-Beginn 1. Beachten Sie, dass die mit GFI LANguard N.S.S. durchgeführten Scans dazu führen, dass in Ihrem Unternehmen eingesetzte Intrusion Detection Software (IDS) Warnmeldungen ausgibt und Eindringlingsalarm auslöst. Sind Sie nicht mit der 16 • Erste Schritte: Durchführen eines Sicherheits-Audits GFI LANguard N.S.S. Handbuch Administration des IDS-Systems betraut, sollten Sie daher den zuständigen Administrator über einen bevorstehenden Scan informieren. 2. Neben den von den Scans verursachten IDS-Alarmen sollten Sie auch beachten, dass viele der Scans zudem in Protokolldateien verzeichnet werden. UNIX-Logs, Web-Server usw. zeigen den Rechner an, von dem der Zugriffsversuch per GFI LANguard N.S.S. erfolgt ist. Gibt es mehrere Netzwerk-Administratoren in Ihrem Unternehmen, sollten Sie Ihre Kollegen über bevorstehende Scans informieren. Durchführen von Sicherheits-Scans mit Standardvorgaben GFI LANguard N.S.S. ist bereits vorkonfiguriert, sodass Sie sofort nach Abschluss der Installation Ihr System mit einem ersten einfachen Scan überprüfen können. Für einen solchen Standard-Scan müssen lediglich die zu kontrollierenden Zielrechner angegeben werden. Der Standard-Scan von GFI LANguard N.S.S. umfasst • Anmeldung an den Zielrechnern mit Hilfe der Zugangsdaten des aktuell verwendeten Benutzerkontos (unter denen auch GFI LANguard N.S.S. läuft). • Einsatz mehrerer Standard-Checks, die im Scan-Profil "Default" bereits vorkonfiguriert sind. "Default" ist eine der bereits im Lieferumfang von GFI LANguard N.S.S. enthaltenen Scan-ProfilVorgaben. So führen Sie Ihren ersten Scan durch: 1. Klicken Sie auf das Menü File ` New. Screenshot 8 – Auswahl des Scan-Bereichs 2. Wählen Sie aus folgenden Optionen den gewünschten ScanBereich aus: • Scan single computer – Scannt einen einzelnen Computer. • Scan range of Computers – Scannt einen bestimmten IPBereich. • Scan list of Computers – Scannt eine selbst definierte Liste mit Computern. • Scan a Domain – Scannt eine komplette Windows-Domäne. Hinweis: Die Option Scheduled Scan ist für einen manuellen ErstScan nicht von Bedeutung. Sie wird zum Konfigurieren von Schwachstellen-Scans benötigt, die zu einem bestimmten Zeitpunkt automatisch gestartet werden. Eine detaillierte Funktionsbeschreibung von geplanten Scans erfolgt im Kapitel "Konfigurieren von GFI LANguard N.S.S.". GFI LANguard N.S.S. Handbuch Erste Schritte: Durchführen eines Sicherheits-Audits • 17 Screenshot 9 – Verschiedene Scan-Optionen 3. Geben Sie die erforderlichen Daten des zu kontrollierenden Zielrechners ein (Host-Name, IP-Adresse, IP-Bereich oder Domänenname). 4. Klicken Sie auf die Schaltfläche OK, um den Standard-Scan zu starten. Informationen zum Scan-Ablauf Zu Beginn des Scan-Prozesses überprüft GFI LANguard Network Security Scanner, ob alle gewünschten Ziele für eine Überprüfung bereitstehen, d. h., es wird kontrolliert, ob die Zielrechner aktiv und über das Netzwerk erreichbar sind. Diese Kontrolle erfolgt automatisch per NetBIOS-Anfragen, ICMP-Pings und SNMPAnfragen. Erfolgt auf diese Anfragen keine Reaktion des Zielrechners, geht GFI LANguard N.S.S. davon aus, dass er zum Zeitpunkt der Überprüfung unter den angegebenen IP-Adressen nicht erreichbar oder gerade ausgeschaltet ist. Zielrechner, die auf Scan-Anfragen nicht antworten, werden standardmäßig von GFI LANguard N.S.S. nicht gescannt. Nach der ersten Anfrage wird eine Verbindung mit dem Zielrechner hergestellt, und die Scan-Engine führt die individuellen oder standardmäßigen Schwachstellen-Checks durch. Während eines Standard-Scans führt die Scan-Engine automatisch eine Reihe vorkonfigurierter Checks durch, die mehrere Bereiche eines Netzwerks auf bestimmte Schwachstellen überprüft. Nachfolgend erfahren Sie, wie Sie mit Hilfe verschiedener Scan-Profile, die als editierbare Vorgaben bereitstehen oder selbst definiert werden können, gezielter nach Sicherheitslücken suchen können. 18 • Erste Schritte: Durchführen eines Sicherheits-Audits GFI LANguard N.S.S. Handbuch Durchführen eines Scans mit verschiedenen (standardmäßigen) Scan-Profilen Zusätzlich zum standardmäßigen, allgemeinen Scan-Profil bietet GFI LANguard N.S.S. eine Vielzahl spezifischer vorkonfigurierter ScanProfile, die eine bestimmte Kategorie von Schwachstellen-Checks starten. Dank der Auswahl an unterschiedlichen Scan-Profilen lassen sich manuelle Konfigurationsänderungen für einen Scan auf ein Minimum beschränken, da in den Scan-Vorlagen bereits alle notwendigen Einstellungen definiert sind. Um diese Schwachstellenkontrollen durchführen zu können, müssen zwei Parameter definiert werden: • Zu scannende Zielcomputer • Das Scan-Profil (Schwachstellen-Checks/Tests), mit dem die Zielcomputer kontrolliert werden sollen GFI LANguard N.S.S. meldet sich standardmäßig mit Hilfe der aktuellen Zugangsdaten des Benutzerkontos (unter denen auch GFI LANguard N.S.S. läuft) an den Zielrechnern an. So starten Sie ein Sicherheits-Audit unter Verwendung eines anderen Scan-Profils: 1. Klicken Sie auf das Menü File ` New. 2. Wählen Sie den gewünschten Scan-Typ aus (z. B. Single computer). 3. Geben Sie die erforderlichen Daten des zu kontrollierenden Zielrechners ein (Host-Name, IP-Adresse, IP-Bereich oder Domänenname). Screenshot 10 – Neuer Scan: Auswahl eines Scan-Profils 4. Wählen Sie im Dialogfeld “New Scan“ aus der Drop-Down-Liste Scan Profile das für den Sicherheits-Scan gewünschte Profil aus. GFI LANguard N.S.S. Handbuch Erste Schritte: Durchführen eines Sicherheits-Audits • 19 Wählen Sie beispielsweise Missing Patches, um fehlende SoftwarePatches von Microsoft samt der Rechner, auf denen sie fehlen, anzeigen zu lassen. 5. Klicken Sie auf die Schaltfläche OK, um den Scan zu starten. Durchführen eines Scans mit alternativen Zugangsdaten Bei der Durchführung eines Sicherheits-Scans muss GFI LANguard N.S.S. sich an den Zielrechnern authentifizieren. Auf diese Weise ist sichergestellt, dass die Scan-Engine alle Rechte zur Ausführung der konfigurierten Schwachstellen-Checks und zum Abruf der erforderlichen Systeminformationen erhält. Die Authentifizierung an den Zielrechnern erfolgt über eine "physische" Anmeldung unter Verwendung von Zugangsdaten eines Kontos, das mit Administratorrechten versehen ist. Bei diesem Konto muss es sich nicht zwingenderweise um das Konto eines Domänenadministrators oder Organisationsadministrators handeln. Es muss jedoch für die zu kontrollierenden Zielrechner mit administrativen Rechten ausgestattet sein. Je nach System sind oftmals unterschiedliche Authentifizierungsmethoden erforderlich. Für Linux-Systeme ist beispielsweise häufig ein Private Key an Stelle eines herkömmlichen Passworts erforderlich. GFI LANguard N.S.S. unterstützt beide Authentifizierungsmethoden. Weitere Informationen zu Authentifizierungsmethoden erhalten Sie im Kapitel "Konfigurieren von GFI LANguard N.S.S." unter "ComputerProfile". So starten Sie ein Sicherheits-Audit unter Verwendung besonderer Zugangsdaten: Screenshot 11 – Werkzeugleiste "New Scan" Drop-Down-Liste für Authentifizierungsmethoden 1. Geben Sie in der Werkzeugleiste für neue Scans in der Drop-DownListe für die Zugangsdaten die für dieses Sicherheits-Audit zu verwendende Authentifizierungsmethode an. Zur Auswahl stehen: • Currently Logged-On User – Die Authentifizierung am Zielrechner erfolgt über Zugangsdaten des Windows NT-Kontos (d. h. mit Hilfe des Kontos, unter dem GFI LANguard N.S.S. läuft). • Null Session – Mit dieser Option wird versucht, eine Verbindung mit dem Zielrechner ohne Authentifizierung herzustellen. Hierdurch können Sie feststellen, welche Informationen nicht authentifizierten (internen/externen) Benutzern zugänglich sind. • Alternative Credentials – Die Authentifizierung am Zielrechner erfolgt mit Hilfe gesondert angegebener Zugangsdaten. Geben Sie diese Daten in den Eingabefeldern Username und Password neben der Drop-Down-Liste an. 20 • Erste Schritte: Durchführen eines Sicherheits-Audits GFI LANguard N.S.S. Handbuch • SSH Private Key – Die Authentifizierung an Linux-basierten Zielrechnern erfolgt per Benutzername und Private Key anstatt per Passwort (d. h. nicht per Public Key). Hinweis: Weitere Informationen zur Authentifizierung per Private Key erhalten Sie im Kapitel "Konfigurieren von GFI LANguard N.S.S." unter "Informationen zur Authentifizierung per SSH mit Private Key". 2. Klicken Sie auf das Menü File ` New. 3. Wählen Sie den gewünschten Scan-Typ aus (z. B. Single computer). 4. Geben Sie die erforderlichen Daten des zu kontrollierenden Zielrechners ein (Host-Name, IP-Adresse, IP-Bereich oder Domänenname). 5. Wählen Sie im Dialogfeld “New Scan“ aus der Drop-Down-Liste Scan Profile das für den Sicherheits-Scan gewünschte Profil aus. 6. Klicken Sie auf die Schaltfläche OK, um den Scan zu starten. Direktes Starten von Sicherheits-Scans über die Werkzeugleiste So starten Sie ein Sicherheits-Audit direkt per Werkzeugleiste: Screenshot 12 – Werkzeugleiste "New Scan" 1. Geben Sie in der Werkzeugleiste für neue Scans in der Drop-DownListe für die Zugangsdaten die für dieses Sicherheits-Audit zu verwendende Authentifizierungsmethode an. Falls notwendig, geben Sie die dafür erforderlichen Zugangsdaten in den Eingabefeldern neben der Drop-Down-Liste an. Screenshot 13 – Angabe des Zielrechners und Scan-Profils in der Werkzeugleiste 2. Geben Sie in der darunter positionierten Drop-Down-Liste Scan Target die zu scannenden Zielrechner an, z. B. TMJason,130.12.1.20-130.12.1.30 o. ä. 3. Wählen Sie aus der Drop-Down-Liste Profile das für diesen Sicherheits-Scan zu verwendende Profil aus. 4. Klicken Sie auf die Schaltfläche Scan, um den SchwachstellenScan zu starten. GFI LANguard N.S.S. Handbuch Erste Schritte: Durchführen eines Sicherheits-Audits • 21 22 • Erste Schritte: Durchführen eines Sicherheits-Audits GFI LANguard N.S.S. Handbuch Erste Schritte: Analysieren der ScanErgebnisse Einführung Nach Abschluss eines Sicherheits-Scans zeigt GFI LANguard N.S.S. die Scan-Ergebnisse in einem separaten Fenster der Konfigurationsoberfläche an. Die Ergebnisse sind nach Scan-Typ in unterschiedliche Kategorien eingeteilt. Die Anzahl der Ergebniskategorien und die Art der während eines Sicherheits-Scans gesammelten Informationen hängen vom Check-Typ ab, mit dem die Zielrechner überprüft wurden. Ebenso haben die Parameter, die für das Sicherheits-Audit im Scan-Profil konfiguriert wurden, einen Einfluss auf die Ergebnisausgabe. Je nach Scan-Profil, das Sie für das Sicherheits-Audit verwenden, werden somit unterschiedliche Ergebniskategorien angezeigt. Weitere Informationen zu Scan-Profilen erhalten Sie im Kapitel "Scan-Profile" in diesem Handbuch. Durch den Einsatz von Filtern lassen sich Scan-Ergebnisse zudem so aufbereiten, dass nur einzelne Details angezeigt werden. Hierfür steht die Option Scan Filters zur Verfügung. Weitere Informationen zu Scanfiltern erhalten Sie im Kapitel "Filtern von Scan-Ergebnissen". Analysieren der Scan-Ergebnisse Screenshot 14 – Konfigurationsoberfläche Analyse der Scan-Ergebnisse GFI LANguard N.S.S. Handbuch Erste Schritte: Analysieren der Scan-Ergebnisse • 23 Im mittleren Fenster Scanned Computers werden über entsprechende Unterknoten Ergebniskategorien angezeigt, die die Scan-Ergebnisse der überprüften Computer enthalten. So ist es Ihnen möglich, Schwachstellen schnell und gezielt zu erkennen und zu untersuchen. Scan-Ergebnisse werden in folgende Sicherheitskategorien unterteilt: • Vulnerabilites (Sicherheitslücken) • Potential Vulnerabilities (potenzielle Sicherheitslücken) • Shares (Freigaben) • Applications (Anwendungen) • Network devices (Netzwerk-Hardware) • USB devices (USB-Geräte) • Password policy (Passwort-Richtlinien) • Security audit policy (Richtlinien für Sicherheits-Audits) • Registry (Registrierdatenbank) • Open TCP-Ports (Offene TCP-Ports) • System patching status (Patch-Status eines Computers) • NetBIOS names (NetBIOS-Namen) • Computer • Groups (Gruppen) • User • Logged On Users (Angemeldete Benutzer) • Sessions (Sitzungen) • Services (Dienste) • Processes (Prozesse) • Remote time of day (TOD, Systemzeit des Zielrechners) • Local drives (Lokale Festplatten) Durch Auswahl eines dieser Unterknoten werden im rechten Fenster Scan Results die Ergebnisse der jeweiligen Kategorie übersichtlich aufgelistet. 24 • Erste Schritte: Analysieren der Scan-Ergebnisse GFI LANguard N.S.S. Handbuch Vulnerabilities (Sicherheitslücken) Screenshot 15 – Knoten "Vulnerabilities" Klicken Sie auf Vulnerabilities, um die auf dem Zielrechner identifizierten Sicherheitsschwachstellen anzuzeigen. Diese werden nach Typ und Gefährdungsgrad in fünf Stufen unterteilt: • Missing Service Packs (fehlende Service Packs) • Missing patches (fehlende Patches) • High security vulnerabilities (kritische Sicherheitslücken) • Medium security vulnerabilities (wichtige Sicherheitslücken) • Low security vulnerabilities (kleinere Sicherheitslücken) Vulnerabilities (Sicherheitslücken) ` Missing Service Packs (fehlende Service Packs) Bei einem Service Pack (SP) handelt es sich Software, mit der bekannte Fehler von Betriebssystemen und Applikationen behoben oder ihnen neue Funktionen hinzugefügt werden. GFI LANguard N.S.S. sucht nach fehlenden Service Packs für Microsoft-Produkte, indem die Versionen der auf den Zielrechnern installierten Service Packs mit den aktuellsten über Microsoft verfügbaren Service Pack-Versionen verglichen wird. Screenshot 16 – Baumansicht zu fehlenden Service Packs Hinweis: Die Suche nach fehlenden Software-Updates und Service Packs kann für mehrere Produkte von Microsoft erfolgen. Eine GFI LANguard N.S.S. Handbuch Erste Schritte: Analysieren der Scan-Ergebnisse • 25 vollständige Liste der unterstützten Produkte erhalten Sie unter http://kbase.gfi.com/showarticle.asp?id=KBID001820. Der Ergebnisbaum dieser Kategorie zeigt Informationen an zu: • ‘Product name’ und ‘Service Pack Number’. • URL: – Link zu einem Knowledge-Base-Artikel oder anderen Support-Informationen zum fehlenden Service Pack. • Release date: – Das Datum, an dem das als fehlend gemeldete Service Pack veröffentlicht wurde. Um mehr Informationen zu einem fehlenden Service Pack zu erhalten, klicken Sie mit der rechten Maustaste auf das entsprechende Service Pack, und wählen Sie im Kontextmenü More details. Screenshot 17 – Fehlendes Service Pack – Sicherheits-Bulletin Der Dialog "Bulletin Info" mit Informationen zum Service Pack wird geöffnet. Hierzu zählen: • Die "QNumber". Sie wird von Microsoft jedem Software-Update als eindeutige Kennung zugewiesen. • Das Datum, an dem das Sicherheits-Bulletin/Service Pack veröffentlicht wurde. • Eine ausführlichere Beschreibung des Service Packs und seiner Inhalte. • Alle Betriebssysteme/Anwendungen, für die das Service Pack gedacht ist. • Eine URL, unter der weitergehende Informationen zum Service Pack abrufbar sind. • Der Name der Service Pack-Datei und die Dateigröße. • Die URL, unter der dieses Service Pack manuell heruntergeladen werden kann. 26 • Erste Schritte: Analysieren der Scan-Ergebnisse GFI LANguard N.S.S. Handbuch Vulnerabilites (Sicherheitslücken) ` Missing Patches (fehlende Patches) Ein Patch ist ein Update, das von einem Software-Unternehmen veröffentlicht wird, um als Reparatursoftware ein technisches oder sicherheitsrelevantes Problem zu beheben. Bekannte Sicherheitsschwachstellen, die nicht gepatcht werden, können von Angreifern missbraucht werden, um z. B. Zugang zum Netzwerk zu erhalten. Neu verfügbare Patches sollten daher so schnell wie möglich installiert werden, damit ein Schutz von Unternehmenssystemen und daten sichergestellt ist. GFI LANguard N.S.S. überprüft beim Scannen von Zielrechnern, ob alle von Microsoft veröffentlichten Sicherheits-Updates installiert sind. Screenshot 18 – Ergebnis eines Sicherheits-Scans: Fehlende Patches Patches, deren Fehlen während des Scans eines Zielrechners festgestellt wurde, werden in der Kategorie Missing Patches aufgeführt und gruppiert. Der Ergebnisbaum dieser Kategorie zeigt Informationen an zu: • Patch ID und ‘Product name. • Bugtraq-ID/URL: – Die ID und URL des zugehörigen Artikels aus der Microsoft Knowledge-Base. • Severity: – Auswirkung, die der Patch auf die Sicherheitsstufe eines Netzwerkgeräts hat. • Date Posted: – veröffentlicht wurde. Datum, an dem der fehlende Patch Um ausführlichere Informationen zu einem Patch zu erhalten, klicken Sie mit der rechten Maustaste darauf, und wählen Sie im Kontextmenü More details. Im sich öffnenden Dialog "Bulletin Info" werden zusätzliche Details zum gewählten Patch angezeigt. Hinweis: Die Suche nach fehlenden Software-Updates und Service Packs kann für mehrere Produkte von Microsoft erfolgen. Eine GFI LANguard N.S.S. Handbuch Erste Schritte: Analysieren der Scan-Ergebnisse • 27 vollständige Liste der unterstützten Produkte erhalten Sie unter http://kbase.gfi.com/showarticle.asp?id=KBID001820. Vulnerabilities (Sicherheitslücken) ` High, medium, low security vulnerabilities (kritische, wichtige und kleinere Sicherheitslücken) Screenshot 19 – Kritische, wichtige und kleinere Sicherheitslücken Die Unterknoten High, Medium und Low security vulnerabilities bieten Informationen zu Sicherheitslücken, die bei der Kontrolle eines Zielrechners festgestellt wurden. Sicherheitslücken werden in 8 Gruppen unterteilt: • CGI Abuses • FTP Vulnerabilities • DNS Vulnerabilities • Mail Vulnerabilities • RPC Vulnerabilities • Service Vulnerabilities • Registry Vulnerabilities • Misc/Linux/UNIX Vulnerabilities Nachfolgend werden die Inhalte jeder Gruppe näher erläutert: • CGI Abuses (CGI-Missbrauch) In dieser Gruppe sind Informationen zu Sicherheitsschwachstellen enthalten, die auf Web-Servern festgestellt wurden (z. B. fehlerhafte Konfigurationseinstellungen). Web-Server, die unterstützt werden, sind Apache, Netscape und Microsoft IIS. Es werden Informationen bereitgestellt zu: o Vulnerability check name (z. B. Imported_IIS: FrontPage Check) o Description: – Kurze Beschreibung der Sicherheitslücke. 28 • Erste Schritte: Analysieren der Scan-Ergebnisse GFI LANguard N.S.S. Handbuch o • Bugtraq-ID/URL: – Kennung des zugehörigen Artikels aus der Knowledge-Base von Microsoft und eine URL, unter der detailliertere Informationen zur Sicherheitslücke abgerufen werden können. Sicherheitslücken aus den Bereichen FTP, DNS, Mail, RPC und Versch./Linux/UNIX In diesen Gruppen sind Details zu Sicherheitslücken aufgeführt, die bei der Überprüfung von Zielen im Netzwerk wie FTP- und DNS-Servern oder SMTP-/POP3-/IMAP-Servern festgestellt wurden. Die Informationen bieten Links zu Artikeln der Microsoft Knowledge-Base oder anderer Support-Dokumentation des Service Packs. • Service Vulnerabilities (Sicherheitslücken bei Diensten) In dieser Gruppe sind Details zu Sicherheitslücken aufgeführt, die bei der Überprüfung von auf den Netzwerkgeräten laufenden Diensten festgestellt wurden. Es werden zudem auf Zielrechnern unbenutzte, aber immer noch aktive und aufrufbare Konten angezeigt. • Registry Vulnerabilities (Sicherheitslücken in der Registrierdatenbank) In dieser Gruppe sind Details zu Sicherheitslücken aufgeführt, die bei der Überprüfung der Einstellungen der Registrierdatenbank eines gescannten Netzwerkgeräts festgestellt wurden. Die Informationen bieten Links zur Support-Dokumentation und eine kurze Beschreibung der Sicherheitslücke. Potential Vulnerabilities (Potenzielle Sicherheitslücken) Screenshot 20 – Knoten "Potential Vulnerabilities" GFI LANguard N.S.S. Handbuch Erste Schritte: Analysieren der Scan-Ergebnisse • 29 Klicken Sie auf den Unterknoten Potential Vulnerabilities, um Scan-Ergebnisse anzeigen zu lassen, die auf potenzielle NetzwerkSchwachstellen hinweisen. Obwohl die in dieser Kategorie aufgelisteten Scan-Ergebnisse nicht als Sicherheitslücke klassifiziert sind, müssen die entsprechenden Schwachstellen von Ihnen kontrolliert werden, da sie ein Eindringen in Ihr System ermöglichen. Beispiel: Während eines Sicherheits-Scans listet GFI LANguard N.S.S. alle installierten und konfigurierten Modems der Zielrechner auf. Werden diese Modems nicht genutzt oder sind sie nicht ans Telefonnetz angeschlossen, stellen sie keine unmittelbare Gefahr für Ihr Netzwerk, d. h. keine Schwachstelle, dar. Sind sie jedoch ans Telefonnetz angeschlossen und in Gebrauch, können sie von Ihren Netzwerkbenutzern verwendet werden, um unautorisiert und unüberwacht auf das Internet zuzugreifen. Firewalls und andere Schutzmaßnahmen für die InternetKommunikation, z. B. Virenscanner und Inhaltsblocker) könnten umgangen werden. Zudem können durch die Internet-Verbindungen hohe Telefonkosten entstehen. Eine weitere Gefahr stellen Hacker dar, die solche unüberwachten Verbindungen als Schwachstelle entdecken und für einen unkontrollierten Zugriff auf Ihr Netzwerk missbrauchen könnten. GFI LANguard N.S.S. stuft installierte Modems daher als potenzielle Gefahren ein und führt sie in der entsprechenden Kategorie auf (d. h. unter dem Knoten Potential Vulnerability). Open Shares (Offene Freigaben) Klicken Sie auf den Unterknoten Zielrechners anzuzeigen. Shares, um alle Freigaben des Screenshot 21 – Knoten "Shares" Viele Würmer und Viren (z. B. Klez, Bugbear, Elkern und Lovgate) verbreiten sich über offene Freigaben von Netzwerkrechnern. GFI LANguard N.S.S. listet die Eigenschaften alle in Ihrem Netzwerk identifizierten Freigaben auf. So können Sie sicherstellen, dass 30 • Erste Schritte: Analysieren der Scan-Ergebnisse GFI LANguard N.S.S. Handbuch 1. kein Benutzer anderen Anwendern Zugriff auf die gesamte Festplatte gewährt, 2. ein anonymer/nicht authentifizierter Zugriff auf Freigaben nicht erlaubt ist und entsprechende Zugriffsberechtigungen eingerichtet sind, 3. Autostart-Ordner oder ähnliche Systemdateien nicht freigegeben sind, da es ansonsten anderen Benutzern, die normalerweise eingeschränkte Zugriffsrechte haben, möglich sein könnte, auf den Zielrechnern schädliche Programme auszuführen, 4. kein Benutzer nicht benötigte oder verwendete Freigaben besitzt. Für offene Freigaben werden folgende Informationen vom Zielrechner abgerufen: • Name der Freigabe • auf dem Zielrechner freigegebenes Verzeichnis • Freigabeberechtigungen und Zugriffsrechte • NTFS-Berechtigungen und Zugriffsrechte Hinweis: Jeder Windows-Rechner besitzt administrative Freigaben (C$, D$, E$ usw.). Diese werden standardmäßig von GFI LANguard N.S.S. beim Scannen des Zielrechners automatisch aufgelistet. Sollten diese Überprüfung im Rahmen eines Sicherheits-Audits nicht länger notwendig sein, kann GFI LANguard N.S.S. so konfiguriert werden, dass administrative Freigaben beim Scannen unberücksichtigt bleiben. Weitere Informationen hierzu erhalten Sie im Kapitel "Scan-Profile" unter "Anpassen der Abfrageparameter für Betriebssystemdaten". Password Policy (Passwort-Richtlinien) Screenshot 22 – Knoten "Password policy" Klicken Sie auf den Unterknoten Password Policy, um die Einstellungen der auf den Zielrechnern eingerichteten PasswortRichtlinien abzurufen. GFI LANguard N.S.S. Handbuch Erste Schritte: Analysieren der Scan-Ergebnisse • 31 Unter Windows 2000/XP/2003 können Sicherheitsrichtlinien für alle Benutzerkonten festgelegt werden, die Schutz vor Passwort-Angriffen und anderen "Brute-Force-Attacken" bieten. Hierzu zählen Richtlinien für Kontosperrungen oder solche, die die Nutzung sicherer Passwörter erzwingen. Mit diesen grundlegenden Schutzmaßnahmen auf Benutzerseite kann es Angreifern erschwert werden, einen Zugang zum Netzwerk zu erhalten. So lassen sich beispielsweise typische Fehler wie unzureichende Passwörter vermeiden (z. B. Passwörter mit wenigen Zeichen, gängige Kombinationen, fehlende Passwörter bzw. die Verwendung des Benutzernamens als Passwort). Die von GFI LANguard N.S.S. von den Zielrechnern abgerufenen Einstellungen für Passwort-Richtlinien ermöglichen es Ihnen schnell zu erkennen, welche Schwachstellen im Bereich der Rechnerkonfiguration zu beheben sind. Registry (Registrierdatenbank) Klicken Sie auf den Unterknoten Registry, um Informationen zu wichtigen Einträgen der Registrierdatenbank des Zielrechners zu erhalten. Screenshot 23 – Knoten "Registry" Durch Kontrolle der über den Unterknoten Run aufrufbaren Informationen können Sie feststellen, welche Programme beim Hochfahren des Zielrechners automatisch gestartet werden. Mit Hilfe dieser Daten lassen sich neben erwünschten Anwendungen auch Trojaner sowie autorisierte oder unautorisierte Applikationen identifizieren, die einen Fernzugriff auf Ihr Netzwerk ermöglichen. Software, die ohne Ihre Autorisierung über das Startmenü aufgerufen wird, sollte genau überprüft werden. Es könnte sich dabei um Schlupflöcher handeln, über die ein Zugang zu Ihrem System ermöglicht wird. 32 • Erste Schritte: Analysieren der Scan-Ergebnisse GFI LANguard N.S.S. Handbuch Security Audit Policy (Richtlinien für Sicherheits-Audits) Klicken Sie auf den Unterknoten Security Audit Policy, um Informationen zu den auf dem Zielrechner konfigurierten Richtlinien für Sicherheits-Audits zu erhalten. Bestandteil eines jeden Sicherheitskonzepts sollte die Überwachung und Kontrolle von Ereignissen sein, die in Ihrem Netzwerk eintreten. Ereignisse werden in Ereignisprotokollen aufgezeichnet, deren Analyse bei der Identifizierung von Sicherheitslücken oder -verletzungen hilft. Versuche, in Ihr Netzwerk einzudringen, sollten schnell erkannt und abgewehrt werden, bevor ein Schaden entstehen kann. Mit Hilfe der "Gruppenrichtlinien" von Windows können Sie Überwachungsrichtlinien festlegen, mit denen sich Benutzeraktivitäten oder Systemereignisse in bestimmten Protokollen nachverfolgen lassen. Beim Scannen ermittelt GFI LANguard N.S.S. die aktuellen Einstellungen der auf den Zielrechnern konfigurierten Überwachungsrichtlinien. Mit Hilfe dieser Informationen können Sie überprüfen, ob Änderungen notwendig sind, um die Sicherheit weiter zu verbessern. Sicherheitsrichtlinien-Einstellungen auf Netzwerkrechnern sollten wie folgt konfiguriert werden: Überwachungsrichtlinie Erfolg Fehler Anmeldeversuche Ja Ja Kontenverwaltung Ja Ja Active Directory-Zugriff Ja Ja Anmeldeereignisse Ja Ja Objektzugriffsversuch Ja Ja Richtlinienänderungen Ja Ja Rechteverwendung Nein Nein Vorgangsprotokollierung Nein Nein Ja Ja Systemereignisse Alle Richtlinieneinstellungen der Zielrechner lassen sich zudem per Fernzugriff über die Konfigurationsoberfläche von GFI LANguard N.S.S. verändern. So ändern Sie die Einstellungen: 1. Klicken Sie im mittleren Fenster Scanned Computers mit der rechten Maustaste auf den gewünschten Zielrechner, und wählen Sie Enable auditing on ` This computer. Hierdurch wird der Assistent "Audit Policy Administration Wizard" gestartet. Klicken Sie auf die Schaltfläche Next, um mit der Konfigurierung fortzufahren. Hinweis 1: Um per Fernzugriff Überwachungsrichtlinien auf einer Auswahl an Zielrechnern zu konfigurieren, klicken Sie mit der rechten Maustaste auf einen der im mittleren Fenster aufgeführten Rechner, und wählen Sie Enable auditing on ` Selected computers. Hinweis 2: Um per Fernzugriff Überwachungsrichtlinien auf allen im mittleren Fenster aufgeführten Rechnern zu konfigurieren, klicken Sie mit der rechten Maustaste auf einen der Zielrechner, und wählen Sie Enable auditing on ` All computers. GFI LANguard N.S.S. Handbuch Erste Schritte: Analysieren der Scan-Ergebnisse • 33 Screenshot 24 – Administrationsassistent für Überwachungsrichtlinien 2. Aktivieren oder deaktivieren Sie die Kontrollkästchen der Überwachungsrichtlinien, die auf den ausgewählten Zielrechnern eingerichtet werden sollen. Um beispielsweise erfolgreiche Ereignisse zu protokollieren, markieren Sie für die entsprechende Überwachungsrichtlinie das Kontrollkästchen Success. Klicken Sie auf die Schaltfläche Next, um mit der Konfigurierung der Überwachungsrichtlinien auf den entfernten Zielrechnern zu beginnen. Screenshot 25 – Ergebnisdialog des Assistenten für Sicherheitsrichtlinien 34 • Erste Schritte: Analysieren der Scan-Ergebnisse GFI LANguard N.S.S. Handbuch 3. Ein Dialog informiert Sie über die Ergebnisse der Konfigurierung. Klicken Sie auf die Schaltfläche Next, um zum letzten Konfigurationsschritt zu gelangen. 4. Klicken Sie auf die Schaltfläche Finish, um den Assistenten "Audit Policy Administration Wizard" zu schließen. Open Ports (Offene Ports) Klicken Sie auf den Unterknoten Open TCP Ports, um eine Liste mit Ports anzeigen zu lassen, die auf einem gescannten Zielrechner als offen identifiziert wurden. Screenshot 26 – Knoten "Open TCP Ports" Offene Ports stehen für aktive Dienste und Applikationen, über die böswillige Anwender missbräuchlich Zugriff auf den Rechner nehmen können. Es sollten nur solche Ports geöffnet bleiben, die eindeutig für die zentralen bzw. Hauptfunktionen Ihrer Netzwerkdienste benötigt werden. Alle anderen Ports sollten aus Sicherheitsgründen geschlossen sein. GFI LANguard N.S.S. nutzt standardmäßig das Scan-Profil Default Scanning Profile. Mit Hilfe dieses Scan-Profils werde nicht alle 65535 TCP- und UDP-Ports kontrolliert, da eine vollständige Überprüfung auf allen Zielrechnern zu viel Zeit in Anspruch nehmen würde. Default Scanning Profile kontrolliert nur solche Ports, die ein beliebtes Angriffsziel/Schlupfloch von Hackern, Trojanern, Viren, Spyware und sonstiger Malware sind. Um für alle Zielrechner einen umfassenden Port-Scan mit Überprüfung aller offenen Ports zu starten, wählen Sie das Scan-Profil Full TCP & UDP Port Scan. Weitere Informationen zur Durchführung von Sicherheits-Audits mit Hilfe unterschiedlicher Scan-Profile erhalten Sie im Kapitel "ScanProfile" unter "Einsetzen von Scan-Profilen". Weitere Informationen zur Anpassung von Scan-Profilen erhalten Sie im Kapitel "Scan-Profile" unter "Erstellen eines neuen Scan-Profils". GFI LANguard N.S.S. Handbuch Erste Schritte: Analysieren der Scan-Ergebnisse • 35 Service-Fingerprinting Neben der Überprüfung, ob ein Port offen oder geschlossen ist, analysiert GFI LANguard N.S.S. mit Hilfe des Service-Fingerprinting alle Dienste, die hinter den identifizierten offenen Ports laufen. So kann ausgeschlossen werden, dass ein offener Port per Port-Hijacking unautorisiert übernommen worden ist und nun missbräuchlich verwendet wird. Beispielsweise können Sie überprüfen, ob bei Port 21 eines Zielrechners auch wirklich ein FTP-Server aktiv ist und kein HTTP-Server. Gefährliche Ports Screenshot 27 – Suchergebnisse: Markierung gefährlicher Ports in Rot GFI LANguard N.S.S. zeigt offene Ports, die häufig missbraucht werden, mit einem roten Warnpunkt an. Dieser Hinweis bedeutet jedoch nicht zwangsläufig, dass dort ein Backdoor-Programm aktiv ist. Einige gültige Programme greifen auf dieselben Ports zurück wie einige bekannte Trojaner – daher sollte eine weitere Kontrolle erfolgen, bevor der Port geschlossen wird. Users and groups (Benutzer und Gruppen) Klicken Sie auf den Unterknoten Users, um alle lokalen Benutzerkonten des Zielrechners anzuzeigen. Klicken Sie auf den Unterknoten Groups, um alle lokalen Gruppen des Zielrechners anzuzeigen. Mit den über diese Knoten verfügbaren Informationen können Sie nicht benötigte oder missbräuchlich angelegte Benutzer und Gruppen identifizieren, über die unautorisierte Anwender Zugriff auf Ihr System nehmen können. Hierzu zählen auch das Gastkonto oder veraltete Benutzer- und Gruppenkonten. Einige Backdoor-Programme aktivieren beispielsweise das Gastkonto und versehen es mit Administratorrechten. Dank der über den Unterknoten Users verfügbaren Angaben lassen sich für jedes Benutzerkonto die jeweils zugewiesenen Zugriffsrechte kontrollieren. Hinweis: Benutzer sollten sich nicht über ein lokales Konto an einem Netzwerkrechner anmelden. Aus Gründen einer erhöhten Sicherheit ist hier ein Login über ein Domänen- oder Active Directory-Konto zu empfehlen. 36 • Erste Schritte: Analysieren der Scan-Ergebnisse GFI LANguard N.S.S. Handbuch Logged On Users (Angemeldete Benutzer) Klicken Sie auf den Unterknoten Logged on Users, um die Liste der Benutzer aufzurufen, die am Zielrechner lokal (per interaktiver Anmeldung) oder entfernt (per Remote-Netzwerkverbindung) angemeldet sind. Screenshot 28 – Angemeldete Benutzer Für jeden identifizierten Benutzer, der angemeldet ist, werden folgende Informationen abgerufen (je nach Verbindung): • Logged on username – aktueller Benutzername. • Time and Date of the Logon – Uhrzeit und Datum der Benutzeranmeldung am Zielrechner. • Time elapsed since their logon – Dauer der Verbindung seit Anmeldung des Benutzers. • Number of programs running – Anzahl der Programme, die der interaktiv angemeldete Benutzer zum Zeitpunkt des Scans geöffnet hatte. • Idle time – Leerlaufdauer der Benutzerverbindung (bei vollständiger Inaktivität). • Client type – Plattform/Betriebssystem, über die/das der Remote-Benutzer eine Verbindung mit dem Zielrechner hergestellt hat. • Transport – Name des Diensts, über den die RemoteVerbindung zwischen dem Remote-Rechner und dem Zielrechner hergestellt wurde (z. B. NetBIOS/SMB, Terminal Service, Remote Desktop). Services (aktive Dienste) Klicken Sie auf den Unterknoten Services, um eine Übersicht aller Dienste anzeigen zu lassen, die während des Sicherheits-Scans auf den Zielrechnern aktiv waren. Mit Hilfe dieser Information können Sie GFI LANguard N.S.S. Handbuch Erste Schritte: Analysieren der Scan-Ergebnisse • 37 unbekannte/nicht benötigte Dienste auf Ihren Netzwerkrechnern identifizieren. Hinweis: Jeder aktive Dienst stellt ein potenzielles Sicherheitsrisiko für Ihr Netzwerk dar. Daher sollten alle nicht benötigten Applikationen und Dienste in Ihrem Netzwerk deaktiviert/geschlossen werden. So verringern Sie die Anzahl der "Schlupflöcher", durch die Hacker unerlaubten Zugriff auf Ihr System nehmen können. Processes (aktive Remote-Prozesse) Klicken Sie auf den Unterknoten Processes, um eine Übersicht aller Prozesse anzeigen zu lassen, die während des Sicherheits-Scans auf den Zielrechnern aktiv waren. Screenshot 29 – Liste aller auf Zielrechnern aktiven Prozesse Während eines Scans sammelt GFI LANguard N.S.S. eine Vielzahl an Informationen zu den Prozessen, die auf den kontrollierten Zielrechnern aktiv sind, und zeigt diese an. Folgende Daten werden aufgeführt: • Name des Prozesses • Prozess-ID (PID) • Path (Pfad) • User (Benutzer) • PPID (Parent Process Identifier) • Domain (Domäne) • Command Line (Befehlszeile) • Handle Count (Anzahl der Handles) • Thread Count (Anzahl der Threads) • Priority (Priorität) 38 • Erste Schritte: Analysieren der Scan-Ergebnisse GFI LANguard N.S.S. Handbuch Applications (installierte Applikationen) Screenshot 30 – Liste aller auf Zielrechnern installierten Applikationen Klicken Sie auf den Unterknoten Applications, um eine Übersicht aller Applikationen anzeigen zu lassen, die auf einem gescannten Zielrechner installiert sind. Die gefundenen Applikationen werden in drei Gruppen unterteilt angezeigt: • Anti-Viren-Anwendungen • Anti-Spyware-Anwendungen • Allgemeine Anwendungen. Unter Anti-Viren-Applikationen und Anti-Spyware-Applikationen werden alle Sicherheitsanwendungen gruppiert, die auf den gescannten Zielrechnern installiert sind. Folgende Informationen werden unter der jeweiligen Gruppe aufgeführt: • Applikationsname • Real time protection – Zeigt den Status des EchtzeitSchutzes einer Anti-Viren-Anwendung an (aktiviert/deaktiviert). • Up to date – Informiert, ob die Anti-Virus/SpywareSignaturdateien einer Sicherheitsanwendung auf dem neuesten Stand sind. Hierfür wird die Statuskennzeichnung für Signaturdateien kontrolliert (falls möglich). • Last update – Zeigt Datum und Uhrzeit des letzten Updates der Anti-Viren/Spyware-Signaturen an. • Version – Informiert Sicherheitsanwendung. • über die Versionsnummer der Publisher – Zeigt Herstellerinformationen an. Unter der Gruppe General applications werden alle allgemeinen Anwendungen aufgeführt, die auf dem gescannten Zielrechner installiert sind. Hierzu zählen sämtliche Programme, die nicht als AntiViren/Spyware-Produkte klassifiziert sind, z. B. der Adobe Reader und GFI LANguard Network Security Scanner. GFI LANguard N.S.S. Handbuch Erste Schritte: Analysieren der Scan-Ergebnisse • 39 Folgende Informationen werden in der Gruppe General Applications aufgeführt: • Applikationsname • Version – Informiert über die Versionsnummer der Anwendung. • Publisher – Zeigt Herstellerinformationen an. Network devices (Netzwerk-Hardware) Klicken Sie auf den Unterknoten Network Devices, um eine Übersicht über sämtliche Netzwerk-Hardware/Komponenten (z. B. Netzwerkkarten aller Art) anzeigen zu lassen, die auf den gescannten Computern installiert sind. Mit Hilfe dieser Informationen können Sie unautorisierte Geräte, die mit Ihrem Netzwerk verbunden sind, identifizieren und analysieren. Nicht überwachte Netzwerk-Hardware, vor allem Wireless-Geräte, kann Sicherheitslöcher öffnen, die eine Gefahr für die Unternehmenssicherheit darstellen. Aus diesem Grund sollten nur von Ihnen zugelassene Geräte dieser Art mit Ihrem Netzwerk verbunden werden. Screenshot 31 – Identifizierte Netzwerk-Hardware GFI LANguard N.S.S. erkennt sämtliche installierte NetzwerkHardware, sowohl kabelgebundene als auch drahtlose. Die unter dem Unterknoten Network Devices gelisteten Informationen werden in vier Hauptgruppen angezeigt: • Physical devices (Wired) (kabelgebundene physische Geräte) • Wireless devices (drahtlose Geräte) • Virtual devices (virtuelle Geräte) • Software enumerated devices (von Software spezifizierte Geräte) 40 • Erste Schritte: Analysieren der Scan-Ergebnisse GFI LANguard N.S.S. Handbuch In jeder Gruppe werden verschiedene Informationen zu den entdeckten Geräten aufgeführt, darunter: • MAC-Adresse • Assigned IP Address(es) (Zugewiesene IP-Adresse(n)) • Host-Name • Domäne • DHCP-Informationen • WEP (falls verfügbar) • SSID (falls verfügbar) • Gateway • Status USB-Geräte Screenshot 32 – Liste identifizierter USB-Geräte Klicken Sie auf den Unterknoten USB devices, um eine Übersicht über alle USB-Geräte anzeigen zu lassen, die mit den Zielrechnern verbunden sind. Mit Hilfe dieser Informationen können Sie unerwünschte USB-Geräte identifizieren, die zum Zeitpunkt des Scans mit den gescannten Zielrechnern verbunden waren. Zu diesen Geräten zählen beispielsweise tragbare Massenspeicher wie Apple iPods oder Creative Zens, per USB unterstützte drahtlose Geräte sowie Bluetooth-Dongles. GFI LANguard N.S.S. Handbuch Erste Schritte: Analysieren der Scan-Ergebnisse • 41 Anzeigen unautorisierter USB-Geräte als kritische Sicherheitslücken Screenshot 33 – Als kritische Sicherheitslücke klassifiziertes USB-Gerät Legen Sie über GFI LANguard N.S.S. fest, welche USB-Geräte autorisiert/unautorisiert sein sollen und entsprechend anzuzeigen sind. Weitere Informationen hierzu erhalten Sie im Kapitel "ScanProfile" unter "Erstellen einer Liste mit unautorisierter NetzwerkHardware". System patching status (Status von Patches/Service Packs) Screenshot 34 – Liste fehlender und installierter Patches/Service Packs System patching status, um eine Klicken Sie auf den Knoten Übersicht über den Patch/SP-Status eines Zielrechners zu erhalten. 42 • Erste Schritte: Analysieren der Scan-Ergebnisse GFI LANguard N.S.S. Handbuch NetBIOS names (NetBIOS-Namen) Klicken Sie auf den Unterknoten NETBIOS names, um eine Übersicht über alle NetBIOS-Namen aufzurufen, die während eines Scans identifiziert wurden. Jeder Rechner eines Netzwerks besitzt einen eindeutigen NetBIOSComputernamen. Dieser Name besteht aus 16 Zeichen, mit denen sich NetBIOS-Ressourcen im Netzwerk identifizieren lassen. NetBIOS-Namen werden mit Hilfe der NetBIOS-Namensauflösung einer IP-Adresse zugewiesen. Während der Kontrolle fragt GFI LANguard N.S.S. die Identität und Verfügbarkeit eines Zielrechners ab. Falls der Zielrechner verfügbar ist, antwortet er durch Übersendung des entsprechenden NetBIOSNamens auf die Anfrage. Computer (Informationen zu gescannten Zielrechnern) Screenshot 35 – Spezielle Computerinformationen Klicken Sie auf den Unterknoten Computer, um einzelne Daten zu einem gescannten Rechner abzurufen. Folgende Informationen werden unter diesem Knoten aufgeführt: • MAC: – Zeigt die MAC-Adresse der Netzwerkkarte an, über die der Zielrechner eine Verbindung mit dem Netzwerk herstellt. • Time To Live (TTL): – Informiert über die maximal erlaubte Anzahl von Netzwerk-Hops, bevor ein Datenpaket verworfen und nicht weitergeleitet wird. Über diese Angabe können Sie die Distanz (d. h. die Anzahl der Router-Hops) zwischen dem Rechner mit GFI LANguard N.S.S. und dem gescannten Zielrechner feststellen. Typische TTL-Werte sind 32, 64, 128 und 255. • Network Role: – Zeigt an, ob es sich bei einem gescannten Zielrechner um eine Workstation oder einen Server handelt. • Domain: – Zeigt den Namen der Domäne/Arbeitsgruppe an. Gehört ein gescanntes Ziel zu einer Domäne, werden in diesem GFI LANguard N.S.S. Handbuch Erste Schritte: Analysieren der Scan-Ergebnisse • 43 Feld die vertrauenswürdigen Domänen angezeigt. Andernfalls steht in diesem Feld der Name der Arbeitsgruppe, zu der der Rechner gehört. • LAN-Manager: – Bietet Angaben zum verwendeten Betriebssystem und LAN-Manager (z. B. Windows 2000 LAN Manager). • Language: Informiert über die Spracheinstellungen des Zielrechners (z. B. Englisch). Sessions (aktive Sitzungen) Screenshot 36 – Spezielle Sitzungsinformationen Klicken Sie auf den Unterknoten Sessions, um eine Übersicht aller Hosts anzeigen zu lassen, die während des Sicherheits-Scans remote mit dem Zielrechner verbunden waren. Folgende Informationen werden unter diesem Knoten aufgeführt: • • Computer: – Die IP-Adresse des Hosts, der mit dem gescannten Zielrechner zum Zeitpunkt des Scans remote verbunden war. Username: – Aktueller Benutzername. • Open files: – Anzahl der Dateien, auf die bislang während der Sitzung zugegriffen worden ist. • Connection time: – Die Verbindungsdauer (in Sekunden), d. h. wie lang ein Benutzer zum Zeitpunkt des Scans bereits mit dem Zielrechner remote verbunden ist. • Idle time: – Gesamtdauer (in Sekunden) für die die Verbindung bislang inaktiv gewesen ist. • Client type – Plattform/Betriebssystem, mit dem der per Fernzugriff angemeldete Rechner (d. h. der Client-Computer) läuft. 44 • Erste Schritte: Analysieren der Scan-Ergebnisse GFI LANguard N.S.S. Handbuch • Transport – Name des Diensts, über den die RemoteVerbindung zwischen dem Client-Rechner und dem Zielrechner hergestellt wurde (z. B. NetBIOS/SMB). Hinweis: Zu den unter diesem Knoten aufgeführten Informationen zählen auch Angaben zur Remote-Verbindung, die durch den von GFI LANguard N.S.S. durchgeführten Scan aufgebaut wurde. Die IP des Rechners, auf dem GFI LANguard N.S.S. läuft, seine Zugangsdaten usw. werden somit ebenfalls angezeigt. Remote time of day (Uhrzeit des Zielrechners) Klicken Sie auf den Unterknoten Remote TOD, um die Netzwerkzeit anzuzeigen, die während des Scans vom Zielrechner abgerufen wurde. Diese Uhrzeit wird bei Netzwerkrechnern im Allgemeinen vom zuständigen Domänen-Controller bestimmt. Local drives (Lokale Festplatten) Klicken Sie auf den Unterknoten Local Drives, um eine Übersicht zu allen physischen Festplatten auf dem Zielrechner aufzurufen. Die über diesen Unterknoten abrufbaren Informationen umfassen den Laufwerk-Buchstaben, die Gesamtgröße des Laufwerks sowie den freien Festplattenspeicher. GFI LANguard N.S.S. Handbuch Erste Schritte: Analysieren der Scan-Ergebnisse • 45 46 • Erste Schritte: Analysieren der Scan-Ergebnisse GFI LANguard N.S.S. Handbuch Speichern und Abrufen von ScanErgebnissen Einführung GFI LANguard N.S.S. sichert Scan-Ergebnisse standardmäßig automatisch per Microsoft Access oder Microsoft SQL Server Datenbank-Backend. Ergebnisse können jedoch auch in einer externen XML-Datei gespeichert werden. In XML-Dateien und im Datenbank-Backend gespeicherte ScanErgebnisse lassen sich zur weiteren Verarbeitung über die Benutzeroberfläche von GFI LANguard N.S.S. abrufen. Dies erlaubt es Ihnen beispielsweise, Daten miteinander zu vergleichen oder bereits als fehlend erkannte Patches ohne ein erneutes Scannen des Netzwerks für bestimmte Zielrechner bereitzustellen. Speichern von Scan-Ergebnissen in einer externen (XML-)Datei Nach Abschluss eines Sicherheits-Scans werden alle Ergebnisse automatisch im Datenbank-Backend gesichert. So speichern Sie die Resultate in einer externen XML-Datei: 1. Gehen Sie auf File ` Save scan results. 2. Geben Sie den Namen der XML-Datei an, in der die Ergebnisse gespeichert werden sollen (z. B. ScanErgebnis_11052005.xml). 3. Klicken Sie auf die Schaltfläche Save. GFI LANguard N.S.S. Handbuch Speichern und Abrufen von Scan-Ergebnissen • 47 Abrufen von Scan-Ergebnissen Abrufen gespeicherter Scan-Daten aus dem DatenbankBackend Screenshot 37 – Abruf gespeicherter Scan-Ergebnisse GFI LANguard N.S.S. kann Scan-Ergebnisse per Microsoft Access oder Microsoft SQL Server Datenbank-Backend speichern. In derselben Datenbankdatei werden standardmäßig für einen Zielrechner die letzten 10 mit demselben Scan-Profil durchgeführten Scans gespeichert. Hinweis: Die Anzahl der gespeicherten Scan-Ergebnisse lässt sich über den Knoten Database Maintenance unter dem Reiter Manage Saved Scan Results verändern. Weitere Informationen hierzu erhalten Sie im Kapitel "Datenbank-Wartung – Optionen" unter "Verwalten gespeicherter Scan-Ergebnisse". So rufen Sie gespeicherte Scan-Ergebnisse aus dem DatenbankBackend ab: 1. Klicken Sie mit der rechten Maustaste auf den Knoten Security Scanner (Default), und wählen Sie Load saved scan results from ` Database. Der Dialog zu den gespeicherten Scan-Ergebnissen wird aufgerufen. 48 • Speichern und Abrufen von Scan-Ergebnissen GFI LANguard N.S.S. Handbuch Screenshot 38 – Gespeicherte Scan-Ergebnisse 2. Wählen Sie die Scan-Ergebnisse aus, die Sie abrufen möchten. 3. Klicken Sie auf die Schaltfläche OK. Abrufen gespeicherter Scan-Ergebnisse aus einer externen (XML-)Datei So rufen Sie in einer externen XML-Datei gespeicherte ScanErgebnisse ab: 1. Klicken Sie mit der rechten Maustaste auf den Knoten Security Scanner (Default), und wählen Sie Load saved scan results from ` XML. Der Dialog zu den im XML-Format gespeicherten ScanErgebnissen wird aufgerufen. 2. Wählen Sie die Datei mit den Scan-Ergebnissen aus, die Sie abrufen möchten. 3. Klicken Sie auf die Schaltfläche OK. GFI LANguard N.S.S. Handbuch Speichern und Abrufen von Scan-Ergebnissen • 49 50 • Speichern und Abrufen von Scan-Ergebnissen GFI LANguard N.S.S. Handbuch Filtern von Scan-Ergebnissen Einführung Nachdem GFI LANguard N.S.S. einen Scan durchgeführt hat, lassen sich die Scan-Ergebnisse filtern, damit nur die von Ihnen für eine Analyse benötigten Daten angezeigt werden. Beispielsweise können Sie nur solche Informationen herausfiltern lassen, sich auf Computer mit kritischen Sicherheitslücken beziehen. Screenshot 39 – Knoten "Scan Filters" Wählen Sie zum Filtern der Daten eines Sicherheits-Scans einen der verfügbaren Scan-Filter aus. Scan-Filter starten Abfragen, die ScanErgebnisse nach bestimmten Kriterien durchsuchen und entsprechende Treffer anzeigen. Im Lieferumfang von GFI LANguard N.S.S. sind bereits mehrere Standard-Filter enthalten. Hierzu zählen: • Full Report – Zeigt sämtliche während eines Scans gesammelten sicherheitsbezogenen Daten an. • Vulnerabilities [High Security] – Informiert über kritische Sicherheitsprobleme, die dringend behoben werden sollten. Hierzu zählen fehlende Service Packs/Patches, gefährliche Sicherheitslücken und offene Ports. • Vulnerabilities [Medium Security] – Informiert über Sicherheitsprobleme, die vom Administrator untersucht werden sollten, z. B. mittelschwere Sicherheitsprobleme und Patches, deren Einspielen als bedingt gefährlich eingestufte Lücken behebt. GFI LANguard N.S.S. Handbuch Filtern von Scan-Ergebnissen • 51 • Vulnerabilities [All] – Informiert über alle kritischen und wichtigen Sicherheitslücken, die während eines Sicherheits-Scans festgestellt wurden, darunter fehlende Patches und Service Packs. • Missing patches and service packs – Zeigt alle Service Packs und Patch-Dateien an, die auf den gescannten Zielrechnern fehlen. • Important Devices – USB – Führt sämtliche USB-Geräte auf, die mit den gescannten Zielrechnern zum Zeitpunkt der Kontrolle verbunden waren. • Important Devices – Wireless – Führt sämtliche WirelessNetzwerkkarten (PCI und USB) auf, die zum Zeitpunkt des Scans mit den gescannten Zielrechnern verbunden waren. • Open Ports – Zeigt alle offenen TCP- und UDP-Ports auf den gescannten Zielrechnern an. • Open Shares – Informiert über alle offenen Freigaben und zugehörige Zugriffsrechte. • Auditing Policies – Listet die Einstellungen der AuditRichtlinien der gescannten Zielrechner auf. • Password Policies – Listet die Einstellungen der aktiven Passwort-Richtlinien auf, die für die gescannten Zielrechner definiert wurden. • Groups and Users – Zeigt die auf den gescannten Zielrechnern erkannten Gruppen und Benutzer an. • Computer Properties – Zeigt die Eigenschaften jedes Zielrechners an. • Installed Applications – Informiert über alle installierten Applikationen (inklusive Sicherheitssoftware), die während eines Sicherheits-Scans auf dem Zielrechner identifiziert wurden. • Non-Updated Security Software – Listet nur solche installierten Sicherheitsanwendungen (d. h. Anti-Viren/SpywareSoftware) auf, bei denen Updates fehlen und deren Signaturdateien veraltet sind. Hinweis: Alle standardmäßigen Scan-Filter lassen sich individuell anpassen. Ein Erstellen neuer Filter ist ebenfalls möglich. Anwenden von Filtern auf Scan-Ergebnisse So filtern Sie vorhandene Scan-Daten mit Hilfe eines Scan-Filters: 1. Starten und beenden Sie einen Sicherheits-Scan Ihres Netzwerks oder rufen Sie Ergebnisse vorheriger Scans aus Ihrer Datenbank oder XML-Datei ab. 52 • Filtern von Scan-Ergebnissen GFI LANguard N.S.S. Handbuch Screenshot 40 – Scan-Filter: Vollständiger Bericht 2. Erweitern Sie den Knoten Security Scanner ` Scan filter. 3. Wählen Sie den gewünschten Scan-Filter aus (z. B. Vulnerabilities [All]). Erstellen eigener Scan-Filter So erstellen Sie einen eigenen Scan-Filter: 1. Gehen Sie auf den Knoten Security Scanner ` Scan filter, klicken Sie mit der rechten Maustaste auf den Unterknoten, und wählen Sie im Kontextmenü New ` Filter. Der Dialog zu den Eigenschaften des neuen Scan-Filters wird geöffnet. Screenshot 41 – Eigenschaften eines neuen Scan-Filters: Reiter "General" GFI LANguard N.S.S. Handbuch Filtern von Scan-Ergebnissen • 53 2. Geben Sie im sich automatisch aufgerufenen Reiter General den Namen des neuen Scan-Filters an. Screenshot 42 – Eigenschaften eines Filters 3. Klicken Sie auf die Schaltfläche Add, und wählen Sie aus der angezeigten Liste die erforderliche Filtereigenschaft aus (z. B. "Operating system"). Mit dieser Eigenschaft legen Sie fest, welche Art von Information aus den Scan-Ergebnissen herausgefiltert werden soll (d. h. Sie bestimmen den Anwendungsbereich). 4. Klicken Sie auf die Schaltfläche Next um fortzufahren. 54 • Filtern von Scan-Ergebnissen GFI LANguard N.S.S. Handbuch Screenshot 43 – Eigenschaften einer Filterbedingung 5. Wählen Sie aus der Drop-Down-Liste zu Conditions die benötigte Filterbedingung aus, und legen Sie den zu ermittelnden Filterwert Value fest. Der Filterwert gibt die Zeichenfolge an, mit deren Hilfe der Filter die Scan-Ergebnisse unter Berücksichtigung der Filterbedingung durchsucht und entsprechende Treffer anzeigt. 6. Klicken Sie auf die Schaltfläche Add. Hinweis: Es ist möglich, für jeden Scan-Filter mehrere Filterbedingungen festzulegen. Hierdurch können Sie leistungsfähige Filter erstellen, mit deren Hilfe sich zu analysierende Daten noch gezielter isolieren lassen. GFI LANguard N.S.S. Handbuch Filtern von Scan-Ergebnissen • 55 Screenshot 44 – Eigenschaften eines neuen Scan-Filters: Reiter "Report Items" 7. Klicken Sie auf den Reiter Report Items. 8. Wählen Sie die Informationskategorien/Unterknoten aus, die nach der Filterung angezeigt werden sollen. 9. Klicken Sie auf die Schaltfläche OK, um den Filter zu erstellen. Der neue Filter wird dauerhaft als Unterknoten unter Security Scanner ` Scan filters aufgeführt. Hinweis: Um einen Scan-Filter zu löschen oder zu bearbeiten, klicken Sie mit der rechten Maustaste auf den gewünschten Filter, und wählen Sie im Kontextmenü Delete zum Löschen oder Properties zum Bearbeiten der Eigenschaften. Beispiel 1 – Erstellen eines Filters zur Suche nach Rechnern, auf denen ein bestimmter Patch fehlt Anhand des folgenden Beispiels wird gezeigt, wie ein Filter erstellt werden kann, der alle Windows-Rechner auflistet, auf denen der Microsoft-Patch MS03-026 (zur Abwehr des Blaster-Virus) fehlt. 1. Gehen Sie auf den Knoten Security Scanner ` Scan filter, klicken Sie mit der rechten Maustaste auf den Unterknoten, und wählen Sie im Kontextmenü New ` Filter. Der Dialog zu den Eigenschaften des neuen Scan-Filters wird geöffnet. 2. Geben Sie im Eingabefeld für den Filternamen “Blaster-Patch fehlt“ ein. 3. Klicken Sie auf die Schaltfläche Add. 4. Wählen Sie aus der Liste der Filtereigenschaften die Option Operating System aus, und klicken Sie auf die Schaltfläche Next. 56 • Filtern von Scan-Ergebnissen GFI LANguard N.S.S. Handbuch Screenshot 45 – Filterbedingungen 5. Wählen Sie aus der Drop-Down-Liste zu Conditions den Eintrag Includes aus. Geben Sie im Eingabefeld Value den Wert “Windows“ ein. 6. Klicken Sie auf die Schaltfläche Add, um die Bedingung dem Filter hinzuzufügen. Screenshot 46 – Eigenschaften eines neuen Scan-Filters: Reiter "General" GFI LANguard N.S.S. Handbuch Filtern von Scan-Ergebnissen • 57 7. Klicken Sie im Dialog zu den Eigenschaften des neuen Scan-Filters auf die Schaltfläche Add, um eine weitere Filterbedingung mit dem Patch-Namen (d. h. MS03-026) hinzuzufügen. 8. Wählen Sie aus der Liste der Filtereigenschaften den Eintrag Patch aus, und klicken Sie auf die Schaltfläche Next. 9. Wählen Sie aus der Drop-Down-Liste zu Conditions den Eintrag is not installed aus. Geben Sie im Eingabefeld Value den Wert “MS03026“ ein. 10. Klicken Sie auf die Schaltfläche Add, um die Bedingung dem Filter hinzuzufügen. 11. Klicken Sie auf die Schaltfläche OK, um die Konfigurierung abzuschließen und den Filter zu erstellen. Der Filter steht über einen neuen Unterknoten zur Verfügung. über Security Scanner ` Scan Filter ` Blaster-Patch fehlt). Beispiel 2 – Erstellen eines Filters zur Auflistung aller SunWorkstations mit Web-Server So erstellen Sie einen Filter, der alle Sun-Workstations anzeigt, auf denen einen Web-Server auf Port 80 läuft: 1. Gehen Sie auf den Knoten Security Scanner ` Scan filter, klicken Sie mit der rechten Maustaste auf den Unterknoten, und wählen Sie im Kontextmenü New ` Filter. Der Dialog zu den Eigenschaften des neuen Scan-Filters wird geöffnet. 2. Geben Sie im Eingabefeld für den Filternamen “Sun WS, WebServer Port 80“ ein. 3. Klicken Sie auf die Schaltfläche Add. 4. Wählen Sie aus der Liste der Filtereigenschaften den Eintrag Operating System aus, und klicken Sie auf die Schaltfläche Next. 5. Wählen Sie aus der Drop-Down-Liste zu Conditions den Eintrag Includes aus. Geben Sie im Eingabefeld Value den Wert “Sun OS“ ein. 6. Klicken Sie auf die Schaltfläche Add. 7. Klicken Sie im Dialog zu den Filtereigenschaften auf die Schaltfläche Add, um eine weitere Filterbedingung hinzuzufügen. 8. Wählen Sie TCP Port, und klicken Sie auf die Schaltfläche Next. Der Dialog zu den Eigenschaften des neuen Scan-Filters wird geöffnet. 9. Wählen Sie aus der Drop-Down-Liste zu Conditions den Eintrag is open aus. Geben Sie im Eingabefeld Value den Wert “80“ ein. 10. Klicken Sie auf die Schaltfläche Add, um die Bedingung dem Filter hinzuzufügen. 11. Klicken Sie auf die Schaltfläche OK, um die Konfigurierung abzuschließen und den Filter zu erstellen. Der Filter steht über einen neuen Unterknoten zur Verfügung. (über Security Scanner ` Scan Filter ` Sun WS, Web-Server Port 80). 58 • Filtern von Scan-Ergebnissen GFI LANguard N.S.S. Handbuch Konfigurieren von GFI LANguard N.S.S. Einführung Sämtliche Konfigurationsoptionen von GFI LANguard N.S.S. können über verschiedene Unterknoten des Knotens Configuration aufgerufen werden. Diese lauten • Scanning profiles (Scan-Profile) • Scheduled scans (Scans nach Zeitplan) • Computer profiles (Computer-Profile) • Alerting options (Warnoptionen) • Parameter files (Parameter-Dateien) • Database maintenance options (Optionen zur Datenbankwartung) Diese Knoten stehen zur Verfügung zum • Anpassen der standardmäßigen Sicherheits-Scan-Profile • Hinzufügen Optionen • Konfigurieren von Sicherheits-Scans nach einem Zeitplan • Konfigurieren der E-Mail-Warnmeldungen • Konfigurieren des verwendeten Datenbank-Backends von Scan-Profilen mit unterschiedlichen Scan- Scan-Profile Bei Scan-Profilen handelt es sich um Vorlagen mit bereits konfigurierten Einstellungen zum Ablauf eines Schwachstellen-Scans (beispielsweise welche Sicherheits-Checks zu verwenden sind). ScanProfile liefern neben den Check-Anweisungen auch alle weiteren Parameter, die von der Scan-Engine für eine Sicherheitsüberprüfung von Zielrechnern benötigt werden. GFI LANguard N.S.S. unterstützt mehrere Scan-Profile. Im Lieferumfang sind bereits mehrere standardmäßige Profile enthalten, die sich für allgemeine oder zielgerichtete Schwachstellen-Scans verwenden lassen. Vorkonfigurierte Profile lassen sich zudem an eigene Anforderungen anpassen, indem z. B. Schwachstellen-Checks hinzugefügt oder entfernt oder zugehörige Funktionsparameter verändert werden. Zusätzlich können Sie neue Scan-Profile erstellen, die optimal auf Ihre Netzwerkinfrastruktur und zu scannenden Zielrechner abgestimmt sind. Weitere Informationen zum Erstellen, Konfigurieren und Individualisieren von Scan-Profilen erhalten Sie im Kapitel "ScanProfile" in diesem Handbuch. GFI LANguard N.S.S. Handbuch Konfigurieren von GFI LANguard N.S.S. • 59 Scans nach Zeitplan Über den Unterknoten Configuration ` Scheduled Scans können Sie Scans konfigurieren, die wiederholt oder nur zu einem bestimmten Zeitpunkt automatisch durchgeführt werden. Hierdurch lassen sich einzelne Scans beispielsweise regelmäßig automatisch während der Nachtstunden starten. Die Konfigurationsoptionen für Scans nach Zeitplan lassen sich über zwei Reiter festlegen, Result Saving und Results Notification. Rufen Sie diese Reiter auf, indem Sie auf den Knoten Configuration ` Scheduled Scans gehen, mit der rechten Maustaste auf den Unterknoten klicken und im Kontextmenü Properties wählen. Der Dialog zur Konfigurierung der Scans nach Zeitplan wird aufgerufen. Screenshot 47 – Konfigurieren von Scans nach Zeitplan Alle Ergebnisse von geplanten Scans werden standardmäßig in der Datenbank gespeichert. Über den Reiter Result Saving können Sie festlegen, ob die Ergebnisse der nach Zeitplan gestarteten Scans in einer XML- oder HTML-Datei gespeichert werden sollen. Pro geplantem Scan wird dabei jeweils eine Datei angelegt. GFI LANguard N.S.S. bietet zudem die Möglichkeit, Ergebnisberichte eines geplanten Scans nach Beendigung der Kontrolle automatisch an eine E-Mail-Adresse, z. B. einen Administrator, zu senden. Legen Sie über den Reiter Results notifications fest, welche Art von Bericht verschickt werden soll, und geben Sie zudem die E-Mail-Adresse des Empfängers an. Es lassen sich 2 Arten von Berichten automatisch verschicken, ein "Full Scan Results"-Bericht und ein "Result 60 • Konfigurieren von GFI LANguard N.S.S. GFI LANguard N.S.S. Handbuch Comparison"-Bericht. Weitere Informationen hierzu erhalten Sie weiter unten in diesem Kapitel. Erstellen eines Scans nach festem Zeitplan Screenshot 48 – Übersicht über Scans nach Zeitplan So erstellen Sie einen nach einem Zeitplan durchzuführenden Scan: 1. Gehen Sie auf den Knoten Configuration ` Scheduled Scans, und klicken Sie mit der rechten Maustaste auf den Unterknoten. Gehen Sie im Kontextmenü auf New ` Scheduled scan. Der Konfigurationsdialog für einen neuen Scan nach Zeitplan wird geöffnet. Screenshot 49 – Neuer Scan nach Zeitplan 2. Geben Sie im sich standardmäßig aufgerufenen Reiter General die gewünschten Zielrechner an (mit Host-Name, IP oder IP-Bereich). 3. Wählen Sie das Scan-Profil aus, das für diesen Scan verwendet werden soll, und geben Sie eine Beschreibung des Scans an. GFI LANguard N.S.S. Handbuch Konfigurieren von GFI LANguard N.S.S. • 61 4. Soll dieser Scan regelmäßig erfolgen, geben Sie das Scan-Intervall an. 5. Legen Sie Datum und Uhrzeit des Scan-Starts fest. 6. Sind für diesen Scan alternative Zugangsdaten erforderlich, können diese über den Reiter Logon Credentials angegeben werden. 7. Wählen Sie sich über die angezeigte Drop-Down-Liste eine der folgenden Optionen aus: • Alternative Credentials – Wählen Sie diese Option, um sich bei Zielrechnern mit einem gesonderten Benutzernamen und Passwort anzumelden, falls erforderlich. • SSH Private Key – Wählen Sie diese Option, um sich an LinuxRechnern per Private-Key-Authentifizierung anzumelden. Geben Sie den Benutzernamen und die Private-Key-Datei an. Hinweis: Sie können für Scans nach Zeitplan auch festlegen, dass benötigte Authentifizierungsdaten direkt aus den Computer-Profilen abgerufen werden. Um diese Funktion zu aktivieren, wählen Sie bitte die Option Use data from computer profiles. Weitere Informationen zu Computer-Profilen erhalten Sie weiter unten in diesem Kapitel unter "Computer-Profile". 8. Klicken Sie auf die Schaltfläche OK, um die Einstellungen zu speichern. Konfigurieren der Speicherung von Scan-Ergebnissen Screenshot 50 – Eigenschaften von Scans nach festem Zeitplan Ergebnisse aus nach einem Zeitplan durchgeführten Scans werden standardmäßig per Microsoft Access oder Microsoft SQL DatenbankBackend gesichert. Scan-Ergebnisse lassen sich jedoch auch in einer 62 • Konfigurieren von GFI LANguard N.S.S. GFI LANguard N.S.S. Handbuch XML- oder HTML-Datei als Bericht sichern. Diese Dateien können beispielsweise für Ergebnisvergleiche verwendet werden. So lassen Sie Scan-Ergebnisse in einer XML/HTML-Datei sichern: 1. Gehen Sie auf den Knoten Configuration ` Scheduled Scans, klicken Sie mit der rechten Maustaste auf den Unterknoten, und wählen Sie im Kontextmenü Properties. Der Eigenschaften-Dialog für den die Scans nach Zeitplan wird geöffnet. 2. Um die Scan-Ergebnisse in einer XML-Datei zu speichern, wählen Sie die Option Save scheduled scan results to XML file, und geben Sie den Namen und Pfad der XML-Datei an. 3. Um Scan-Ergebnisse in einer HTML-Datei zu speichern, wählen Sie die Option Generate and save scan result HTML reports to, und geben Sie den Namen und Pfad der HTML-Datei an. 4. Klicken Sie auf die Schaltfläche OK, um die Einstellungen zu speichern. Konfigurieren der Zusendung von Scan-Berichten Screenshot 51 – Eigenschaften von Scans nach festem Zeitplan: Reiter "Results Notification" GFI LANguard N.S.S. lässt sich so konfigurieren, dass Berichte von geplanten Scans per E-Mail an einen autorisierten Empfänger geschickt werden. Es gibt zwei Arten von Berichten, die versendet werden können, ein "Full Scan Results"- und ein "Result Comparison"Bericht. Der "Full Scan Results"-Bericht enthält alle Ergebnisse eines nach festem Zeitplan durchgeführten Scans. Der "Result Comparison"-Bericht hingegen informiert nur über Änderungen/ Unterschiede, die zwischen dem zuletzt und dem davor durchgeführten Scan festgestellt werden konnten. GFI LANguard N.S.S. Handbuch Konfigurieren von GFI LANguard N.S.S. • 63 Hinweis: Wurden bei Auswahl des "Result Comparison"-Berichts keine Unterschiede zwischen zwei miteinander verglichenen ScanErgebnissen festgestellt, oder ist ein Scan nach festem Zeitplan zum ersten Mal durchgeführt worden, erhält der Administrator keinen Bericht. So legen Sie fest, welche Art von Bericht nach Durchführung eines nach Zeitplan durchgeführten Scans per E-Mail zugestellt werden: 1. Gehen Sie auf den Knoten Configuration ` Scheduled Scans, klicken Sie mit der rechten Maustaste auf den Unterknoten, und wählen Sie im Kontextmenü Properties. Der Eigenschaften-Dialog für den die Scans nach Zeitplan wird geöffnet. 2. Klicken Sie auf den Reiter Results Notifications. 3. Wählen Sie die Berichte aus, die per E-Mail zugestellt werden sollen. 4. Klicken Sie auf die Schaltfläche OK, um die Einstellungen zu speichern. Hinweis: Über den Knoten Configuration ` Alerting Options können Sie Änderungen an den Einstellungen zum E-Mail-Servers oder der E-Mail-Adresse des Administrators vornehmen. Computer-Profile Über den Knoten Configuration ` Computer Profiles können Sie die Zugangsdaten Ihrer Netzwerk-Rechner angeben und speichern. Sowohl in kleineren als auch größeren Netzwerken gibt es Rechner, bei denen für eine Anmeldung unterschiedliche Zugangsdaten erforderlich sind. Einige Systeme erfordern mitunter eine spezielle Authentifizierung per Public Key, beispielsweise bei Verwendung von Linux. Bei diesen Authentifizierungsverfahren kommen üblicherweise besondere/eigene Zugangsdaten wie Private Key-Dateien an Stelle herkömmlicher Passwort-Strings zum Einsatz. Über Computer-Profile können Sie je nach Zielrechner andere Zugangsdaten angeben. Die Scan-Engine greift dann bei der Authentifizierung an den Zielrechnern auf die in den ComputerProfilen gespeicherten Zugangsdaten zu. Somit brauchen Sie vor dem Start eines Netzwerk-Scans nicht länger die standardmäßigen Zugangsdaten extra anzugeben. Zudem können im Rahmen eines (einzelnen) Scan-Durchlaufs Zielrechner überprüft werden, die unterschiedliche Zugangsdaten und Authentifizierungsverfahren erfordern. Beispiel: Während eines Scan-Durchlaufs können Sicherheits-Checks sowohl für Windows-Rechner (unter Verwendung von Benutzername/Passwort) als auch Linux-Rechner (unter Verwendung von Benutzername/SSH Private Key-Dateien) durchgeführt werden. Informationen zur SSH-basierten Authentifizierung per Private Key-Datei GFI LANguard N.S.S. stellt die Verbindung mit Linux-Zielrechnern per SSH her. Bei der Public Key-Verschlüsselung werden zur Überprüfung der Authentizität einer SSH-Verbindungsanfrage zwei Schlüssel (in Form von Textdateien) verwendet. Diese Schlüssel sind der "SSH Private Key" und der "SSH Public Key". 64 • Konfigurieren von GFI LANguard N.S.S. GFI LANguard N.S.S. Handbuch Der SSH Private Key wird von der Scan-Engine für die Authentifizierung an einem entfernten Linux-Rechner verwendet. Dieser Teil des Schlüsselpaares wird somit an Stelle eines herkömmlichen Passwort-Strings verwendet und muss auf dem Rechner mit GFI LANguard N.S.S. gespeichert sein. Der SSH Public Key wird auf dem entfernten Zielrechner gespeichert und von ihm für die korrekte Authentifizierung durch GFI LANguard N.S.S. benötigt. Die SSH-Schlüssel werden mit Hilfe eines Dritthersteller-Tools wie SSH-KeyGen, das standardmäßig im SSH-Paket für Linux enthalten ist, manuell erstellt. Erstellen eines neuen Computer-Profils Screenshot 52 – Eigenschaften eines Computer-Profils So erstellen Sie ein neues Computer-Profil: 1. Gehen Sie auf den Knoten Configuration ` Computer Profiles, klicken Sie mit der rechten Maustaste auf den Unterknoten, und wählen Sie im Kontextmenü New ` Computer(s) Profile. Der Eigenschaften-Dialog zu Computer-Profilen wird geöffnet. 2. Der Reiter General wird standardmäßig aufgerufen. Geben Sie dort den Namen des Zielcomputers ein. 3. Klicken Sie auf den Reiter Logon credentials. 4. Wählen Sie die erforderliche Authentifizierungsmethode aus, und geben Sie die benötigten Zugangsdaten ein. 5. Klicken Sie auf die Schaltfläche OK, um die Einstellungen zu speichern. GFI LANguard N.S.S. Handbuch Konfigurieren von GFI LANguard N.S.S. • 65 Ändern der Eigenschaften eines Computer-Profils Screenshot 53 – Anzeige bereits vorhandener Computer-Profile So ändern Sie die Eigenschaften eines bereits vorhandenen Computer-Profils: 1. Gehen Sie auf den Knoten Configuration ` Computer Profiles. 2. Klicken Sie mit der rechten Maustaste auf das Profil, das Sie konfigurieren möchten, und wählen Sie im Kontextmenü Properties. 3. Führen Sie die gewünschten Änderungen durch, und klicken Sie auf die Schaltfläche OK, um die Einstellungen zu speichern. Verwenden von Computer-Profilen für einen SicherheitsScan Screenshot 54 – Schaltfläche für Scans mit Hilfe eines Computer-Profils Um für einen Sicherheits-Scan die über den Knoten Computer Profiles festgelegten Zugangsdaten zu nutzen, klicken Sie auf die Schaltfläche ("Daten aus Computer-Profilen verwenden"), die sich in der Werkzeugleiste von GFI LANguard N.S.S. befindet. 66 • Konfigurieren von GFI LANguard N.S.S. GFI LANguard N.S.S. Handbuch Parameter-Dateien Screenshot 55 – Übersicht über Parameter-Dateien Gehen Sie auf den Knoten Configuration ` Parameter Files, um die verschiedenen im txt-Format vorliegenden Parameter-Dateien zu bearbeiten, die GFI LANguard N.S.S. zum Scannen von Zielrechnern verwendet. Hinweis: Diese Dateien sollten nur von erfahrenen Anwendern verändert werden. Werden fehlerhafte Änderungen vorgenommen, wirkt sich dies auf die Funktionsfähigkeit und Zuverlässigkeit der Erkennung von Zielrechnern durch GFI LANguard N.S.S. aus. Nachfolgend erhalten Sie eine Übersicht über die Parameter-Dateien, die unter dem Knoten Parameter Files verändert werden können. • Enterprise_numbers.txt – Liste mit OIDs (Object Identifiers) und den zugehörigen Unternehmenscodes (Hersteller/Universität). Während eines Scans versucht GFI LANguard N.S.S. zuerst, über die Datei object_ids.txt Informationen zu einem entdeckten Netzwerk-Gerät zu erhalten. Gelingt dies nicht, greift GFI LANguard N.S.S. auf die Datei Enterprise_numbers.txt zu, und versucht, den Produkthersteller über die herstellerspezifischen Informationen, die vom Zielgerät abgerufen werden konnten, zu identifizieren. Diese Herstellerinformationen basieren auf den SMI Network Management Private Enterprise Codes, die unter http://www.iana.org/assignments/enterprise-numbers eingesehen werden können. • Ethercodes.txt – Liste mit MAC-Adressen und den zugehörigen Herstellern. • Ftp.txt – Liste mit FTP-Server-Bannern, über die GFI LANguard N.S.S. das Betriebssystem eines Zielrechners identifizieren kann (durch Analyse des installierten FTP-Servers). • Identd.txt – Enthält spezifische Banner, über die GFI LANguard N.S.S. das Betriebssystem eines Zielrechners identifizieren kann (über die Banner-Informationen). • Object_ids.txt – Enthält SNMP Object-IDs und zugehörige Hersteller und Produkte. Reagiert ein Gerät auf eine SNMP- GFI LANguard N.S.S. Handbuch Konfigurieren von GFI LANguard N.S.S. • 67 Anfrage, vergleicht GFI LANguard N.S.S. die vom Zielrechner ausgebenenen OID-Informationen mit den Daten in dieser Datei. • Passwords.txt – Liste mit Passwörtern, mit denen auf den Zielrechnern nach schwachen Passwörtern gesucht wird (d. h. per Wörterbuch-Angriff). • Rpc.txt – Liste mit Dienstnummern des RPC-Protokolls und den zugehörigen Dienstnamenkennungen. Werden auf UNIX/LinuxRechnern aktive RPC-Dienste gefunden, vergleicht GFI LANguard N.S.S. die empfangenen RPC-Informationen mit den Daten dieser Datei. Hierdurch lässt sich die zugehörige Dienstnamenkennung herausfinden und verifizieren. • Smtp.txt – Liste mit SMTP-Bannern und den zugehörigen Betriebssystemen. Wie bei den Dateien FTP.txt und ident.txt werden diese Banner zur Identifizierung des Betriebssystems verwendet, das auf dem Zielrechner läuft. • Snmp-pass.txt – Liste mit gängigen Community-Strings. Mit Hilfe dieser Strings erkennt GFI LANguard N.S.S. SNMPSchwachstellen auf einem Zielrechner. Während des Scans wird überprüft, ob in der Datei enthaltene Community-Strings vom kontrollierten SNMP-Server verwendet werden. Ist dies der Fall, werden die entsprechenden Strings in den Scan-Ergebnissen angezeigt. • Telnet.txt – Liste verschiedener Telnet-Server-Banner. Diese Telnet-Banner werden von GFI LANguard N.S.S. zur Identifizierung des Betriebssystems eines Zielrechners verwendet. • Www.txt – Liste verschiedener Web-Server-Banner. Diese WebServer-Banner werden von GFI LANguard N.S.S. zur Identifizierung des Betriebssystems eines Zielrechners verwendet. Datenbankwartungsoptionen Einführung Zur Auswahl und Konfigurierung des Datenbank-Backends von GFI LANguard N.S.S. gehen Sie auf den Knoten the Configuration ` Database Maintenance Options. Das Datenbank-Backend wird zur Speicherung der Ergebnisse von Netzwerk-Scans verwendet. Über dem Knoten Database Maintenance Options lassen sich zudem die Wartungsfunktionen der Datenbank einrichten. So können Sie z. B. festlegen, dass gespeicherte Scan-Ergebnisse nach Ablauf eines festgelegten Zeitraums automatisch gelöscht werden sollen. Bei Verwendung von Microsoft Access als Datenbank-Backend können Sie zudem die Komprimierung der Datenbank nach einem festen Zeitplan ablaufen lassen. Dabei werden alle fehlerhaften Daten repariert und zum Löschen vorgesehene Einträge entfernt. Konfigurieren des Datenbank-Backends Zum Konfigurieren der Wartungsoptionen der Datenbank klicken Sie mit der rechten Maustaste auf den Knoten Configuration ` Database Maintenance Options, und wählen Sie im Kontextmenü Properties aus. Der Eigenschaften-Dialog für die Datenbank-Wartung wird geöffnet. 68 • Konfigurieren von GFI LANguard N.S.S. GFI LANguard N.S.S. Handbuch Screenshot 56 – Eigenschaften der Datenbank-Wartung Die Wartungsoptionen können über drei Reiter aufgerufen werden. Diese lauten • Change Database (zum Ändern der Datenbank) • Manage Saved Scan Results (zur Verwaltung gespeicherter Scan-Ergebnisse) • Advanced (zur Komprimierung der Access-Datenbank) Auswahl des Datenbank-Backends Über den Reiter Change Database legen Sie fest, welche Datenbank zur Archivierung der gespeicherten Scan-Ergebnisse verwendet werden soll. Als Datenbank-Backends werden Microsoft Access und Microsoft SQL Server 2000 oder höher unterstützt. Speichern von Scan-Ergebnissen in einer Microsoft AccessDatenbank So speichern Sie Scan-Ergebnisse Datenbank: in einer Microsoft Access- 1. Gehen Sie auf den Knoten Configuration ` Database Maintenance Options, klicken Sie mit der rechten Maustaste auf den Unterknoten, und wählen Sie im Kontextmenü Properties. 2. Wählen Sie die Option Microsoft Access. 3. Geben Sie den vollständigen Pfad (inklusive Dateiname) des MS Access Datenbank-Backends ein. Hinweis 1: Sollte die Datenbank noch nicht existieren, wird sie bei diesem Schritt erstellt. GFI LANguard N.S.S. Handbuch Konfigurieren von GFI LANguard N.S.S. • 69 Hinweis 2: Ist die angegebene Datenbank-Datei bereits vorhanden und wurde sie von einer früheren Version von GFI LANguard N.S.S. verwendet, wird folgende Nachricht angezeigt. Screenshot 57 – Update-Dialog für Datenbank-Backend Klicken Sie auf die Schaltfläche Yes, um die Datenbank und ihre Scan-Ergebnisse zu aktualisieren, damit sie ebenfalls unter GFI LANguard N.S.S. 7 eingesetzt werden kann. Wenn Sie auf die Schaltfläche No klicken, wird eine bereits vorhandene Datenbank überschrieben. 4. Klicken Sie auf die Schaltfläche OK, um die Einstellungen zu speichern. Speichern von Scan-Ergebnissen in einer Microsoft SQL Server-Datenbank Screenshot 58 – Optionen der Microsoft SQL Server-Datenbank So speichern Sie Scan-Ergebnisse in einer Microsoft SQL ServerDatenbank: 1. Gehen Sie auf den Knoten Configuration ` Database Maintenance Options, klicken Sie mit der rechten Maustaste auf den Unterknoten, und wählen Sie im Kontextmenü Properties. 70 • Konfigurieren von GFI LANguard N.S.S. GFI LANguard N.S.S. Handbuch 2. Wählen Sie die Option Microsoft SQL Server. 3. Wählen Sie aus der Liste der in Ihrem Netzwerk gefundenen Server den SQL-Server aus, der die Datenbank hosten soll. 4. Geben Sie die Zugangsdaten für den SQL-Server an, oder wählen Sie die Option Use NT authority credentials, um sich mit den Daten des Windows-Kontos am SQL-Server zu authentifizieren. 5. Klicken Sie auf die Schaltfläche OK, um die Einstellungen zu speichern. Hinweis 1: Sind die Angaben zum Server und die Anmeldedaten korrekt, meldet sich GFI LANguard N.S.S. automatisch am SQLServer an und erstellt die erforderlichen Datenbanktabellen. Bereits bestehende Datenbanktabellen werden weiterverwendet. Hinweis 2: Bei der Windows NT-Authentifizierung müssen die Dienste von GFI LANguard N.S.S. unter einem Benutzerkonto mit administrativen Zugriffsrechten für die SQL Server-Datenbanken laufen. Datenbank-Wartung – Verwalten gespeicherter ScanErgebnisse Screenshot 59 – Eigenschaften der Datenbank-Wartung, Gespeicherte Scan-Ergebnisse Über den Reiter Manage Saved Scan Results lassen sich die in der Datenbank gespeicherten Scan-Ergebnisse verwalten und ggf. auch löschen. Das Löschen kann manuell oder automatisch über einen festgelegten Zeitplan zur Datenbank-Wartung erfolgen. Während der geplanten Datenbank-Wartung löscht GFI LANguard N.S.S. gespeicherte Scan-Ergebnisse, die eine in Tagen, Wochen oder Monaten festgelegte Archivierungsdauer überschreiten, automatisch. Die automatische Datenbank-Wartung kann zudem so GFI LANguard N.S.S. Handbuch Konfigurieren von GFI LANguard N.S.S. • 71 konfiguriert werden, dass nur eine festgelegte Anzahl von ScanErgebnissen pro kontrolliertem Zielrechner und Scan-Profil gespeichert wird. Zum Löschen gespeicherter Scan-Ergebnisse wählen Sie die gewünschten Ergebnisse aus, und klicken Sie auf die Schaltfläche Delete Scan(s). Folgende Optionen sind zur Datenbank-Wartung verfügbar: automatischen Verwaltung der • Scans which are less than – Löscht automatisch alle ScanErgebnisse, die eine in Tagen, Wochen oder Monaten festgelegte Archivierungsdauer überschreiten. • Only last – Nur die festgelegte Anzahl der zuletzt gesammelten Scan-Ergebnisse wird gespeichert. Datenbank-Wartung – erweiterte Optionen Screenshot 60 – Eigenschaften der Datenbank-Wartung, Reiter "Erweitert" Zum Komprimieren und Reparieren eines MS Access-Datenbank steht der Reiter Advanced zur Verfügung. Die Leistung der von Ihnen eingesetzten Datenbank lässt durch eine regelmäßige Reparatur und Komprimierung optimieren. Während der Komprimierung werden Datenbank-Dateien neu organisiert, und zum Löschen markierte Einträge werden entfernt. Hierdurch lässt sich wertvoller Speicherplatz zurückgewinnen. Zudem repariert GFI LANguard N.S.S. im Rahmen der Komprimierung fehlerhafte Dateien des Datenbank-Backends. Datenkorruption kann verschiedene Ursachen haben. Bei einer Microsoft Access-Datenbank können Probleme auftreten, wenn die Datenbank unerwartet 72 • Konfigurieren von GFI LANguard N.S.S. GFI LANguard N.S.S. Handbuch geschlossen wird, bevor Einträge gesichert werden konnten (z. B. bei Stromausfall, aufgehängten Prozessen, erzwungenen Neustarts usw.) Folgende Optionen stehen über den Reiter Advanced zur Verfügung: • Das manuelle Reparieren und Komprimieren einer Microsoft Access-Datenbank per Mausklick auf die Schaltfläche Compact Now. • Die Automatisierung der Komprimierung einer Microsoft AccessDatenbank nach festem Zeitplan. Der Attendant von GFI LANguard N.S.S. erledigt die Aufgabe selbsttätig. Legen Sie über den Reiter Advanced fest, wie häufig die Datenbank komprimiert werden soll. Um die Datenbank-Komprimierung nur ein Mal durchzuführen, wählen Sie die Option One time only. Um die Datenbank regelmäßig komprimieren zu lassen, wählen Sie die Option Every, und legen Sie folgende Einstellungen fest: 1. Den zeitlichen Abstand in Tagen, Wochen oder Monaten zwischen den einzelnen Komprimierungs-/Reparaturvorgängen. 2. Das Datum und die Uhrzeit, wann der erste/nächste Komprimierungsvorgang durchgeführt werden soll. GFI LANguard N.S.S. Handbuch Konfigurieren von GFI LANguard N.S.S. • 73 74 • Konfigurieren von GFI LANguard N.S.S. GFI LANguard N.S.S. Handbuch Scan-Profile Einführung Scan-Profile sind konfigurierbare Vorlagen, mit denen ein SicherheitsAudit anhand einer festgelegten Auswahl an Schwachstellen gestartet wird. Diese Vorlagen legen zudem fest, welche Daten zur Analyse gesammelt werden. Im Lieferumfang von GFI LANguard N.S.S. sind mehrere standardmäßige Scan-Profile für unterschiedliche Netzwerk-Kontrollen und zum Abruf verschiedener Daten enthalten. Durch Verwendung dieser Profile sind keine Konfigurationsänderungen notwendig. Die Anzahl der im Rahmen eines Scan-Profils durchgeführten Tests hängt vom Bereich des Netzwerks ab, der auf Schwachstellen überprüft werden soll. Einige Scan-Profile bieten z. B. eine große Zahl an SchwachstellenTests, die verschiedenste Netzwerk-Bereiche abdecken (wie das Scan-Profil Default). Andere Profile wiederum bedienen spezielle Sicherheitsbereiche und starten nur eine eingeschränkte Auswahl an Checks, um das Vorhandensein einer bestimmten Sicherheitslücke zu kontrollieren (wie das Scan-Profil Trojan Ports zum Auffinden offener Ports, die von Hackern und Trojanern als Schlupfloch verwendet werden). Die Liste der standardmäßigen Scan-Profile kann über den Knoten Configuration ` Scanning profiles abgerufen werden. Folgende Profile stehen über GFI LANguard N.S.S. zum sofortigen Einsatz bereit: • Default – Mit diesem Scan-Profil und seiner ausgewogenen Auswahl an Sicherheits-Checks zu den unterschiedlichsten Netzwerk-Bereichen lässt sich eine breite Anzahl an Sicherheitsinformationen abrufen. Folgende Daten werden von den Zielrechnern abgerufen: häufig als Schlupfloch verwendete offene Ports, installierte Anwendungen, installierte Sicherheitsanwendungen und Status ihrer Signaturen, Betriebssystem-Informationen, Benutzer und Gruppen, NetzwerkGeräte, fehlende Patches und Service Packs, USB-Geräte, Freigaben, Datum, Sitzungen, Audit-Richtlinien und aktive Dienste. • CGI scanning – Mit diesem Scan-Profil lassen sich Betriebssysteminformationen abrufen und Sicherheitstests speziell für Web-Server durchführen. • Full TCP and UDP port scan – Überprüft Zielrechner auf alle offenen TCP- und UDP-Ports. Sämtliche Ports von 0 bis 65535 werden kontrolliert. • Missing patches – Überprüft die Zielrechner auf fehlende Sicherheits-Updates und Service Packs. GFI LANguard N.S.S. Handbuch Scan-Profile • 75 • Ping them all – Kontrolliert, welche Zielrechner des angegebenen Bereichs aktiv sind. • Share finder – Sucht nach offenen Freigaben auf den Zielrechnern und ruft zugehörige Eigenschaften ab. • Removable media protection – Kontrolliert, Wechselspeicher an die Zielrechner angeschlossen sind. • Applications – Kontrolliert, welche Anwendungen auf den Zielrechnern installiert sind. • Zudem stehen weitere Optionen zur Verfügung. welche Die Auswahl des für einen Sicherheits-Scan am besten geeigneten Scan-Profils richtet sich nach 1. der Art der gewünschten Sicherheitsinformationen. Tests und benötigten 2. der Zeit, die zum Erstellen der Ergebnisberichte verfügbar ist. Bitte beachten: Je mehr Schwachstellen-Checks gestartet werden, desto länger dauert ein vollständiger Sicherheits-Audit. Screenshot 61 – Knoten "Scanning Profiles" Alle bereits vordefinierten Scan-Profile lassen sich individuell verändern. Zusätzlich können Sie neue Scan-Profile erstellen, die optimal auf Ihre Netzwerkinfrastruktur und zu scannenden Zielrechner abgestimmt sind. So lässt sich beispielsweise ein Scan-Profil erstellen, das nur zur Kontrolle von Rechnern in Ihrer DMZ verwendet wird und nicht für das interne Netzwerk. Durch den Einsatz mehrerer Scan-Profile können Sie unterschiedlichste Sicherheits-Audits durchführen, ohne für die einzelnen Arten von Sicherheits-Scans eine Neukonfigurierung vornehmen zu müssen. Ermöglicht wird dies durch die Erstellung unterschiedlicher, vordefinierter Scan-Profile, die an die Anforderungen Ihrer IT-Infrastruktur angepasst sind und sich einzeln während der jeweiligen Netzwerk-Scans einsetzen lassen. 76 • Scan-Profile GFI LANguard N.S.S. Handbuch Scan-Profile lassen sich Zeit sparend für differenzierte Checks und Anfragen verwenden (z. B. um lediglich alle installierten Anwendungen anzeigen zu lassen) oder können, je nach Anforderung, für umfassende, zeitaufwendige Tests eingesetzt werden (z. B. TCP-/UDP-Port-Scans). Einsetzen von Scan-Profilen Scannen eines lokalen Rechners mit dem "Default Scanning Profile" 1. Öffnen Sie das Menü File ` New ` Scan single computer. 2. Wählen Sie die Option This computer. Screenshot 62 – Neuer Scan 3. Wählen Sie in der Drop-Down-Liste zu Scan Profile den Eintrag Default aus. 4. Klicken Sie auf die Schaltfläche OK, um den Scan zu starten. TIPP: Behalten Sie im Auge, wie viel Zeit ein vollständiger Scan benötigt und wie umfangreich die gesammelten Daten sind. Scannen eines lokalen Rechners mit dem "Applications Scanning Profile" 1. Öffnen Sie das Menü File ` New ` Scan single computer. 2. Wählen Sie die Option This computer. GFI LANguard N.S.S. Handbuch Scan-Profile • 77 Screenshot 63 – Neuer Scan Auswahl des Scan-Profils "Anwendungen" 3. Wählen Sie in der Drop-Down-Liste zu Scan Profile den Eintrag Applications aus. 4. Klicken Sie auf die Schaltfläche OK, um den Scan zu starten. Bis zum Abschluss eines Schwachstellen-Scans per Profil Applications vergeht weniger Zeit als bei Auswahl des Profils Default. Grund hierfür ist der geringere Scan-Umfang, da nur spezifische Checks zur Analyse der auf den Zielrechnern installierten Anwendungen durchgeführt werden. Andere zusätzliche Daten werden nicht ermittelt. Das Scan-Profil Default umfasst zahlreiche Schwachstellen-Checks, die fast alle Sicherheitsbereiche des Netzwerks abdecken. Aus diesem Grund wird für einen vollständigen Scan und die Ausgabe der Scan-Ergebnisse weitaus mehr Zeit benötigt. Erstellen eines neuen Scan-Profils So erstellen Sie ein neues Scan-Profil: 1. Gehen Sie auf den Knoten Configuration ` Scanning profiles, klicken Sie mit der rechten Maustaste auf den Unterknoten, und wählen Sie im Kontextmenü New ` Scan Profile. 2. Geben Sie im angezeigten Dialog den Namen des neuen Profils ein. 78 • Scan-Profile GFI LANguard N.S.S. Handbuch Screenshot 64 – Konfigurierung der Scan-Profile 3. Klicken Sie auf die Schaltfläche OK. Im rechten Fenster der Konfigurationsoberfläche können Sie das neue Scan-Profil bearbeiten. Hierfür stehen mehrere Reiter zu unterschiedlichen Scan-Bereichen zur Verfügung, über die Sie deren jeweilige Parameter festlegen können. Folgende Scan-Bereiche können für das Scan-Profil definiert werden: • TCP ports – Über diesen Reiter können Sie die TCP-Port-Scans aktivieren und die zu kontrollierenden Ports festlegen. • UDP ports – Über diesen Reiter können Sie die UDP-Port-Scans aktivieren und die zu kontrollierenden Ports festlegen. • OS data – Über diesen Reiter können Sie festlegen, welche Betriebssystem-Daten von Zielrechnern abgerufen werden sollen. • Vulnerabilities – Über diesen Reiter können Sie die Sicherheitslücken-Scans aktivieren und festlegen, mit welchen Checks die Zielrechner kontrolliert werden sollen. • Patches – Über diesen Reiter können Sie die Suche nach fehlenden Patches aktivieren und festlegen, welche SicherheitsUpdates auf den Zielrechnern gesucht werden sollen. • Scanner properties – Über diesen Reiter können Sie die Parameter für die Funktionen und Zielerkennung der Scan-Engine festlegen (z. B. Timeout-Werte, Abfragemethoden u. v. m.). • Devices – Über diesen Reiter können Sie die Suche nach angeschlossener (externer) Hardware aktivieren und festlegen, welche Netzwerk- und USB-Geräte als autorisiert/nicht autorisiert gelten sollen. • Applications – Über diesen Reiter können Sie die Suche nach installierten Anwendungen aktivieren und festlegen, welche dieser Anwendungen als autorisiert/nicht autorisiert gelten sollen. GFI LANguard N.S.S. Handbuch Scan-Profile • 79 Anpassen eines Scan-Profils So passen Sie ein Scan-Profil an Ihre eigenen Bedürfnisse an: 1. Erweitern Sie den Knoten Configuration ` Scanning Profiles. 2. Wählen Sie das zu bearbeitende Scan-Profil aus. 3. Wählen Sie im rechten Fenster über die Reiter am oberen Rand die Scan-Bereiche aus, deren Parameter geändert werden sollen. Die Änderungen werden beim nächsten neuen Scan-Durchlauf berücksichtigt. Konfigurieren der TCP/UDP-Port-Scans Screenshot 65 – Eigenschaften der "Scanning Profiles" Profil "Default", Reiter "TCP Ports" Aktivieren/Deaktivieren der TCP-Port-Scans So aktivieren Sie die TCP-Port-Scans eines Scan-Profils: 1. Erweitern Sie den Knoten Configuration ` Scanning Profiles, und wählen Sie das zu bearbeitende Scan-Profil aus. 2. Klicken Sie im rechten Fenster auf den Reiter TCP Ports. 3. Markieren Sie das Kontrollkästchen der Option Enable TCP Port Scanning. Hinweis: TCP-Port-Scans sind für jedes Scan-Profil einzeln zu konfigurieren. Ist die Option in einem Scan-Profil nicht ausgewählt, wird bei Sicherheits-Audits mit diesem Profil somit nicht nach offenen TCP-Ports gesucht. Aktivieren/Deaktivieren der UDP-Port-Scans So aktivieren Sie die UDP-Port-Scans eines Scan-Profils: 1. Erweitern Sie den Knoten Configuration ` Scanning Profiles, und wählen Sie das zu bearbeitende Scan-Profil aus. 80 • Scan-Profile GFI LANguard N.S.S. Handbuch 2. Klicken Sie im rechten Fenster auf den Reiter UDP-Ports. 3. Markieren Sie das Kontrollkästchen der Option Enable UDP Port Scanning. Hinweis: UDP-Port-Scans sind für jedes Scan-Profil einzeln zu konfigurieren. Ist die Option in einem Scan-Profil nicht ausgewählt, wird bei Sicherheits-Audits mit diesem Profil somit nicht nach offenen UDP-Ports gesucht. Anpassen der Liste zu scannender TCP/UDP-Ports So legen Sie fest, welche TCP/UDP-Ports von einem Scan-Profil während eines Sicherheits-Audits geprüft werden sollen: 1. Erweitern Sie den Knoten Configuration ` Scanning Profiles, und wählen Sie das zu bearbeitende Scan-Profil aus. 2. Klicken Sie im rechten Fenster auf den Reiter TCP Ports oder UDP Ports. 3. Markieren Sie die einzelnen TCP/UDP-Ports, die bei Verwendung dieses Scan-Profils kontrolliert werden sollen. Erweitern der Liste mit neuen TCP/UDP-Ports 1. Erweitern Sie den Knoten Configuration ` Scanning Profiles, und wählen Sie das zu bearbeitende Scan-Profil aus. 2. Klicken Sie im rechten Fenster auf den Reiter TCP Ports oder UDP Ports. 3. Klicken Sie auf die Schaltfläche Add. Hierdurch wird das Fenster zum Hinzufügen eines neuen Ports geöffnet. GFI LANguard N.S.S. Handbuch Scan-Profile • 81 Screenshot 66 – Hinzufügen von Ports 4. Geben Sie die Port-Nummer oder den Port-Bereich (z. B. '80-200') und eine Beschreibung des Ports an. Hinweis: Geben Sie Port-Bereiche Anführungsstrichen (') an, z. B. '80-200'. immer in einfachen 5. Handelt es sich bei der mit diesem Port verbundenen Anwendung um ein Trojaner-Programm, markieren Sie das Kontrollkästchen Is a trojan port. Bearbeiten oder Entfernen eines Ports 1. Erweitern Sie den Knoten Configuration ` Scanning Profiles, und wählen Sie das zu bearbeitende Scan-Profil aus. 2. Klicken Sie im rechten Fenster auf den Reiter TCP Ports oder UDP Ports. 3. Wählen Sie den zu bearbeitenden oder entfernenden Port aus. 4. Klicken Sie auf die Schaltfläche Edit zum Bearbeiten oder auf Remove zum Entfernen des Ports. Hinweis: Beim Entfernen eines Ports wird dieser aus ALLEN ScanProfilen gelöscht. Soll GFI LANguard N.S.S. einen Port im Rahmen eines einzelnen Scan-Profils nicht länger überprüfen, entfernen Sie lediglich die Markierung neben dem betreffenden Port in der TCP/UDP-Liste dieses Scan-Profils. 82 • Scan-Profile GFI LANguard N.S.S. Handbuch Konfigurieren des Abrufs von Betriebssystem-Daten Screenshot 67 – Eigenschaften der "Scanning Profiles" Reiter "OS Data" Über den Reiter OS Data können Sie festlegen, welche Betriebssystem-Informationen während eines Sicherheits-Audits vom Zielrechner abgerufen werden. GFI LANguard N.S.S. kann diese Daten sowohl von Windows- als auch Linux-Rechnern abrufen. Anpassen des Abrufs von Betriebssystem-Daten So legen Sie fest, welche Betriebssystem-Daten mit Hilfe eines ScanProfils während eines Sicherheits-Audits geprüft werden sollen: 1. Erweitern Sie den Knoten Configuration ` Scanning Profiles, und wählen Sie das zu bearbeitende Scan-Profil aus. 2. Klicken Sie im rechten Fenster auf den Reiter OS Data. 3. Erweitern Sie den Knoten zur Gruppe Windows OS Data oder Linux OS Data. 4. Legen Sie fest, welche Informationen zu den Betriebssystemen während eines Sicherheits-Scans abgerufen werden sollen. Sollen beispielsweise administrative Freigaben von einem Scan nicht berücksichtigt werden, erweitern Sie die Option Enumerate shares, und wählen Sie für Display admin shares die Option No. GFI LANguard N.S.S. Handbuch Scan-Profile • 83 Konfigurieren der Optionen von Sicherheitslücken-Scans Screenshot 68 – Eigenschaften der "Scanning Profiles" Reiter "Vulnerabilities" Über den Reiter Vulnerabilities können Sie festlegen, auf welche Sicherheitslücken ein Zielrechner während eines Sicherheits-Audits überprüft werden soll. GFI LANguard N.S.S. bietet standardmäßig eine vordefinierte Liste mit Schwachstellen-Checks. Diese Checks können angepasst werden und für jedes Scan-Profil einzeln aktiviert bzw. deaktiviert werden. Zudem haben Sie die Möglichkeit, eigene Schwachstellen-Checks zu definieren, sich sich an die Sicherheitsanforderungen Ihres Netzwerks anpassen lassen. Aktivieren/Deaktivieren von Sicherheitslücken-Scans So aktivieren/deaktivieren einzelnen Scan-Profils: Sie Sicherheitslücken-Scans eines 1. Erweitern Sie den Knoten Configuration ` Scanning Profiles, und wählen Sie das zu bearbeitende Scan-Profil aus. 2. Klicken Sie im rechten Fenster auf den Reiter Vulnerabilities. 3. Markieren Sie das Vulnerability Scanning. Kontrollkästchen der Option Enable Hinweis: Sicherheitslücken-Scans sind für jedes Scan-Profil einzeln zu konfigurieren. Ist die Option in einem Scan-Profil nicht ausgewählt, wird bei Sicherheits-Audits mit diesem Profil somit nicht nach Schwachstellen gesucht. Anpassen der Liste zu kontrollierender Sicherheitslücken So legen Sie fest, welche Sicherheitslücken von einem Scan-Profil während eines Sicherheits-Audits geprüft werden sollen: 1. Erweitern Sie den Knoten Configuration ` Scanning Profiles, und wählen Sie das zu bearbeitende Scan-Profil aus. 84 • Scan-Profile GFI LANguard N.S.S. Handbuch 2. Klicken Sie im rechten Fenster auf den Reiter Vulnerabilities. Screenshot 69 – Auswahl der Sicherheitslücken-Checks für das Scan-Profil 3. Markieren Sie das Kontrollkästchen neben den Sicherheitslücken, nach denen dieses Scan-Profil suchen soll. Anpassen der Eigenschaften von Sicherheitslücken-Checks Alle unter dem Reiter Vulnerabilities aufgeführten Checks besitzen unterschiedliche Eigenschaften, die festlegen, wann der Check ausgelöst wird und welche Informationen während eines Scans angezeigt werden. GFI LANguard N.S.S. Handbuch Scan-Profile • 85 Screenshot 70 – Eigenschaften einer Schwachstelle: Reiter "Allgemein" Zu den Eigenschaften von Sicherheitslücken-Checks zählen: • Name der Schwachstelle und kurze Beschreibung • Sicherheitskategorie/Gefährdungsstufe der Schwachstelle • BugtraqID/URL mit nützlichen Hinweisen zur Schwachstelle • Vom Check benötigte Kontrollzeit • Auslösebedingungen des Sicherheitslücken-Checks (beispielsweise HTTP-Methode, Ausgabewert). So ändern Sie die Eigenschaften eines Sicherheitslücken-Checks: 1. Klicken Sie mit der rechten Maustaste auf die zu bearbeitende Sicherheitslücke, und wählen Sie im Kontextmenü Properties. 2. Ändern Sie die Check-Eigenschaften wie gewünscht. 3. Klicken Sie auf die Schaltfläche OK, um die Einstellungen zu speichern. 86 • Scan-Profile GFI LANguard N.S.S. Handbuch Sicherheitslücken-Checks – erweiterte Optionen Screenshot 71 – Erweiterte Optionen für Schwachstellen-Scans Per Mausklick auf die Schaltfläche Advanced unter dem Reiter Vulnerabilities werden die erweiterten Optionen für Sicherheitslücken-Scans aufgerufen. Diese Optionen bieten zusätzliche Konfigurierungsmöglichkeiten: 1. Sicherheitslücken-Scans lassen sich so konfigurieren, dass Zielrechner auf unsichere Passwörter, anonymen FTP-Zugriff und ungenutzte Anwenderkonten überprüft werden. 2. Sie können festlegen, wie GFI LANguard N.S.S. mit neu erstellten Sicherheitslücken-Checks verfahren soll. Bestimmen Sie, ob neue Checks automatisch allen anderen Scan-Profilen hinzugefügt oder von diesen nicht berücksichtigt werden sollen. 3. Lassen Sie GFI LANguard N.S.S. CGI-Anfragen über einen festgelegten Proxy-Server verschicken. Dies ist erforderlich, wenn CGI-Anfragen von einem hinter einer Firewall betriebenen Rechner an einen Web-Server geschickt werden, der sich "außerhalb" der Firewall befindet (z. B. Web-Server in einer DMZ). Andernfalls würde die Firewall alle direkten CGI-Anfragen, die GFI LANguard N.S.S. an den davor liegenden Server schickt, blockieren. Um dies zu verhindern, wählen Sie für die Option Send CGI requests through proxy bitte Yes, und geben Sie den Namen/die IP-Adresse des Proxy-Servers sowie des COM-Ports an, über den die CGI-Anfrage weiterzuleiten ist. GFI LANguard N.S.S. Handbuch Scan-Profile • 87 Konfigurieren der Patch-Scan-Optionen Anpassen der Scan-Optionen für fehlende Patches Screenshot 72 – Eigenschaften der "Scanning Profiles" Reiter "Patches" Über den Reiter Patches können Sie festlegen, nach welchen Sicherheits-Updates auf einem Zielrechner gesucht werden soll. Es werden alle verfügbaren Patches und Service Packs angezeigt und können einzeln zur Kontrolle ausgewählt werden. Die Liste wird von GFI LANguard N.S.S. automatisch aktualisiert, wenn GFI Updates zu neu verfügbaren Patches veröffentlicht. Über diesen Reiter können Sie zudem zu jedem in der Liste aufgeführten Patch/Service Pack die Sicherheitsbulletin-Informationen abrufen. Klicken Sie hierfür mit der rechten Maustaste auf ein Sicherheits-Update und wählen Sie im Kontextmenü Properties. Aktivieren/Deaktivieren von Patch-Checks So aktivieren/deaktivieren Sie die Patch-Checks eines Scan-Profils: 1. Erweitern Sie den Knoten Configuration ` Scanning Profiles, und wählen Sie das zu bearbeitende Scan-Profil aus. 2. Klicken Sie im rechten Fenster auf den Reiter Patches. 3. Markieren Sie das Kontrollkästchen zur Option Detect installed and missing service packs/patches. Hinweis: Checks zur Suche nach fehlenden Patches sind für jedes Scan-Profil einzeln zu konfigurieren. Ist die Option in einem ScanProfil nicht ausgewählt, wird bei Sicherheits-Audits mit diesem Profil somit nicht nach fehlenden Patches gesucht. 88 • Scan-Profile GFI LANguard N.S.S. Handbuch Anpassen der Liste zu kontrollierender Patches So legen Sie fest, nach welchen Patches von einem Scan-Profil während eines Sicherheits-Audits gesucht werden soll: 1. Erweitern Sie den Knoten Configuration ` Scanning Profiles, und wählen Sie das zu bearbeitende Scan-Profil aus. 2. Klicken Sie im rechten Fenster auf den Reiter Patches. Screenshot 73 – Auswahl der zu kontrollierenden Patches 3. Markieren Sie das Kontrollkästchen der Patches, die über dieses Scan-Profil gesucht werden sollen. Verwenden der Suchfunktion für Sicherheitsbulletins Screenshot 74 – Umfangreichere Informationen des Sicherheitsbulletins So starten Sie die Suche nach einem bestimmten Sicherheitsbulletin: 1. Geben Sie im rechten Fenster im Eingabefeld zu Find bulletin den Namen des Bulletins (z. B. “MS02-017“) oder die QNumber (z. B. “Q311987“) an. 2. Klicken Sie auf die Schaltfläche Find, um nach dem Eintrag zu suchen. GFI LANguard N.S.S. Handbuch Scan-Profile • 89 Konfigurieren der Scanner-Optionen Screenshot 75 – Eigenschaften der "Scanning Profiles" Reiter "Scanner Options" Über den Reiter Scanner Options können Sie die Funktionsparameter der Scan-Engine festlegen. Diese Parameter lassen sich für jedes Scan-Profil einzeln festlegen und bestimmen, wie die Scan-Engine Kontrollen durchführt und Betriebssystem-Daten abruft. Zu den konfigurierbaren Optionen zählen Timeouts, Anfragetypen zur Zielerkennung, SNMP-Abfragebereiche u. v. m. Hinweis: Diese Parameter sollten mit größter Vorsicht konfiguriert werden. Fehlerhafte Einstellungen können Sie Scan-Leistung von GFI LANguard N.S.S. beeinträchtigen. 90 • Scan-Profile GFI LANguard N.S.S. Handbuch Konfigurieren der Kontrolle extern angeschlossener Hardware Screenshot 76 – Eigenschaften der "Scanning Profiles" Reiter "Devices" Über den Reiter Devices lässt sich aktivieren, ob auf den Zielrechnern nach Netzwerk- und USB-Geräten gescannt werden soll. Screenshot 77 – Als kritische Sicherheitslücke klassifizierte Netzwerk-Geräte GFI LANguard N.S.S. kann so konfiguriert werden, dass beim Auffinden eines bestimmten USB- oder Netzwerk-Geräts eine Warnmeldung zur einer kritischen Sicherheitslücke ausgegeben wird. Hierfür müssen Sie eine Liste unautorisierter Geräte erstellen, für die ein Sicherheitsalarm erfolgen soll. GFI LANguard N.S.S. Handbuch Scan-Profile • 91 Zudem können Sie festlegen, welche Hardware als "sicher" gelten und somit keinen Alarm auslösen soll, z. B. USB-Tastaturen. Hierfür müssen Sie eine Liste autorisierter Geräte erstellen, die während eines Sicherheits-Audits ignoriert werden sollen. Screenshot 78 – Liste unerwünschter Netzwerk-Hardware Netzwerk- und USB-Geräte-Scans sind für jedes Scan-Profil einzeln zu konfigurieren. Geräte-Audits lassen sich individuell anpassen, indem Sie mehrere Scan-Profile mit unterschiedlichen Listen zu (un)autorisierten erstellen. Beispielsweise können Sie ein standardmäßiges Scan-Profil zur Kontrolle und Auflistung aller mit den Zielrechnern verbundenen USBund Netzwerk-Geräte errichten. Dabei braucht keine Positiv- oder Negativ-Liste zu erwünschten/unerwünschten Geräten im Scan-Profil definiert zu werden. Ebenso kann ein gesondertes Scan-Profil erstellt werden, das nur an Zielrechner angeschlossene Bluetooth-Dongle und WLAN-Karten auflistet. Screenshot 79 – Liste unerwünschter Netzwerk-Hardware Bei letzterem Fall müssen in der Liste der unerwünschten Netzwerkund USB-Geräte dieses Scan-Profils jedoch die Stichworte "Bluetooth" und "Wireless" oder "Wifi" angegeben werden. Über die Konfigurationsseite zu Devices stehen zwei weitere Reiter zum Konfigurieren der Geräte-Scans zur Verfügung. Diese lauten Network Devices und USB Devices. Der Unterreiter Network Devices dient der Konfigurierung der ScanOptionen für angeschlossene Netzwerk-Hardware und der Positiv/ Negativ-Listen für erwünschte/unerwünschte Geräte. Der Unterreiter USB Devices dient der Konfigurierung der ScanOptionen für angeschlossene USB-Hardware und der Positiv/NegativListen für erwünschte/unerwünschte Geräte. 92 • Scan-Profile GFI LANguard N.S.S. Handbuch Scannen nach angeschlossener Netzwerk-Hardware Screenshot 80 – Eigenschaften der "Scanning Profiles" Reiter "Devices" Aktivieren/Deaktivieren von Checks für installierte Netzwerk-Hardware So aktivieren Sie in einem Scan-Profil Scans nach angeschlossener Netzwerk-Hardware: 1. Erweitern Sie den Knoten Configuration ` Scanning Profiles, und wählen Sie das zu bearbeitende Scan-Profil aus. 2. Klicken Sie im rechten Fenster auf den Reiter Devices. 3. Markieren Sie das Kontrollkästchen zu Enable Scanning for installed Network Devices on the target computer(s). Hinweis: Scans nach Netzwerk-Hardware sind für jedes Scan-Profil einzeln zu konfigurieren. Ist die Option in einem Scan-Profil nicht ausgewählt, wird bei Sicherheits-Audits mit diesem Profil somit nicht nach installierter Netzwerk-Hardware gesucht. GFI LANguard N.S.S. Handbuch Scan-Profile • 93 Screenshot 81 – Eigenschaften der "Scanning Profiles" Listen zu unautorisierten und zu ignorierenden Geräten Anlegen einer Liste unautorisierter Netzwerk-Hardware So erstellen Sie eine Liste unautorisierter/als gefährlich eingestufter Netzwerk-Hardware: 1. Erweitern Sie den Knoten Configuration ` Scanning Profiles, und wählen Sie das zu bearbeitende Scan-Profil aus. 2. Klicken Sie im rechten Fenster auf den Reiter Devices. 3. Klicken Sie auf den Unterreiter Network Devices. Screenshot 82 – Liste unerwünschter Netzwerk-Hardware 4. Geben Sie in der Liste zu Create a high security vulnerability for network devices whose name contains: die Namen der NetzwerkHardware ein, bei deren Identifizierung eine kritische Sicherheitslücke angezeigt werden soll. Wenn Sie z. B. "wireless" eingeben, wird bei allen Gerätenamen, die dieses Wort enthalten, eine Warnmeldung zu einer kritischen Sicherheitslücke ausgegeben. Anlegen einer Liste erwünschter/sicherer NetzwerkHardware So erstellen Sie eine Liste erwünschter/als sicher eingestufter Netzwerk-Hardware: 1. Erweitern Sie den Knoten Configuration ` Scanning Profiles, und wählen Sie das zu bearbeitende Scan-Profil aus. 94 • Scan-Profile GFI LANguard N.S.S. Handbuch 2. Klicken Sie im rechten Fenster auf den Reiter Devices. 3. Klicken Sie auf den Unterreiter Network Devices. 4. Geben Sie in der Liste zu Ignore devices (Do not list/save to db) whose name contains: die Namen sicherer Netzwerk-Hardware an, die in den Scan-Ergebnissen nicht aufgeführt sein soll. Hinweis: Geben Sie nur ein Netzwerk-Gerät pro Zeile an. Konfigurieren erweiterter Scan-Optionen für NetzwerkHardware Screenshot 83 – Konfigurieren der erweiterten Scan-Optionen für Netzwerk-Geräte Über den Reiter Devices können Sie zudem den Typ der NetzwerkHardware angeben, die mit diesem Scan-Profil kontrolliert und in den Scan-Ergebnissen angezeigt wird. Hierzu zählen: "wired network devices" (kabelgebundene Netzwerk-Hardware), "wireless network devices" (drahtlose Netzwerk-Hardware), "software enumerated network devices" (von Software spezifizierte Hardware) und "virtual network devices" (virtuelle Netzwerk-Hardware). So legen Sie fest, welche Netzwerk-Hardware in den ScanErgebnissen aufgeführt werden soll: 1. Erweitern Sie den Knoten Configuration ` Scanning Profiles, und wählen Sie das zu bearbeitende Scan-Profil aus. 2. Klicken Sie im rechten Fenster auf den Reiter Devices. 3. Klicken Sie auf den Unterreiter Network Devices. 4. Klicken Sie auf die Schaltfläche Advanced im unteren Bereich der Seite. 5. Wählen Sie die benötigten Optionen durch Auswahl von Yes. 6. Klicken Sie auf die Schaltfläche OK. GFI LANguard N.S.S. Handbuch Scan-Profile • 95 Scannen nach USB-Geräten Screenshot 84 – Als kritische Sicherheitslücke klassifizierte USB-Geräte Aktivieren/Deaktivieren von Checks für angekoppelte USBGeräte So aktivieren Sie in einem Scan-Profil Scans nach angeschlossener USB-Hardware: 1. Erweitern Sie den Knoten Configuration ` Scanning Profiles, und wählen Sie das zu bearbeitende Scan-Profil aus. 2. Klicken Sie im rechten Fenster auf den Reiter Devices. 3. Markieren Sie das Kontrollkästchen zu Enable Scanning for USB Devices installed on the target computer(s). Hinweis: Scans nach USB-Hardware sind für jedes Scan-Profil einzeln zu konfigurieren. Ist die Option in einem Scan-Profil nicht ausgewählt, wird bei Sicherheits-Audits mit diesem Profil somit nicht nach angekoppelten USB-Geräten gesucht. Anlegen einer Liste unautorisierter USB-Hardware So legen Sie eine Liste unautorisierter USB-Hardware an: 1. Erweitern Sie den Knoten Configuration ` Scanning Profiles, und wählen Sie das zu bearbeitende Scan-Profil aus. 2. Klicken Sie im rechten Fenster auf den Reiter Devices. 3. Klicken Sie auf den Unterreiter USB Devices. 4. Geben Sie in der Liste zu Create a high security vulnerability for USB devices whose name contains: die Namen der USB-Hardware ein, bei deren Identifizierung eine kritische Sicherheitslücke angezeigt werden soll. 96 • Scan-Profile GFI LANguard N.S.S. Handbuch Screenshot 85 – Liste unerwünschter Netzwerk-Hardware Wenn Sie z. B. "iPod" eingeben, wird bei allen Gerätenamen, die dieses Wort enthalten, eine Warnmeldung zu einer kritischen Sicherheitslücke ausgegeben. Anlegen einer Liste erwünschter/sicherer USB-Hardware So erstellen Sie eine Liste erwünschter/als sicher eingestufter USBHardware: 1. Erweitern Sie den Knoten Configuration ` Scanning Profiles, und wählen Sie das zu bearbeitende Scan-Profil aus. 2. Klicken Sie im rechten Fenster auf den Reiter Devices. 3. Klicken Sie auf den Unterreiter USB Devices. 4. Geben Sie in der Liste zu Ignore (Do not list/save to db) devices whose name contains: die Namen sicherer USB-Hardware an (z. B. USB-Maus), die in den Scan-Ergebnissen nicht aufgeführt werden soll. Hinweis: Geben Sie nur ein USB-Gerät pro Zeile an. Konfigurieren der Kontrolloptionen für Anwendungen Über den Reiter Applications können Sie festlegen, welche installierten Anwendungen von diesem Scan-Profil während eines Sicherheits-Audits überprüft werden sollen. Screenshot 86 – Eigenschaften der "Scanning Profiles", Liste zu (un)autorisierten/zu ignorierenden Anwendungen GFI LANguard N.S.S. Handbuch Scan-Profile • 97 Über diesen Reiter können Sie festlegen, ob GFI LANguard N.S.S. Zielrechner auf nicht erwünschte oder produktivitätshemmende Software überprüfen soll. Bei Auffinden solche Programme kann eine Warnmeldung zu einer kritischen Sicherheitslücke ausgegeben werden. Screenshot 87 – Liste unterstützter Anti-Viren- und Anti-Spyware-Anwendungen GFI LANguard N.S.S. unterstützt standardmäßig die Kontrolle bestimmter Sicherheitsanwendungen. Hierzu zählen gängige AntiViren- und Anti-Spyware-Lösungen. Bei Sicherheits-Scans wird kontrolliert, ob unterstützte Sicherheitsprogramme mit den aktuellsten Signaturdateien arbeiten und korrekt konfiguriert sind. Anwendungs-Scans sind für jedes Scan-Profil einzeln zu konfigurieren. Die Konfigurationsoptionen werden über zwei Unterreiter des Reiters Applications festgelegt, Installed Applications und Security Applications. Aktivieren/Deaktivieren von Checks für installierte Anwendungen So aktivieren Sie in einem Scan-Profil Scans nach installierten Anwendungen: 1. Erweitern Sie den Knoten Configuration ` Scanning Profiles, und wählen Sie das zu bearbeitende Scan-Profil aus. 2. Klicken Sie im rechten Fenster auf den Reiter Applications. 3. Markieren Sie das Kontrollkästchen zur Option Enable Scanning for installed applications on target computers. Hinweis: Scans nach installierten Anwendungen sind für jedes ScanProfil einzeln zu konfigurieren. Ist die Option in einem Scan-Profil nicht ausgewählt, wird bei Sicherheits-Audits mit diesem Profil somit nicht nach installierten Anwendungen gesucht. 98 • Scan-Profile GFI LANguard N.S.S. Handbuch Scannen nach installierten Anwendungen Screenshot 88 – Eigenschaften der "Scanning Profiles", Reiter zu installierten Anwendungen Anlegen einer Liste unautorisierter Anwendungen So erstellen Sie eine Liste unautorisierter/als gefährlich eingestufter Anwendungen: 1. Erweitern Sie den Knoten Configuration ` Scanning Profiles, und wählen Sie das zu bearbeitende Scan-Profil aus. 2. Klicken Sie im rechten Fenster auf den Reiter Applications. 3. Klicken Sie auf den Unterreiter Installed Applications. 4. Wählen Sie die Option All applications except the ones whose name contains: Screenshot 89 – Liste unautorisierter Anwendungen 5. Geben Sie im zugehörigen Eingabefeld die Namen der installierten Anwendungen ein, bei deren Identifizierung eine kritische Sicherheitslücke angezeigt werden soll. GFI LANguard N.S.S. Handbuch Scan-Profile • 99 Wenn Sie z. B. "Kazaa" eingeben, wird bei allen Anwendungen, die dieses Wort enthalten, eine Warnmeldung zu einer kritischen Sicherheitslücke ausgegeben. Anlegen einer Liste erwünschter/sicherer Anwendungen So erstellen Sie eine Liste erwünschter/als sicher eingestufter Anwendungen: 1. Erweitern Sie den Knoten Configuration ` Scanning Profiles, und wählen Sie das zu bearbeitende Scan-Profil aus. 2. Klicken Sie im rechten Fenster auf den Reiter Applications. 3. Klicken Sie auf den Unterreiter Installed Applications. 4. Geben Sie in der Liste zu Ignore (Do not list/save to db) applications whose name contains: die Namen sicherer Anwendungen an (z. B. MS Excel), die in den Scan-Ergebnissen nicht aufgeführt werden sollen. Hinweis: Geben Sie nur einen Anwendungsnamen pro Zeile an. Scannen nach Sicherheitsanwendungen Screenshot 90 – Eigenschaften der "Scanning Profiles", Reiter zu Sicherheitsanwendungen GFI LANguard N.S.S.erlaubt standardmäßig die Kontrolle mehrerer Anti-Viren- und Anti-Spyware-Anwendungen. Aktivieren/Deaktivieren von Checks für Sicherheitsanwendungen So aktivieren Sie in einem Scan-Profil Scans nach installierten Sicherheitsanwendungen: 1. Erweitern Sie den Knoten Configuration ` Scanning Profiles, und wählen Sie das zu bearbeitende Scan-Profil aus. 100 • Scan-Profile GFI LANguard N.S.S. Handbuch 2. Klicken Sie im rechten Fenster auf den Reiter Applications. 3. Markieren Sie das Kontrollkästchen zur Option Detect and process installed anti-virus/anti-spyware software on target computers. Hinweis: Scans nach installierten Sicherheitsanwendungen sind für jedes Scan-Profil einzeln zu konfigurieren. Ist die Option in einem Scan-Profil nicht ausgewählt, wird bei Sicherheits-Audits mit diesem Profil somit nicht nach installierten Sicherheitsanwendungen gesucht. Anpassen der Liste zu scannender Sicherheitsanwendungen So legen Sie fest, welche Sicherheitsanwendungen während eines Sicherheits-Audits gescannt werden sollen: 1. Erweitern Sie den Knoten Configuration ` Scanning Profiles, und wählen Sie das zu bearbeitende Scan-Profil aus. 2. Klicken Sie im rechten Fenster auf den Reiter Applications. 3. Klicken Sie auf den Unterreiter Security Applications. Screenshot 91 – Auswahl der zu kontrollierenden Sicherheitsanwendungen 4. Markieren Sie die Kontrollkästchen der Sicherheitsanwendungen, die im Rahmen eines Sicherheits-Audits mit diesem Scan-Profil überprüft werden sollen. GFI LANguard N.S.S. Handbuch Scan-Profile • 101 Konfigurieren von Sicherheitsanwendungen – erweiterte Optionen Screenshot 92 – Erweiterte Konfigurationsoptionen Klicken Sie auf der Konfigurationsseite des Unterreiters Security Applications auf die Schaltfläche Advanced, um die Checks von Sicherheitsanwendungen zu erweitern. So können Sie festlegen, ob bei folgenden Ereignissen eine Warnmeldung zu einer kritischen Sicherheitslücke ausgegeben werden soll: 102 • Scan-Profile • Definitionsdateien von Anti-Viren- oder Anti-Spyware-Lösungen sind veraltet. • Der von einigen Anti-Viren- oder Anti-Spyware-Lösungen angebotene "Echtzeit-Schutz" ist deaktiviert. • Keine der ausgewählten Anti-Viren- oder Anti-Spyware-Software ist zum Zeitpunkt des Scans auf dem Zielrechner installiert. GFI LANguard N.S.S. Handbuch GFI LANguard N.S.S. ProgrammUpdates Einführung GFI LANguard N.S.S. greift beim Sicherheits-Scan eines Netzwerks auf mehrere Parameter-Dateien zurück. Diese Dateien und zugehörigen Datenbanken werden regelmäßig von GFI aktualisiert und um die neuesten Microsoft Patches, Schwachstellen-Checks und Daten zur Hardware-Identifizierung erweitert. Ebenso werden neue Produkt-Builds von GFI LANguard N.S.S. bereitgestellt, die neue Programmfunktionen, Scan-Engine-Optimierungen und Bug-Fixes enthalten, die die Leistung des Sicherheits-Scanners erhöhen. Zum Abruf der neuesten Definitionsdateien und Produkt-Builds steht das Tool "Program Updates" zur Verfügung. GFI LANguard N.S.S. sucht standardmäßig bei jedem Programmstart automatisch nach neuen Aktualisierungen. Die Suche nach Updates kann auch manuell über den Update-Assistenten erfolgen, der über Help ` Check for updates aufgerufen wird. Versionskontrolle des Build und der N.S.S.-Datenbanken Screenshot 93 – Details zur aktuellen Version von Build und Datenbanken GFI LANguard N.S.S. Handbuch GFI LANguard N.S.S. Programm-Updates • 103 Um den Status von Produkt-Updates zu kontrollieren, klicken Sie auf den Knoten General ` Program Updates. Die Informationen sind in unterschiedliche Kategorien unterteilt und werden im rechten Fenster der Konfigurationsoberfläche angezeigt. In jeder Update-Kategorie werden Datum und Uhrzeit der letzten Suche nach Aktualisierungen, der letzte Update-Download und die Version der aktuellen Datenbank-Updates angezeigt. Downloaden von Software-Updates für Microsoft-Produkte in mehreren Sprachen Screenshot 94 – Auswahl der Microsoft Update-Dateien GFI LANguard N.S.S. unterstützt standardmäßig die Verwaltung von Patches für unterschiedliche Sprachversionen von MicrosoftProdukten. Wird während eines Sicherheits-Scans festgestellt, dass Produkt-Updates zu Microsoft-Lösungen fehlen, lassen sie sich mit N.S.S. für die verfügbaren/gewünschten Sprachen herunterladen und installieren. Fehlende Microsoft-Patches und Service Packs werden vom Scanner durch Überprüfung der "Microsoft Software Update Files" ermittelt. Diese Dateien enthalten die aktuellen (vollständigen) Listen zu Produkt-Updates, die zum Zeitpunkt der Überprüfung über Microsoft verfügbar sind. Sie liegen in allen Sprachen vor, in denen MicrosoftProdukte erhältlich sind. Mit Hilfe des Tools Program Update von GFI LANguard N.S.S. können Sie die neuesten "Microsoft Software Updates Files" für alle in Ihrem Netzwerk verwendeten Sprachen downloaden. Die ScanEngine kann dadurch fehlende Patches und Service Packs für die verschiedensten Sprachen ermitteln und eine Warnmeldung ausgeben. Zudem kann die Engine zur Patch-Verteilung die fehlenden Update-Dateien herunterladen und im gesamten Netzwerk installieren. 104 • GFI LANguard N.S.S. Programm-Updates GFI LANguard N.S.S. Handbuch Folgende Sprachen werden unterstützt: Englisch, Deutsch, Französisch, Italienisch, Spanisch, Arabisch, Dänisch, Tschechisch, Finnisch, Hebräisch, Ungarisch, Japanisch, Koreanisch, Niederländisch, Norwegisch, Polnisch, Portugiesisch, brasilianisches Portugiesisch, Russisch, Schwedisch, Chinesisch, Chinesisch (Taiwan), Griechisch und Türkisch. Informationen zum Download der in verschiedenen Sprachen verfügbaren "Microsoft Update Files" erhalten Sie weiter unten in diesem Kapitel. Manuelle Programm-Updates So führen Sie einen manuellen Start von Programm-Updates durch: 1. Gehen Sie auf den Knoten General ` Program Updates, klicken Sie mit der rechten Maustaste auf den Unterknoten, und wählen Sie aus dem Kontextmenü Check for Updates aus. Der Assistent zur Update-Suche wird aufgerufen. Screenshot 95 – Assistent zur Update-Suche: Stufe 1 2. Geben Sie an, von welchem Speicherort die erforderlichen UpdateDateien heruntergeladen werden sollen. 3. Um den standardmäßigen Download-Pfad zu ändern, wählen Sie die Option Download all update files from GFI web site to this path. 4. Klicken Sie auf die Schaltfläche Next, um mit der Aktualisierung fortzufahren. GFI LANguard N.S.S. Handbuch GFI LANguard N.S.S. Programm-Updates • 105 Screenshot 96 – Assistent zur Update-Suche: Stufe 2 5. Wählen Sie die herunterzuladenden Updates aus. Folgende Auswahlmöglichkeiten stehen zur Verfügung: • GFI LANguard N.S.S. Vulnerabilities Update – Lädt neue Schwachstellen-Checks und Bug-Fixes herunter. • GFI LANguard N.S.S. Dictionaries Update – Lädt Aktualisierungen der Wörterbuch-Datei herunter (z. B. zu unsicheren Community-Strings und Passwörtern). • Microsoft Software Updates – Erlaubt die Auswahl von Software-Updates für alle im Netzwerk verwendeten Sprachversionen von Microsoft-Produkten. Weitere Informationen hierzu erhalten Sie am Anfang dieses Kapitels unter "Downloaden von Software-Updates für Microsoft-Produkte in mehreren Sprachen". Hinweis: Wählen Sie die Option Update ALL files (including the ones already updated), um alle Dateien zu aktualisieren. 6. Klicken Sie auf die Schaltfläche Next um fortzufahren. 7. Klicken Sie auf die Schaltfläche Aktualisierungsvorgang zu starten. Start, um den Suchen nach Software-Updates beim Start von GFI LANguard N.S.S. GFI LANguard N.S.S. sucht standardmäßig bei jedem Programmstart automatisch nach neuen Aktualisierungen. So deaktivieren Sie die automatische Suche: 1. Gehen Sie auf den Knoten General ` Program Updates, klicken Sie mit der rechten Maustaste auf den Unterknoten, und wählen Sie aus dem Kontextmenü Properties aus. Der Eigenschaften-Dialog für Programm-Updates wird aufgerufen. 106 • GFI LANguard N.S.S. Programm-Updates GFI LANguard N.S.S. Handbuch Screenshot 97 – Option zur Suche nach Updates bei Programmstart 2. Heben Sie die Auswahl von Check for newer builds at startup am Ende des Dialogs auf. Konfigurieren der beim Programmstart zu kontrollierenden Updates So legen Sie fest, nach welchen Updates beim Start von GFI LANguard N.S.S. gesucht werden soll: Screenshot 98 – Eigenschaften von Programm-Updates 1. Gehen Sie auf den Knoten General ` Program Updates, klicken Sie mit der rechten Maustaste auf den Unterknoten, und wählen Sie aus dem Kontextmenü Properties aus. 2. Wählen Sie die Datenbank- und Engine-Updates aus, die beim Start von GFI LANguard N.S.S. heruntergeladen werden sollen. 3. Geben Sie an, aus welcher Quelle die ausgewählten ProgrammUpdates abgerufen werden sollen. 4. Klicken Sie auf die Schaltfläche OK, um die Einstellungen zu speichern. GFI LANguard N.S.S. Handbuch GFI LANguard N.S.S. Programm-Updates • 107 108 • GFI LANguard N.S.S. Handbuch Patch-Verwaltung: Bereitstellung von Microsoft-Updates Einführung Mit Hilfe des Patch-Management-Tools können Microsoft-Produkte automatisch mit den neuesten Patches und Service Packs auf dem neuesten Stand gehalten werden. Folgende Microsoft-Lösungen werden unter anderem unterstützt: Windows 2000, XP und 2003, Microsoft Office XP oder später, Microsoft Exchange 2000 oder später und Microsoft SQL Server 2000 oder später. Eine vollständige Liste der Microsoft-Produkte, die von GFI LANguard N.S.S. unterstützt werden, steht zum Abruf bereit unter http://kbase.gfi.com/showarticle.asp?id=KBID001820. Folgende Schritte sind erforderlich, um Patches und Service Packs erfolgreich in Ihrem Netzwerk bereitstellen zu können: Schritt 1: Scannen Sie Ihr Netzwerk. Schritt 2: Wählen Sie die Rechner aus, für die Patches und Service Packs bereitgestellt werden sollen. Schritt 3: Wählen Sie die gewünschten Patches und Service Packs aus. Schritt 4: Downloaden Sie die Patch- und Service Pack-Dateien. Schritt 5: Stellen Sie die heruntergeladenen Dateien auf den Zielrechnern bereit. Folgende Voraussetzungen müssen erfüllt sein, damit Patches auf den ausgewählten Zielrechnern installiert werden können: • GFI LANguard N.S.S. muss unter einem Konto mit administrativen Zugriffsrechten für die Zielrechner laufen, auf denen Updates installiert werden sollen. • Auf den Zielrechnern muss NetBIOS aktiviert sein. Weitere Informationen zur Aktivierung von NetBIOS erhalten Sie im Kapitel "Ergänzende Informationen" unter "Aktivieren von NetBIOS auf einem Zielrechner". Informationen zum Agent für die Patch-Bereitstellung Die Installation von Patches, Service Packs und eigener Software auf Zielrechnern erfolgt über einen speziellen N.S.S.-Agent zur PatchBereitstellung. Dieser Agent ist ein Dienst, der automatisch im Hintergrund auf den Remote-Rechnern installiert wird. Er startet und kontrolliert die Update-Installation zu einem individuell festlegbaren Zeitpunkt. Diese Art der Bereitstellung von Patches ist gegenüber Lösungen ohne Agent weitaus effizienter und zuverlässiger. GFI LANguard N.S.S. Handbuch Patch-Verwaltung: Bereitstellung von Microsoft-Updates • 109 Informationen zu zurückgezogenen Patches Es kann vorkommen, dass Patches und Service Packs von Microsoft zurückgezogen werden. Beispiele hierfür sind der Windows-Patch “MS03-045“ und der Exchange-Patch “MS03-047“, die am 15. Oktober 2005 veröffentlicht wurden. Patches werden für gewöhnlich aufgrund neu entdeckter Schwachstellen oder Probleme zurückgezogen, die bei der Installation dieser Updates aufgetreten sind. In einem solchen Fall weist GFI LANguard N.S.S. diese Patches als fehlend aus, obwohl sie nicht installiert werden können. Wenn Sie für diese fehlenden Patches keine Warnmeldung erhalten möchten, muss die Suche einzeln für die betreffenden zurückgezogenen Patches deaktiviert werden. So ändern Sie die Einstellungen: 1. Erweitern Sie den Knoten Configuration ` Scanning Profiles, und wählen Sie das zu konfigurierende Profil aus. 2. Klicken Sie im rechten Fenster auf den Knoten Patches, und entfernen Sie die Markierung des entsprechenden SicherheitsBulletins in der angezeigten Liste. Zurückgezogene Patches lassen sich zudem einer Ignorieren-Liste hinzufügen. Diese Liste kann mit einzelnen (zurückgezogenen) Patches erweitert werden, nach denen während eines SicherheitsAudits nicht gesucht werden soll. So fügen Sie einen fehlenden Patch der Ignorieren-Liste hinzu: 1. Führen Sie einen Sicherheits-Scan Ihres Netzwerks durch. 2. Rufen Sie in der Übersicht zu den Scan-Ergebnissen die Liste der fehlenden Patches auf. 3. Wählen Sie den Patch aus, der der Ignorieren-Liste hinzugefügt werden soll. 3. Klicken Sie mit der rechten Maustaste auf den Patch und wählen Sie im Kontextmenü Patches ` Add to ignore list for ` This computer. 110 • Patch-Verwaltung: Bereitstellung von Microsoft-Updates GFI LANguard N.S.S. Handbuch Screenshot 99 – In der Ignorieren-Liste eines Zielrechners verzeichnete Patches Um die Patches der Ignorieren-Liste eines bestimmten Zielrechners anzeigen zu lassen, klicken Sie im mittleren Fensterbereich Scanned Computers auf System patching status. Die entsprechenden Patches werden im rechten Fensterbereich Scan Results angezeigt. Verwaltung von Patches in unterschiedlichen Sprachen Die Engine zur Patch-Verwaltung lädt die den Spracheinstellungen des Zielrechners entsprechenden Microsoft Patch-Updates und Service Packs, die als fehlend erkannt wurden, automatisch herunter und installiert sie. Weitere Informationen hierzu erhalten Sie am Anfang dieses Kapitels unter "Downloaden von Software-Updates für Microsoft-Produkte in mehreren Sprachen". Auswählen der Zielrechner zur Bereitstellung von Patches Ist ein Sicherheits-Scan des Netzwerks beendet, können fehlende Patches und Service Packs auf den Zielrechnern bereitgestellt werden. Diese Bereitstellung ist für einen einzelnen Rechner, eine Auswahl an Rechnern oder alle Zielrechner möglich, auf denen fehlende Patches und Service Packs festgestellt wurden. GFI LANguard N.S.S. Handbuch Patch-Verwaltung: Bereitstellung von Microsoft-Updates • 111 Screenshot 100 – Bereitstellung fehlender Service Packs und Patches Bereitstellen fehlender Updates auf einem einzelnen Zielrechner Klicken Sie im mittleren Fensterbereich Scanned Computers mit der rechten Maustaste auf den Rechner, für den eine Aktualisierung durchgeführt werden soll. Wählen Sie im Kontextmenü Deploy Microsoft updates ` Service packs on [bzw. Patches on] ` This computer. Bereitstellen fehlender Updates für mehrere Zielrechner 1. Markieren Sie im mittleren Fensterbereich Scanned Computers die Kontrollkästchen der Rechner, die aktualisiert werden sollen. 2. Klicken Sie mit der rechten Maustaste auf einen der ausgewählten Rechner. Wählen Sie im Kontextmenü Deploy Microsoft updates ` Service packs on [bzw. Patches on] ` Selected computers. Bereitstellen fehlender Updates auf allen Zielrechnern Klicken Sie im mittleren Fensterbereich Scanned Computers mit der rechten Maustaste auf einen der aufgeführten Rechner. Wählen Sie im Kontextmenü Deploy Microsoft updates ` Service packs on [bzw. Patches on] ` All computers. 112 • Patch-Verwaltung: Bereitstellung von Microsoft-Updates GFI LANguard N.S.S. Handbuch Auswählen bereitzustellender Patches Screenshot 101 – Optionen für die Patch-Bereitstellung Nachdem Sie die zu aktualisierenden Zielrechner angegeben haben, ruft GFI LANguard N.S.S. automatisch die Bereitstellungsoptionen für Patches auf. Diese Optionen werden im rechten Fenster der Konfigurationsoberfläche angezeigt, zusammen mit der Liste der ausgewählten Zielrechner sowie der Sprache der Updates, die heruntergeladen und installiert werden sollen. Hinweis: Um die Optionen zur Patch-Bereitstellung manuell aufzurufen, klicken Sie auf den Knoten Tools ` Deploy Microsoft patches. Sortieren von Scan-Ergebnissen Die Optionen-Seite zur Patch-Bereitstellung erlaubt die Anordnung und Anzeige von Service Packs und Patches auf zwei Arten: • Sort by computers – Fehlende Zielrechnern gruppiert angezeigt. • Sort by patches – Fehlende Patches werden nach dem Namen der Update-Datei sortiert. Patches werden nach Ein Wechsel zwischen diesen Ansichten erfolgt über die entsprechenden Reiter Sort by computers und Sort by patches. GFI LANguard N.S.S. Handbuch Patch-Verwaltung: Bereitstellung von Microsoft-Updates • 113 Auswählen bereitzustellender Patches Screenshot 102 – Herunterzuladende und bereitzustellende Patches GFI LANguard N.S.S. lädt standardmäßig alle fehlenden Patches und Service Packs (in allen verfügbaren Sprachen) herunter und stellt diese bereit. Um einzelne Patches davon auszunehmen, entfernen Sie die Markierung des Kontrollkästchens der entsprechenden Patches. Downloaden der Patch- und Service Pack-Dateien Nachdem Sie die erforderlichen Patches und Service Packs ausgewählt haben, kann der Download der zugehörigen Dateien gestartet werden. Ist der Vorgang gestartet, führt GFI LANguard N.S.S. alle weiteren Schritte automatisch durch. Screenshot 103 – Liste herunterzuladender Patches 114 • Patch-Verwaltung: Bereitstellung von Microsoft-Updates GFI LANguard N.S.S. Handbuch Starten des Downloads von Patches und Service Packs Um den Download einzelner Patches oder Service Packs zu starten, klicken Sie mit der rechten Maustaste auf die gewünschte PatchDatei, und wählen Sie im Kontextmenü Download File. Um den Download von ausgewählten Patches oder Service Packs zu starten, klicken Sie mit der rechten Maustaste auf eine der PatchDateien, und wählen Sie im Kontextmenü Download all checked files. Die Symbole neben jeder Update-Datei zeigen den aktuellen Download-Status an. Folgende Statusmeldungen werden angezeigt: • Heruntergeladen • Noch aktiver Download • • Wartezustand: Anwender muss auf zugehörige Web-Seite gehen und für den Download der Datei auf den entsprechenden Link klicken. Update nicht heruntergeladen Per Benutzereingriff durchzuführende Downloads Screenshot 104 – Patch-Download von Web-Seite Einige Patch-Dateien können nur manuell von einer Download-Seite heruntergeladen werden. Diese Dateien werden mit dem Symbol gekennzeichnet. Bei dieser Art von Patch-Downloads öffnet GFI LANguard N.S.S. die zugehörige Web-Seite automatisch im unteren Bereich des Bereitstellungs-Tools. Klicken Sie auf den Download-Link auf der Web-Seite, um den Download zu starten. Abbruch aktiver Downloads Um einen aktiven Patch-Download abzubrechen, klicken Sie auf den entsprechenden Patch, und wählen Sie Cancel Download. GFI LANguard N.S.S. Handbuch Patch-Verwaltung: Bereitstellung von Microsoft-Updates • 115 Konfigurieren alternativer Bereitstellungsparameter für PatchDateien (optional) Screenshot 105 – Eigenschaften einer Patch-Datei Optional können Sie auch für jeden Patch eigene, alternative Bereitstellungsparameter festlegen. Zu diesen Einstellungen zählen die Download-URL und der Speicherort der heruntergeladenen Datei. So ändern Sie die Bereitstellungs- und Download-Einstellungen fehlender Patches: 1. Klicken Sie mit der rechten Maustaste auf die gewünschte PatchDatei, und wählen Sie im sich öffnenden Kontextmenü Properties. Der Eigenschaften-Dialog für die Patch-Datei wird geöffnet. 2. Führen Sie die gewünschten Änderungen durch, und klicken Sie auf die Schaltfläche OK, um die Einstellungen zu speichern. 116 • Patch-Verwaltung: Bereitstellung von Microsoft-Updates GFI LANguard N.S.S. Handbuch Bereitstellen von Updates Screenshot 106 – Optionen für die Patch-Bereitstellung Starten der Bereitstellung Nachdem der Download der benötigten Patch-Dateien abgeschlossen ist, kann deren Bereitstellung auf den Zielrechnern erfolgen. Klicken Sie hierfür auf die Schaltfläche Start unten rechts auf der Seite zur Patch-Bereitstellung. Überwachen der Bereitstellung Screenshot 107 – Überwachung der Bereitstellung Um die Bereitstellung der Patches zu verfolgen, klicken Sie auf den Reiter Deployment Status neben dem Reiter Sort by patches im oberen Bereich des Fensters. GFI LANguard N.S.S. Handbuch Patch-Verwaltung: Bereitstellung von Microsoft-Updates • 117 118 • GFI LANguard N.S.S. Handbuch Patch-Verwaltung: Installieren eigener Software Einführung Mit dem Tool zur Bereitstellung eigener Software (Deploy Custom Software) können benutzerspezifische Software sowie Patches und Updates von Drittanbietern im gesamten Netzwerk installiert werden. Mit Hilfe dieses Tools lassen sich beispielsweise alle Rechner des Netzwerks mit den aktuellsten Viren-Signaturen aktualisieren. Das Tool steht zur Verfügung über Tools ` Deploy Custom software. Die Vorgehensweise beim Installieren eigener Software ist der Bereitstellung von Microsoft-Updates für einen Rechner sehr ähnlich. Folgende Schritte sind hierfür erforderlich: Schritt 1: Wählen Sie den Rechner aus, auf dem die Software/das Update zu installieren ist. Schritt 2: Geben Sie an, welche Software bereitgestellt werden soll. Schritt 3: Starten Sie die Bereitstellung. Auswählen der Zielrechner zur Bereitstellung eigener Software/Patches Screenshot 108 – Auswahl der Zielrechner GFI LANguard N.S.S. Handbuch Patch-Verwaltung: Installieren eigener Software • 119 1. Klicken Sie auf den Knoten Tools ` Deploy Custom software. 2. Klicken Sie im mittleren Bereich der Konfiguration unter Computer(s) to deploy software on auf die Schaltfläche Add, um einen einzelnen Computer festzulegen. Durch Klick auf die Schaltfläche Select können Sie mehrere Computer angeben. Hinweis: Über die Schaltfläche Import kann eine in einer TXT-Datei gespeicherte Liste mit Rechnern importiert werden, auf denen Patches bereitgestellt werden sollen. Festlegen der bereitzustellenden Software Screenshot 109 – Auswahl bereitzustellender Software 1. Klicken Sie im mittleren Bereich der Konfiguration unter Software auf die Schaltfläche Add. 120 • Patch-Verwaltung: Installieren eigener Software GFI LANguard N.S.S. Handbuch Screenshot 110 – Angabe bereitzustellender Software 2. Geben Sie den Speicherort der Quelldatei an. 3. Wählen Sie eine der folgenden Optionen, um BefehlszeilenParameter während der Bereitstellung der Datei zu verwenden: • Windows operating system patch – Bei Bereitstellung von Patches für Windows-Betriebssysteme. • Internet Explorer patch – Bei Bereitstellung von Patches für den Internet Explorer. • Custom – Bei Verwendung benutzerdefinierter Parameter. Geben Sie die erforderlichen Parameter im Eingabefeld unten im Dialogfeld an. GFI LANguard N.S.S. Handbuch Patch-Verwaltung: Installieren eigener Software • 121 Beginnen der Bereitstellung Screenshot 111 – Einstellungsoptionen zur Software-Bereitstellung Nachdem Sie die bereitzustellende Software und die Zielrechner festgelegt haben, starten Sie die Bereitstellung durch Klick auf die Schaltfläche Start. Patch-Bereitstellung nach Zeitplan So legen Sie die Bereitstellung eigener Patches per Zeitplan fest: 1. Wählen Sie die Option Deploy on. 2. Geben Sie in den zugehörigen Eingabefeldern Datum und Uhrzeit der Bereitstellung an. 3. Klicken Sie auf die Schaltfläche Start, um die Bereitstellung nach Zeitplan zu aktivieren. 122 • Patch-Verwaltung: Installieren eigener Software GFI LANguard N.S.S. Handbuch Bereitstellungsoptionen Allgemeine Bereitstellungsoptionen Screenshot 112 – Allgemeine Optionen für die Patch-Bereitstellung Über die allgemeinen Bereitstellungsoptionen können Sie Aktionen konfigurieren, die vor und nach der Bereitstellung gestartet werden sollen. Vor der Bereitstellung durchzuführende Aktionen Über den Reiter General stehen folgende Optionen für Aktionen zur Verfügung, die vor der Patch-Bereitstellung durchgeführt werden können: • Warn users before deployment – Schickt eine Warnmeldung an den Benutzer des Zielrechners, um auf die bevorstehende PatchBereitstellung hinzuweisen. Screenshot 113 – Warnhinweis an Benutzer zu einer bevorstehenden Patch-Installation Durch eine solchen Warnhinweis haben Anwender die Möglichkeit, geöffnete Dateien zu sichern und aktive Programme zu schließen, bevor die Patches auf ihrem Rechner installiert werden. GFI LANguard N.S.S. Handbuch Patch-Verwaltung: Installieren eigener Software • 123 • Wait for user’s approval – Fordert Benutzer des Zielrechners vor der Bereitstellung einer Patch-Datei zur Freigabe der Installation auf. Hierdurch kann die Installation so lange verzögert werden, bis andere ggf. bereits aktive Prozesse (z. B. Systemsicherungen) beendet sind. Dies ist vor allem von Bedeutung, wenn nach der Installation der Patch-Datei ein Neustart des Rechners erforderlich ist. Um die Installation des Patches zu starten, muss der Benutzer des Zielrechners auf die im Hinweisdialog angezeigte Schaltfläche OK klicken. • Stop services before deployment – Hält einzelne Dienste an, bevor mit der Installation begonnen wird. Geben Sie die entsprechenden Dienste durch Mausklick auf die Schaltfläche Services an. Nach Bereitstellung durchzuführende Aktionen Über den Reiter General stehen folgende Optionen für Aktionen zur Verfügung, die nach der Patch-Bereitstellung durchgeführt werden können: • Do not reboot – Legt fest, dass KEIN Remote-Neustart des Zielrechners nach der Patch-Installation durchgeführt werden soll. • Reboot the target computers – Legt fest, dass nach der Installation der Software/Patches ein automatischer Neustart der Zielrechner durchgeführt wird. • Let the user decide when to reboot – Erlaubt es Benutzern von Zielrechnern, auf denen Software/Patches installiert wurden, zu entscheiden, wann ein Rechner-Neustart durchgeführt werden soll. Bei Auswahl dieser Option wird folgender Dialog automatisch dem Benutzer des Zielrechners angezeigt. Screenshot 114 – Optionen für Aktionen nach Patch-Bereitstellung: Festlegung des Rechner-Neustarts durch Benutzer Über diesen Dialog können Anwender folgende Neustart-Optionen auswählen: o Restart Now – Führt einen sofortigen Neustart durch. o Remind me in [X] Minutes – Erinnert Anwender in regelmäßigen Abständen (in Minuten), einen Neustart durchzuführen. 124 • Patch-Verwaltung: Installieren eigener Software GFI LANguard N.S.S. Handbuch o Restart on [date] at [time] – Führt einen Neustart des Zielrechners zu einem vom Anwender festgelegten Zeitpunkt durch. o Don’t bother me again – Fordert nicht weiter zum Neustart auf. o Shutdown the target computer(s) – Fährt Zielrechner nach der Software-/Patch-Bereitstellung herunter. • Delete copied files on the remote computers after deployment – Löscht nach einer erfolgreichen Installation die Quell/Installationsdatei vom Zielrechner. • Computer filters – Klicken Sie auf die Schaltfläche Computer filters, um einzelne Filterbedingungen für Zielrechner zu konfigurieren. Mit Hilfe dieser Einstellungen kann festgelegt werden, dass Patches nur dann installiert werden sollen, wenn die Zielrechner mit einem bestimmten Betriebssystem laufen. Erweiterte Bereitstellungsoptionen Screenshot 115 – Erweiterte Optionen für die Patch-Bereitstellung Über den Reiter Advanced können erweiterte Bereitstellungsoptionen konfiguriert werden. Folgende Parameter stehen hierfür zur Verfügung: • Anzahl der zu verwendenden Bereitstellungs-Threads • Installations-Timeout • Starten des Bereitstellungs-Agent mit alternativen Zugangsdaten GFI LANguard N.S.S. Handbuch Patch-Verwaltung: Installieren eigener Software • 125 126 • Patch-Verwaltung: Installieren eigener Software GFI LANguard N.S.S. Handbuch Vergleichen von Scan-Ergebnissen Einführung Durch regelmäßige Sicherheits-Audits und den Vergleich von ScanErgebnissen lassen sich Änderungen des Sicherheitszustands eines Netzwerks leichter erkennen und analysieren. Neue Schwachstellen können rechtzeitig erkannt werden. Zudem ist eine Untersuchung und Behebung weiterhin vorhandener/wiederkehrender Sicherheitsprobleme leichter möglich. GFI LANguard N.S.S. bietet eine spezielles Tool zum Vergleich von Scan-Ergebnissen. Es hilft Ihnen, Berichte erstellen zu lassen, die Unterschiede zwischen zwei Scans aufzeigen. Diese Berichte können interaktiv oder automatisch erstellt werden. Vergleichsberichte lassen sich interaktiv über den Knoten Security Scanner ` Result comparison erstellen. Hierfür sind die zu vergleichenden Scan-Ergebnisse (von direkt aufeinander folgenden oder beliebigen Scans) auszuwählen. Die automatische Erstellung von Vergleichsberichten bei einem nach Zeitplan durchgeführten Scan wird über den Knoten Configuration ` Scheduled Scans unter dem Reiter Results notifications konfiguriert. Bei dieser Berichterstellung lassen sich die neuesten Scan-Ergebnisse bequem mit denen des vorherigen (nach Zeitplan) durchgeführten Scans vergleichen. Weitere Informationen zu Scans nach Zeitplan erhalten Sie im Kapitel "Konfigurieren von GFI LANguard N.S.S." unter "Scans nach Zeitplan". Dank der über den Ergebnisvergleich gewonnenen Informationen können Sie Schwachstellen beheben und Ihr Netzwerk proaktiv vor bestehenden und potenziellen Gefahren schützen. Interaktives Vergleichen von Scan-Ergebnissen Die von GFI LANguard N.S.S. ausgegebenen Scan-Daten lassen sich in Datenbank- oder XML-Dateien speichern. GFI LANguard N.S.S. sichert Scan-Ergebnisse standardmäßig per Microsoft Access oder Microsoft SQL Server Datenbank-Backend. Bei Scans nach Zeitplan erfolgt die Speicherung von Scan-Ergebnissen auch in einer XMLDatei, um ein vereinfachtes Reporting zu erlauben. Das Tool zum Ergebnisvergleich erlaubt neben dem Erstellen einer Liste aller gefundenen Änderungen im Netzwerk auch die Gegenüberstellung gespeicherter Scan-Ergebnisse. Festlegen der im Vergleichsbericht aufzuführenden Daten Das Tool zum Ergebnisvergleich kann Daten unterschiedlichster Art in einem Vergleichsbericht ausgeben. So legen Sie fest, welche Daten in einem Vergleichsbericht aufgeführt sein sollen: GFI LANguard N.S.S. Handbuch Vergleichen von Scan-Ergebnissen • 127 1. Klicken Sie auf den Knoten Security Scanner ` Result comparison. Screenshot 116 – Optionen für Daten eines Vergleichsberichts 2. Klicken Sie im rechten Fenster auf die Schaltfläche Options. 3. Markieren Sie das Kontrollkästchen der Elemente, die im Bericht aufgeführt werden sollen. Folgende Auswahlmöglichkeiten stehen zur Verfügung: • New items – Alle beim letzten Scan neu identifizierten Schwachstellen, die in vorherigen Scan-Ergebnissen nicht protokolliert wurden, werden angezeigt. • Removed items – Alle im Vergleich zum vorherigen/vergangenen Scan-Ergebnis nicht mehr identifizierten Elemente (z. B. installierte Anwendungen) und Komponenten/Geräte (z. B. Netzwerk-Karten, USB-Hardware, WLAN-Hardware u. v. m.) werden angezeigt. • Changed items – Alle Elemente, bei denen zwischen zwei Scans Änderungen vorgenommen wurden, z. B. Aktivierung/Deaktivierung von Diensten, werden angezeigt. • Show vulnerability changes – Alle seit dem vorherigen Scan neu aufgetretenen und behobenen Sicherheitslücken werden angezeigt. • Show only hotfix changes – Alle seit dem vorherigen Scan fehlenden und installierten Patches werden angezeigt. 128 • Vergleichen von Scan-Ergebnissen GFI LANguard N.S.S. Handbuch Erstellen eines Vergleichsberichts Screenshot 117 – Vergleich von Scan-Ergebnissen So erstellen Sie einen Vergleichsbericht: 1. Klicken Sie auf den Knoten Security Scanner ` Result comparison. 2. Klicken Sie auf die Schaltflächen zur Dateisuche , um die Dateien mit Scan-Ergebnissen auszuwählen, die miteinander verglichen werden sollen. Ergebnisse lassen sich nur vergleichen, wenn sie dasselbe Dateiformat besitzen, d. h. ein direkter Vergleich einer XML-Datei mit einer Datenbank-Datei ist nicht möglich. 3. Klicken Sie auf die Ergebnisvergleich zu starten. Schaltfläche Compare, um den Vergleichsbericht Screenshot 118 – Vergleichsbericht GFI LANguard N.S.S. Handbuch Vergleichen von Scan-Ergebnissen • 129 Der Vergleichsbericht informiert über Änderungen bei Konfiguration und Netzwerk-Layout des Zielrechners, die zwischen zwei ScanErgebnissen festgestellt werden konnten. 130 • Vergleichen von Scan-Ergebnissen GFI LANguard N.S.S. Handbuch GFI LANguard N.S.S. Status-Monitor Anzeigen geplanter Aktionen Mit Hilfe des Status-Monitors von GFI LANguard N.S.S. kann der aktuelle Zustand von aktivierten geplanten Scans und von UpdateBereitstellungen angezeigt werden. Screenshot 119 – Status-Monitor-Symbol in der Systemablage von Windows Der Status-Monitor wird automatisch in der Systemablage von Windows gestartet, wenn die Konfigurationsoberfläche von GFI LANguard N.S.S. aufgerufen wird. Um den Status-Monitor aufzurufen, klicken Sie auf das Symbol in der Systemablage von Windows. Hinweis: Der Status-Monitor kann auch ohne Aufruf der Konfigurationsoberfläche von GFI LANguard N.S.S. geöffnet werden. Gehen Sie hierfür auf Start ` Programme ` GFI LANguard Network Security Scanner 7.0 ` LNSS Status Monitor. Anzeigen des Verlaufs von Scans nach Zeitplan Screenshot 120 – Status-Monitor: Active scheduled scans tab. So rufen Sie auf, welche geplanten Scans aktuell durchgeführt werden: 1. Rufen Sie den GFI LANguard N.S.S. Status-Monitor auf. 2. Klicken Sie auf den Reiter Active scheduled scans. GFI LANguard N.S.S. Handbuch GFI LANguard N.S.S. Status-Monitor • 131 Hinweis 1: Jeder geplante Scan, der aktuell durchgeführt wird, kann per Mausklick auf die Schaltfläche Stop selected scans abgebrochen werden. Hinweis 2: Über den Reiter Active scheduled scans können nur aktuell aktive geplante Scans angezeigt und abgebrochen werden. Hinweis 3: Anzeige und Abbruch geplanter Scans, die noch nicht gestartet wurden, erfolgen über die Konfigurationsoberfläche von GFI LANguard N.S.S. über den Knoten Configuration ` Scheduled Scans. Anzeigen des Verlaufs von Patch-Bereitstellungen nach Zeitplan Screenshot 121 – Status-Monitor: Patch-Bereitstellungen nach festem Zeitplan So rufen Sie auf, welche geplanten Patch-Bereitstellungen aktuell durchgeführt werden: 1. Rufen Sie den GFI LANguard N.S.S. Status-Monitor auf. 2. Klicken Sie auf den Reiter Scheduled deployments. Hinweis: Jede geplante Patch-Bereitstellung, die aktuell durchgeführt wird, kann per Mausklick auf die Schaltfläche Cancel selected deployment abgebrochen werden. 132 • GFI LANguard N.S.S. Status-Monitor GFI LANguard N.S.S. Handbuch Werkzeuge Einführung GFI LANguard N.S.S. bietet eine Auswahl an Netzwerk-Tools, mit denen sich häufig auftretende Netzwerk-Probleme beseitigen lassen und die Unterstützung bei der Netzwerk-Administration leisten. Folgende Netzwerk-Tools lassen sich über den Knoten Konfiguration von GFI LANguard N.S.S: aufrufen: • DNS-Lookup • Whois Client • Trace Route • SNMP-Walk • SNMP-Audit • Microsoft SQL Server-Audit • Enumerate Computers (Auflistung von Rechnern) • Enumerate Users (Auflistung von Usern). Tools in der DNS-Lookup Über das Tool Tools ` DNS Lookup lassen sich Domänennamen in ihre IP-Adresse auflösen und einzelne Informationen zur Zieldomäne abrufen (z. B. MX-Eintrag u. ä.). Screenshot 122 – DNS Lookup GFI LANguard N.S.S. Handbuch Werkzeuge • 133 So führen Sie die Auflösung eines Domänen-/Host-Namens durch: 1. Klicken Sie auf den Knoten Tools ` DNS lookup. 2. Geben Sie den Host-Namen an, der aufgelöst werden soll. 3. Geben Sie an, welche Informationen abgerufen werden sollen: • Basic Information – Ruft den Host-Namen und die zugehörige IPAdresse ab. • Host Information – Ruft HINFO-Angaben (Host-Informationen) ab. Hierzu zählen üblicherweise Daten zum Zielrechner wie Hardware-Spezifikationen und Betriebssystem-Details. Hinweis: Bei den meisten DNS-Einträgen sind Informationen aus Sicherheitsgründen nicht enthalten. diese • Aliases – Ruft Zieldomäne ab. • MX Records – Listet alle E-Mail-Server auf und die Reihenfolge (d. h. Priorität), in der sie E-Mails für die Zieldomäne empfangen und verarbeiten. • NS Records – Listet alle für eine Domäne oder Unterdomäne zuständigen Name-Server auf. Informationen zu den "A-Einträgen" der 4. Falls erforderlich, geben Sie einen alternativen DNS-Server für den DNS-Lookup ein, oder lassen Sie den standardmäßigen DNS-Server unverändert. 5. Klicken Sie auf die Schaltfläche Retrieve, um den Abruf zu starten. Traceroute Screenshot 123 - Traceroute 134 • Werkzeuge GFI LANguard N.S.S. Handbuch Über das Tool Tools ` Traceroute lässt sich der Pfad verfolgen, über den GFI LANguard N.S.S. einen Zielrechner erreicht hat. So setzen Sie dieses Tool ein: 1. Geben Sie in der Drop-Down-Liste Trace den zur Kontrolle der Vermittlung gewünschten Namen, die IP-Adresse oder Domäne an. 2. Klicken Sie auf die Schaltfläche Traceroute, um die Kontrolle zu starten. Traceroute ermittelt, auf welchem Weg ein Zielrechner erreicht wird, und zeigt die hierfür passierten "Hops" an. Ein Hop ist eine Zwischenstation bei der Übermittlung und steht für einen Computer/Router, über den die Anfrage weitergeleitet wird. Bei diesem Tool wird für jeden Hop die IP-Adresse des passierten Computers angegeben, die Häufigkeit der Weiterleitung über einen Computer und die verstrichene Zeit, bis der jeweilige Computer erreicht wurde. Neben jedem Hop ist zudem ein Symbol abgebildet. Es informiert über den Status des Hops. Folgende Symbole werden verwendet: • Zeigt an, dass ein Hop innerhalb normaler Parameter erfolgreich war. • Zeigt einen erfolgreichen Hop mit relativ langer Antwortzeit an. • Zeigt einen erfolgreichen Hop mit zu langer Antwortzeit an. • Zeigt einen Hop an, bei dem eine Zeitüberschreitung aufgetreten ist (> 1000 ms). Whois Client Screenshot 124 – Whois-Tool GFI LANguard N.S.S. Handbuch Werkzeuge • 135 Über das Tool Tools ` Whois Client lassen sich Informationen zu einer Domäne oder IP-Adresse abrufen. Wählen Sie im rechten Bereich der Konfiguration den für die Abfrage bevorzugten Whois-Server aus, oder behalten Sie die Standardeinstellung bei, damit der Server automatisch für Sie ausgewählt wird. Um Informationen zu einer bestimmten Domäne oder IP-Adresse abzurufen, geben Sie die Domäne/IP-Adresse oder den Host-Namen in der Drop-Down-Liste Query an. Klicken Sie dann auf die Schaltfläche Retrieve. SNMP-Walk Screenshot 125 – SNMP-Walk Über das Tool Tools ` SNMP Walk können Sie Netzwerk-Knoten kontrollieren und SNMP-Informationen abrufen (z. B. Object Identifier, OIDs). So starten Sie den SNMP-Walk, um einen Zielrechner zu kontrollieren: 1. Klicken Sie auf den Knoten Tools ` SNMP Walk. 2. Geben Sie die IP-Adresse des Computers an, den Sie auf SNMPInformationen überprüfen wollen. 3. Klicken Sie auf die Schaltfläche Retrieve, um den Abruf zu starten. Hinweis 1: SNMP-Prozesse werden oftmals bereits vom Router/der Firewall blockiert, sodass Internet-Benutzer keinen SNMP-Scan Ihres Netzwerks durchführen können. Hinweis 2: Sie haben die Möglichkeit, alternative Community-Strings bereitzustellen. Hinweis 3: Die über SNMP abrufbaren Informationen können von böswilligen Anwendern für einen Angriff auf Ihr System verwendet werden. SNMP sollte stets deaktiviert sein, es sei denn, dieser Dienst wird unbedingt benötigt. 136 • Werkzeuge GFI LANguard N.S.S. Handbuch SNMP-Audit Screenshot 126 – SNMP-Audit Über das Tool Tools ` SNMP Audit können Sie SNMP-Audits für Ziele im Netzwerk durchführen und unsichere Community-Strings ermitteln. Es identifiziert unsichere SNMP Community-Strings, indem mit der Wörterbuch-Datei snmp-pass.txt ein Angriff gestartet wird. Mit Hilfe eines Text-Editors wie Notepad kann die standardmäßige Wörterbuch-Datei auch um neue Community-Strings erweitert werden. Das Tool für SNMP-Audits kann zur Kontrolle zudem auf andere Wörterbuch-Dateien als die vorgegebene zugreifen. Geben Sie hierfür über den Bereich Options rechts in der Konfiguration den Pfad zur gewünschten Datei an. So führen Sie ein SNMP-Audit durch: 1. Klicken Sie auf den Knoten Tools ` SNMP Audit. 2. Geben Sie die IP-Adresse des Rechners ein, der überprüft werden soll. 3. Klicken Sie auf die Schaltfläche Retrieve, um den Abruf zu starten. Microsoft SQL Server-Audit Über das Tool Tools ` Microsoft SQL Server Audit können Sie ein Sicherheits-Audit für Microsoft SQL Server durchführen. Eine Kontrolle der Passwortsicherheit ist sowohl für das SA-Konto (d. h. den Root-Administrator) als auch alle anderen auf dem SQL-Server konfigurierten Benutzerkonten möglich. Standardmäßig werden bei dem Kontrollangriff auf die Konten des SQL-Servers die in der Wörterbuch-Datei passwords.txt enthaltenen Zugangsdaten eingesetzt. Das Tool für SQL Server-Audits kann zur Kontrolle zudem auf andere Wörterbuch-Dateien als die vorgegebene zugreifen. Die GFI LANguard N.S.S. Handbuch Werkzeuge • 137 standardmäßige Wörterbuch-Datei kann durch Hinzufügen neuer Passwörter erweitert werden. So führen Sie ein SQL Server-Audit durch: 1. Klicken Sie auf den Knoten Tools ` SQL Server Audit. 2. Geben Sie die IP-Adresse des SQL-Servers ein, der überprüft werden soll. Hinweis: Standardmäßig wird die Sicherheit des Administrator/SAKontos getestet. Sollen auch alle anderen SQL-Benutzerkonten überprüft werden, wählen Sie die Option Audit all SQL user accounts, und geben Sie die Zugangsdaten für SQL Server ein. Diese Daten sind für die Authentifizierung am Server erforderlich, wenn die Liste der Benutzerkonten abgerufen wird. 3. Klicken Sie auf die Schaltfläche Retrieve, um den Abruf zu starten. Tool zum Auflisten von Rechnern Screenshot 127 – Tool zum Auflisten von Computern Über das Tool Tools ` Enumerate Computers lassen sich Domänen und Arbeitsgruppen in einem Netzwerk identifizieren. Während der Kontrolle werden dabei die jeder Domäne/Arbeitsgruppe zugehörigen Computer aufgeführt. Folgende Daten werden über dieses Tool abgerufen: Name der Domäne/Arbeitsgruppe, Liste der zur jeweiligen Domäne/Arbeitsgruppe gehörenden Computer, das auf den identifizierten Computern installierte Betriebssystem sowie sonstige Daten, die sich über NetBIOS abrufen lassen. Computer lassen sich mit Hilfe folgender Methoden auflisten: • 138 • Werkzeuge Über Active Directory – Diese Methode ist schneller und führt auch Rechner auf, die zum Zeitpunkt des Scans ausgeschaltet sind. GFI LANguard N.S.S. Handbuch • Über den Windows Explorer – Bei dieser Methode werden Rechner im Rahmen eines Echtzeit-Scans des Netzwerks ermittelt. Sie ist zeitaufwendiger und erfasst keine Computer, die zum Zeitpunkt des Scans ausgeschaltet sind. Über den Reiter Information Source des Tools lässt sich die bevorzugte Identifizierungsmethode auswählen. Hinweis: Für einen Active Directory-Scan muss das Tool und somit GFI LANguard N.S.S. unter einem Konto mit AD-Zugriffsrechten laufen. Starten eines Sicherheits-Scans Das Tool zur Auflistung von Computern scannt das gesamte Netzwerk und erkennt Domänen/Arbeitsgruppen samt der darin verzeichneten Computer. Nachdem alle Rechner einer Domäne oder Arbeitsgruppe ermittelt wurden, können sie direkt mit diesem Tool einem SicherheitsScan unterzogen werden. Klicken Sie hierfür mit der rechten Maustaste auf einen der gelisteten Computer, und wählen Sie im Kontextmenü den Befehl Scan aus. Sie haben auch die Möglichkeit, einen Sicherheits-Scan zu starten und gleichzeitig das Tool zum Auflisten von Computern weiterhin einzusetzen. Klicken Sie hierfür mit der rechten Maustaste auf einen der gelisteten Rechner, und wählen Sie im Kontextmenü den Befehl Scan in background aus. Bereitstellen eigener Patches Das Tool zum Auflisten von Computern kann verwendet werden, um benutzerdefinierte Patches und Dritthersteller-Software auf den aufgeführten Computern bereitzustellen. So starten Sie die Bereitstellung direkt über dieses Tool: 1. Wählen Sie alle Computer aus, für die Patches oder andere Software bereitgestellt werden sollen. 2. Klicken Sie mit der rechten Maustaste auf einen der ausgewählten Computer, und wählen Sie im Kontextmenü den Befehl Deploy Custom Patches aus. Aktivieren von Audit-Richtlinien Mit dem Tool zum Auflisten von Computern lassen sich AuditRichtlinien auf einzelnen Rechnern konfigurieren. So ändern Sie die Einstellungen: 1. Wählen Sie die Computer aus, auf denen Audit-Richtlinien aktiviert werden sollen. 2. Klicken Si emit der rechten Maustaste auf einen der ausgewählten Computer, und wählen Sie im Kontextmenü Enable Auditing Policies. Der Konfigurations-Assistent für Audit-Richtlinien wird gestartet und hilft Ihnen bei der Konfigurierung. Weitere Informationen zur Konfigurierung von Audit-Richtlinien auf einzelnen Zielrechnern per Fernzugriff erhalten Sie im Kapitel "Erste Schritte: Durchführen eines Sicherheits-Audits" unter "Security Audit Policy (Richtlinien für Sicherheits-Audits)". GFI LANguard N.S.S. Handbuch Werkzeuge • 139 Tool zum Auflisten von Anwendern Screenshot 128 – Auflistung von Anwendern Über das Tool Tools ` Enumerate Users lässt sich ein Scan des Active Directory einer Domäne durchführen, um eine Liste aller darin verzeichneten Benutzer und Kontakte abzurufen. Wählen Sie aus der Liste der Domänen Ihres Netzwerks den gewünschten Domänennamen aus, und klicken Sie auf die Schaltfläche Retrieve. Die abzurufenden Informationen können gefiltert werden, damit nur Anwender oder Kontaktdaten angezeigt werden. Zudem können mit Hilfe dieses Tools deaktivierte ("Disabled accounts") oder gesperrte Konten ("Locked accounts") optional hervorgehoben werden. Die Einstellungen sind auf der rechten Seite im Bereich Options unter dem Reiter General vorzunehmen. Jedes aufgeführte Benutzerkonto kann mit Hilfe dieses Tools aktiviert oder deaktiviert werden. Klicken Sie hierfür mit der rechten Maustaste auf das gewünschte Konto, und wählen Sie Enable/Disable account. 140 • Werkzeuge GFI LANguard N.S.S. Handbuch Verwenden von GFI LANguard N.S.S. per Befehlszeile Schwachstellen-Scans und Patch-Bereitstellung lassen sich auch ohne Aufruf der Konfigurationsoberfläche direkt mit von GFI LANguard N.S.S. unterstützten Befehlszeilen-Tools starten. Über das per Befehlszeile startfähige Scan-Tool lnsscmd.exe können Sicherheitslücken-Checks von Zielrechnern im Netzwerk direkt aus "externen" Programmen (d. h. Drittanbieter-Anwendungen), BatchDateien oder Skripten gestartet werden. Über das per Befehlszeile startfähige Patch-Tool deploycmd.exe können Patches/Software auf Zielrechnern im Netzwerk direkt aus "externen" Programmen (d. h. Drittanbieter-Anwendungen), BatchDateien oder Skripten gestartet werden. Die unterschiedlichen Optionen dieser Befehlszeilen-Tools können über unterstützte Switches konfiguriert werden. Diese Switches bieten alle Hauptfunktionen, die sonst über die Konfigurationsoberfläche von GFI LANguard N.S.S. verfügbar sind. Verwenden des Befehlszeilen-Tools "lnsscmd.exe" für NetzwerkScans Die Syntax der über das Befehlszeilen-Tool verschickten Befehle sieht wie folgt aus: lnsscmd.exe lnsscmd [Target] [/profile=profileName] [/report=reportPath] [/output=pathToXmlFile] [/user=usrname /password=password] [/UseComputerProfiles] [/email=emailAddress] [/DontShowStatus] [/?] Mit folgenden Switches wird das Befehlszeilen-Tool lnsscmd.exe konfiguriert: • Target – Geben Sie die IP/den IP-Bereich oder die Namen der zu scannenden Hosts an. • /Profile – (Optional) Geben Sie das für einen Sicherheits-Scan zu verwendende Scan-Profil an. Bei Nichtangabe dieses Parameters wird das in GFI LANguard N.S.S. zurzeit aktive Scan-Profil eingesetzt. Hinweis: Das standardmäßige (d. h. aktive) Scan-Profil wird in der Konfiguration über den Hinweis "(Active)" neben dem Profilnamen angezeigt. Klicken Sie zur Kontrolle des aktiven Scan-Profils auf den Knoten Configuration ` Scanning Profiles. • /Output – (Optional) Geben Sie den vollständigen Pfad zur XMLDatei (mit Dateiname) an, in der die Scan-Ergebnisse gespeichert werden sollen. GFI LANguard N.S.S. Handbuch Verwenden von GFI LANguard N.S.S. per Befehlszeile • 141 • /Report – (Optional) Geben Sie den vollständigen Pfad zur HTMLDatei (mit Dateiname) an, in der die Scan-Ergebnisse des HTMLBerichts ausgegeben/gespeichert werden sollen. • /User und /Password – (Optional) Geben Sie alternative Zugangsdaten an, die während eines Sicherheits-Scans von der Scan-Engine zur Authentifizierung am Zielrechner verwendet werden sollen. Alternativ können Sie den Switch /UseComputerProfiles nutzen, um die bereits in den ComputerProfilen (über den Knoten Configuration ` Computer Profiles) konfigurierten Zugangsdaten zu verwenden. • /Email – (Optional) Geben Sie die E-Mail-Adresse an, an die nach Beendigung des Scans die Scan-Berichte geschickt werden sollen. Die Berichte werden mit Hilfe des in der Konfiguration über den Knoten Configuration ` Alerting Options festgelegten EMail-Servers verschickt. • /DontShowStatus – (Optional) Verwenden Sie diesen Switch, um Scans im Hintergrund durchführen zu lassen. Der Scan-Fortschritt wird hierbei nicht angezeigt. • /? /? – (Optional) Mit diesem Switch lassen Sie die Benutzerhilfe des Befehlszeilen-Tools anzeigen. Hinweis: Vollständige Profilnamen und Pfade müssen immer in doppelten Anführungsstrichen stehen, z. B. "Default" oder "c:\temp\test.xml". Beim Befehlszeilen-Tool können mit Hilfe einzelner Variablen bestimmte Parameter festgelegt werden. Diese Variablen werden bei der Ausführung automatisch durch den entsprechenden Wert ersetzt. Folgende Variablen werden unterstützt: • %INSTALLDIR% – Wird während des Scan-Vorgangs durch den Pfad zum Installationsverzeichnis von GFI LANguard N.S.S. ersetzt. • %TARGET% – Wird während des Scan-Vorgangs durch den Namen des Zielrechners ersetzt. • %SCANDATE% – Wird während des Scan-Vorgangs durch das Scan-Datum ersetzt. • %SCANTIME% – Wird während des Scan-Vorgangs durch die Scan-Uhrzeit ersetzt. Beispiel: Starten eines Zielrechner-Scans per BefehlszeilenTool Für folgendes Beispiel wird ein Scan mit folgenden Parametern angenommen: 1. Der Sicherheits-Scan ist für einen Zielrechner mit der IP-Adresse 130.16.130.1 durchzuführen. 2. Die Scan-Ergebnisse sind in der XML-Datei c:\out.xml zu protokollieren. 3. Es soll ein HTML-Bericht erstellt und in der Datei c:\result.html gespeichert werden. 4. Der HTML-Bericht ist per E-Mail an [email protected] zu schicken. Die über das Befehlszeilen-Tool zu erteilende Anweisung lautet somit: 142 • Verwenden von GFI LANguard N.S.S. per Befehlszeile GFI LANguard N.S.S. Handbuch lnsscmd.exe 130.16.130.1 /Profile="Default" /Output="c:\out.xml" /Report="c:\result.html" /email="[email protected]" Verwenden des Befehlszeilen-Tools "deploycmd.exe" zur PatchBereitstellung Mit folgenden Switches wird das Befehlszeilen-Tool deploycmd.exe konfiguriert: deploycmd [target] [/file=FileName] [/username=UserName /password=Password] [/UseComputerProfiles] [/warnuser] [/useraproval] [/stopservices] [/customshare=CustomShareName] [/reboot] [/rebootuserdecides] [/shutdown] [/deletefiles] [/timeout=Timeout(sec)] [/?] Mit folgenden Switches wird das Befehlszeilen-Tool deploycmd.exe konfiguriert: • Target – Geben Sie die Namen, IP-Adressen oder den IP-Bereich der Zielrechner an, auf denen Patches bereitgestellt werden sollen. • /File – Geben Sie die Datei an, die auf den angegebenen Zielrechnern installiert werden soll. • /User und /Password – (Optional) Geben Sie alternative Zugangsdaten an, die während der Patch-Bereitstellung von der Scan-Engine zur Authentifizierung am Zielrechner verwendet werden sollen. Alternativ können Sie den Switch /UseComputerProfiles nutzen, um die bereits in den ComputerProfilen (über den Knoten Configuration ` Computer Profiles) konfigurierten Zugangsdaten zu verwenden. • /warnuser – (Optional) Verwenden Sie diesen Switch, wenn Benutzer des Zielrechners informiert werden sollen, dass die Installation einer Datei/eines Patches bevorsteht. Die Benachrichtigung erfolgt über die Einblendung eines Dialogfensters unmittelbar vor der Installation. • /useraproval – (Optional) Verwenden Sie diesen Switch, wenn die Installation einer Datei/eines Patches erst nach erfolgreicher Zustimmung durch den Benutzer des Zielrechners erfolgen soll. Die hierdurch mögliche zeitliche Verschiebung erlaubt es, dass auf dem Zielrechner aktive Prozesse zunächst beendet werden können. • /stopservice – (Optional) Verwenden Sie diesen Switch, wenn vor der Installation der Datei/des Switches bestimmte Dienste beendet werden sollen. Hinweis: Alle Dienste, die über das Befehlszeilen-Tool beendet werden können, müssen zuvor über die Konfigurationsoberfläche festgelegt worden sein. Weitere Informationen zur Angabe von zu beendenden Diensten erhalten Sie im Kapitel “Patch-Verwaltung: Bereitstellen eigener Software” unter “Bereitstellungsoptionen“. • /customshare – (Optional) Verwenden Sie diesen Switch, um das Zielverzeichnis anzugeben, in das die Datei vor der Installation verschoben werden soll. GFI LANguard N.S.S. Handbuch Verwenden von GFI LANguard N.S.S. per Befehlszeile • 143 • /reboot – (Optional) Verwenden Sie diesen Switch, wenn der Zielrechner nach der Installation einer Datei/eines Patches neu gestartet werden soll. • /rebootuserdecides – (Optional) Verwenden Sie diesen Switch, wenn der Benutzer des Zielrechners festlegen können soll, wann sein Rechner nach der Patch-Installation neu zu starten ist. • /shutdown – (Optional) Verwenden Sie diesen Switch, wenn der Zielrechner nach der Installation einer Datei/eines Patches heruntergefahren werden soll. • /deletefiles – (Optional) Verwenden Sie diesen Switch, wenn die Quelldatei nach der erfolgreichen Installation gelöscht werden soll. • /timeout – (Optional) Verwenden Sie diesen Switch, um ein Timeout für den Installationsprozess festzulegen. Dieser Wert legt fest, wie viel Zeit der Installationsprozess in Anspruch nehmen darf, bevor er wegen Zeitüberschreitung abgebrochen wird. • /? /? – (Optional) Mit diesem Switch lassen Sie die Benutzerhilfe des Befehlszeilen-Tools anzeigen. Beispiel: Starten der Patch-Bereitstellung per BefehlszeilenTool Für folgendes Beispiel wird eine Patch-Bereitstellung mit folgenden Parametern angenommen: 1. Es soll eine Datei bereitgestellt werden. mit dem Namen patchA001002.XXX 2. Die Bereitstellung soll auf dem Zielrechner TMjason erfolgen. 3. Der Zielrechner ist nach einer erfolgreichen Installation neu zu starten. Die über das Befehlszeilen-Tool zu erteilende Anweisung lautet somit: deploycmd TMjason /file=“patchA001002.XXX“ /reboot 144 • Verwenden von GFI LANguard N.S.S. per Befehlszeile GFI LANguard N.S.S. Handbuch Hinzufügen von Sicherheits-Checks per Benutzer-Bedingungen/Skripten Einführung GFI LANguard N.S.S. erlaubt zusätzlich die Erstellung eigener Schwachstellen-Checks. Diese Checks können mit Hilfe von Skripten oder durch das Definieren neuer Sicherheitslücken erstellt werden. Bei Skripten lässt sich mit jede VBScript-kompatible Skriptsprache verwenden. Weitere Unterstützung leistet der standardmäßig mitgelieferte Skript-Editor von GFI LANguard N.S.S. Neu erstellte Schwachstellen-Checks müssen in die Liste der von GFI LANguard N.S.S. unterstützten Checks aufgenommen werden. Hierfür steht der Reiter Vulnerabilities zur Verfügung, über den die bereits vorhandenen Checks für jedes einzelne Scan-Profil ergänzt werden können. Hinweis: Neue Schwachstellen-Checks sollten nur von erfahrenen Anwendern erstellt werden. Fehler bei der Skript-Erstellung und fehlerhafte Konfigurationseinstellungen eines Schwachstellen-Checks können Fehlalarme zur Folge haben oder dazu führen, dass vorhandene Schwachstellen nicht erkannt werden. GFI LANguard N.S.S. VBScript GFI LANguard N.S.S. unterstützt Skripten, die in VBScriptkompatiblen Sprachen geschrieben sind. Hierdurch lassen sich eigene Skripten erstellen, mit denen Sie Ziele im Netzwerk auf von Ihnen definierte Sicherheitslücken überprüfen können. Beim Erstellen von Skripten für Sicherheits-Audits hilft der mitgelieferte Skript-Editor von GFI LANguard N.S.S. Er unterstützt Sie bei der Skript-Entwicklung, indem er Syntax hervorhebt und DebugFunktionen zur Fehlerbeseitigung bietet. Starten Sie den Skript-Editor über Start ` Programme ` GFI LANguard Network Security Scanner 7.0 ` LNSS Script Debugger. Hinweis: Weitere Informationen zum Erstellen von Skripten mit Hilfe des integrierten Skript-Editors erhalten Sie in der Hilfe-Datei "Scripting documentation", die Sie unter Start ` Programme ` GFI LANguard Network Security Scanner 7.0 ` LNSS Scripting documentation finden. Wichtiger Hinweis: GFI bietet keinen Support zu Anfragen bezüglich selbst erstellter Skripten. Bei Fragen zum Scripting von GFI LANguard N.S.S. wenden Sie sich bitte an das GFI-Forum zu den GFI LANguard-Produkten unter http://forums.gfi.com/. Über die GFI-Foren GFI LANguard N.S.S. Handbuch Hinzufügen von Sicherheits-Checks per Benutzer-Bedingungen/Skripten • 145 können Sie Skripten austauschen und Probleme mit anderen Anwendern von GFI LANguard N.S.S. diskutieren. GFI LANguard N.S.S. SSH-Modul Im Lieferumfang von GFI LANguard N.S.S. ist ein SSH-Modul enthalten, das es Ihnen erlaubt, Skripten zur Überprüfung von Sicherheitslücken auch auf Linux/UNIX-Systemen ausführen zu lassen. Das SSH-Modul bestimmt das Ergebnis von SicherheitslückenChecks, indem die von einem ausgeführten Skript generierten Konsolendaten analysiert werden. Dies hat den Vorteil, dass sich jede vom Linux/UNIX-System unterstützte Skriptsprache verwenden lässt, die Ergebnisse im Textformat an die Konsole ausgeben kann. Erkennen des Check-Status anhand von Stichwörtern Das SSH-Modul kann Skripten über sein Terminal-Fenster laufen lassen. Wird ein Sicherheits-Scan für Linux-/UNIX-basierte Zielrechner gestartet, werden die Skripten zur SchwachstellenKontrolle per SSH-Verbindung an den Zielrechner übermittelt und laufen darauf lokal. Der Aufbau der SSH-Verbindung erfolgt über die Zugangsdaten (d. h. Benutzername und Passwort/SSH Private Key-Datei), die vor dem Beginn des Sicherheits-Scans angegeben worden sind. Das SSH-Modul erkennt den Status eines Sicherheitslücken-Checks über bestimmte Stichwörter, die in der Textausgabe des ausgeführten Skripts enthalten sind. Die vom Modul verarbeiteten Stichwörter werden zur weiteren Ausgabe dann an GFI LANguard N.S.S. weitergeleitet. Folgende Stichwörter werden standardmäßig vom SSH-Modul erkannt: • TRUE: • FALSE: • AddListItem • SetDescription • !!SCRIPT_FINISHED!! Jedes dieser Stichwörter löst einen eigenen Prozess im SSH-Modul aus. Nachfolgend wird die Funktion jedes Stichworts näher erläutert: • TRUE: / FALSE: – Mit diesen Strings wird das Ergebnis eines ausgeführten Schwachstellen-Checks/Skripts angezeigt. Erkennt das SSH-Modul den Ausgabewert "TRUE":, zeigt dies an, dass der Check erfolgreich durchgeführt werden konnte. Bei "FALSE:" hingegen erkennt das Modul den Check als fehlgeschlagen. • AddListItem – Mit diesem String wird eine interne Funktion aufgerufen, die dem Schwachstellen-Bericht Scan-Ergebnisse hinzufügt. Die Ergebnisse werden nach Abschluss eines Scans über die Konfigurationsoberfläche von GFI LANguard N.S.S. angezeigt. Der String sieht wie folgt aus: AddListItem([[[[übergeordneter Knoten]]]],[[[[String]]]]) 146 • Hinzufügen von Sicherheits-Checks per Benutzer-Bedingungen/Skripten GFI LANguard N.S.S. Handbuch o [[[[übergeordneter Knoten]]]] – Enthält den Namen des Scan-Ergebnis-Knotens, dem das Ergebnis hinzugefügt werden soll. o [[[[String]]]] – Enthält den Wert, der dem Scan-ErgebnisKnoten, hinzugefügt werden soll. Hinweis: Jeder Sicherheitslücken-Check ist einem ScanErgebnis-Knoten zugeordnet. Dies bedeutet, dass Ergebnisse von AddListItem standardmäßig unter einem zugewiesenen Schwachstellen-Knoten aufgeführt werden. Wird kein Parameter für den übergeordneten Knoten angegeben, fügt die Funktion den angegebenen String somit dem Standard-Knoten hinzu. • SetDescription – Mit diesem String wird eine interne Funktion aufgerufen, die die vorgegebene Beschreibung eines Sicherheitslücken-Checks ändert. Der String sieht wie folgt aus: SetDescription([neue Beschreibung]) • !!SCRIPT_FINISHED!! – Dieser String zeigt das Ende einer Skriptausführung an. Das SSH-Modul sucht nach diesem String, bis die Suche erfolgreich ist oder wegen Zeitüberschreitung abgebrochen wird. Sollte ein Timeout eintreten, bevor der String !!SCRIPT_FINISHED!! ausgegeben ist, wird der Sicherheitslücken-Check vom SSH-Modul als fehlgeschlagen gewertet. Wichtiger Hinweis: Jedes selbst definierte Skript muss den String !!SCRIPT_FINISHED!! am Ende des Kontrollvorgangs ausgeben. Hinzufügen von auf individuellen VBS-Skripten basierenden Sicherheits-Checks Mit Hilfe des Skript-Editors von GFI LANguard N.S.S. lassen sich eigene Skripten erstellen, mit denen Sie Ziele im Netzwerk auf von Ihnen definierte Schwachstellen überprüfen können. So erstellen Sie neue Schwachstellen-Checks, die auf von Ihnen erstellten VBScripts basieren: • Schritt 1: Erstellung des Skripts • Schritt 2: Hinzufügen des neuen Schwachstellen-Checks: Folgende Beispiele erläutern die hierfür notwendigen Schritte. Schritt 1: Erstellen des Skripts 1. Starten Sie den Script-Debugger über Start ` Programme ` GFI LANguard Network Security Scanner 7.0 ` LNSS Script Debugger. 2. Klicken Sie auf das Menü File ` New. 3. Erstellen Sie Ihr Skript. Folgender Skript-Code soll als Beispiel dienen: Function Main echo "Script has run successfully" Main = true End Function GFI LANguard N.S.S. Handbuch Hinzufügen von Sicherheits-Checks per Benutzer-Bedingungen/Skripten • 147 4. Sichern Sie das Skript z. B. unter “C:\Program Files\GFI\LANguard Network Security Scanner 7.0\Data\Scripts\meinSkript.vbs“. Schritt 2: Hinzufügen des neuen Schwachstellen-Checks: 1. Rufen Sie die Konfigurationsoberfläche von GFI LANguard N.S.S. auf. 2. Erweitern Sie den Knoten Configuration ` Scanning Profiles, und wählen Sie das Scan-Profil aus, dem der neue Check hinzugefügt werden soll. 3. Klicken Sie auf den Reiter Vulnerabilities. 4. Wählen Sie im mittleren Fenster die Kategorie aus, der der neue Schwachstellen-Check hinzugefügt werden soll (z. B. DNS Vulnerabilities). Screenshot 129 – Dialog zum Erstellen eines neuen Schwachstellen-Checks 5. Klicken Sie auf die Schaltfläche Add. Das Dialogfenster für den neuen Schwachstellen-Check wird geöffnet. 6. Geben Sie grundlegende Informationen ein, wie den Namen der Schwachstelle, eine kurze Beschreibung, die Sicherheitsstufe, und eine BugtraqID/URL (falls zutreffend). Des Weiteren können Sie optional angeben, wie viel Zeit die Ausführung dieses SicherheitsChecks in Anspruch nimmt. 7. Klicken Sie auf die Schaltfläche Add. Das Dialogfenster für Auslösebedingungen wird geöffnet. 148 • Hinzufügen von Sicherheits-Checks per Benutzer-Bedingungen/Skripten GFI LANguard N.S.S. Handbuch Screenshot 130 – Dialog zur Angabe von Auslösebedingungen 8. Wählen Sie aus der Drop-Down-Liste Check type: den Eintrag VBScript aus, und geben Sie im Feld Condition die Auslösebedingung an. 9. Klicken Sie auf die Schaltfläche ("Öffnen"), und wählen Sie die VBScript-Datei aus, die von diesem Check ausgeführt wird. Wählen Sie in diesem Fall die erstellte Beispieldatei meinSkript.vbs. 10. Klicken Sie auf die Schaltfläche Add, um den SchwachstellenCheck der Liste hinzuzufügen. 11. Markieren Sie das Kontrollkästchen für diese Sicherheitslücke, damit sie beim nächsten Schwachstellen-Scan ebenfalls kontrolliert wird. Testen des beispielhaft erstellten SchwachstellenChecks/Skripts Scannen Sie Ihren lokalen Host mit dem Scan-Profil, dem der neue Check hinzugefügt wurde. Unter dem Knoten Vulnerabilities ` Miscellaneous Alerts der ScanErgebnisse wird eine entsprechende Sicherheitslücke angezeigt werden. Hinzufügen von auf eigenen Shell-Skripten basierenden Schwachstellen-Checks GFI LANguard N.S.S. bietet die Möglichkeit, auf selbst erstellten Shell-Skripten basierende Schwachstellen-Checks zur Kontrolle von Linux- und UNIX-Rechnern hinzuzufügen. Diese Checks werden per SSH über das SSH-Modul remote ausgeführt. Skripten lassen sich in allen Skript-Sprachen erstellen, die eine Ausgabe von Ergebnissen im Textformat unterstützen. Im folgenden Beispiel wird ein Schwachstellen-Check für LinuxRechner erstellt, das ein in Bash geschriebenes Skript verwendet. Mit GFI LANguard N.S.S. Handbuch Hinzufügen von Sicherheits-Checks per Benutzer-Bedingungen/Skripten • 149 diesem Check soll überprüft werden, ob eine Testdatei namens "test.file" auffindbar ist. Schritt 1: Erstellen des Skripts 1. Öffnen Sie den von Ihnen bevorzugten Text-Editor. 2. Erstellen Sie ein neues Skript mit folgendem Code: #!/bin/bash if [ -e test.file ] then echo "TRUE:" else echo "FALSE:" if echo "!!SCRIPT_FINISHED!!" 3. Sichern Sie das Skript z. B. unter “C:\Program Files\GFI\LANguard Network Security Scanner 7.0\Data\Scripts\meinSkript.sh“. Schritt 2: Hinzufügen des neuen Schwachstellen-Checks: Screenshot 131 – Hinzufügen eines neuen Schwachstellen-Checks 1. Erweitern Sie den Knoten Configuration ` Scanning Profiles, und wählen Sie das Scan-Profil aus, dem der neue Check hinzugefügt werden soll. 2. Klicken Sie auf den Reiter Vulnerabilities. 3. Wählen Sie im mittleren Fenster die Kategorie aus, der der neue Schwachstellen-Check hinzugefügt werden soll (z. B. DNS Vulnerabilities). 4. Klicken Sie auf die Schaltfläche Add. Das Dialogfenster für den neuen Schwachstellen-Check wird geöffnet. 150 • Hinzufügen von Sicherheits-Checks per Benutzer-Bedingungen/Skripten GFI LANguard N.S.S. Handbuch 7. Geben Sie grundlegende Informationen ein, wie den Namen der Schwachstelle, eine kurze Beschreibung, die Sicherheitsstufe und eine BugtraqID/URL (falls zutreffend). Des Weiteren können Sie optional angeben, wie viel Zeit die Ausführung dieses SicherheitsChecks in Anspruch nimmt. 8. Klicken Sie auf die Schaltfläche Add. Das Dialogfenster für Auslösebedingungen wird geöffnet. Screenshot 132 – Dialog zur Angabe von Auslösebedingungen 9. Wählen Sie aus der Drop-Down-Liste Check type: den Eintrag SSH aus, und geben Sie im Feld Condition die Auslösebedingung an. 10. Klicken Sie auf die Schaltfläche ("öffnen"), und wählen Sie die SSH-Script aus, das von diesem Check ausgeführt wird. Wählen Sie in diesem Fall die erstellte Beispieldatei meinSkript.sh. 11. Klicken Sie auf die Schaltfläche Add, um den SchwachstellenCheck der Liste hinzuzufügen. 12. Markieren Sie in der Liste der Checks das Kontrollkästchen für diese Sicherheitslücke, damit sie beim nächsten Schwachstellen-Scan ebenfalls kontrolliert wird. Testen des beispielhaft erstellten SchwachstellenChecks/Skripts 1. Melden Sie sich an einem Linux-Rechner an, und erstellen Sie eine Datei mit dem Namen test.file. Der Check gibt eine Schwachstellen-Warnung aus, wenn diese Datei gefunden wird. 2. Unterziehen Sie den Linux-Rechner, auf dem die Datei erstellt wurde, einem Sicherheits-Scan. 3. Kontrollieren Sie die Scan-Ergebnisse. Unter dem Knoten Vulnerabilities wird die Warnmeldung wie folgt angezeigt. GFI LANguard N.S.S. Handbuch Hinzufügen von Sicherheits-Checks per Benutzer-Bedingungen/Skripten • 151 Hinzufügen eines Sicherheits-Checks für CGI-Schwachstellen Soll ein neuer Check für eine CGI-Schwachstelle eingerichtet werden, ist hierfür kein gesondertes VB- oder SSH-Skript zu erstellen. Die Scan-Funktionen für CGI-Checks sind über die Optionen der CheckEigenschaften konfigurierbar. Screenshot 133 – Erstellen eines neuen Checks für CGI-Schwachstellen So erstellen Sie einen neuen Check für eine CGI-Sicherheitslücke: 1. Gehen Sie auf den Knoten Configuration ` Scanning Profiles ` CGI Scanning. 2. Klicken Sie im rechten Fenster auf den Reiter Vulnerabilities. 3. Klicken Sie im mittleren Fenster auf den Knoten CGI Abuses. 4. Klicken Sie auf die Schaltfläche Add. Das Dialogfenster zur Bearbeitung der CGI-Schwachstelle wird geöffnet. 152 • Hinzufügen von Sicherheits-Checks per Benutzer-Bedingungen/Skripten GFI LANguard N.S.S. Handbuch Screenshot 134 – Dialog zum Erstellen eines neuen Checks für CGI-Schwachstellen 5. Geben Sie grundlegende Informationen ein, wie den Namen der Schwachstelle, eine kurze Beschreibung, die Sicherheitsstufe und eine BugtraqID/URL (falls zutreffend). Des Weiteren können Sie optional angeben, wie viel Zeit die Ausführung dieses SicherheitsChecks in Anspruch nimmt. 6. Legen Sie im Bereich Trigger condition folgende Parameter fest: • HTTP Method – Legen Sie die Art der HTTP-Anfrage fest, die der Check zum Informationsabruf verwenden soll. Checks für CGISchwachstellen unterstützen zwei HTTP-Methoden, GET und HEAD. • To check for the URL – Geben Sie den Namen des CGI-Skripts an, das während eines Zielrechner-Scans ausgeführt werden soll. • Under the Directories – Geben Sie die Verzeichnisse an, in denen sich das CGI-Skript befindet. • Return String – Geben Sie den erwarteten Ergebnis-String an. GFI LANguard N.S.S. erkennt, ob dieser Check erfolgreich ist, indem der von Ihnen festgelegte Ausgabe-String mit dem Text der Check-Ergebnisse verglichen wird. Der Textvergleich erfolgt anhand einer der folgenden Bedingungen: o Contains any text – Der Check ist erfolgreich, wenn ein beliebiger Teil des angegebenen Strings in den CheckErgebnissen gefunden wird. GFI LANguard N.S.S. Handbuch Hinzufügen von Sicherheits-Checks per Benutzer-Bedingungen/Skripten • 153 o Contains the text – Der Check ist nur dann erfolgreich, wenn der angegebene String komplett in den Check-Ergebnissen gefunden wird. o Does not contain the text – Der Check ist nur dann erfolgreich, wenn der angegebene String nicht in den CheckErgebnissen gefunden wird. 7. Klicken Sie auf die Schaltfläche OK, um die Einstellungen zu speichern. Hinweis: Um neue Checks automatisch bei kommenden Scans zu berücksichtigen, klicken Sie auf die Schaltfläche Advanced, und wählen Sie für New vulnerabilities are enabled by default die Option Yes. Hinzufügen weiterer Kontrollen für Sicherheitslücken GFI LANguard N.S.S. ermöglicht das Erstellen von SchwachstellenChecks ohne VB- oder SSH-Skripten. Diese Checks basieren auf demselben Prinzip wie Checks für CGI-Schwachstellen, verfügen jedoch über andere Konfigurationsparameter und Optionen. Screenshot 135 – Erstellen eines neuen Checks für CGI-Schwachstellen So erstellen Sie einen Check ohne VB- oder SSH-Skripten: 1. Erweitern Sie den Knoten Configuration ` Scanning Profiles, und wählen Sie das Scan-Profil aus, dem der neue Check hinzugefügt werden soll. 2. Klicken Sie im rechten Fenster auf den Reiter Vulnerabilities. 3. Wählen Sie im mittleren Fenster die Kategorie aus, für die der neue Schwachstellen-Check erstellt werden soll. 4. Klicken Sie auf die Schaltfläche Add. Das Dialogfenster für den neuen Schwachstellen-Check wird geöffnet. 154 • Hinzufügen von Sicherheits-Checks per Benutzer-Bedingungen/Skripten GFI LANguard N.S.S. Handbuch Screenshot 136 – Dialog zum Erstellen eines neuen Schwachstellen-Checks 5. Geben Sie grundlegende Informationen ein, wie den Namen der Schwachstelle, eine kurze Beschreibung, die Sicherheitsstufe und eine BugtraqID/URL (falls zutreffend). Des Weiteren können Sie optional angeben, wie viel Zeit die Ausführung dieses SicherheitsChecks in Anspruch nimmt. 6. Klicken Sie auf die Schaltfläche Add. Das Dialogfenster für Auslösebedingungen wird geöffnet. Screenshot 137 – Dialog zur Angabe von Auslösebedingungen GFI LANguard N.S.S. Handbuch Hinzufügen von Sicherheits-Checks per Benutzer-Bedingungen/Skripten • 155 7. Wählen Sie aus der Drop-Down-Liste Check type: den erforderlichen Check-Typ aus, und geben Sie im Feld Condition die zugehörige Auslösebedingung an. Folgende Check-Typen und Auslösebedingungen werden unterstützt: • • Betriebssystem • Registry Key* • Registry Path * • • • • • Registry Value Service Pack Hot Fix IIS IIS-Version • RPC-Service • NT-Service • NT Service running • • Unterstützte Auslösebedingungen Unterstützter CheckTyp NT Service startup type • Port (TCP) • UDP-Port • FTP banner ** • HTTP banner ** • SMTP banner ** • Is • Is Not • Exists • Not Exists • Exists • Not Exists • Is Equal With • Is Not Equal With • Is Less Than • Is Greater Than • Is • Is Not • Is Lower Than • Is Higher Than • Is Installed • Is Not Installed • Is Installed • Is Not Installed • Is • Is Not • Is Lower Than • Is Higher Than • Is Installed • Is Not Installed • Is Installed • Is Not Installed • Is running • Is not running • Automatic • Manual • Disabled • Is Open • Is Closed • Is Open • Is Closed • Is • Is Not • Is • Is Not • Is • Is Not 156 • Hinzufügen von Sicherheits-Checks per Benutzer-Bedingungen/Skripten GFI LANguard N.S.S. Handbuch • POP3 banner ** • DNS banner ** • SSH banner ** • Telnet banner ** • Script • SSH Script • Is • Is Not • Is • Is Not • Is • Is Not • Is • Is Not • Returns: True (1) • Returns: False (0) • Returns True (TRUE:) • Returns False (FALSE:) * Funktioniert nur unter HKEY_LOCAL_COMPUTER ** Sie können Suchmuster erstellen, die nach Version 1.0 bis 1.4 suchen, sowie nach Version 2.0 bis 2.2, jedoch nicht nach Version 1.5 bis 1.9. Siehe Beispiele weiter unten. 8. Klicken Sie auf die Schaltfläche Add, um die ausgewählte Bedingung dem Schwachstellen-Check hinzuzufügen. 9. Klicken Sie auf die Schaltfläche OK, um die Einstellungen zu speichern und den Dialog zu schließen. Zusätzliche Informationen Screenshot 138 – Schwachstellen-Check mit mehreren Auslösebedingungen Jeder Schwachstellen-Check kann mit mehreren Auslösebedingungen versehen werden. Hierdurch ist gewährleistet, dass die Auslösung erst dann erfolgt, wenn alle angegebenen Kriterien/Bedingungen erfüllt sind. GFI LANguard N.S.S. Handbuch Hinzufügen von Sicherheits-Checks per Benutzer-Bedingungen/Skripten • 157 158 • Hinzufügen von Sicherheits-Checks per Benutzer-Bedingungen/Skripten GFI LANguard N.S.S. Handbuch Ergänzende Optionen Aktivieren von NetBIOS auf einem Netzwerk-Rechner 1. Melden Sie sich am Zielrechner mit administrativen Rechten an. 2. Navigieren Sie zur Systemsteuerung über Start ` Einstellungen ` Systemsteuerung, und doppelklicken Sie auf das Symbol Netzwerkverbindungen. Symbol für LAN-Verbindung 3. Klicken Sie mit der rechten Maustaste auf das LAN-Symbol der Netzwerkkarte, die Sie konfigurieren möchten, und wählen Sie im Kontextmenü Properties. 4. Klicken Sie auf Internetprotokoll (TCP/IP), und klicken Sie auf die Schaltfläche Eigenschaften. 5. Klicken Sie auf die Schaltfläche Erweitert. 6. Klicken Sie auf den Reiter WINS. Screenshot 139 – LAN-Eigenschaften, Reiter "WINS" 7. Wählen Sie im Bereich NetBIOS-Einstellung die Option Standard. GFI LANguard N.S.S. Handbuch Ergänzende Optionen • 159 Hinweis: Falls Sie eine statische IP-Adresse verwenden oder der DHCP-Server keine NetBIOS-Einstellung anbietet, wählen Sie stattdessen die Option NetBIOS über TCP/IP aktivieren. 8. Klicken Sie auf die Schaltfläche OK, und schließen Sie die einzelnen Dialogfenster. Installieren des Client für Microsoft-Netzwerke unter Windows 2000 oder höher Der Client für Microsoft-Netzwerke ist eine wichtige SoftwareKomponente, die für den Netzwerkbetrieb der Microsoft WindowsBetriebssysteme benötigt wird. Der Client muss auf einem WindowsRechner laufen, damit dieser per Fernzugriff auf Dateien, Drucker und andere freigegebene Netzwerk-Ressourcen zugreifen kann. Folgende Schritt-für-Schritt-Anweisungen helfen bei der Überprüfung, ob der Client bereits installiert ist und unterstützen Sie andernfalls bei dessen Installierung. 1. Navigieren Sie zur Systemsteuerung über Start ` Einstellungen ` Systemsteuerung. 2. Klicken Sie mit der rechten Maustaste auf Netzwerkverbindung, und wählen Sie Öffnen. Hierdurch wird der Dialog "Netzwerkverbindungen" geöffnet. 3. Klicken Sie mit der rechten Maustaste auf das Symbol LANVerbindung, und wählen Sie im Kontextmenü Eigenschaften. Hierdurch wird der Dialog "Eigenschaften von LAN-Verbindung" geöffnet. Hinweis: Bei älteren Versionen von Windows wie Windows 95 oder Windows 98 klicken Sie mit der rechten Maustaste auf Netzwerkumgebung, und wählen Sie im Kontextmenü Eigenschaften. Alternativ können Sie zur Systemsteuerung navigieren und das Element Netzwerk öffnen. 160 • Ergänzende Optionen GFI LANguard N.S.S. Handbuch Screenshot 140 – LAN-Eigenschaften 4. Wählen Sie unter dem Reiter Allgemein das Kontrollkästchen zu Client für Microsoft-Netzwerke aus, und klicken Sie auf Installieren, um mit der Installation zu beginnen. Hinweis 1: Ist das Kontrollkästchen zu Client für MicrosoftNetzwerke schon ausgewählt, wurde die Komponente bereits installiert. Hinweis 2: Ist das Netzwerk gerade aktiv, sind unter Umständen keine Kontrollkästchen sichtbar. Klicken Sie in diesem Fall erneut auf die Schaltfläche Eigenschaften, um zum gesamten Reiter Allgemein zu gelangen. Hinweis 3: Wird eine ältere Version von Windows verwendet, rufen Sie den Reiter Konfiguration auf, und kontrollieren Sie, ob der Client für Microsoft-Netzwerke in der angezeigten Liste aufgeführt ist. Ist dies nicht der Fall, installieren Sie die Komponente, indem Sie auf die Schaltfläche Add klicken. 5. Wählen Sie im neu eingeblendeten Dialog Client aus, und klicken Sie auf die Schaltfläche Add. 6. Wählen Sie rechts in der Liste der Hersteller den Eintrag Microsoft aus. Wählen Sie dann Client für Microsoft-Netzwerke aus der Liste der Netzwerk-Clients auf der rechten Fensterseite aus. Klicken Sie auf die Schaltfläche OK. 7. Klicken Sie auf die Schaltfläche OK, um die Installation abzuschließen, und führen Sie einen Neustart des Rechners durch. Nach dem Neustart wird der Client für Microsoft-Netzwerke automatisch installiert. GFI LANguard N.S.S. Handbuch Ergänzende Optionen • 161 Konfigurieren von Passwort-Richtlinien einer Active Directorybasierten Domäne Hinweis: Zur Durchführung der folgenden Schritte müssen Sie als Mitglied der Gruppe Domänen-Admins angemeldet sein. So legen Sie Passwort-Richtlinien für Netzwerk-Rechner fest, die zu einer Active Directory-Domäne gehören: 1. Navigieren Sie zur Systemsteuerung über Start ` Einstellungen ` Systemsteuerung, und klicken Sie auf Verwaltung. Screenshot 141 – Konfigurierung von Active Directory-Benutzern und -Computern 2. Klicken Sie auf das Snap-in Active Directory-Benutzer und Computer. Klicken Sie mit der rechten Maustaste auf den Stammcontainer der Domäne, und wählen Sie im Kontextmenü Eigenschaften. 162 • Ergänzende Optionen GFI LANguard N.S.S. Handbuch Screenshot 142 – Konfigurierung eines neuen Gruppenrichtlinienobjekts (GPO) 3. Klicken Sie im Eigenschaften-Dialog auf den Reiter Gruppenrichtlinie. Klicken Sie auf die Schaltfläche Neu, um im Stammcontainer ein neues Gruppenrichtlinienobjekt zu erstellen. 4. Geben Sie der neuen Richtlinie einen Namen (z. B. "Domänenrichtlinie"), und klicken Sie auf die Schaltfläche Schließen. Hinweis: Microsoft empfiehlt, keine Änderungen an der standardmäßigen Richtlinie ("Standarddomänenrichtlinie") vorzunehmen, sondern anstatt dessen ein neues Gruppenrichtlinienobjekt zu erstellen. Schwer wiegende Probleme bei Sicherheitseinstellungen lassen sich hierdurch leichter beheben. In einem solchen Fall braucht lediglich das neue Gruppenrichtlinienobjekt vorübergehend deaktiviert zu werden, bis die problematischen Einstellungen gefunden sind. 5. Klicken Sie mit der rechten Maustaste auf den Stammcontainer der Domäne, und wählen Sie im Kontextmenü Eigenschaften. Der Dialog zu den Eigenschaften der Domäne wird geöffnet. 6. Klicken Sie auf den Reiter Gruppenrichtlinie, und wählen Sie die gerade erstellte Gruppenrichtlinienobjekt-Verknüpfung (z. B. “Domänenrichtlinie“) aus. 7. Klicken Sie auf die Schaltfläche Nach oben, um das neue GPO an die oberste Stelle in der Liste zu verschieben. Klicken Sie dann auf die Schaltfläche Bearbeiten, um den Editor "GPEdit" zu öffnen. GFI LANguard N.S.S. Handbuch Ergänzende Optionen • 163 Screenshot 143 – Group Policy Object Editor 8. Erweitern Sie den Knoten Computerkonfiguration, und navigieren Sie zum Verzeichnis Windows-Einstellungen ` Sicherheitseinstellungen ` Kontorichtlinien ` Kennwortrichtlinie. Screenshot 144 – Konfigurierung der Kennwortchronik 9. Doppelklicken Sie im rechten Fenster auf die Richtlinie Kennwortchronik erzwingen. Wählen Sie die Option Diese Richtlinieneinstellung definieren, und setzen Sie den Wert für Kennwortchronik behalten auf "24". 10. Klicken Sie abschließend auf die Schaltfläche OK, um den Dialog zu schließen. 164 • Ergänzende Optionen GFI LANguard N.S.S. Handbuch Screenshot 145 – Konfigurierung des Kennwortablaufs 11. Doppelklicken Sie im rechten Fenster auf die Richtlinie Maximales Kennwortalter. Wählen Sie die Option Diese Richtlinieneinstellung definieren, und setzen Sie den Wert für Kennwort läuft ab in auf "42" Tage. 12. Klicken Sie auf die Schaltfläche OK, um den Eigenschaftendialog zu schließen. Screenshot 146 – Konfigurierung des minimalen Kennwortalters 13. Doppelklicken Sie im rechten Fenster auf die Richtlinie Minimales Kennwortalter. Wählen Sie die Option Diese Richtlinieneinstellung definieren, und setzen Sie den Wert für Kennwort kann geändert werden nach auf "2" Tage. 14. Klicken Sie abschließend auf die Schaltfläche OK, um den Dialog zu schließen. GFI LANguard N.S.S. Handbuch Ergänzende Optionen • 165 Screenshot 147 – Konfigurierung der Mindestanzahl an Zeichen eines Passworts 15. Doppelklicken Sie im rechten Fenster auf die Richtlinie Minimale Kennwortlänge. Wählen SIe die Option Diese Richtlinieneinstellung definieren, und setzen Sie den Wert für Minimale Kennwortlänge auf “8“ Zeichen. 16. Klicken Sie abschließend auf die Schaltfläche OK, um den Dialog zu schließen. Screenshot 148 – Erzwingen der Kennwortkomplexität 17. Doppelklicken Sie im rechten Fenster auf die Richtlinie Kennwörter müssen bestimmten Komplexitätsanforderungen entsprechen. Wählen Sie die Option Diese Richtlinieneinstellung definieren und Aktiviert. 18. Klicken Sie abschließend auf die Schaltfläche OK, um den Dialog zu schließen. 19. Die Einstellungen der Passwortrichtlinien des neuen GPO sind nun konfiguriert. Schließen Sie alle Dialogfenster inklusive des Dialogs "Active Directory-Benutzer und -Computer". Anzeigen von Passwort-Richtlinien einer Active Directory-basierten Domäne Hinweis: Zur Durchführung der folgenden Schritte müssen Sie als Mitglied der Gruppe Domänen-Admins angemeldet sein. 166 • Ergänzende Optionen GFI LANguard N.S.S. Handbuch Gehen Sie wie nachfolgend beschrieben vor, um zu kontrollieren, ob alle notwendigen Einstellungen zu Passwortrichtlinien korrekt angewendet werden. Die Kontrolle der Einstellungen und ihrer Funktion stellt sicher, dass für sämtliche Benutzer der Domäne korrekte Passwortrichtlinien gelten. So kontrollieren Sie die Passwort-Richtlinien einer Active DirectoryDomäne: 1. Navigieren Sie zur Systemsteuerung über Start ` Einstellungen ` Systemsteuerung, und klicken Sie auf Verwaltung. 2. Klicken Sie auf das Snap-in Active Directory-Benutzer und Computer. Klicken Sie mit der rechten Maustaste auf den Stammcontainer der Domäne, und wählen Sie im Kontextmenü Eigenschaften. 3. Klicken Sie auf den Reiter Gruppenrichtlinie. Wählen Sie das zu kontrollierende GPO aus (z. B. Domain Policy GPO), und klicken Sie auf die Schaltfläche Bearbeiten, um den Editor "GPEdit" zu öffnen. 4. Erweitern Sie den Knoten Computerkonfiguration, und navigieren Sie zum Verzeichnis Windows-Einstellungen ` Sicherheitseinstellungen ` Kontorichtlinien ` Kennwortrichtlinie. Screenshot 149 – Kontrolle der GPO-Einstellungen Die Einstellungen der Passwortrichtlinie werden im rechten Fenster des GPO-Editors angezeigt. Vorausgesetzt, Sie haben die GPOPasswortrichtlinie wie im obigen Screenshot dargestellt konfiguriert, sollten Sie sicherstellen, dass Benutzer keine Passwörter verwenden können, die weniger als acht Zeichen besitzen. Mit Hilfe dieser Richtlinieneinstellungen sollte es Benutzern zudem nicht möglich sein, zu einfache Passwörter zu erstellen. Ebenso wenig sollte die Änderung von Passwörtern erlaubt sein, die noch nicht zwei Tage aktiv sind. GFI LANguard N.S.S. Handbuch Ergänzende Optionen • 167 168 • GFI LANguard N.S.S. Handbuch Troubleshooting Einführung In diesem Kapitel erfahren Sie, welche Hilfsmöglichkeiten es bei Problemen gibt. Folgende Informationsquellen stehen zur Verfügung: • Das Handbuch – die meisten Probleme lassen sich mithilfe des Handbuchs lösen. • Die GFI Knowledge-Base auf der Web-Site von GFI. • Die Support-Site von GFI. • E-Mail-Anfrage an den GFI-Support an [email protected] • Kontaktaufnahme mit dem GFI-Support englischsprachigen Live-Support http://support.gfi.com/livesupport.asp. • Telefonische Kontaktaufnahme mit dem GFI-Support. über den unter Knowledge-Base Die Knowledge-Base von GFI hält Antworten zu den am häufigsten gestellten Fragen bereit. Bei Problemen sollten Sie zunächst die Knowledge-Base konsultieren. Diese Wissensdatenbank bietet immer die neuesten Informationen zu Support-Fragen und Patches. Sie kann aufgerufen werden unter http://kbase.gfi.com. Support-Anfrage per E-Mail Wenn Sie Ihre Probleme mit Hilfe der Wissensdatenbank und dem Handbuch nicht lösen konnten, können Sie sich an den GFI-Support wenden. Sie sollten den Support per E-Mail kontaktieren, da Sie an Ihre Nachricht wichtige Informationen anhängen können, die helfen, Ihre Fragen schneller zu beantworten. Das Programm Troubleshooter aus der Programmgruppe generiert automatisch eine Reihe von Dateien, die GFI zur Problemanalyse benötigt. Die Dateien beinhalten u. a. Angaben zur Konfiguration. Um diese Dateien zu erzeugen, starten Sie den Troubleshooter, und folgen Sie den Anweisungen des Programms. Neben dem Sammeln von Informationen stellt Ihnen das Programm einige Fragen. Bitte nehmen Sie sich die Zeit, diese korrekt zu beantworten. Ohne die richtigen Informationen ist es dem Kundendienst nicht möglich, Ihr Problem genauer zu diagnostizieren. Öffnen Sie danach im Programmverzeichnis das Unterverzeichnis "Support" (unter "troubleshooter\support"), komprimieren Sie die darin enthaltenen Dateien im ZIP-Format, und senden Sie diese komprimierte ZIP-Datei an [email protected]. GFI LANguard N.S.S. Handbuch Troubleshooting • 169 Stellen Sie jedoch zuvor bitte sicher, dass Sie Ihr Produkt auf der GFIWeb-Site unter http://www.gfisoftware.de/de/pages/regfrm.htm registriert haben! Ihre Anfrage wird innerhalb von 24 Stunden beantwortet. Support-Anfrage per Web-Chat Sie erhalten weiteren technischen Support über unseren Live-Chat im Web. Den technischen Support von GFI erreichen Sie auch über den englischsprachigen Live-Support: http://support.gfi.com/livesupport.asp. Stellen Sie jedoch zuvor bitte sicher, dass Sie Ihr Produkt auf unserer Web-Site unter http://www.gfisoftware.de/de/pages/regfrm.htm registriert haben! Support-Anfrage per Telefon Für technische Hilfe können Sie auch telefonischen Kontakt mit dem Support-Team aufnehmen. Die entsprechenden Rufnummern für Ihr Land finden Sie auf der Support-Site von GFI. Web-Site für technischen Support: http://support.gfi.com/?lcode=de Stellen Sie jedoch zuvor bitte sicher, dass Sie Ihr Produkt auf unserer Web-Site unter http://www.gfisoftware.de/de/pages/regfrm.htm registriert haben! Web-Forum Über das Web-Forum steht Ihnen der User-to-User-Support zur Verfügung. Das Forum erreichen Sie unter http://forums.gfi.com/ Mitteilungen zu neuen Builds Es wird empfohlen, für aktuelle Informationen zu den neuesten Produkt-Builds den entsprechenden GFI-Newsletter zu abonnieren. Um stets über die neuesten Builds auf dem Laufenden zu sein, können Sie die Mitteilungen abonnieren unter: http://support.gfi.com 170 • Troubleshooting GFI LANguard N.S.S. Handbuch M Index Microsoft SQL Server-Audit 133, 137 N NetBIOS 43, 159 Netzwerk-Geräte 91 Netzwerk-Hardware 3, 40, 95 A O angemeldete Benutzer 37 Anwendungen 97 Applikationen 39, 79 Attendant 5 Offene Ports 35, 52 B Befehlszeilen-Tools 4, 141 Benutzer Error! Not a valid bookmark in entry on page 2 Benutzer und Gruppen 36 Betriebssystem 4 Betriebssystem-Daten 83 C Computer-Profile 10, 20, 59, 64, 65 P Parameter-Dateien 59, 67 Passwort-Richtlinien 31 Patch-Bereitstellung 5, 109, 116, 125 Patch-Status 42 Patch-Verwaltung 3, 109 physische Geräte 40 Programm-Updates 103 R Registrierdatenbank 32 Registry 28 Remote-Prozesse 38 S D Datenbank-Backend 3, 11, 47, 59, 60, 68, 69, 72 Datenbankwartung 70 Datenbankwartungsoptionen 59, 68 Dienste 3, 12, 35, 38, 68, 71 DNS-Lookup 133 drahtlose Geräte 40 E eigene Skripten 6, 149 Ergebnisvergleich 127, 129 F Freigaben 30, 52 G Scan-Ergebnisse 3, 5, 11, 23, 47, 51, 60, 62, 68, 69, 85, 141 Scan-Profile 16, 35, 59, 75, 152 Scans nach Zeitplan 59, 60, 131 Scheduled Scans 131 Script Debugger 4, 6 Sicherheitslücken 27, 51, 151 Sicherheitsschwachstelle 85 Skript-Editor 145 SNMP-Audit 133, 137 SNMP-Walk 133, 136 Sprachversion Patches 111 SSH 9, 146 SSH Private Key 21, 62, 64, 146 Status-Monitor 4, 7, 131 Systemanforderungen 9 Gruppen 36 T I Trace Route 133, 134 Installation 9 U L Lizenzierung 7, 10 GFI LANguard N.S.S. Handbuch USB-Geräte 1, 3, 15, 41, 75, 79, 91, 96 Users Error! Not a valid bookmark in entry on page 2 Index• 171 V virtuelle Geräte 40 Vulnerabilities 25 W Warnmeldungen 13 Warnoptionen 59 Whois 133, 135, 136 Z zurückgezogene Patches 110 172 •Index GFI LANguard N.S.S. Handbuch