Handbuch

Transcrição

Handbuch

GFI LANguard Network Security Scanner 7
Handbuch
GFI Software Ltd.
http://www.gfisoftware.de
E-Mail: [email protected]
Die Informationen in diesem Dokument können ohne vorherige
Ankündigung geändert werden. In den Beispielen verwendete Firmen,
Namen und Daten sind, wenn nicht anders angegeben, rein fiktiv.
Ohne vorherige ausdrückliche und schriftliche Zustimmung von GFI
Software Ltd. darf dieses Dokument weder ganz noch teilweise in
irgendeiner Form, sei es elektronisch oder mechanisch oder zu
irgendeinem anderen Zweck, reproduziert bzw. übertragen werden.
GFI LANguard ist ein urheberrechtlich geschütztes Produkt von GFI
SOFTWARE Ltd. 2000-2006 GFI SOFTWARE Ltd. Alle Rechte
vorbehalten.
Version 7.0 – Letzte Aktualisierung: 03.04.2006
Inhaltsverzeichnis
Einführung
1
Funktionsweise von GFI LANguard Network Security Scanner .................................... 1
Potenzieller Schwachpunkt interne Netzwerk-Sicherheit .............................................. 2
Hauptmerkmale von GFI LANguard N.S.S. ................................................................... 3
Komponenten von GFI LANguard N.S.S. ...................................................................... 4
Information zur Lizenzierung.......................................................................................... 7
Installieren von GFI LANguard N.S.S.
9
Systemanforderungen.................................................................................................... 9
Hinweise bei Einsatz von Firewalls................................................................... 9
Starten der Installation ................................................................................................... 9
Eingeben des Registrierschlüssels nach der Installation............................................. 13
Erste Schritte: Durchführen eines Sicherheits-Audits
15
Einführung.................................................................................................................... 15
Informationen zu Scan-Profilen (Liste der Sicherheits-lückenChecks/Tests) ................................................................................................. 15
Zugangsdaten für den Zugriff auf Zielrechner ................................................ 16
Wichtige Hinweise vor Scan-Beginn ............................................................... 16
Durchführen von Sicherheits-Scans mit Standardvorgaben........................................ 17
Durchführen eines Scans mit verschiedenen (standardmäßigen)
Scan-Profilen................................................................................................................ 19
Durchführen eines Scans mit alternativen Zugangsdaten ........................................... 20
Direktes Starten von Sicherheits-Scans über die Werkzeugleiste .............................. 21
Erste Schritte: Analysieren der Scan-Ergebnisse
23
Einführung.................................................................................................................... 23
Analysieren der Scan-Ergebnisse................................................................................ 23
Vulnerabilities (Sicherheitslücken) .................................................................. 25
Potential Vulnerabilities (Potenzielle Sicherheitslücken) ................................ 29
Open Shares (Offene Freigaben) ................................................................... 30
Password Policy (Passwort-Richtlinien) ......................................................... 31
Registry (Registrierdatenbank) ....................................................................... 32
Security Audit Policy (Richtlinien für Sicherheits-Audits)................................ 33
Open Ports (Offene Ports) .............................................................................. 35
Users and groups (Benutzer und Gruppen).................................................... 36
Logged On Users (Angemeldete Benutzer).................................................... 37
Services (aktive Dienste) ................................................................................ 37
Processes (aktive Remote-Prozesse) ............................................................ 38
Applications (installierte Applikationen) .......................................................... 39
Network devices (Netzwerk-Hardware) .......................................................... 40
USB-Geräte..................................................................................................... 41
Anzeigen unautorisierter USB-Geräte als kritische
Sicherheitslücken ............................................................................................ 42
System patching status (Status von Patches/Service Packs) ........................ 42
NetBIOS names (NetBIOS-Namen)................................................................ 43
Computer (Informationen zu gescannten Zielrechnern) ................................. 43
Sessions (aktive Sitzungen)............................................................................ 44
GFI LANguard N.S.S. Handbuch
Inhaltsverzeichnis • i
Remote time of day (Uhrzeit des Zielrechners) .............................................. 45
Local drives (Lokale Festplatten) .................................................................... 45
Speichern und Abrufen von Scan-Ergebnissen
47
Einführung.................................................................................................................... 47
Speichern von Scan-Ergebnissen in einer externen (XML-)Datei ............................... 47
Abrufen von Scan-Ergebnissen ................................................................................... 48
Abrufen gespeicherter Scan-Daten aus dem DatenbankBackend .......................................................................................................... 48
Abrufen gespeicherter Scan-Ergebnisse aus einer externen
(XML-)Datei..................................................................................................... 49
Filtern von Scan-Ergebnissen
51
Einführung.................................................................................................................... 51
Anwenden von Filtern auf Scan-Ergebnisse................................................................ 52
Erstellen eigener Scan-Filter........................................................................................ 53
Konfigurieren von GFI LANguard N.S.S.
59
Einführung.................................................................................................................... 59
Scan-Profile.................................................................................................................. 59
Scans nach Zeitplan..................................................................................................... 60
Erstellen eines Scans nach festem Zeitplan................................................... 61
Konfigurieren der Zusendung von Scan-Berichten......................................... 63
Computer-Profile .......................................................................................................... 64
Informationen zur SSH-basierten Authentifizierung per
Private Key-Datei ............................................................................................ 64
Erstellen eines neuen Computer-Profils ......................................................... 65
Ändern der Eigenschaften eines Computer-Profils......................................... 66
Verwenden von Computer-Profilen für einen SicherheitsScan ................................................................................................................ 66
Parameter-Dateien....................................................................................................... 67
Datenbankwartungsoptionen ....................................................................................... 68
Einführung....................................................................................................... 68
Konfigurieren des Datenbank-Backends ........................................................ 68
Speichern von Scan-Ergebnissen in einer Microsoft AccessDatenbank....................................................................................................... 69
Datenbank-Wartung – Verwalten gespeicherter ScanErgebnisse ...................................................................................................... 71
Datenbank-Wartung – erweiterte Optionen .................................................... 72
Scan-Profile
75
Einführung.................................................................................................................... 75
Einsetzen von Scan-Profilen........................................................................................ 77
Scannen eines lokalen Rechners mit dem "Default Scanning
Profile"............................................................................................................. 77
Scannen eines lokalen Rechners mit dem "Applications
Scanning Profile"............................................................................................. 77
Erstellen eines neuen Scan-Profils .............................................................................. 78
Anpassen eines Scan-Profils ....................................................................................... 80
Konfigurieren der TCP/UDP-Port-Scans...................................................................... 80
Aktivieren/Deaktivieren der TCP-Port-Scans.................................................. 80
Aktivieren/Deaktivieren der UDP-Port-Scans ................................................. 80
Anpassen der Liste zu scannender TCP/UDP-Ports ...................................... 81
Erweitern der Liste mit neuen TCP/UDP-Ports............................................... 81
Bearbeiten oder Entfernen eines Ports........................................................... 82
Konfigurieren des Abrufs von Betriebssystem-Daten .................................................. 83
Anpassen des Abrufs von Betriebssystem-Daten .......................................... 83
Konfigurieren der Optionen von Sicherheitslücken-Scans .......................................... 84
ii • Inhaltsverzeichnis
Aktivieren/Deaktivieren von Sicherheitslücken-Scans.................................... 84
Anpassen der Liste zu kontrollierender Sicherheitslücken ............................. 84
Anpassen der Eigenschaften von Sicherheitslücken-Checks ........................ 85
Sicherheitslücken-Checks – erweiterte Optionen ........................................... 87
Konfigurieren der Patch-Scan-Optionen ...................................................................... 88
Aktivieren/Deaktivieren von Patch-Checks..................................................... 88
Anpassen der Liste zu kontrollierender Patches ............................................ 89
Verwenden der Suchfunktion für Sicherheitsbulletins .................................... 89
Konfigurieren der Scanner-Optionen ........................................................................... 90
Konfigurieren der Kontrolle extern angeschlossener Hardware .................................. 91
Aktivieren/Deaktivieren von Checks für installierte NetzwerkHardware......................................................................................................... 93
Anlegen einer Liste unautorisierter Netzwerk-Hardware ................................ 94
Anlegen einer Liste erwünschter/sicherer NetzwerkHardware......................................................................................................... 94
Konfigurieren erweiterter Scan-Optionen für NetzwerkHardware......................................................................................................... 95
Aktivieren/Deaktivieren von Checks für angekoppelte USBGeräte ............................................................................................................. 96
Anlegen einer Liste unautorisierter USB-Hardware........................................ 96
Anlegen einer Liste erwünschter/sicherer USB-Hardware ............................. 97
Konfigurieren der Kontrolloptionen für Anwendungen ................................................. 97
Aktivieren/Deaktivieren von Checks für installierte
Anwendungen ................................................................................................. 98
Anlegen einer Liste unautorisierter Anwendungen ......................................... 99
Anlegen einer Liste erwünschter/sicherer Anwendungen ............................100
Aktivieren/Deaktivieren von Checks für
Sicherheitsanwendungen..............................................................................100
Anpassen der Liste zu scannender Sicherheitsanwendungen.....................101
Konfigurieren von Sicherheitsanwendungen – erweiterte
Optionen........................................................................................................102
GFI LANguard N.S.S. Programm-Updates
103
Einführung..................................................................................................................103
Versionskontrolle des Build und der N.S.S.-Datenbanken ........................................103
Downloaden von Software-Updates für Microsoft-Produkte in
mehreren Sprachen ...................................................................................................104
Manuelle Programm-Updates ....................................................................................105
Suchen nach Software-Updates beim Start von GFI LANguard N.S.S. ....................106
Konfigurieren der beim Programmstart zu kontrollierenden Updates........................107
Patch-Verwaltung: Bereitstellung von Microsoft-Updates
109
Einführung..................................................................................................................109
Informationen zum Agent für die Patch-Bereitstellung .................................109
Informationen zu zurückgezogenen Patches................................................110
Verwaltung von Patches in unterschiedlichen Sprachen..............................111
Auswählen der Zielrechner zur Bereitstellung von Patches ......................................111
Bereitstellen fehlender Updates auf einem einzelnen
Zielrechner ....................................................................................................112
Bereitstellen fehlender Updates für mehrere Zielrechner.............................112
Bereitstellen fehlender Updates auf allen Zielrechnern................................112
Auswählen bereitzustellender Patches ......................................................................113
Downloaden der Patch- und Service Pack-Dateien...................................................114
Abbruch aktiver Downloads ..........................................................................115
Konfigurieren alternativer Bereitstellungsparameter für Patch-Dateien
(optional) ....................................................................................................................116
Bereitstellen von Updates ..........................................................................................117
Starten der Bereitstellung .............................................................................117
Inhaltsverzeichnis • iii
Patch-Verwaltung: Installieren eigener Software
119
Einführung..................................................................................................................119
Auswählen der Zielrechner zur Bereitstellung eigener
Software/Patches .......................................................................................................119
Festlegen der bereitzustellenden Software ...............................................................120
Beginnen der Bereitstellung.......................................................................................122
Patch-Bereitstellung nach Zeitplan ...............................................................122
Bereitstellungsoptionen..............................................................................................123
Vor der Bereitstellung durchzuführende Aktionen ........................................123
Nach Bereitstellung durchzuführende Aktionen............................................124
Erweiterte Bereitstellungsoptionen ...............................................................125
Vergleichen von Scan-Ergebnissen
127
Einführung..................................................................................................................127
Interaktives Vergleichen von Scan-Ergebnissen .......................................................127
Festlegen der im Vergleichsbericht aufzuführenden Daten..........................127
Erstellen eines Vergleichsberichts ................................................................129
GFI LANguard N.S.S. Status-Monitor
131
Anzeigen geplanter Aktionen .....................................................................................131
Anzeigen des Verlaufs von Scans nach Zeitplan .........................................131
Anzeigen des Verlaufs von Patch-Bereitstellungen nach
Zeitplan .........................................................................................................132
Werkzeuge
133
Einführung..................................................................................................................133
DNS-Lookup...............................................................................................................133
Traceroute..................................................................................................................134
Whois Client ...............................................................................................................135
SNMP-Walk................................................................................................................136
SNMP-Audit ...............................................................................................................137
Microsoft SQL Server-Audit .......................................................................................137
Tool zum Auflisten von Rechnern ..............................................................................138
Starten eines Sicherheits-Scans...................................................................139
Bereitstellen eigener Patches .......................................................................139
Aktivieren von Audit-Richtlinien ....................................................................139
Tool zum Auflisten von Anwendern ...........................................................................140
Verwenden von GFI LANguard N.S.S. per Befehlszeile
141
Verwenden des Befehlszeilen-Tools "lnsscmd.exe" für NetzwerkScans .........................................................................................................................141
Beispiel: Starten eines Zielrechner-Scans per BefehlszeilenTool ...............................................................................................................142
Verwenden des Befehlszeilen-Tools "deploycmd.exe" zur PatchBereitstellung .............................................................................................................143
Beispiel: Starten der Patch-Bereitstellung per BefehlszeilenTool ...............................................................................................................144
Hinzufügen von Sicherheits-Checks per Benutzer-Bedingungen/Skripten145
Einführung..................................................................................................................145
GFI LANguard N.S.S. VBScript .................................................................................145
GFI LANguard N.S.S. SSH-Modul .............................................................................146
Erkennen des Check-Status anhand von Stichwörtern ................................146
Hinzufügen von auf individuellen VBS-Skripten basierenden
Sicherheits-Checks ....................................................................................................147
Schritt 1: Erstellen des Skripts ......................................................................147
iv • Inhaltsverzeichnis
Schritt 2: Hinzufügen des neuen Schwachstellen-Checks: ..........................148
Hinzufügen von auf eigenen Shell-Skripten basierenden
Schwachstellen-Checks.............................................................................................149
Schritt 1: Erstellen des Skripts ......................................................................150
Schritt 2: Hinzufügen des neuen Schwachstellen-Checks: ..........................150
Hinzufügen eines Sicherheits-Checks für CGI-Schwachstellen ................................152
Hinzufügen weiterer Kontrollen für Sicherheitslücken ...............................................154
Ergänzende Optionen
159
Aktivieren von NetBIOS auf einem Netzwerk-Rechner .............................................159
Installieren des Client für Microsoft-Netzwerke unter Windows 2000
oder höher..................................................................................................................160
Konfigurieren von Passwort-Richtlinien einer Active Directorybasierten Domäne......................................................................................................162
Anzeigen von Passwort-Richtlinien einer Active Directory-basierten
Domäne......................................................................................................................166
Troubleshooting
169
Einführung..................................................................................................................169
Knowledge-Base ........................................................................................................169
Support-Anfrage per E-Mail .......................................................................................169
Support-Anfrage per Web-Chat .................................................................................170
Support-Anfrage per Telefon .....................................................................................170
Web-Forum ................................................................................................................170
Mitteilungen zu neuen Builds .....................................................................................170
Index
171
Inhaltsverzeichnis • v
Einführung
Funktionsweise von GFI LANguard Network Security Scanner
GFI LANguard Network Security Scanner (GFI LANguard N.S.S.) ist
ein Tool für Sicherheitsüberprüfungen, mit dem sich proaktive
Netzwerk-Scans durchführen lassen, um Schwachstellen rasch
aufzufinden und zu beheben.
Während eines Sicherheits-Audits scannt GFI LANguard N.S.S. das
gesamte Netzwerk, IP für IP, und informiert Sie über alle gefundenen
Sicherheitslücken.
Gemeinsam
mit
den
Funktionen
des
Betriebssystems und des Security-Scanners können Sicherheitsprobleme nach der Überprüfung umgehend gelöst werden. Schließen
Sie beispielsweise nicht benötigte Ports und Freigaben, oder
installieren Sie Service Packs und Hotfixes, um Anfälligkeiten zu
beseitigen, bevor diese für Angriffe missbraucht werden können.
Mit GFI LANguard N.S.S. können Sie Windows- und Linux-basierte
Rechner einem Sicherheits-Audit unterziehen. Während eines Audits
sammelt die Scan-Engine unterschiedliche Hardware- und SoftwareInformationen zu den kontrollierten Zielen. Hierzu zählen Service
Packs, die auf jedem überprüften Rechner installiert sind, Daten zu
stark gefährdeten Geräten wie WLAN-Access-Points und USBHardware, installierte Applikationen sowie offene Freihaben und Ports.
Der Scanner informiert auch über besondere Konfigurationseinstellungen des Betriebssystems, z. B. in der Windows-Registry
oder
den
Passwortrichtlinien,
und
hilft
somit,
gängige
Sicherheitsprobleme zu entdecken, die durch ein falsch konfiguriertes
Betriebssystem hervorgerufen werden (z. B. durch die Beibehaltung
von Standardvorgaben bei Systemeinstellungen).
GFI LANguard N.S.S. kontrolliert zudem, ob Sicherheitssoftware wie
Anti-Viren- und Anti-Spyware-Anwendungen installiert sind und ob die
Signaturdateien dieser Programme auf dem neuesten Stand sind. Wo
dies möglich ist, führt GFI LANguard N.S.S. zudem eine
Konfigurationskontrolle durch, ob wichtige Sicherheitsfunktionen
dieser Security-Produkte, z. B. Echtzeit-Scans, aktiviert sind. So ist
garantiert, dass die im Netzwerk eingesetzten Sicherheitslösungen
effektiv arbeiten.
Standardmäßig lassen sich mit GFI LANguard N.S.S. Patches für
verschiedene Sprachversionen von Betriebssystemen verwalten.
Dank dieser Unterstützung können fehlende Microsoft-Updates somit
auch
für
nicht
englischsprachige
Systeme
automatisch
heruntergeladen und netzwerkweit bereitgestellt werden. Zusätzlich
lassen sich über die Engine zur Patch-Verteilung eigene Software und
Microsoft-fremde Patches von Drittanbietern (z. B. Updates der
Virensignaturen) im gesamten Netzwerk per Fernzugriff installieren.
Einführung • 1
Potenzieller Schwachpunkt interne Netzwerk-Sicherheit
Das Problem der internen Netzwerk-Sicherheit wird in den meisten
Fällen von Administratoren nicht genügend beachtet und unterschätzt.
In vielen Umgebungen besteht kein Schutz gegen Angriffe von innen,
sodass Benutzer, begünstigt durch bekannte Exploits, Vertrauensstellungen oder sogar Standardeinstellungen, mühelos auf Rechner
von Kollegen zuzugreifen können. Für den überwiegenden Teil dieser
Angriffe ist kein oder nur wenig Fachwissen erforderlich, und die
Integrität des Netzwerks kann jederzeit kompromittiert werden.
Für den normalen Betrieb interner Netzwerke ist jedoch ein hohes
Maß an Flexibilität erforderlich. Mit Regeln, die maximale Sicherheit
garantieren, wäre die Produktivität zu sehr eingeschränkt. Fehlen
hingegen entsprechende Sicherheitsmechanismen, können interne
Benutzer zu einer großen Gefahr für das Intranet werden.
Das CERT Coordination Center der US-amerikanischen Carnegie
Mellon University beschreibt das Problem interner Sicherheitsverletzungen wie folgt:
"'Insider Intrusion' bezeichnet die Kompromittierung eines
Netzwerks, Systems oder einer Datenbank durch eine
Person, die dafür Zugriffsrechte besitzt (oder besaß). Zu
diesen 'Insidern' zählen aktuelle oder ehemalige Mitarbeiter,
Teilzeitbeschäftigte,
Geschäftspartner,
Berater
und
Lieferanten." – Computer Weekly
Mitarbeiter innerhalb eines Unternehmens haben oftmals bereits weit
reichenden Zugriff auf viele interne Quellen. Um an vertrauliche Daten
im internen Netzwerk zu kommen, müssen sie nicht einmal Firewalls
oder andere Sicherheitsbarrieren überwinden, die zum Schutz vor
Anfragen aus nicht vertrauenswürdigen externen Quellen (z. B. aus
dem Internet) errichtet worden sind. Die größte Gefahrenquelle stellen
somit interne Benutzer dar. Sie können sich mit ein wenig
Fachkenntnis sogar umfangreiche Netzwerkrechte verschaffen. Dieser
Missbrauch bleibt oftmals vollkommen unerkannt oder ist nur sehr
schwer als ein solcher zu identifizieren. Die vom amerikanischen
Computer Security Institute und dem FBI im Jahr 2003 erstellte Studie
"Computer Crime and Security Survey" ergab, dass ungefähr 65 %
der Befragten Kenntnis von mindestens einer von einem Insider
begangenen Sicherheitsverletzung hatten.
Eine unzureichende Netzwerk-Sicherheit bedeutet zudem, dass beim
erfolgreichen Zugriff eines externen Hackers auf nur einen Rechner
des Netzwerks auch das übrige interne Netzwerk ohne größere
Probleme kontrolliert werden kann. Versierte Angreifer hätten somit
die Möglichkeit, vertrauliche E-Mails und Dokumente zu lesen, diese
zu veröffentlichen oder Rechner unbrauchbar zu machen, indem sie
z. B. wichtige Systemdaten löschen. Zudem können Ihr Netzwerk und
die Netzwerk-Ressourcen auch selbst als Ausgangspunkt für neue
Angriffe auf andere Sites und zu deren Ausspionieren eingesetzt
werden. Wird ein solcher Angriff zurückverfolgt, sind nur Sie und Ihr
Unternehmen als Verursacher erkennbar, jedoch nicht der Hacker.
Die meisten Sicherheitsschwachstellen lassen sich mühelos beheben,
und auch Angriffe, die über bekannte Exploit-Schwachstellen von
Netzwerken erfolgen, können problemlos abgewehrt werden –
Voraussetzung hierfür ist jedoch, dass der Administrator über die
2 • Einführung
Sicherheitslücken
informiert
ist!
Zur
Identifizierung
dieser
Gefahrenquellen können Administratoren auf die umfassenden
Suchmöglichkeiten von GFI LANguard N.S.S. zurückgreifen.
Hauptmerkmale von GFI LANguard N.S.S.
•
Identifiziert schädliche Dienste und offene TCP- und UDP-Ports.
•
Erkennt bekannte Sicherheitsschwachstellen in den Bereichen
CGI, DNS, FTP, E-Mail, RPC u. v. m.
•
Identifiziert Backdoor-User.
•
Erkennt offene Freigaben und listet Anwender auf, die darauf
Zugriff haben (inklusive Berechtigungen).
•
Listet während des Scanvorgangs Gruppen und deren Mitglieder
auf.
•
Führt USB-Geräte (z. B. Apple iPod und andere tragbare
Massenspeicher) auf, die an Zielrechner angeschlossen sind.
•
Zeigt Netzwerk-Hardware an mit der Information, ob sie kabel/funkbasiert oder virtuell ist.
•
Listet Dienste mit ihrem jeweiligen Status auf.
•
Informiert über auf Zielrechnern aktive Prozesse.
•
Gibt installierte Applikationen an.
•
Kontrolliert,
ob
die
Signaturdateien
der
unterstützten
Sicherheitsanwendungen
(Anti-Virenund
Anti-SpywareProgramme) auf dem neuesten Stand sind. Wo möglich, führt GFI
LANguard N.S.S. zudem eine Konfigurationskontrolle einzelner
Security-Produkte (z. B. für die Anti-Viren-Lösung von
BitDefender) durch um sicherzustellen, dass wichtige Funktionen
wie Echtzeit-Scans aktiviert sind.
•
Führt Netzwerk-Scans nach einem festen Zeitplan durch und
liefert Scan-Ergebnisse per E-Mail-Bericht.
•
Stellt Sicherheits-Scans für Windows-Betriebssysteme bereit und
sammelt Betriebssystemdaten.
•
Stellt Sicherheits-Scans für Linux-Betriebssysteme bereit und
sammelt Betriebssystemdaten per SSH.
•
Meldet sich über herkömmliche Zugangsdaten oder Public-KeyAuthentifizierung (d. h. per SSH mit Public/Private Keys) an
entfernten Linux-Rechnern an.
•
Ruft beim Programmstart Definitionsdateien für die neuesten
Schwachstellen-Checks und Informationen zu fehlenden Patches
automatisch ab.
•
Unterstützt Patch-Verwaltung für Windows 2000/XP/2003,
Microsoft Office XP oder neuer sowie Microsoft Exchange 2000
und Microsoft SQL Server 2000 oder neuer.
•
Erlaubt Patch-Verwaltung für verschiedene Sprachversionen von
Betriebssystemen.
•
Ermöglicht die Speicherung von Scan-Ergebnissen per Microsoft
Access oder Microsoft SQL Server Datenbank-Backend und in
XML-Dateien.
Einführung • 3
•
Liefert dem Administrator nach Abschluss eines geplanten Scans
detaillierte
Scan-Ergebnisse
und/oder
Informationen
zu
Änderungen zwischen aufeinander folgenden Scans.
•
Erlaubt Host-Erkennung und Identifizierung des Betriebssystems
in Echtzeit.
•
Bietet SNMP-Überwachung.
•
Unterstützt Microsoft SQL-Auditing.
•
Bietet Skript-Debugger zum Erstellen und Debuggen eigener
Schwachstellen-Checks. (Checkerstellung erfolgt mit Hilfe einer
VBScript-kompatiblen Skriptsprache.)
•
Unterstützt Multi-Threading, damit mehrere Rechner gleichzeitig
gescannt werden können.
•
Liefert Befehlszeilen-Tools
mit denen sich SoftwareUpdates/Patches und Dritthersteller-Applikationen ohne Aufruf der
GUI von GFI LANguard N.S.S. scannen und bereitstellen lassen.
(Tool-Verwendung erfolgt direkt über die Eingabeaufforderung,
aus Dritthersteller-Applikationen heraus oder über selbst definierte
Skripten und Batch-Dateien.)
Komponenten von GFI LANguard N.S.S.
Die leistungsfähige, zuverlässige und skalierbare Architektur von GFI
LANguard N.S.S. unterstützt sowohl mittlere als auch größere
Netzwerke.
GFI LANguard N.S.S. besteht aus fünf Komponenten:
4 • Einführung
•
GFI LANguard N.S.S. Konfigurationsoberfläche/GUI
•
GFI LANguard N.S.S. Attendant
•
•
GFI LANguard N.S.S. Patch-Agent
•
GFI LANguard N.S.S. Script-Debugger
GFI LANguard N.S.S. Konfigurationsoberfläche/GUI
Screenshot 1 – Konfigurationsoberfläche
Starten Sie GFI LANguard N.S.S. über Start ` Programme ` GFI
LANguard Network Security Scanner 7.0 ` LANguard Network
Security Scanner.
Mit der so gestarteten Anwendung können Sie
•
Netzwerk-Sicherheits-Scans und die Patch-Bereitstellung starten
•
Ergebnisse von gespeicherten und aktuellen Scans anzeigen
lassen
•
Scan-Optionen und -profile sowie Berichtfilter konfigurieren
•
Spezielle Administrations-Tools für Netzwerksicherheit aufrufen
GFI LANguard N.S.S. Attendant
Mit diesem im Hintergrund laufenden Dienst werden Vorgänge nach
einem festen Zeitplan gestartet. Hierzu zählen Sicherheits-Scans und
die Bereitstellung von Patches.
GFI LANguard N.S.S. Patch-Agent
Dieser im Hintergrund laufende Dienst sorgt für die korrekte
Bereitstellung von Patches, Service Packs und Software-Updates auf
den Zielrechnern.
Einführung • 5
GFI LANguard N.S.S. Script-Debugger
Screenshot 2 – Script Debugger
Dieses Modul ermöglicht das Erstellen und Debuggen eigener
Skripten mit Hilfe einer VBScript-kompatiblen Skriptsprache. Nutzen
Sie es, um Skripten für eigene Schwachstellen-Checks zu schreiben.
Diese Checks können von GFI LANguard N.S.S. verwendet werden,
um Zielrechner im Netzwerk unter Beachtung Ihrer Vorgaben zu
scannen.
Starten Sie den GFI LANguard N.S.S. Script Debugger über Start `
Programme ` GFI LANguard Network Security Scanner 7.0 `
LNSS Script Debugger.
6 • Einführung
Screenshot 3 – Status-Monitor
Mit diesem Modul können Sie den Status der geplanten Scans und
der terminierten Bereitstellung von Software-Updates kontrollieren.
Geplante Aktionen, die noch nicht ausgeführt wurden, können zudem
deaktiviert werden.
Starten Sie den GFI LANguard N.S.S. Status Monitor über Start `
Programme ` GFI LANguard Network Security Scanner 7.0 `
LNSS Status Monitor.
Information zur Lizenzierung
Die Lizenzierung von GFI LANguard N.S.S. erfolgt auf Grundlage der
Anzahl der Rechner und Geräte, die gescannt werden sollen. Bei
einer Lizenz für 100 IPs können Sie zum Beispiel bis zu 100 Rechner
oder Geräte von einem einzigen Arbeitsplatzrechner/Server in Ihrem
Netzwerk aus scannen.
Weitere Informationen zur Lizenzierung von GFI LANguard N.S.S.
erhalten Sie unter http://www.gfi.com/pricing/pricelist.aspx?product=
LANSS&curr=EUR&lang=de.
Einführung • 7
8 • Einführung
Installieren von GFI LANguard N.S.S.
Systemanforderungen
Für die Installation von GFI LANguard Network Security Scanner sind
erforderlich:
•
Windows 2000 (SP4)/XP (SP2)/2003.
•
Internet Explorer 5.1 oder höher.
•
Client für Microsoft-Netzwerke – standardmäßig im Lieferumfang
von
Windows
95
und
höher
enthalten.
Hinweis: Nähere Informationen zur Installation des Client für
Microsoft-Netzwerke erhalten Sie im Kapitel "Ergänzende
Optionen" unter "Installation des Client für Microsoft-Netzwerke
unter Windows 2000 oder höher".
•
Secure Shell (SSH) – standardmäßig im Lieferumfang jeder LinuxDistribution enthalten
Hinweise bei Einsatz von Firewalls
Auf dem Host-Rechner oder den zu überprüfenden Zielrechnern
installierte Firewalls beeinträchtigen die korrekte Funktionsweise von
GFI LANguard N.S.S.
Folgende Vorgehensweise ist erforderlich:
•
Deaktivieren Sie zum Zweck eines Sicherheits-Audits die FirewallSoftware auf dem Host-/Zielrechner(n)
oder
•
Legen
Sie
über
die
Domänenrichtlinien
der
Internetverbindungsfirewall von Windows die Ports und Dienste
fest, die von GFI LANguard N.S.S. für eine korrekte
Funktionsweise benötigt werden. Weitere Informationen, wie die
Active Directory-Richtlinien zu konfigurieren sind, damit
abgehende und eingehende Scans von Rechnern mit aktivierter
Internetverbindungsfirewall (Windows XP SP2 oder 2003 SP1)
unterstützt
werden,
erhalten
Sie
unter:
http://kbase.gfi.com/showarticle.asp?id=KBID002177.
Starten der Installation
1. Starten Sie den Installationsassistenten von GFI LANguard Network
Security Scanner per Doppelklick auf languardnss7.exe. Klicken Sie
im angezeigten Willkommen-Bildschirm auf die Schaltfläche Next, um
mit der Installation zu beginnen.
Installieren von GFI LANguard N.S.S. • 9
2. Lesen Sie die angezeigte Lizenzvereinbarung. Bestätigen Sie die
Lizenzvereinbarung, indem Sie die Option Accept the Licensing
agreement wählen und auf die Schaltfläche Next klicken.
3. Geben Sie den vollständigen Benutzernamen, den Firmennamen
und den Registrierschlüssel ein. Wenn Sie das Produkt zu
Testzwecken einsetzen, ändern Sie den vorgegebenen Eintrag
"Evaluation" bitte nicht. Klicken Sie auf die Schaltfläche Next um
fortzufahren.
Screenshot 4 – Angabe der Zugangsdaten des Domänen-Administrators/Verwendung eines
lokalen Systemkontos
4. Geben Sie das Dienstkonto an, unter dem GFI LANguard N.S.S
laufen soll. Klicken Sie auf die Schaltfläche Next um fortzufahren.
Wichtig: GFI LANguard N.S.S. muss mit Administratorrechten
gestartet werden. Es ist zu empfehlen, ein Konto eines Domänenadministrators oder Organisationsadministrators anzugeben. Um
Zugriff auf die in Ihrem Netzwerk zu kontrollierenden Zielrechner
nehmen zu können, benötigt GFI LANguard N.S.S. in den meisten
Fällen Administratorrechte. Es ist jedoch nicht notwendig, für jeden
Zielrechner ein Domänen-/Organisationsadministratorkonto zu
benennen, da einzelne Zugangsdaten auch noch nach der
Produktinstallation über die Konfigurationsoberfläche angegeben
werden können (über den Knoten Configuration ` Computer
Profiles).
10 • Installieren von GFI LANguard N.S.S.
Screenshot 5 – Auswahl des Datenbank-Backend
5. 5. Legen Sie fest, welches Datenbank-Backend für die Speicherung
der Scan-Ergebnisse verwendet werden soll. Sie können zwischen
Microsoft Access, Microsoft SQL Server 7/2000 oder MSDE
auswählen. Klicken Sie auf die Schaltfläche Next um fortzufahren.
Hinweis 1: Die Verwendung von Microsoft Access als DatenbankBackend wird nur für kleinere Netzwerke empfohlen. Bei mittleren und
großen Netzwerken sollten Sie MS SQL Server 7/2000 einsetzen.
Hinweis 2: MSDE kann nur bis zu 2 GB an Daten verarbeiten. Der
Einsatz von MS SQL Server hingegen ist effizienter, da sich ein
weitaus größeres Datenaufkommen ohne Einschränkungen sichern
lässt.
Screenshot 6 – Angabe der Datenbank-Informationen bei Einsatz von MS SQL Server
6.
Wenn Sie Microsoft SQL Server als Datenbank-Backend
ausgewählt haben, müssen Sie die Zugangsdaten angeben, die für
die Datenbankanmeldung erforderlich sind. Der Zugriff auf die
Datenbank kann sowohl über die Daten des SQL ServerBenutzerkontos als auch die Windows NT-Authentifizierung erfolgen.
Klicken Sie auf die Schaltfläche Next um fortzufahren.
Hinweis: Bei der Windows NT-Authentifizierung müssen die Dienste
von GFI LANguard N.S.S. unter Benutzerkonten mit administrativen
Zugriffsrechten für die Anmeldung und Verwaltung der SQL ServerDatenbanken laufen.
Screenshot 7 – Angabe von E-Mail-Adresse und -Server für Warnmeldungen
7. Geben Sie die Daten des SMTP/E-Mail-Servers (Host-Name/IPAdresse und Port) und die E-Mail-Adresse an, die von GFI Network
Server Monitor für Warnmeldungen/Mitteilungen verwendet werden
sollen. Klicken Sie auf die Schaltfläche Next um fortzufahren.
8. Geben Sie das Installationsverzeichnis für GFI LANguard N.S.S.
an, und klicken Sie auf die Schaltfläche Next. Für die Installation sind
ca. 40 MB freier Speicherplatz auf der Festplatte erforderlich.
9. 9. Klicken Sie auf die Schaltfläche Finish, um die Installation
abzuschließen.
Eingeben des Registrierschlüssels nach der Installation
Nachdem Sie GFI LANguard N.S.S. erworben haben, geben Sie Ihren
Registrierschlüssel unter dem Knoten General ` Licensing ein. Zur
Nutzung des Produkts als kommerzielle Vollversion ist nach der
Eingabe des Schlüssels keine Neukonfiguration oder erneute
Installation erforderlich.
Hinweis 1: GFI LANguard N.S.S. kann standardmäßig 10 Tage lang
als UNL-Version mit vollem Funktionsumfang getestet werden. Bei
korrekter Angabe Ihrer Kontaktdaten im Download-Formular erhalten
Sie per E-Mail einen Registrierschlüssel, mit dem Sie das Produkt
insgesamt 30 Tage lang testen können.
Hinweis 2: Die Lizenzierung von GFI LANguard N.S.S. erfolgt auf
Grundlage der
•
Anzahl der Computer/IPs, auf denen GFI LANguard Network
Security Scanner laufen soll
•
Anzahl der Computer/IPs, die gescannt werden sollen
Beispiel: Wenn Sie GFI LANguard N.S.S. auf einem Server
installieren und ein Netzwerk mit 20 Rechnern scannen wollen, ist
eine Lizenz für 25 IPs erforderlich.
Hinweis 3: Die Eingabe des Registrierschlüssels ist nicht mit der
Online-Registrierung Ihrer Firmendaten auf der GFI-Web-Site zu
verwechseln. Die Registrierung ist wichtig, um Ihnen bei Problemen
schneller helfen und Sie über wichtige Produktmitteilungen
informieren zu können. Bitte lassen Sie sich registrieren unter
http://www.gfisoftware.de/de/pages/regfrm.htm
Hinweis 4: Hinweise zum Kauf von GFI LANguard N.S.S. finden Sie
unter dem entsprechenden Unterknoten General ` How to purchase
zu den allgemeinen Einstellungen.
Erste Schritte: Durchführen eines
Sicherheits-Audits
Einführung
Mit Hilfe eines Sicherheits-Audits können Administratoren potenzielle
Sicherheitslücken in einem Netzwerk aufdecken und bewerten. Eine
manuelle Überprüfung ist sehr zeitaufwendig, da sich viele
Arbeitsschritte und Aufgaben wiederholen und für jeden einzelnen
Netzwerk-Rechner durchgeführt werden müssen. Mit GFI LANguard
N.S.S. lassen sich Sicherheits-Audits Ihres Netzwerks automatisch
durchführen. Netzwerkrechner werden in kürzester Zeit effizient per
Fernzugriff
auf
bekannte
Schwachstellen,
gängige
Fehlkonfigurationen und andere potenzielle Sicherheitslücken
überprüft. Die während des Scan-Vorgangs gesammelten
Informationen helfen dann bei Verfolgung und Behebung identifizierter
Schwachstellen. Typische Informationen, die während eines
Scanvorgangs ermittelt werden, sind:
•
Aktueller Stand der auf dem Rechner installierten Service Packs
•
Fehlende Sicherheits-Patches
•
WLAN-Access-Points
•
USB-Geräte
•
Offene Freigaben
•
Offene Ports
•
Auf überprüften Rechnern aktive Dienste/Applikationen
•
Wichtige Registry-Einträge
•
Unsichere Passwörter
•
Benutzer und Gruppen
Vor der Durchführung eines Sicherheits-Audits müssen folgende drei
Scan-Engine-Parameter festgelegt werden:
1. Der zu überprüfende Zielrechner,
2. das zu verwendende Scan-Profil (Art der durchzuführenden
Schwachstellen-Checks/Tests),
3. die für die Anmeldung an den Zielrechnern erforderlichen
Authentifizierungsdaten.
Informationen zu Scan-Profilen (Liste der Sicherheitslücken-Checks/Tests)
Vor dem Start eines Scans müssen Sie festlegen, mit welchen
Sicherheitslücken-Checks/Tests die Zielrechner kontrolliert werden
sollen.
Erste Schritte: Durchführen eines Sicherheits-Audits • 15
Dieser Schritt ist erforderlich, da GFI LANguard N.S.S. zur
Überprüfung der Netzwerkinfrastruktur eine große Anzahl von
Schwachstellen-Checks zur Verfügung steht. Viele dieser Checks
können auf alle Rechner des Netzwerks angewandt werden. Der
Einsatz einiger Checks hängt jedoch von der Rolle des zu
kontrollierenden Computers ab, d. h., für korrekte Scan-Ergebnisse
sind die auf Zielrechnern laufenden Dienste und die Art des
gewünschten Sicherheits-Scans zu berücksichtigen. Checks zur
Suche nach CGI-Sicherheitslücken sollten beispielsweise nur beim
Scannen von Web-Servern verwendet werden.
Schwachstellen-Checks zur Kontrolle von Zielrechnern sind in GFI
LANguard N.S.S. in Form von Vorlagen, den Scan-Profilen,
organisiert. Diese Scan-Profile enthalten die Scan-Anweisungen/Parameter, die die Scan-Engine während eines Sicherheits-Audits
berücksichtigt. Neben den durchzuführenden Schwachstellenchecks
werden hierbei somit auch die von den Zielrechnern abzurufenden
Informationen definiert. Weitere Informationen zu Scan-Profilen
erhalten Sie im Kapitel "Scan-Profile" in diesem Handbuch.
Nutzen Sie die beispielsweise die Option Default Scanning Profile,
um Sicherheits-Scans zu starten, die einen breiten Scan-Bereich
abdecken.
Zugangsdaten für den Zugriff auf Zielrechner
Bei einigen Checks, die Informationen abrufen oder Schwachstellen
überprüfen, muss sich GFI LANguard N.S.S. per Fernzugriff an den zu
überprüfenden Zielrechnern anmelden. Die Kontrolle läuft
standardmäßig im Sicherheitskontext des Benutzers ab, der GFI
LANguard N.S.S. gestartet hat. Sie können auch alternative
Zugangsdaten bereitstellen, um einen Scan in einem anderen
Sicherheitskontext als dem des aktuell angemeldeten Benutzers zu
starten.
Die überwiegende Anzahl an Netzwerk-Scans kann im oben
beschriebenen Sicherheitskontext erfolgen. In einigen Fällen ist es
jedoch erforderlich, sich über unterschiedliche Administratorkonten an
einzelnen Zielrechnern anzumelden.
Hierfür stellt GFI LANguard N.S.S. die Möglichkeit bereit, für
verschiedene Zielrechner in Ihrem Netzwerk eigene Computer-Profile
zu definieren. Mit Hilfe von Computer-Profilen können Sie
Zugangsdaten für die Anmeldung an einem Zielrechner festlegen,
selbst wenn ein Sicherheits-Scan in einem anderen Sicherheitskontext
durchgeführt wird. Beispielsweise können Sie durch Einsatz von
Computer-Profilen sicherstellen, dass der Computer FILESERVER
immer über das Konto COMPANY\fileserveradmin und der Computer
WEBSERVER immer über das Konto COMPANY\webserveradmin
gescannt wird.
Weitere Informationen zu Computer-Profilen erhalten Sie im Kapitel
"Konfigurieren von GFI LANguard N.S.S." unter "Computer-Profile".
Wichtige Hinweise vor Scan-Beginn
1. Beachten Sie, dass die mit GFI LANguard N.S.S.
durchgeführten Scans dazu führen, dass in Ihrem Unternehmen
eingesetzte Intrusion Detection Software (IDS) Warnmeldungen
ausgibt und Eindringlingsalarm auslöst. Sind Sie nicht mit der
16 • Erste Schritte: Durchführen eines Sicherheits-Audits
Administration des IDS-Systems betraut, sollten Sie daher den
zuständigen Administrator über einen bevorstehenden Scan
informieren.
2. Neben den von den Scans verursachten IDS-Alarmen sollten Sie
auch beachten, dass viele der Scans zudem in Protokolldateien
verzeichnet werden. UNIX-Logs, Web-Server usw. zeigen den
Rechner an, von dem der Zugriffsversuch per GFI LANguard N.S.S.
erfolgt ist. Gibt es mehrere Netzwerk-Administratoren in Ihrem
Unternehmen, sollten Sie Ihre Kollegen über bevorstehende Scans
informieren.
Durchführen von Sicherheits-Scans mit Standardvorgaben
GFI LANguard N.S.S. ist bereits vorkonfiguriert, sodass Sie sofort
nach Abschluss der Installation Ihr System mit einem ersten einfachen
Scan überprüfen können.
Für einen solchen Standard-Scan müssen lediglich die zu
kontrollierenden Zielrechner angegeben werden. Der Standard-Scan
von GFI LANguard N.S.S. umfasst
•
Anmeldung an den Zielrechnern mit Hilfe der Zugangsdaten des
aktuell verwendeten Benutzerkontos (unter denen auch GFI
LANguard N.S.S. läuft).
•
Einsatz mehrerer Standard-Checks, die im Scan-Profil "Default"
bereits vorkonfiguriert sind. "Default" ist eine der bereits im
Lieferumfang von GFI LANguard N.S.S. enthaltenen Scan-ProfilVorgaben.
So führen Sie Ihren ersten Scan durch:
1. Klicken Sie auf das Menü File ` New.
Screenshot 8 – Auswahl des Scan-Bereichs
2. Wählen Sie aus folgenden Optionen den gewünschten ScanBereich aus:
•
Scan single computer – Scannt einen einzelnen Computer.
•
Scan range of Computers – Scannt einen bestimmten IPBereich.
•
Scan list of Computers – Scannt eine selbst definierte Liste mit
Computern.
•
Scan a Domain – Scannt eine komplette Windows-Domäne.
Hinweis: Die Option Scheduled Scan ist für einen manuellen ErstScan nicht von Bedeutung. Sie wird zum Konfigurieren von
Schwachstellen-Scans benötigt, die zu einem bestimmten Zeitpunkt
automatisch gestartet werden. Eine detaillierte Funktionsbeschreibung
von geplanten Scans erfolgt im Kapitel "Konfigurieren von GFI
LANguard N.S.S.".
Screenshot 9 – Verschiedene Scan-Optionen
3. Geben Sie die erforderlichen Daten des zu kontrollierenden
Zielrechners ein (Host-Name, IP-Adresse, IP-Bereich oder
Domänenname).
4. Klicken Sie auf die Schaltfläche OK, um den Standard-Scan zu
starten.
Informationen zum Scan-Ablauf
Zu Beginn des Scan-Prozesses überprüft GFI LANguard Network
Security Scanner, ob alle gewünschten Ziele für eine Überprüfung
bereitstehen, d. h., es wird kontrolliert, ob die Zielrechner aktiv und
über das Netzwerk erreichbar sind. Diese Kontrolle erfolgt
automatisch per NetBIOS-Anfragen, ICMP-Pings und SNMPAnfragen.
Erfolgt auf diese Anfragen keine Reaktion des Zielrechners, geht GFI
LANguard N.S.S. davon aus, dass er zum Zeitpunkt der Überprüfung
unter den angegebenen IP-Adressen nicht erreichbar oder gerade
ausgeschaltet ist. Zielrechner, die auf Scan-Anfragen nicht antworten,
werden standardmäßig von GFI LANguard N.S.S. nicht gescannt.
Nach der ersten Anfrage wird eine Verbindung mit dem Zielrechner
hergestellt, und die Scan-Engine führt die individuellen oder
standardmäßigen Schwachstellen-Checks durch. Während eines
Standard-Scans führt die Scan-Engine automatisch eine Reihe
vorkonfigurierter Checks durch, die mehrere Bereiche eines
Netzwerks auf bestimmte Schwachstellen überprüft. Nachfolgend
erfahren Sie, wie Sie mit Hilfe verschiedener Scan-Profile, die als
editierbare Vorgaben bereitstehen oder selbst definiert werden
können, gezielter nach Sicherheitslücken suchen können.
Durchführen eines Scans mit verschiedenen (standardmäßigen)
Scan-Profilen
Zusätzlich zum standardmäßigen, allgemeinen Scan-Profil bietet GFI
LANguard N.S.S. eine Vielzahl spezifischer vorkonfigurierter ScanProfile, die eine bestimmte Kategorie von Schwachstellen-Checks
starten. Dank der Auswahl an unterschiedlichen Scan-Profilen lassen
sich manuelle Konfigurationsänderungen für einen Scan auf ein
Minimum beschränken, da in den Scan-Vorlagen bereits alle
notwendigen Einstellungen definiert sind.
Um diese Schwachstellenkontrollen durchführen zu können, müssen
zwei Parameter definiert werden:
•
Zu scannende Zielcomputer
•
Das Scan-Profil (Schwachstellen-Checks/Tests), mit dem die
Zielcomputer kontrolliert werden sollen
GFI LANguard N.S.S. meldet sich standardmäßig mit Hilfe der
aktuellen Zugangsdaten des Benutzerkontos (unter denen auch GFI
LANguard N.S.S. läuft) an den Zielrechnern an.
So starten Sie ein Sicherheits-Audit unter Verwendung eines anderen
Scan-Profils:
2. Wählen Sie den gewünschten Scan-Typ aus (z. B. Single
computer).
Domänenname).
Screenshot 10 – Neuer Scan: Auswahl eines Scan-Profils
4. Wählen Sie im Dialogfeld “New Scan“ aus der Drop-Down-Liste
Scan Profile das für den Sicherheits-Scan gewünschte Profil aus.
Wählen Sie beispielsweise Missing Patches, um fehlende SoftwarePatches von Microsoft samt der Rechner, auf denen sie fehlen,
anzeigen zu lassen.
5. Klicken Sie auf die Schaltfläche OK, um den Scan zu starten.
Durchführen eines Scans mit alternativen Zugangsdaten
Bei der Durchführung eines Sicherheits-Scans muss GFI LANguard
N.S.S. sich an den Zielrechnern authentifizieren. Auf diese Weise ist
sichergestellt, dass die Scan-Engine alle Rechte zur Ausführung der
konfigurierten Schwachstellen-Checks und zum Abruf der
erforderlichen Systeminformationen erhält.
Die Authentifizierung an den Zielrechnern erfolgt über eine
"physische" Anmeldung unter Verwendung von Zugangsdaten eines
Kontos, das mit Administratorrechten versehen ist. Bei diesem Konto
muss es sich nicht zwingenderweise um das Konto eines
Domänenadministrators oder Organisationsadministrators handeln. Es
muss jedoch für die zu kontrollierenden Zielrechner mit
administrativen Rechten ausgestattet sein.
Je nach System sind oftmals unterschiedliche Authentifizierungsmethoden erforderlich. Für Linux-Systeme ist beispielsweise häufig
ein Private Key an Stelle eines herkömmlichen Passworts erforderlich.
GFI LANguard N.S.S. unterstützt beide Authentifizierungsmethoden.
Weitere Informationen zu Authentifizierungsmethoden erhalten Sie im
Kapitel "Konfigurieren von GFI LANguard N.S.S." unter "ComputerProfile".
So starten Sie ein Sicherheits-Audit unter Verwendung besonderer
Zugangsdaten:
Screenshot 11 – Werkzeugleiste "New Scan" Drop-Down-Liste für Authentifizierungsmethoden
1. Geben Sie in der Werkzeugleiste für neue Scans in der Drop-DownListe für die Zugangsdaten die für dieses Sicherheits-Audit zu
verwendende Authentifizierungsmethode an. Zur Auswahl stehen:
•
Currently Logged-On User – Die Authentifizierung am
Zielrechner erfolgt über Zugangsdaten des Windows NT-Kontos
(d. h. mit Hilfe des Kontos, unter dem GFI LANguard N.S.S. läuft).
•
Null Session – Mit dieser Option wird versucht, eine Verbindung
mit dem Zielrechner ohne Authentifizierung herzustellen.
Hierdurch können Sie feststellen, welche Informationen nicht
authentifizierten (internen/externen) Benutzern zugänglich sind.
•
Alternative Credentials – Die Authentifizierung am Zielrechner
erfolgt mit Hilfe gesondert angegebener Zugangsdaten. Geben Sie
diese Daten in den Eingabefeldern Username und Password
neben der Drop-Down-Liste an.
•
SSH Private Key – Die Authentifizierung an Linux-basierten
Zielrechnern erfolgt per Benutzername und Private Key anstatt per
Passwort (d. h. nicht per Public Key).
Hinweis: Weitere Informationen zur Authentifizierung per Private
Key erhalten Sie im Kapitel "Konfigurieren von GFI LANguard
N.S.S." unter "Informationen zur Authentifizierung per SSH mit
Private Key".
3. Wählen Sie den gewünschten Scan-Typ aus (z. B. Single
computer).
Domänenname).
5. Wählen Sie im Dialogfeld “New Scan“ aus der Drop-Down-Liste
Scan Profile das für den Sicherheits-Scan gewünschte Profil aus.
Direktes Starten von Sicherheits-Scans über die Werkzeugleiste
So starten Sie ein Sicherheits-Audit direkt per Werkzeugleiste:
Screenshot 12 – Werkzeugleiste "New Scan"
1. Geben Sie in der Werkzeugleiste für neue Scans in der Drop-DownListe für die Zugangsdaten die für dieses Sicherheits-Audit zu
verwendende Authentifizierungsmethode an. Falls notwendig, geben
Sie die dafür erforderlichen Zugangsdaten in den Eingabefeldern
neben der Drop-Down-Liste an.
Screenshot 13 – Angabe des Zielrechners und Scan-Profils in der Werkzeugleiste
2. Geben Sie in der darunter positionierten Drop-Down-Liste Scan
Target
die
zu
scannenden
Zielrechner
an,
z.
B.
TMJason,130.12.1.20-130.12.1.30 o. ä.
3. Wählen Sie aus der Drop-Down-Liste Profile das für diesen
Sicherheits-Scan zu verwendende Profil aus.
4. Klicken Sie auf die Schaltfläche Scan, um den SchwachstellenScan zu starten.
Erste Schritte: Analysieren der ScanErgebnisse
Einführung
Nach Abschluss eines Sicherheits-Scans zeigt GFI LANguard N.S.S.
die
Scan-Ergebnisse
in
einem
separaten
Fenster
der
Konfigurationsoberfläche an.
Die Ergebnisse sind nach Scan-Typ in unterschiedliche Kategorien
eingeteilt. Die Anzahl der Ergebniskategorien und die Art der während
eines Sicherheits-Scans gesammelten Informationen hängen vom
Check-Typ ab, mit dem die Zielrechner überprüft wurden. Ebenso
haben die Parameter, die für das Sicherheits-Audit im Scan-Profil
konfiguriert wurden, einen Einfluss auf die Ergebnisausgabe. Je nach
Scan-Profil, das Sie für das Sicherheits-Audit verwenden, werden
somit unterschiedliche Ergebniskategorien angezeigt. Weitere
Informationen zu Scan-Profilen erhalten Sie im Kapitel "Scan-Profile"
in diesem Handbuch.
Durch den Einsatz von Filtern lassen sich Scan-Ergebnisse zudem so
aufbereiten, dass nur einzelne Details angezeigt werden. Hierfür steht
die Option Scan Filters zur Verfügung. Weitere Informationen zu
Scanfiltern erhalten Sie im Kapitel "Filtern von Scan-Ergebnissen".
Analysieren der Scan-Ergebnisse
Screenshot 14 – Konfigurationsoberfläche Analyse der Scan-Ergebnisse
Erste Schritte: Analysieren der Scan-Ergebnisse • 23
Im mittleren Fenster Scanned Computers werden über
entsprechende Unterknoten Ergebniskategorien angezeigt, die die
Scan-Ergebnisse der überprüften Computer enthalten. So ist es Ihnen
möglich, Schwachstellen schnell und gezielt zu erkennen und zu
untersuchen.
Scan-Ergebnisse werden in folgende Sicherheitskategorien unterteilt:
•
Vulnerabilites (Sicherheitslücken)
•
Potential Vulnerabilities (potenzielle Sicherheitslücken)
•
Shares (Freigaben)
•
Applications (Anwendungen)
•
Network devices (Netzwerk-Hardware)
•
USB devices (USB-Geräte)
•
Password policy (Passwort-Richtlinien)
•
Security audit policy (Richtlinien für Sicherheits-Audits)
•
Registry (Registrierdatenbank)
•
Open TCP-Ports (Offene TCP-Ports)
•
System patching status (Patch-Status eines Computers)
•
NetBIOS names (NetBIOS-Namen)
•
Computer
•
Groups (Gruppen)
•
User
•
Logged On Users (Angemeldete Benutzer)
•
Sessions (Sitzungen)
•
Services (Dienste)
•
Processes (Prozesse)
•
Remote time of day (TOD, Systemzeit des Zielrechners)
•
Local drives (Lokale Festplatten)
Durch Auswahl eines dieser Unterknoten werden im rechten Fenster
Scan Results die Ergebnisse der jeweiligen Kategorie übersichtlich
aufgelistet.
24 • Erste Schritte: Analysieren der Scan-Ergebnisse
Vulnerabilities (Sicherheitslücken)
Screenshot 15 – Knoten "Vulnerabilities"
Klicken Sie auf
Vulnerabilities, um die auf dem Zielrechner
identifizierten Sicherheitsschwachstellen anzuzeigen. Diese werden
nach Typ und Gefährdungsgrad in fünf Stufen unterteilt:
•
Missing Service Packs (fehlende Service Packs)
•
Missing patches (fehlende Patches)
•
High security vulnerabilities (kritische Sicherheitslücken)
•
Medium security vulnerabilities (wichtige Sicherheitslücken)
•
Low security vulnerabilities (kleinere Sicherheitslücken)
Vulnerabilities (Sicherheitslücken) ` Missing Service Packs
(fehlende Service Packs)
Bei einem Service Pack (SP) handelt es sich Software, mit der
bekannte Fehler von Betriebssystemen und Applikationen behoben
oder ihnen neue Funktionen hinzugefügt werden.
GFI LANguard N.S.S. sucht nach fehlenden Service Packs für
Microsoft-Produkte, indem die Versionen der auf den Zielrechnern
installierten Service Packs mit den aktuellsten über Microsoft
verfügbaren Service Pack-Versionen verglichen wird.
Screenshot 16 – Baumansicht zu fehlenden Service Packs
Hinweis: Die Suche nach fehlenden Software-Updates und Service
Packs kann für mehrere Produkte von Microsoft erfolgen. Eine
vollständige Liste der unterstützten Produkte erhalten Sie unter
Der Ergebnisbaum dieser Kategorie zeigt Informationen an zu:
•
‘Product name’ und ‘Service Pack Number’.
•
URL: – Link zu einem Knowledge-Base-Artikel oder anderen
Support-Informationen zum fehlenden Service Pack.
•
Release date: – Das Datum, an dem das als fehlend
gemeldete Service Pack veröffentlicht wurde.
Um mehr Informationen zu einem fehlenden Service Pack zu erhalten,
klicken Sie mit der rechten Maustaste auf das entsprechende Service
Pack, und wählen Sie im Kontextmenü More details.
Screenshot 17 – Fehlendes Service Pack – Sicherheits-Bulletin
Der Dialog "Bulletin Info" mit Informationen zum Service Pack wird
geöffnet. Hierzu zählen:
•
Die "QNumber". Sie wird von Microsoft jedem Software-Update als
eindeutige Kennung zugewiesen.
•
Das Datum, an dem das Sicherheits-Bulletin/Service Pack
veröffentlicht wurde.
•
Eine ausführlichere Beschreibung des Service Packs und seiner
Inhalte.
•
Alle Betriebssysteme/Anwendungen, für die das Service Pack
gedacht ist.
•
Eine URL, unter der weitergehende Informationen zum Service
Pack abrufbar sind.
•
Der Name der Service Pack-Datei und die Dateigröße.
•
Die URL, unter der dieses Service Pack manuell heruntergeladen
werden kann.
Vulnerabilites (Sicherheitslücken) ` Missing Patches
(fehlende Patches)
Ein Patch ist ein Update, das von einem Software-Unternehmen
veröffentlicht wird, um als Reparatursoftware ein technisches oder
sicherheitsrelevantes
Problem
zu
beheben.
Bekannte
Sicherheitsschwachstellen, die nicht gepatcht werden, können von
Angreifern missbraucht werden, um z. B. Zugang zum Netzwerk zu
erhalten. Neu verfügbare Patches sollten daher so schnell wie möglich
installiert werden, damit ein Schutz von Unternehmenssystemen und daten sichergestellt ist.
GFI LANguard N.S.S. überprüft beim Scannen von Zielrechnern, ob
alle von Microsoft veröffentlichten Sicherheits-Updates installiert sind.
Screenshot 18 – Ergebnis eines Sicherheits-Scans: Fehlende Patches
Patches, deren Fehlen während des Scans eines Zielrechners
festgestellt wurde, werden in der Kategorie Missing Patches
aufgeführt und gruppiert.
Der Ergebnisbaum dieser Kategorie zeigt Informationen an zu:
•
Patch ID und ‘Product name.
•
Bugtraq-ID/URL: – Die ID und URL des zugehörigen Artikels
aus der Microsoft Knowledge-Base.
•
Severity: – Auswirkung, die der Patch auf die Sicherheitsstufe
eines Netzwerkgeräts hat.
•
Date Posted:
–
veröffentlicht wurde.
Datum, an dem der fehlende Patch
Um ausführlichere Informationen zu einem Patch zu erhalten, klicken
Sie mit der rechten Maustaste darauf, und wählen Sie im
Kontextmenü More details. Im sich öffnenden Dialog "Bulletin Info"
werden zusätzliche Details zum gewählten Patch angezeigt.
Hinweis: Die Suche nach fehlenden Software-Updates und Service
Packs kann für mehrere Produkte von Microsoft erfolgen. Eine
vollständige Liste der unterstützten Produkte erhalten Sie unter
Vulnerabilities (Sicherheitslücken) ` High, medium, low
security vulnerabilities (kritische, wichtige und kleinere
Sicherheitslücken)
Screenshot 19 – Kritische, wichtige und kleinere Sicherheitslücken
Die Unterknoten High, Medium und Low security vulnerabilities
bieten Informationen zu Sicherheitslücken, die bei der Kontrolle eines
Zielrechners festgestellt wurden. Sicherheitslücken werden in 8
Gruppen unterteilt:
•
CGI Abuses
•
FTP Vulnerabilities
•
DNS Vulnerabilities
•
Mail Vulnerabilities
•
RPC Vulnerabilities
•
Service Vulnerabilities
•
Registry Vulnerabilities
•
Misc/Linux/UNIX Vulnerabilities
Nachfolgend werden die Inhalte jeder Gruppe näher erläutert:
•
CGI Abuses (CGI-Missbrauch)
In dieser Gruppe sind Informationen zu Sicherheitsschwachstellen
enthalten, die auf Web-Servern festgestellt wurden (z. B.
fehlerhafte
Konfigurationseinstellungen).
Web-Server,
die
unterstützt werden, sind Apache, Netscape und Microsoft IIS. Es
werden Informationen bereitgestellt zu:
o
Vulnerability check name (z. B. Imported_IIS:
FrontPage Check)
o
Description: – Kurze Beschreibung der Sicherheitslücke.
o
•
Bugtraq-ID/URL: – Kennung des zugehörigen Artikels aus
der Knowledge-Base von Microsoft und eine URL, unter der
detailliertere Informationen zur Sicherheitslücke abgerufen
werden können.
Sicherheitslücken aus den Bereichen FTP, DNS, Mail,
RPC und Versch./Linux/UNIX
In diesen Gruppen sind Details zu Sicherheitslücken aufgeführt,
die bei der Überprüfung von Zielen im Netzwerk wie FTP- und
DNS-Servern oder SMTP-/POP3-/IMAP-Servern festgestellt
wurden. Die Informationen bieten Links zu Artikeln der Microsoft
Knowledge-Base oder anderer Support-Dokumentation des
Service Packs.
•
Service Vulnerabilities (Sicherheitslücken bei
Diensten)
In dieser Gruppe sind Details zu Sicherheitslücken aufgeführt, die
bei der Überprüfung von auf den Netzwerkgeräten laufenden
Diensten festgestellt wurden. Es werden zudem auf Zielrechnern
unbenutzte, aber immer noch aktive und aufrufbare Konten
angezeigt.
•
Registry Vulnerabilities (Sicherheitslücken in der
Registrierdatenbank)
In dieser Gruppe sind Details zu Sicherheitslücken aufgeführt, die
bei der Überprüfung der Einstellungen der Registrierdatenbank
eines gescannten Netzwerkgeräts festgestellt wurden. Die
Informationen bieten Links zur Support-Dokumentation und eine
kurze Beschreibung der Sicherheitslücke.
Potential Vulnerabilities (Potenzielle Sicherheitslücken)
Screenshot 20 – Knoten "Potential Vulnerabilities"
Klicken Sie auf den Unterknoten
Potential Vulnerabilities, um
Scan-Ergebnisse anzeigen zu lassen, die auf potenzielle NetzwerkSchwachstellen hinweisen. Obwohl die in dieser Kategorie
aufgelisteten Scan-Ergebnisse nicht als Sicherheitslücke
klassifiziert sind, müssen die entsprechenden Schwachstellen
von Ihnen kontrolliert werden, da sie ein Eindringen in Ihr System
ermöglichen.
Beispiel: Während eines Sicherheits-Scans listet GFI LANguard
N.S.S. alle installierten und konfigurierten Modems der Zielrechner
auf. Werden diese Modems nicht genutzt oder sind sie nicht ans
Telefonnetz angeschlossen, stellen sie keine unmittelbare Gefahr für
Ihr Netzwerk, d. h. keine Schwachstelle, dar. Sind sie jedoch ans
Telefonnetz angeschlossen und in Gebrauch, können sie von Ihren
Netzwerkbenutzern verwendet werden, um unautorisiert und
unüberwacht auf das Internet zuzugreifen.
Firewalls und andere Schutzmaßnahmen für die InternetKommunikation, z. B. Virenscanner und Inhaltsblocker) könnten
umgangen werden. Zudem können durch die Internet-Verbindungen
hohe Telefonkosten entstehen. Eine weitere Gefahr stellen Hacker
dar, die solche unüberwachten Verbindungen als Schwachstelle
entdecken und für einen unkontrollierten Zugriff auf Ihr Netzwerk
missbrauchen könnten. GFI LANguard N.S.S. stuft installierte
Modems daher als potenzielle Gefahren ein und führt sie in der
entsprechenden Kategorie auf (d. h. unter dem Knoten Potential
Vulnerability).
Open Shares (Offene Freigaben)
Zielrechners anzuzeigen.
Shares, um alle Freigaben des
Screenshot 21 – Knoten "Shares"
Viele Würmer und Viren (z. B. Klez, Bugbear, Elkern und Lovgate)
verbreiten sich über offene Freigaben von Netzwerkrechnern.
GFI LANguard N.S.S. listet die Eigenschaften alle in Ihrem Netzwerk
identifizierten Freigaben auf. So können Sie sicherstellen, dass
1. kein Benutzer anderen Anwendern Zugriff auf die gesamte
Festplatte gewährt,
2. ein anonymer/nicht authentifizierter Zugriff auf Freigaben nicht
erlaubt ist und entsprechende Zugriffsberechtigungen eingerichtet
sind,
3. Autostart-Ordner oder ähnliche Systemdateien nicht freigegeben
sind, da es ansonsten anderen Benutzern, die normalerweise
eingeschränkte Zugriffsrechte haben, möglich sein könnte, auf den
Zielrechnern schädliche Programme auszuführen,
4. kein Benutzer nicht benötigte oder verwendete Freigaben besitzt.
Für offene Freigaben werden folgende Informationen vom Zielrechner
abgerufen:
•
Name der Freigabe
•
auf dem Zielrechner freigegebenes Verzeichnis
•
Freigabeberechtigungen und Zugriffsrechte
•
NTFS-Berechtigungen und Zugriffsrechte
Hinweis: Jeder Windows-Rechner besitzt administrative Freigaben
(C$, D$, E$ usw.). Diese werden standardmäßig von GFI LANguard
N.S.S. beim Scannen des Zielrechners automatisch aufgelistet.
Sollten diese Überprüfung im Rahmen eines Sicherheits-Audits nicht
länger notwendig sein, kann GFI LANguard N.S.S. so konfiguriert
werden,
dass
administrative
Freigaben
beim
Scannen
unberücksichtigt bleiben. Weitere Informationen hierzu erhalten Sie im
Kapitel "Scan-Profile" unter "Anpassen der Abfrageparameter für
Betriebssystemdaten".
Password Policy (Passwort-Richtlinien)
Screenshot 22 – Knoten "Password policy"
Password Policy, um die
Einstellungen der auf den Zielrechnern eingerichteten PasswortRichtlinien abzurufen.
Unter Windows 2000/XP/2003 können Sicherheitsrichtlinien für alle
Benutzerkonten festgelegt werden, die Schutz vor Passwort-Angriffen
und anderen "Brute-Force-Attacken" bieten. Hierzu zählen Richtlinien
für Kontosperrungen oder solche, die die Nutzung sicherer Passwörter
erzwingen. Mit diesen grundlegenden Schutzmaßnahmen auf
Benutzerseite kann es Angreifern erschwert werden, einen Zugang
zum Netzwerk zu erhalten. So lassen sich beispielsweise typische
Fehler wie unzureichende Passwörter vermeiden (z. B. Passwörter mit
wenigen Zeichen, gängige Kombinationen, fehlende Passwörter bzw.
die Verwendung des Benutzernamens als Passwort).
Die von GFI LANguard N.S.S. von den Zielrechnern abgerufenen
Einstellungen für Passwort-Richtlinien ermöglichen es Ihnen schnell
zu
erkennen,
welche
Schwachstellen
im
Bereich
der
Rechnerkonfiguration zu beheben sind.
Registry (Registrierdatenbank)
Registry, um Informationen zu
wichtigen Einträgen der Registrierdatenbank des Zielrechners zu
erhalten.
Screenshot 23 – Knoten "Registry"
Durch Kontrolle der über den Unterknoten Run aufrufbaren
Informationen können Sie feststellen, welche Programme beim
Hochfahren des Zielrechners automatisch gestartet werden.
Mit Hilfe dieser Daten lassen sich neben erwünschten Anwendungen
auch Trojaner sowie autorisierte oder unautorisierte Applikationen
identifizieren, die einen Fernzugriff auf Ihr Netzwerk ermöglichen.
Software, die ohne Ihre Autorisierung über das Startmenü aufgerufen
wird, sollte genau überprüft werden.
Es könnte sich dabei um Schlupflöcher handeln, über die ein Zugang
zu Ihrem System ermöglicht wird.
Security Audit Policy (Richtlinien für Sicherheits-Audits)
Security Audit Policy, um
Informationen zu den auf dem Zielrechner konfigurierten Richtlinien
für Sicherheits-Audits zu erhalten.
Bestandteil eines jeden Sicherheitskonzepts sollte die Überwachung
und Kontrolle von Ereignissen sein, die in Ihrem Netzwerk eintreten.
Ereignisse werden in Ereignisprotokollen aufgezeichnet, deren
Analyse bei der Identifizierung von Sicherheitslücken oder
-verletzungen hilft. Versuche, in Ihr Netzwerk einzudringen, sollten
schnell erkannt und abgewehrt werden, bevor ein Schaden entstehen
kann. Mit Hilfe der "Gruppenrichtlinien" von Windows können Sie
Überwachungsrichtlinien festlegen, mit denen sich Benutzeraktivitäten
oder Systemereignisse in bestimmten Protokollen nachverfolgen
lassen.
Beim Scannen ermittelt GFI LANguard N.S.S. die aktuellen
Einstellungen
der
auf
den
Zielrechnern
konfigurierten
Überwachungsrichtlinien. Mit Hilfe dieser Informationen können Sie
überprüfen, ob Änderungen notwendig sind, um die Sicherheit weiter
zu verbessern.
Sicherheitsrichtlinien-Einstellungen auf Netzwerkrechnern sollten wie
folgt konfiguriert werden:
Überwachungsrichtlinie
Erfolg
Fehler
Anmeldeversuche
Ja
Ja
Kontenverwaltung
Ja
Ja
Active Directory-Zugriff
Ja
Ja
Anmeldeereignisse
Ja
Ja
Objektzugriffsversuch
Ja
Ja
Richtlinienänderungen
Ja
Ja
Rechteverwendung
Nein
Nein
Vorgangsprotokollierung
Nein
Nein
Ja
Ja
Systemereignisse
Alle Richtlinieneinstellungen der Zielrechner lassen sich zudem per
Fernzugriff über die Konfigurationsoberfläche von GFI LANguard
N.S.S. verändern. So ändern Sie die Einstellungen:
1. Klicken Sie im mittleren Fenster Scanned Computers mit der
rechten Maustaste auf den gewünschten Zielrechner, und wählen Sie
Enable auditing on ` This computer. Hierdurch wird der Assistent
"Audit Policy Administration Wizard" gestartet. Klicken Sie auf die
Schaltfläche Next, um mit der Konfigurierung fortzufahren.
Hinweis 1: Um per Fernzugriff Überwachungsrichtlinien auf einer
Auswahl an Zielrechnern zu konfigurieren, klicken Sie mit der rechten
Maustaste auf einen der im mittleren Fenster aufgeführten Rechner,
und wählen Sie Enable auditing on ` Selected computers.
Hinweis 2: Um per Fernzugriff Überwachungsrichtlinien auf allen im
mittleren Fenster aufgeführten Rechnern zu konfigurieren, klicken Sie
mit der rechten Maustaste auf einen der Zielrechner, und wählen Sie
Enable auditing on ` All computers.
Screenshot 24 – Administrationsassistent für Überwachungsrichtlinien
2. Aktivieren oder deaktivieren Sie die Kontrollkästchen der
Überwachungsrichtlinien, die auf den ausgewählten Zielrechnern
eingerichtet werden sollen. Um beispielsweise erfolgreiche Ereignisse
zu protokollieren, markieren Sie für die entsprechende
Überwachungsrichtlinie das Kontrollkästchen Success. Klicken Sie
auf die Schaltfläche Next, um mit der Konfigurierung der
Überwachungsrichtlinien auf den entfernten Zielrechnern zu beginnen.
Screenshot 25 – Ergebnisdialog des Assistenten für Sicherheitsrichtlinien
3. Ein Dialog informiert Sie über die Ergebnisse der Konfigurierung.
Klicken Sie auf die Schaltfläche Next, um zum letzten
Konfigurationsschritt zu gelangen.
4. Klicken Sie auf die Schaltfläche Finish, um den Assistenten "Audit
Policy Administration Wizard" zu schließen.
Open Ports (Offene Ports)
Open TCP Ports, um eine Liste
mit Ports anzeigen zu lassen, die auf einem gescannten Zielrechner
als offen identifiziert wurden.
Screenshot 26 – Knoten "Open TCP Ports"
Offene Ports stehen für aktive Dienste und Applikationen, über die
böswillige Anwender missbräuchlich Zugriff auf den Rechner nehmen
können. Es sollten nur solche Ports geöffnet bleiben, die eindeutig für
die zentralen bzw. Hauptfunktionen Ihrer Netzwerkdienste benötigt
werden. Alle anderen Ports sollten aus Sicherheitsgründen
geschlossen sein.
GFI LANguard N.S.S. nutzt standardmäßig das Scan-Profil Default
Scanning Profile. Mit Hilfe dieses Scan-Profils werde nicht alle 65535
TCP- und UDP-Ports kontrolliert, da eine vollständige Überprüfung auf
allen Zielrechnern zu viel Zeit in Anspruch nehmen würde. Default
Scanning Profile kontrolliert nur solche Ports, die ein beliebtes
Angriffsziel/Schlupfloch von Hackern, Trojanern, Viren, Spyware und
sonstiger Malware sind. Um für alle Zielrechner einen umfassenden
Port-Scan mit Überprüfung aller offenen Ports zu starten, wählen Sie
das Scan-Profil Full TCP & UDP Port Scan.
Weitere Informationen zur Durchführung von Sicherheits-Audits mit
Hilfe unterschiedlicher Scan-Profile erhalten Sie im Kapitel "ScanProfile" unter "Einsetzen von Scan-Profilen".
Weitere Informationen zur Anpassung von Scan-Profilen erhalten Sie
im Kapitel "Scan-Profile" unter "Erstellen eines neuen Scan-Profils".
Service-Fingerprinting
Neben der Überprüfung, ob ein Port offen oder geschlossen ist,
analysiert GFI LANguard N.S.S. mit Hilfe des Service-Fingerprinting
alle Dienste, die hinter den identifizierten offenen Ports laufen. So
kann ausgeschlossen werden, dass ein offener Port per Port-Hijacking
unautorisiert übernommen worden ist und nun missbräuchlich
verwendet wird. Beispielsweise können Sie überprüfen, ob bei Port 21
eines Zielrechners auch wirklich ein FTP-Server aktiv ist und kein
HTTP-Server.
Gefährliche Ports
Screenshot 27 – Suchergebnisse: Markierung gefährlicher Ports in Rot
GFI LANguard N.S.S. zeigt offene Ports, die häufig missbraucht
werden, mit einem roten Warnpunkt an. Dieser Hinweis bedeutet
jedoch nicht zwangsläufig, dass dort ein Backdoor-Programm aktiv ist.
Einige gültige Programme greifen auf dieselben Ports zurück wie
einige bekannte Trojaner – daher sollte eine weitere Kontrolle
erfolgen, bevor der Port geschlossen wird.
Users and groups (Benutzer und Gruppen)
Users, um alle lokalen
Benutzerkonten des Zielrechners anzuzeigen. Klicken Sie auf den
Unterknoten
Groups, um alle lokalen Gruppen des Zielrechners
anzuzeigen.
Mit den über diese Knoten verfügbaren Informationen können Sie
nicht benötigte oder missbräuchlich angelegte Benutzer und Gruppen
identifizieren, über die unautorisierte Anwender Zugriff auf Ihr System
nehmen können. Hierzu zählen auch das Gastkonto oder veraltete
Benutzer- und Gruppenkonten. Einige Backdoor-Programme
aktivieren beispielsweise das Gastkonto und versehen es mit
Administratorrechten. Dank der über den Unterknoten Users
verfügbaren Angaben lassen sich für jedes Benutzerkonto die jeweils
zugewiesenen Zugriffsrechte kontrollieren.
Hinweis: Benutzer sollten sich nicht über ein lokales Konto an einem
Netzwerkrechner anmelden. Aus Gründen einer erhöhten Sicherheit
ist hier ein Login über ein Domänen- oder Active Directory-Konto zu
empfehlen.
Logged On Users (Angemeldete Benutzer)
Logged on Users, um die Liste
der Benutzer aufzurufen, die am Zielrechner lokal (per interaktiver
Anmeldung) oder entfernt (per Remote-Netzwerkverbindung)
angemeldet sind.
Screenshot 28 – Angemeldete Benutzer
Für jeden identifizierten Benutzer, der angemeldet ist, werden
folgende Informationen abgerufen (je nach Verbindung):
•
Logged on username – aktueller Benutzername.
•
Time and Date of the Logon – Uhrzeit und Datum der
Benutzeranmeldung am Zielrechner.
•
Time elapsed since their logon – Dauer der Verbindung seit
Anmeldung des Benutzers.
•
Number of programs running – Anzahl der Programme, die der
interaktiv angemeldete Benutzer zum Zeitpunkt des Scans
geöffnet hatte.
•
Idle time – Leerlaufdauer der Benutzerverbindung (bei
vollständiger Inaktivität).
•
Client type – Plattform/Betriebssystem, über die/das der
Remote-Benutzer eine Verbindung mit dem Zielrechner hergestellt
hat.
•
Transport – Name des Diensts, über den die RemoteVerbindung zwischen dem Remote-Rechner und dem Zielrechner
hergestellt wurde (z. B. NetBIOS/SMB, Terminal Service, Remote
Desktop).
Services (aktive Dienste)
Services, um eine Übersicht aller
Dienste anzeigen zu lassen, die während des Sicherheits-Scans auf
den Zielrechnern aktiv waren. Mit Hilfe dieser Information können Sie
unbekannte/nicht benötigte Dienste auf Ihren Netzwerkrechnern
identifizieren.
Hinweis: Jeder aktive Dienst stellt ein potenzielles Sicherheitsrisiko
für Ihr Netzwerk dar. Daher sollten alle nicht benötigten Applikationen
und Dienste in Ihrem Netzwerk deaktiviert/geschlossen werden. So
verringern Sie die Anzahl der "Schlupflöcher", durch die Hacker
unerlaubten Zugriff auf Ihr System nehmen können.
Processes (aktive Remote-Prozesse)
Klicken Sie auf den Unterknoten Processes, um eine Übersicht aller
Prozesse anzeigen zu lassen, die während des Sicherheits-Scans auf
den Zielrechnern aktiv waren.
Screenshot 29 – Liste aller auf Zielrechnern aktiven Prozesse
Während eines Scans sammelt GFI LANguard N.S.S. eine Vielzahl an
Informationen zu den Prozessen, die auf den kontrollierten
Zielrechnern aktiv sind, und zeigt diese an. Folgende Daten werden
aufgeführt:
•
Name des Prozesses
•
Prozess-ID (PID)
•
Path (Pfad)
•
User (Benutzer)
•
PPID (Parent Process Identifier)
•
Domain (Domäne)
•
Command Line (Befehlszeile)
•
Handle Count (Anzahl der Handles)
•
Thread Count (Anzahl der Threads)
•
Priority (Priorität)
Applications (installierte Applikationen)
Screenshot 30 – Liste aller auf Zielrechnern installierten Applikationen
Applications, um eine Übersicht
aller Applikationen anzeigen zu lassen, die auf einem gescannten
Zielrechner installiert sind. Die gefundenen Applikationen werden in
drei Gruppen unterteilt angezeigt:
•
Anti-Viren-Anwendungen
•
Anti-Spyware-Anwendungen
•
Allgemeine Anwendungen.
Unter Anti-Viren-Applikationen und Anti-Spyware-Applikationen
werden alle Sicherheitsanwendungen gruppiert, die auf den
gescannten Zielrechnern installiert sind. Folgende Informationen
werden unter der jeweiligen Gruppe aufgeführt:
•
Applikationsname
•
Real time protection – Zeigt den Status des EchtzeitSchutzes einer Anti-Viren-Anwendung an (aktiviert/deaktiviert).
•
Up to date – Informiert, ob die Anti-Virus/SpywareSignaturdateien einer Sicherheitsanwendung auf dem neuesten
Stand sind. Hierfür wird die Statuskennzeichnung für
Signaturdateien kontrolliert (falls möglich).
•
Last update – Zeigt Datum und Uhrzeit des letzten Updates
der Anti-Viren/Spyware-Signaturen an.
•
Version – Informiert
Sicherheitsanwendung.
•
über
die
Versionsnummer
der
Publisher – Zeigt Herstellerinformationen an.
Unter der Gruppe General applications werden alle allgemeinen
Anwendungen aufgeführt, die auf dem gescannten Zielrechner
installiert sind. Hierzu zählen sämtliche Programme, die nicht als AntiViren/Spyware-Produkte klassifiziert sind, z. B. der Adobe Reader und
GFI LANguard Network Security Scanner.
Folgende Informationen werden in der Gruppe General Applications
aufgeführt:
•
Applikationsname
•
Version – Informiert über die Versionsnummer der Anwendung.
•
Publisher – Zeigt Herstellerinformationen an.
Network devices (Netzwerk-Hardware)
Network Devices, um eine
Übersicht über sämtliche Netzwerk-Hardware/Komponenten (z. B.
Netzwerkkarten aller Art) anzeigen zu lassen, die auf den gescannten
Computern installiert sind. Mit Hilfe dieser Informationen können Sie
unautorisierte Geräte, die mit Ihrem Netzwerk verbunden sind,
identifizieren und analysieren.
Nicht überwachte Netzwerk-Hardware, vor allem Wireless-Geräte,
kann Sicherheitslöcher öffnen, die eine Gefahr für die
Unternehmenssicherheit darstellen. Aus diesem Grund sollten nur von
Ihnen zugelassene Geräte dieser Art mit Ihrem Netzwerk verbunden
werden.
Screenshot 31 – Identifizierte Netzwerk-Hardware
GFI LANguard N.S.S. erkennt sämtliche installierte NetzwerkHardware, sowohl kabelgebundene als auch drahtlose. Die unter dem
Unterknoten Network Devices gelisteten Informationen werden in vier
Hauptgruppen angezeigt:
•
Physical devices (Wired) (kabelgebundene physische
Geräte)
•
Wireless devices (drahtlose Geräte)
•
Virtual devices (virtuelle Geräte)
•
Software enumerated devices (von Software spezifizierte
Geräte)
In jeder Gruppe werden verschiedene Informationen zu den
entdeckten Geräten aufgeführt, darunter:
•
MAC-Adresse
•
Assigned IP Address(es) (Zugewiesene IP-Adresse(n))
•
Host-Name
•
Domäne
•
DHCP-Informationen
•
WEP (falls verfügbar)
•
SSID (falls verfügbar)
•
Gateway
•
Status
USB-Geräte
Screenshot 32 – Liste identifizierter USB-Geräte
USB devices, um eine Übersicht
über alle USB-Geräte anzeigen zu lassen, die mit den Zielrechnern
verbunden sind. Mit Hilfe dieser Informationen können Sie
unerwünschte USB-Geräte identifizieren, die zum Zeitpunkt des
Scans mit den gescannten Zielrechnern verbunden waren. Zu diesen
Geräten zählen beispielsweise tragbare Massenspeicher wie Apple
iPods oder Creative Zens, per USB unterstützte drahtlose Geräte
sowie Bluetooth-Dongles.
Anzeigen unautorisierter USB-Geräte als kritische
Sicherheitslücken
Screenshot 33 – Als kritische Sicherheitslücke klassifiziertes USB-Gerät
Legen Sie über GFI LANguard N.S.S. fest, welche USB-Geräte
autorisiert/unautorisiert sein sollen und entsprechend anzuzeigen
sind. Weitere Informationen hierzu erhalten Sie im Kapitel "ScanProfile" unter "Erstellen einer Liste mit unautorisierter NetzwerkHardware".
System patching status (Status von Patches/Service Packs)
Screenshot 34 – Liste fehlender und installierter Patches/Service Packs
System patching status, um eine
Klicken Sie auf den Knoten
Übersicht über den Patch/SP-Status eines Zielrechners zu erhalten.
NetBIOS names (NetBIOS-Namen)
NETBIOS names, um eine
Übersicht über alle NetBIOS-Namen aufzurufen, die während eines
Scans identifiziert wurden.
Jeder Rechner eines Netzwerks besitzt einen eindeutigen NetBIOSComputernamen. Dieser Name besteht aus 16 Zeichen, mit denen
sich NetBIOS-Ressourcen im Netzwerk identifizieren lassen.
NetBIOS-Namen werden mit Hilfe der NetBIOS-Namensauflösung
einer IP-Adresse zugewiesen.
Während der Kontrolle fragt GFI LANguard N.S.S. die Identität und
Verfügbarkeit eines Zielrechners ab. Falls der Zielrechner verfügbar
ist, antwortet er durch Übersendung des entsprechenden NetBIOSNamens auf die Anfrage.
Computer (Informationen zu gescannten Zielrechnern)
Screenshot 35 – Spezielle Computerinformationen
Computer, um einzelne Daten zu
einem gescannten Rechner abzurufen. Folgende Informationen
werden unter diesem Knoten aufgeführt:
•
MAC: – Zeigt die MAC-Adresse der Netzwerkkarte an, über die
der Zielrechner eine Verbindung mit dem Netzwerk herstellt.
•
Time To Live (TTL): – Informiert über die maximal erlaubte
Anzahl von Netzwerk-Hops, bevor ein Datenpaket verworfen und
nicht weitergeleitet wird. Über diese Angabe können Sie die
Distanz (d. h. die Anzahl der Router-Hops) zwischen dem Rechner
mit GFI LANguard N.S.S. und dem gescannten Zielrechner
feststellen. Typische TTL-Werte sind 32, 64, 128 und 255.
•
Network Role: – Zeigt an, ob es sich bei einem gescannten
Zielrechner um eine Workstation oder einen Server handelt.
•
Domain: – Zeigt den Namen der Domäne/Arbeitsgruppe an.
Gehört ein gescanntes Ziel zu einer Domäne, werden in diesem
Feld die vertrauenswürdigen Domänen angezeigt. Andernfalls
steht in diesem Feld der Name der Arbeitsgruppe, zu der der
Rechner gehört.
•
LAN-Manager: – Bietet Angaben zum verwendeten
Betriebssystem und LAN-Manager (z. B. Windows 2000 LAN
Manager).
•
Language: Informiert über die Spracheinstellungen des
Zielrechners (z. B. Englisch).
Sessions (aktive Sitzungen)
Screenshot 36 – Spezielle Sitzungsinformationen
Sessions, um eine Übersicht aller
Hosts anzeigen zu lassen, die während des Sicherheits-Scans remote
mit dem Zielrechner verbunden waren. Folgende Informationen
werden unter diesem Knoten aufgeführt:
•
•
Computer:
– Die IP-Adresse des Hosts, der mit dem
gescannten Zielrechner zum Zeitpunkt des Scans remote
verbunden war.
Username: – Aktueller Benutzername.
•
Open files: – Anzahl der Dateien, auf die bislang während der
Sitzung zugegriffen worden ist.
•
Connection time: – Die Verbindungsdauer (in Sekunden), d. h.
wie lang ein Benutzer zum Zeitpunkt des Scans bereits mit dem
Zielrechner remote verbunden ist.
•
Idle time: – Gesamtdauer (in Sekunden) für die die Verbindung
bislang inaktiv gewesen ist.
•
Client type – Plattform/Betriebssystem, mit dem der per
Fernzugriff angemeldete Rechner (d. h. der Client-Computer) läuft.
•
Transport – Name des Diensts, über den die RemoteVerbindung zwischen dem Client-Rechner und dem Zielrechner
hergestellt wurde (z. B. NetBIOS/SMB).
Hinweis: Zu den unter diesem Knoten aufgeführten Informationen
zählen auch Angaben zur Remote-Verbindung, die durch den von GFI
LANguard N.S.S. durchgeführten Scan aufgebaut wurde. Die IP des
Rechners, auf dem GFI LANguard N.S.S. läuft, seine Zugangsdaten
usw. werden somit ebenfalls angezeigt.
Remote time of day (Uhrzeit des Zielrechners)
Remote TOD, um die
Netzwerkzeit anzuzeigen, die während des Scans vom Zielrechner
abgerufen wurde. Diese Uhrzeit wird bei Netzwerkrechnern im
Allgemeinen vom zuständigen Domänen-Controller bestimmt.
Local drives (Lokale Festplatten)
Local Drives, um eine Übersicht
zu allen physischen Festplatten auf dem Zielrechner aufzurufen. Die
über diesen Unterknoten abrufbaren Informationen umfassen den
Laufwerk-Buchstaben, die Gesamtgröße des Laufwerks sowie den
freien Festplattenspeicher.
Speichern und Abrufen von ScanErgebnissen
Einführung
GFI LANguard N.S.S. sichert Scan-Ergebnisse standardmäßig
automatisch per Microsoft Access oder Microsoft SQL Server
Datenbank-Backend. Ergebnisse können jedoch auch in einer
externen XML-Datei gespeichert werden.
In XML-Dateien und im Datenbank-Backend gespeicherte ScanErgebnisse lassen sich zur weiteren Verarbeitung über die
Benutzeroberfläche von GFI LANguard N.S.S. abrufen. Dies erlaubt
es Ihnen beispielsweise, Daten miteinander zu vergleichen oder
bereits als fehlend erkannte Patches ohne ein erneutes Scannen des
Netzwerks für bestimmte Zielrechner bereitzustellen.
Speichern von Scan-Ergebnissen in einer externen (XML-)Datei
Nach Abschluss eines Sicherheits-Scans werden alle Ergebnisse
automatisch im Datenbank-Backend gesichert. So speichern Sie die
Resultate in einer externen XML-Datei:
1. Gehen Sie auf File ` Save scan results.
2. Geben Sie den Namen der XML-Datei an, in der die Ergebnisse
gespeichert werden sollen (z. B. ScanErgebnis_11052005.xml).
3. Klicken Sie auf die Schaltfläche Save.
Speichern und Abrufen von Scan-Ergebnissen • 47
Abrufen von Scan-Ergebnissen
Abrufen gespeicherter Scan-Daten aus dem DatenbankBackend
Screenshot 37 – Abruf gespeicherter Scan-Ergebnisse
GFI LANguard N.S.S. kann Scan-Ergebnisse per Microsoft Access
oder Microsoft SQL Server Datenbank-Backend speichern. In
derselben Datenbankdatei werden standardmäßig für einen
Zielrechner die letzten 10 mit demselben Scan-Profil durchgeführten
Scans gespeichert.
Hinweis: Die Anzahl der gespeicherten Scan-Ergebnisse lässt sich
über den Knoten Database Maintenance unter dem Reiter Manage
Saved Scan Results verändern. Weitere Informationen hierzu
erhalten Sie im Kapitel "Datenbank-Wartung – Optionen" unter
"Verwalten gespeicherter Scan-Ergebnisse".
So rufen Sie gespeicherte Scan-Ergebnisse aus dem DatenbankBackend ab:
1. Klicken Sie mit der rechten Maustaste auf den Knoten Security
Scanner (Default), und wählen Sie Load saved scan results from `
Database. Der Dialog zu den gespeicherten Scan-Ergebnissen wird
aufgerufen.
48 • Speichern und Abrufen von Scan-Ergebnissen
Screenshot 38 – Gespeicherte Scan-Ergebnisse
2. Wählen Sie die Scan-Ergebnisse aus, die Sie abrufen möchten.
3. Klicken Sie auf die Schaltfläche OK.
Abrufen gespeicherter Scan-Ergebnisse aus einer externen
(XML-)Datei
So rufen Sie in einer externen XML-Datei gespeicherte ScanErgebnisse ab:
1. Klicken Sie mit der rechten Maustaste auf den Knoten Security
Scanner (Default), und wählen Sie Load saved scan results from `
XML. Der Dialog zu den im XML-Format gespeicherten ScanErgebnissen wird aufgerufen.
2. Wählen Sie die Datei mit den Scan-Ergebnissen aus, die Sie
abrufen möchten.
Speichern und Abrufen von Scan-Ergebnissen • 49
50 • Speichern und Abrufen von Scan-Ergebnissen
Filtern von Scan-Ergebnissen
Einführung
Nachdem GFI LANguard N.S.S. einen Scan durchgeführt hat, lassen
sich die Scan-Ergebnisse filtern, damit nur die von Ihnen für eine
Analyse benötigten Daten angezeigt werden. Beispielsweise können
Sie nur solche Informationen herausfiltern lassen, sich auf Computer
mit kritischen Sicherheitslücken beziehen.
Screenshot 39 – Knoten "Scan Filters"
Wählen Sie zum Filtern der Daten eines Sicherheits-Scans einen der
verfügbaren Scan-Filter aus. Scan-Filter starten Abfragen, die ScanErgebnisse
nach
bestimmten
Kriterien
durchsuchen
und
entsprechende Treffer anzeigen. Im Lieferumfang von GFI LANguard
N.S.S. sind bereits mehrere Standard-Filter enthalten. Hierzu zählen:
•
Full Report
– Zeigt sämtliche während eines Scans
gesammelten sicherheitsbezogenen Daten an.
•
Vulnerabilities [High Security] – Informiert über kritische
Sicherheitsprobleme, die dringend behoben werden sollten. Hierzu
zählen
fehlende
Service
Packs/Patches,
gefährliche
Sicherheitslücken und offene Ports.
•
Vulnerabilities [Medium Security] – Informiert über
Sicherheitsprobleme, die vom Administrator untersucht werden
sollten, z. B. mittelschwere Sicherheitsprobleme und Patches,
deren Einspielen als bedingt gefährlich eingestufte Lücken behebt.
Filtern von Scan-Ergebnissen • 51
•
Vulnerabilities [All] – Informiert über alle kritischen und
wichtigen Sicherheitslücken, die während eines Sicherheits-Scans
festgestellt wurden, darunter fehlende Patches und Service Packs.
•
Missing patches and service packs – Zeigt alle Service
Packs und Patch-Dateien an, die auf den gescannten Zielrechnern
fehlen.
•
Important Devices – USB – Führt sämtliche USB-Geräte auf,
die mit den gescannten Zielrechnern zum Zeitpunkt der Kontrolle
verbunden waren.
•
Important Devices – Wireless – Führt sämtliche WirelessNetzwerkkarten (PCI und USB) auf, die zum Zeitpunkt des Scans
mit den gescannten Zielrechnern verbunden waren.
•
Open Ports – Zeigt alle offenen TCP- und UDP-Ports auf den
gescannten Zielrechnern an.
•
Open Shares – Informiert über alle offenen Freigaben und
zugehörige Zugriffsrechte.
•
Auditing Policies – Listet die Einstellungen der AuditRichtlinien der gescannten Zielrechner auf.
•
Password Policies – Listet die Einstellungen der aktiven
Passwort-Richtlinien auf, die für die gescannten Zielrechner
definiert wurden.
•
Groups and Users – Zeigt die auf den gescannten
Zielrechnern erkannten Gruppen und Benutzer an.
•
Computer Properties – Zeigt die Eigenschaften jedes
Zielrechners an.
•
Installed Applications – Informiert über alle installierten
Applikationen (inklusive Sicherheitssoftware), die während eines
Sicherheits-Scans auf dem Zielrechner identifiziert wurden.
•
Non-Updated Security Software – Listet nur solche
installierten Sicherheitsanwendungen (d. h. Anti-Viren/SpywareSoftware) auf, bei denen Updates fehlen und deren
Signaturdateien veraltet sind.
Hinweis: Alle standardmäßigen Scan-Filter lassen sich individuell
anpassen. Ein Erstellen neuer Filter ist ebenfalls möglich.
Anwenden von Filtern auf Scan-Ergebnisse
So filtern Sie vorhandene Scan-Daten mit Hilfe eines Scan-Filters:
1. Starten und beenden Sie einen Sicherheits-Scan Ihres Netzwerks
oder rufen Sie Ergebnisse vorheriger Scans aus Ihrer Datenbank oder
XML-Datei ab.
52 • Filtern von Scan-Ergebnissen
Screenshot 40 – Scan-Filter: Vollständiger Bericht
2. Erweitern Sie den Knoten Security Scanner ` Scan filter.
3. Wählen Sie den gewünschten Scan-Filter aus (z. B. Vulnerabilities
[All]).
Erstellen eigener Scan-Filter
So erstellen Sie einen eigenen Scan-Filter:
1. Gehen Sie auf den Knoten Security Scanner ` Scan filter, klicken
Sie mit der rechten Maustaste auf den Unterknoten, und wählen Sie
im Kontextmenü New ` Filter. Der Dialog zu den Eigenschaften des
neuen Scan-Filters wird geöffnet.
Screenshot 41 – Eigenschaften eines neuen Scan-Filters: Reiter "General"
2. Geben Sie im sich automatisch aufgerufenen Reiter General den
Namen des neuen Scan-Filters an.
Screenshot 42 – Eigenschaften eines Filters
3. Klicken Sie auf die Schaltfläche Add, und wählen Sie aus der
angezeigten Liste die erforderliche Filtereigenschaft aus (z. B.
"Operating system"). Mit dieser Eigenschaft legen Sie fest, welche Art
von Information aus den Scan-Ergebnissen herausgefiltert werden soll
(d. h. Sie bestimmen den Anwendungsbereich).
4. Klicken Sie auf die Schaltfläche Next um fortzufahren.
Screenshot 43 – Eigenschaften einer Filterbedingung
5. Wählen Sie aus der Drop-Down-Liste zu Conditions die benötigte
Filterbedingung aus, und legen Sie den zu ermittelnden Filterwert
Value fest. Der Filterwert gibt die Zeichenfolge an, mit deren Hilfe der
Filter die Scan-Ergebnisse unter Berücksichtigung der Filterbedingung
durchsucht und entsprechende Treffer anzeigt.
6. Klicken Sie auf die Schaltfläche Add.
Hinweis: Es ist möglich, für jeden Scan-Filter mehrere Filterbedingungen festzulegen. Hierdurch können Sie leistungsfähige Filter
erstellen, mit deren Hilfe sich zu analysierende Daten noch gezielter
isolieren lassen.
Screenshot 44 – Eigenschaften eines neuen Scan-Filters: Reiter "Report Items"
7. Klicken Sie auf den Reiter Report Items.
8. Wählen Sie die Informationskategorien/Unterknoten aus, die nach
der Filterung angezeigt werden sollen.
9. Klicken Sie auf die Schaltfläche OK, um den Filter zu erstellen.
Der neue Filter wird dauerhaft als Unterknoten unter Security
Scanner ` Scan filters aufgeführt.
Hinweis: Um einen Scan-Filter zu löschen oder zu bearbeiten, klicken
Sie mit der rechten Maustaste auf den gewünschten Filter, und
wählen Sie im Kontextmenü Delete zum Löschen oder Properties
zum Bearbeiten der Eigenschaften.
Beispiel 1 – Erstellen eines Filters zur Suche nach Rechnern, auf
denen ein bestimmter Patch fehlt
Anhand des folgenden Beispiels wird gezeigt, wie ein Filter erstellt
werden kann, der alle Windows-Rechner auflistet, auf denen der
Microsoft-Patch MS03-026 (zur Abwehr des Blaster-Virus) fehlt.
2. Geben Sie im Eingabefeld für den Filternamen “Blaster-Patch fehlt“
ein.
4. Wählen Sie aus der Liste der Filtereigenschaften die Option
Operating System aus, und klicken Sie auf die Schaltfläche Next.
Screenshot 45 – Filterbedingungen
5. Wählen Sie aus der Drop-Down-Liste zu Conditions den Eintrag
Includes aus. Geben Sie im Eingabefeld Value den Wert “Windows“
ein.
6. Klicken Sie auf die Schaltfläche Add, um die Bedingung dem Filter
hinzuzufügen.
Screenshot 46 – Eigenschaften eines neuen Scan-Filters: Reiter "General"
7. Klicken Sie im Dialog zu den Eigenschaften des neuen Scan-Filters
auf die Schaltfläche Add, um eine weitere Filterbedingung mit dem
Patch-Namen (d. h. MS03-026) hinzuzufügen.
8. Wählen Sie aus der Liste der Filtereigenschaften den Eintrag Patch
aus, und klicken Sie auf die Schaltfläche Next.
9. Wählen Sie aus der Drop-Down-Liste zu Conditions den Eintrag is
not installed aus. Geben Sie im Eingabefeld Value den Wert “MS03026“ ein.
hinzuzufügen.
11. Klicken Sie auf die Schaltfläche OK, um die Konfigurierung
abzuschließen und den Filter zu erstellen. Der Filter steht über einen
neuen Unterknoten zur Verfügung. über Security Scanner ` Scan
Filter ` Blaster-Patch fehlt).
Beispiel 2 – Erstellen eines Filters zur Auflistung aller SunWorkstations mit Web-Server
So erstellen Sie einen Filter, der alle Sun-Workstations anzeigt, auf
denen einen Web-Server auf Port 80 läuft:
2. Geben Sie im Eingabefeld für den Filternamen “Sun WS, WebServer Port 80“ ein.
4. Wählen Sie aus der Liste der Filtereigenschaften den Eintrag
Operating System aus, und klicken Sie auf die Schaltfläche Next.
5. Wählen Sie aus der Drop-Down-Liste zu Conditions den Eintrag
Includes aus. Geben Sie im Eingabefeld Value den Wert “Sun OS“
ein.
7. Klicken Sie im Dialog zu den Filtereigenschaften auf die
Schaltfläche Add, um eine weitere Filterbedingung hinzuzufügen.
8. Wählen Sie TCP Port, und klicken Sie auf die Schaltfläche Next.
Der Dialog zu den Eigenschaften des neuen Scan-Filters wird
geöffnet.
9. Wählen Sie aus der Drop-Down-Liste zu Conditions den Eintrag is
open aus. Geben Sie im Eingabefeld Value den Wert “80“ ein.
hinzuzufügen.
11. Klicken Sie auf die Schaltfläche OK, um die Konfigurierung
abzuschließen und den Filter zu erstellen. Der Filter steht über einen
neuen Unterknoten zur Verfügung. (über Security Scanner ` Scan
Filter ` Sun WS, Web-Server Port 80).
Konfigurieren von GFI LANguard N.S.S.
Einführung
Sämtliche Konfigurationsoptionen von GFI LANguard N.S.S. können
über verschiedene Unterknoten des Knotens
Configuration
aufgerufen werden. Diese lauten
•
Scanning profiles (Scan-Profile)
•
Scheduled scans (Scans nach Zeitplan)
•
Computer profiles (Computer-Profile)
•
Alerting options (Warnoptionen)
•
Parameter files (Parameter-Dateien)
•
Database maintenance options (Optionen zur Datenbankwartung)
Diese Knoten stehen zur Verfügung zum
•
Anpassen der standardmäßigen Sicherheits-Scan-Profile
•
Hinzufügen
Optionen
•
Konfigurieren von Sicherheits-Scans nach einem Zeitplan
•
Konfigurieren der E-Mail-Warnmeldungen
•
Konfigurieren des verwendeten Datenbank-Backends
von
Scan-Profilen
mit
unterschiedlichen
Scan-
Scan-Profile
Bei Scan-Profilen handelt es sich um Vorlagen mit bereits
konfigurierten Einstellungen zum Ablauf eines Schwachstellen-Scans
(beispielsweise welche Sicherheits-Checks zu verwenden sind). ScanProfile liefern neben den Check-Anweisungen auch alle weiteren
Parameter, die von der Scan-Engine für eine Sicherheitsüberprüfung
von Zielrechnern benötigt werden.
GFI LANguard N.S.S. unterstützt mehrere Scan-Profile. Im
Lieferumfang sind bereits mehrere standardmäßige Profile enthalten,
die sich für allgemeine oder zielgerichtete Schwachstellen-Scans
verwenden lassen. Vorkonfigurierte Profile lassen sich zudem an
eigene Anforderungen anpassen, indem z. B. Schwachstellen-Checks
hinzugefügt oder entfernt oder zugehörige Funktionsparameter
verändert werden. Zusätzlich können Sie neue Scan-Profile erstellen,
die optimal auf Ihre Netzwerkinfrastruktur und zu scannenden
Zielrechner abgestimmt sind.
Weitere
Informationen
zum
Erstellen,
Konfigurieren
und
Individualisieren von Scan-Profilen erhalten Sie im Kapitel "ScanProfile" in diesem Handbuch.
Konfigurieren von GFI LANguard N.S.S. • 59
Scans nach Zeitplan
Über den Unterknoten Configuration ` Scheduled Scans können
Sie Scans konfigurieren, die wiederholt oder nur zu einem bestimmten
Zeitpunkt automatisch durchgeführt werden. Hierdurch lassen sich
einzelne Scans beispielsweise regelmäßig automatisch während der
Nachtstunden starten. Die Konfigurationsoptionen für Scans nach
Zeitplan lassen sich über zwei Reiter festlegen, Result Saving und
Results Notification. Rufen Sie diese Reiter auf, indem Sie auf den
Knoten Configuration ` Scheduled Scans gehen, mit der rechten
Maustaste auf den Unterknoten klicken und im Kontextmenü
Properties wählen. Der Dialog zur Konfigurierung der Scans nach
Zeitplan wird aufgerufen.
Screenshot 47 – Konfigurieren von Scans nach Zeitplan
Alle Ergebnisse von geplanten Scans werden standardmäßig in der
Datenbank gespeichert. Über den Reiter Result Saving können Sie
festlegen, ob die Ergebnisse der nach Zeitplan gestarteten Scans in
einer XML- oder HTML-Datei gespeichert werden sollen. Pro
geplantem Scan wird dabei jeweils eine Datei angelegt.
GFI LANguard N.S.S. bietet zudem die Möglichkeit, Ergebnisberichte
eines geplanten Scans nach Beendigung der Kontrolle automatisch an
eine E-Mail-Adresse, z. B. einen Administrator, zu senden. Legen Sie
über den Reiter Results notifications fest, welche Art von Bericht
verschickt werden soll, und geben Sie zudem die E-Mail-Adresse des
Empfängers an. Es lassen sich 2 Arten von Berichten automatisch
verschicken, ein "Full Scan Results"-Bericht und ein "Result
60 • Konfigurieren von GFI LANguard N.S.S.
Comparison"-Bericht. Weitere Informationen hierzu erhalten Sie weiter
unten in diesem Kapitel.
Erstellen eines Scans nach festem Zeitplan
Screenshot 48 – Übersicht über Scans nach Zeitplan
So erstellen Sie einen nach einem Zeitplan durchzuführenden Scan:
1. Gehen Sie auf den Knoten Configuration ` Scheduled Scans,
und klicken Sie mit der rechten Maustaste auf den Unterknoten.
Gehen Sie im Kontextmenü auf New ` Scheduled scan. Der
Konfigurationsdialog für einen neuen Scan nach Zeitplan wird
geöffnet.
Screenshot 49 – Neuer Scan nach Zeitplan
2. Geben Sie im sich standardmäßig aufgerufenen Reiter General die
gewünschten Zielrechner an (mit Host-Name, IP oder IP-Bereich).
3. Wählen Sie das Scan-Profil aus, das für diesen Scan verwendet
werden soll, und geben Sie eine Beschreibung des Scans an.
4. Soll dieser Scan regelmäßig erfolgen, geben Sie das Scan-Intervall
an.
5. Legen Sie Datum und Uhrzeit des Scan-Starts fest.
6. Sind für diesen Scan alternative Zugangsdaten erforderlich, können
diese über den Reiter Logon Credentials angegeben werden.
7. Wählen Sie sich über die angezeigte Drop-Down-Liste eine der
folgenden Optionen aus:
•
Alternative Credentials – Wählen Sie diese Option, um sich bei
Zielrechnern mit einem gesonderten Benutzernamen und
Passwort anzumelden, falls erforderlich.
•
SSH Private Key – Wählen Sie diese Option, um sich an LinuxRechnern per Private-Key-Authentifizierung anzumelden. Geben
Sie den Benutzernamen und die Private-Key-Datei an.
Hinweis: Sie können für Scans nach Zeitplan auch festlegen, dass
benötigte Authentifizierungsdaten direkt aus den Computer-Profilen
abgerufen werden. Um diese Funktion zu aktivieren, wählen Sie bitte
die Option Use data from computer profiles. Weitere Informationen
zu Computer-Profilen erhalten Sie weiter unten in diesem Kapitel
unter "Computer-Profile".
8. Klicken Sie auf die Schaltfläche OK, um die Einstellungen zu
speichern.
Konfigurieren der Speicherung von Scan-Ergebnissen
Screenshot 50 – Eigenschaften von Scans nach festem Zeitplan
Ergebnisse aus nach einem Zeitplan durchgeführten Scans werden
standardmäßig per Microsoft Access oder Microsoft SQL DatenbankBackend gesichert. Scan-Ergebnisse lassen sich jedoch auch in einer
XML- oder HTML-Datei als Bericht sichern. Diese Dateien können
beispielsweise für Ergebnisvergleiche verwendet werden. So lassen
Sie Scan-Ergebnisse in einer XML/HTML-Datei sichern:
klicken Sie mit der rechten Maustaste auf den Unterknoten, und
wählen Sie im Kontextmenü Properties. Der Eigenschaften-Dialog für
den die Scans nach Zeitplan wird geöffnet.
2. Um die Scan-Ergebnisse in einer XML-Datei zu speichern, wählen
Sie die Option Save scheduled scan results to XML file, und geben
Sie den Namen und Pfad der XML-Datei an.
3. Um Scan-Ergebnisse in einer HTML-Datei zu speichern, wählen Sie
die Option Generate and save scan result HTML reports to, und
geben Sie den Namen und Pfad der HTML-Datei an.
speichern.
Konfigurieren der Zusendung von Scan-Berichten
Screenshot 51 – Eigenschaften von Scans nach festem Zeitplan: Reiter "Results Notification"
GFI LANguard N.S.S. lässt sich so konfigurieren, dass Berichte von
geplanten Scans per E-Mail an einen autorisierten Empfänger
geschickt werden. Es gibt zwei Arten von Berichten, die versendet
werden können, ein "Full Scan Results"- und ein "Result Comparison"Bericht. Der "Full Scan Results"-Bericht enthält alle Ergebnisse eines
nach festem Zeitplan durchgeführten Scans. Der "Result
Comparison"-Bericht hingegen informiert nur über Änderungen/
Unterschiede, die zwischen dem zuletzt und dem davor
durchgeführten Scan festgestellt werden konnten.
Hinweis: Wurden bei Auswahl des "Result Comparison"-Berichts
keine Unterschiede zwischen zwei miteinander verglichenen ScanErgebnissen festgestellt, oder ist ein Scan nach festem Zeitplan zum
ersten Mal durchgeführt worden, erhält der Administrator keinen
Bericht.
So legen Sie fest, welche Art von Bericht nach Durchführung eines
nach Zeitplan durchgeführten Scans per E-Mail zugestellt werden:
wählen Sie im Kontextmenü Properties. Der Eigenschaften-Dialog für
den die Scans nach Zeitplan wird geöffnet.
2. Klicken Sie auf den Reiter Results Notifications.
3. Wählen Sie die Berichte aus, die per E-Mail zugestellt werden
sollen.
speichern.
Hinweis: Über den Knoten Configuration ` Alerting Options
können Sie Änderungen an den Einstellungen zum E-Mail-Servers
oder der E-Mail-Adresse des Administrators vornehmen.
Computer-Profile
Über den Knoten Configuration ` Computer Profiles können Sie die
Zugangsdaten Ihrer Netzwerk-Rechner angeben und speichern.
Sowohl in kleineren als auch größeren Netzwerken gibt es Rechner,
bei denen für eine Anmeldung unterschiedliche Zugangsdaten
erforderlich sind. Einige Systeme erfordern mitunter eine spezielle
Authentifizierung per Public Key, beispielsweise bei Verwendung von
Linux. Bei diesen Authentifizierungsverfahren kommen üblicherweise
besondere/eigene Zugangsdaten wie Private Key-Dateien an Stelle
herkömmlicher Passwort-Strings zum Einsatz.
Über Computer-Profile können Sie je nach Zielrechner andere
Zugangsdaten angeben. Die Scan-Engine greift dann bei der
Authentifizierung an den Zielrechnern auf die in den ComputerProfilen gespeicherten Zugangsdaten zu. Somit brauchen Sie vor dem
Start eines Netzwerk-Scans nicht länger die standardmäßigen
Zugangsdaten extra anzugeben. Zudem können im Rahmen eines
(einzelnen) Scan-Durchlaufs Zielrechner überprüft werden, die
unterschiedliche Zugangsdaten und Authentifizierungsverfahren
erfordern.
Beispiel: Während eines Scan-Durchlaufs können Sicherheits-Checks
sowohl für Windows-Rechner (unter Verwendung von Benutzername/Passwort) als auch Linux-Rechner (unter Verwendung von
Benutzername/SSH Private Key-Dateien) durchgeführt werden.
Informationen zur SSH-basierten Authentifizierung per
Private Key-Datei
GFI LANguard N.S.S. stellt die Verbindung mit Linux-Zielrechnern per
SSH her. Bei der Public Key-Verschlüsselung werden zur
Überprüfung der Authentizität einer SSH-Verbindungsanfrage zwei
Schlüssel (in Form von Textdateien) verwendet. Diese Schlüssel sind
der "SSH Private Key" und der "SSH Public Key".
Der SSH Private Key wird von der Scan-Engine für die
Authentifizierung an einem entfernten Linux-Rechner verwendet.
Dieser Teil des Schlüsselpaares wird somit an Stelle eines
herkömmlichen Passwort-Strings verwendet und muss auf dem
Rechner mit GFI LANguard N.S.S. gespeichert sein.
Der SSH Public Key wird auf dem entfernten Zielrechner gespeichert
und von ihm für die korrekte Authentifizierung durch GFI LANguard
N.S.S. benötigt.
Die SSH-Schlüssel werden mit Hilfe eines Dritthersteller-Tools wie
SSH-KeyGen, das standardmäßig im SSH-Paket für Linux enthalten
ist, manuell erstellt.
Erstellen eines neuen Computer-Profils
Screenshot 52 – Eigenschaften eines Computer-Profils
So erstellen Sie ein neues Computer-Profil:
1. Gehen Sie auf den Knoten Configuration ` Computer Profiles,
wählen Sie im Kontextmenü New ` Computer(s) Profile. Der
Eigenschaften-Dialog zu Computer-Profilen wird geöffnet.
2. Der Reiter General wird standardmäßig aufgerufen. Geben Sie dort
den Namen des Zielcomputers ein.
3. Klicken Sie auf den Reiter Logon credentials.
4. Wählen Sie die erforderliche Authentifizierungsmethode aus, und
geben Sie die benötigten Zugangsdaten ein.
speichern.
Ändern der Eigenschaften eines Computer-Profils
Screenshot 53 – Anzeige bereits vorhandener Computer-Profile
So ändern Sie die Eigenschaften eines bereits vorhandenen
Computer-Profils:
1. Gehen Sie auf den Knoten Configuration ` Computer Profiles.
2. Klicken Sie mit der rechten Maustaste auf das Profil, das Sie
konfigurieren möchten, und wählen Sie im Kontextmenü Properties.
3. Führen Sie die gewünschten Änderungen durch, und klicken Sie
auf die Schaltfläche OK, um die Einstellungen zu speichern.
Verwenden von Computer-Profilen für einen SicherheitsScan
Screenshot 54 – Schaltfläche für Scans mit Hilfe eines Computer-Profils
Um für einen Sicherheits-Scan die über den Knoten Computer
Profiles festgelegten Zugangsdaten zu nutzen, klicken Sie auf die
Schaltfläche
("Daten aus Computer-Profilen verwenden"), die sich
in der Werkzeugleiste von GFI LANguard N.S.S. befindet.
Parameter-Dateien
Screenshot 55 – Übersicht über Parameter-Dateien
Gehen Sie auf den Knoten Configuration ` Parameter Files, um die
verschiedenen im txt-Format vorliegenden Parameter-Dateien zu
bearbeiten, die GFI LANguard N.S.S. zum Scannen von Zielrechnern
verwendet.
Hinweis: Diese Dateien sollten nur von erfahrenen Anwendern
verändert werden. Werden fehlerhafte Änderungen vorgenommen,
wirkt sich dies auf die Funktionsfähigkeit und Zuverlässigkeit der
Erkennung von Zielrechnern durch GFI LANguard N.S.S. aus.
Nachfolgend erhalten Sie eine Übersicht über die Parameter-Dateien,
die unter dem Knoten Parameter Files verändert werden können.
•
Enterprise_numbers.txt – Liste mit OIDs (Object Identifiers) und
den zugehörigen Unternehmenscodes (Hersteller/Universität).
Während eines Scans versucht GFI LANguard N.S.S. zuerst, über
die Datei object_ids.txt Informationen zu einem entdeckten
Netzwerk-Gerät zu erhalten. Gelingt dies nicht, greift GFI
LANguard N.S.S. auf die Datei Enterprise_numbers.txt zu, und
versucht, den Produkthersteller über die herstellerspezifischen
Informationen, die vom Zielgerät abgerufen werden konnten, zu
identifizieren. Diese Herstellerinformationen basieren auf den SMI
Network Management Private Enterprise Codes, die unter
http://www.iana.org/assignments/enterprise-numbers eingesehen
werden können.
•
Ethercodes.txt – Liste mit MAC-Adressen und den zugehörigen
Herstellern.
•
Ftp.txt – Liste mit FTP-Server-Bannern, über die GFI LANguard
N.S.S. das Betriebssystem eines Zielrechners identifizieren kann
(durch Analyse des installierten FTP-Servers).
•
Identd.txt – Enthält spezifische Banner, über die GFI LANguard
N.S.S. das Betriebssystem eines Zielrechners identifizieren kann
(über die Banner-Informationen).
•
Object_ids.txt – Enthält SNMP Object-IDs und zugehörige
Hersteller und Produkte. Reagiert ein Gerät auf eine SNMP-
Anfrage, vergleicht GFI LANguard N.S.S. die vom Zielrechner
ausgebenenen OID-Informationen mit den Daten in dieser Datei.
•
Passwords.txt – Liste mit Passwörtern, mit denen auf den
Zielrechnern nach schwachen Passwörtern gesucht wird (d. h. per
Wörterbuch-Angriff).
•
Rpc.txt – Liste mit Dienstnummern des RPC-Protokolls und den
zugehörigen Dienstnamenkennungen. Werden auf UNIX/LinuxRechnern aktive RPC-Dienste gefunden, vergleicht GFI LANguard
N.S.S. die empfangenen RPC-Informationen mit den Daten dieser
Datei. Hierdurch lässt sich die zugehörige Dienstnamenkennung
herausfinden und verifizieren.
•
Smtp.txt – Liste mit SMTP-Bannern und den zugehörigen
Betriebssystemen. Wie bei den Dateien FTP.txt und ident.txt
werden diese Banner zur Identifizierung des Betriebssystems
verwendet, das auf dem Zielrechner läuft.
•
Snmp-pass.txt – Liste mit gängigen Community-Strings. Mit Hilfe
dieser Strings erkennt GFI LANguard N.S.S. SNMPSchwachstellen auf einem Zielrechner. Während des Scans wird
überprüft, ob in der Datei enthaltene Community-Strings vom
kontrollierten SNMP-Server verwendet werden. Ist dies der Fall,
werden die entsprechenden Strings in den Scan-Ergebnissen
angezeigt.
•
Telnet.txt – Liste verschiedener Telnet-Server-Banner. Diese
Telnet-Banner werden von GFI LANguard N.S.S. zur
Identifizierung des Betriebssystems eines Zielrechners verwendet.
•
Www.txt – Liste verschiedener Web-Server-Banner. Diese WebServer-Banner werden von GFI LANguard N.S.S. zur
Identifizierung des Betriebssystems eines Zielrechners verwendet.
Datenbankwartungsoptionen
Einführung
Zur Auswahl und Konfigurierung des Datenbank-Backends von GFI
LANguard N.S.S. gehen Sie auf den Knoten the Configuration `
Database Maintenance Options. Das Datenbank-Backend wird zur
Speicherung der Ergebnisse von Netzwerk-Scans verwendet.
Über dem Knoten Database Maintenance Options lassen sich
zudem die Wartungsfunktionen der Datenbank einrichten. So können
Sie z. B. festlegen, dass gespeicherte Scan-Ergebnisse nach Ablauf
eines festgelegten Zeitraums automatisch gelöscht werden sollen.
Bei Verwendung von Microsoft Access als Datenbank-Backend
können Sie zudem die Komprimierung der Datenbank nach einem
festen Zeitplan ablaufen lassen. Dabei werden alle fehlerhaften Daten
repariert und zum Löschen vorgesehene Einträge entfernt.
Konfigurieren des Datenbank-Backends
Zum Konfigurieren der Wartungsoptionen der Datenbank klicken Sie
mit der rechten Maustaste auf den Knoten Configuration ` Database
Maintenance Options, und wählen Sie im Kontextmenü Properties
aus. Der Eigenschaften-Dialog für die Datenbank-Wartung wird
geöffnet.
Screenshot 56 – Eigenschaften der Datenbank-Wartung
Die Wartungsoptionen können über drei Reiter aufgerufen werden.
Diese lauten
•
Change Database (zum Ändern der Datenbank)
•
Manage Saved Scan Results (zur Verwaltung gespeicherter
Scan-Ergebnisse)
•
Advanced (zur Komprimierung der Access-Datenbank)
Auswahl des Datenbank-Backends
Über den Reiter Change Database legen Sie fest, welche Datenbank
zur Archivierung der gespeicherten Scan-Ergebnisse verwendet
werden soll. Als Datenbank-Backends werden Microsoft Access und
Microsoft SQL Server 2000 oder höher unterstützt.
Speichern von Scan-Ergebnissen in einer Microsoft AccessDatenbank
So speichern Sie Scan-Ergebnisse
Datenbank:
in einer Microsoft Access-
1. Gehen Sie auf den Knoten Configuration ` Database
Maintenance Options, klicken Sie mit der rechten Maustaste auf den
Unterknoten, und wählen Sie im Kontextmenü Properties.
2. Wählen Sie die Option Microsoft Access.
3. Geben Sie den vollständigen Pfad (inklusive Dateiname) des MS
Access Datenbank-Backends ein.
Hinweis 1: Sollte die Datenbank noch nicht existieren, wird sie bei
diesem Schritt erstellt.
Hinweis 2: Ist die angegebene Datenbank-Datei bereits vorhanden
und wurde sie von einer früheren Version von GFI LANguard N.S.S.
verwendet, wird folgende Nachricht angezeigt.
Screenshot 57 – Update-Dialog für Datenbank-Backend
Klicken Sie auf die Schaltfläche Yes, um die Datenbank und ihre
Scan-Ergebnisse zu aktualisieren, damit sie ebenfalls unter GFI
LANguard N.S.S. 7 eingesetzt werden kann.
Wenn Sie auf die Schaltfläche No klicken, wird eine bereits
vorhandene Datenbank überschrieben.
speichern.
Speichern von Scan-Ergebnissen in einer Microsoft SQL
Server-Datenbank
Screenshot 58 – Optionen der Microsoft SQL Server-Datenbank
So speichern Sie Scan-Ergebnisse in einer Microsoft SQL ServerDatenbank:
1. Gehen Sie auf den Knoten Configuration ` Database
Maintenance Options, klicken Sie mit der rechten Maustaste auf den
Unterknoten, und wählen Sie im Kontextmenü Properties.
2. Wählen Sie die Option Microsoft SQL Server.
3. Wählen Sie aus der Liste der in Ihrem Netzwerk gefundenen Server
den SQL-Server aus, der die Datenbank hosten soll.
4. Geben Sie die Zugangsdaten für den SQL-Server an, oder wählen
Sie die Option Use NT authority credentials, um sich mit den Daten
des Windows-Kontos am SQL-Server zu authentifizieren.
speichern.
Hinweis 1: Sind die Angaben zum Server und die Anmeldedaten
korrekt, meldet sich GFI LANguard N.S.S. automatisch am SQLServer an und erstellt die erforderlichen Datenbanktabellen. Bereits
bestehende Datenbanktabellen werden weiterverwendet.
Hinweis 2: Bei der Windows NT-Authentifizierung müssen die Dienste
von GFI LANguard N.S.S. unter einem Benutzerkonto mit
administrativen Zugriffsrechten für die SQL Server-Datenbanken
laufen.
Datenbank-Wartung – Verwalten gespeicherter ScanErgebnisse
Screenshot 59 – Eigenschaften der Datenbank-Wartung, Gespeicherte Scan-Ergebnisse
Über den Reiter Manage Saved Scan Results lassen sich die in der
Datenbank gespeicherten Scan-Ergebnisse verwalten und ggf. auch
löschen. Das Löschen kann manuell oder automatisch über einen
festgelegten Zeitplan zur Datenbank-Wartung erfolgen.
Während der geplanten Datenbank-Wartung löscht GFI LANguard
N.S.S. gespeicherte Scan-Ergebnisse, die eine in Tagen, Wochen
oder Monaten festgelegte Archivierungsdauer überschreiten, automatisch. Die automatische Datenbank-Wartung kann zudem so
konfiguriert werden, dass nur eine festgelegte Anzahl von ScanErgebnissen pro kontrolliertem Zielrechner und Scan-Profil
gespeichert wird.
Zum Löschen gespeicherter Scan-Ergebnisse wählen Sie die
gewünschten Ergebnisse aus, und klicken Sie auf die Schaltfläche
Delete Scan(s).
Folgende Optionen sind zur
Datenbank-Wartung verfügbar:
automatischen
Verwaltung
der
•
Scans which are less than – Löscht automatisch alle ScanErgebnisse, die eine in Tagen, Wochen oder Monaten festgelegte
Archivierungsdauer überschreiten.
•
Only last – Nur die festgelegte Anzahl der zuletzt gesammelten
Scan-Ergebnisse wird gespeichert.
Datenbank-Wartung – erweiterte Optionen
Screenshot 60 – Eigenschaften der Datenbank-Wartung, Reiter "Erweitert"
Zum Komprimieren und Reparieren eines MS Access-Datenbank
steht der Reiter Advanced zur Verfügung.
Die Leistung der von Ihnen eingesetzten Datenbank lässt durch eine
regelmäßige Reparatur und Komprimierung optimieren. Während der
Komprimierung werden Datenbank-Dateien neu organisiert, und zum
Löschen markierte Einträge werden entfernt. Hierdurch lässt sich
wertvoller Speicherplatz zurückgewinnen.
Zudem repariert GFI LANguard N.S.S. im Rahmen der Komprimierung
fehlerhafte Dateien des Datenbank-Backends. Datenkorruption kann
verschiedene Ursachen haben. Bei einer Microsoft Access-Datenbank
können Probleme auftreten, wenn die Datenbank unerwartet
geschlossen wird, bevor Einträge gesichert werden konnten (z. B. bei
Stromausfall, aufgehängten Prozessen, erzwungenen Neustarts usw.)
Folgende Optionen stehen über den Reiter Advanced zur Verfügung:
•
Das manuelle Reparieren und Komprimieren einer Microsoft
Access-Datenbank per Mausklick auf die Schaltfläche Compact
Now.
•
Die Automatisierung der Komprimierung einer Microsoft AccessDatenbank nach festem Zeitplan. Der Attendant von GFI
LANguard N.S.S. erledigt die Aufgabe selbsttätig.
Legen Sie über den Reiter Advanced fest, wie häufig die Datenbank
komprimiert werden soll.
Um die Datenbank-Komprimierung nur ein Mal durchzuführen, wählen
Sie die Option One time only.
Um die Datenbank regelmäßig komprimieren zu lassen, wählen Sie
die Option Every, und legen Sie folgende Einstellungen fest:
1. Den zeitlichen Abstand in Tagen, Wochen oder Monaten zwischen
den einzelnen Komprimierungs-/Reparaturvorgängen.
2. Das Datum und die Uhrzeit, wann der erste/nächste Komprimierungsvorgang durchgeführt werden soll.
Scan-Profile
Einführung
Scan-Profile sind konfigurierbare Vorlagen, mit denen ein SicherheitsAudit anhand einer festgelegten Auswahl an Schwachstellen gestartet
wird. Diese Vorlagen legen zudem fest, welche Daten zur Analyse
gesammelt werden.
Im Lieferumfang von GFI LANguard N.S.S. sind mehrere
standardmäßige Scan-Profile für unterschiedliche Netzwerk-Kontrollen
und zum Abruf verschiedener Daten enthalten. Durch Verwendung
dieser Profile sind keine Konfigurationsänderungen notwendig. Die
Anzahl der im Rahmen eines Scan-Profils durchgeführten Tests hängt
vom Bereich des Netzwerks ab, der auf Schwachstellen überprüft
werden soll.
Einige Scan-Profile bieten z. B. eine große Zahl an SchwachstellenTests, die verschiedenste Netzwerk-Bereiche abdecken (wie das
Scan-Profil Default). Andere Profile wiederum bedienen spezielle
Sicherheitsbereiche und starten nur eine eingeschränkte Auswahl an
Checks, um das Vorhandensein einer bestimmten Sicherheitslücke zu
kontrollieren (wie das Scan-Profil Trojan Ports zum Auffinden offener
Ports, die von Hackern und Trojanern als Schlupfloch verwendet
werden).
Die Liste der standardmäßigen Scan-Profile kann über den Knoten
Configuration ` Scanning profiles abgerufen werden. Folgende
Profile stehen über GFI LANguard N.S.S. zum sofortigen Einsatz
bereit:
•
Default – Mit diesem Scan-Profil und seiner ausgewogenen
Auswahl an Sicherheits-Checks zu den unterschiedlichsten
Netzwerk-Bereichen lässt sich eine breite Anzahl an
Sicherheitsinformationen abrufen. Folgende Daten werden von
den Zielrechnern abgerufen: häufig als Schlupfloch verwendete
offene
Ports,
installierte
Anwendungen,
installierte
und
Status
ihrer
Signaturen,
Betriebssystem-Informationen, Benutzer und Gruppen, NetzwerkGeräte, fehlende Patches und Service Packs, USB-Geräte,
Freigaben, Datum, Sitzungen, Audit-Richtlinien und aktive Dienste.
•
CGI scanning –
Mit diesem Scan-Profil lassen sich
Betriebssysteminformationen abrufen und Sicherheitstests speziell
für Web-Server durchführen.
•
Full TCP and UDP port scan – Überprüft Zielrechner auf alle
offenen TCP- und UDP-Ports. Sämtliche Ports von 0 bis 65535
werden kontrolliert.
•
Missing patches – Überprüft die Zielrechner auf fehlende
Sicherheits-Updates und Service Packs.
Scan-Profile • 75
•
Ping them all – Kontrolliert, welche Zielrechner des angegebenen
Bereichs aktiv sind.
•
Share finder – Sucht nach offenen Freigaben auf den
Zielrechnern und ruft zugehörige Eigenschaften ab.
•
Removable
media
protection
–
Kontrolliert,
Wechselspeicher an die Zielrechner angeschlossen sind.
•
Applications – Kontrolliert, welche Anwendungen auf den
Zielrechnern installiert sind.
•
Zudem stehen weitere Optionen zur Verfügung.
welche
Die Auswahl des für einen Sicherheits-Scan am besten geeigneten
Scan-Profils richtet sich nach
1.
der
Art
der
gewünschten
Sicherheitsinformationen.
Tests
und
benötigten
2. der Zeit, die zum Erstellen der Ergebnisberichte verfügbar ist.
Bitte beachten: Je mehr Schwachstellen-Checks gestartet werden,
desto länger dauert ein vollständiger Sicherheits-Audit.
Screenshot 61 – Knoten "Scanning Profiles"
Alle bereits vordefinierten Scan-Profile lassen sich individuell
verändern. Zusätzlich können Sie neue Scan-Profile erstellen, die
optimal auf Ihre Netzwerkinfrastruktur und zu scannenden Zielrechner
abgestimmt sind. So lässt sich beispielsweise ein Scan-Profil
erstellen, das nur zur Kontrolle von Rechnern in Ihrer DMZ verwendet
wird und nicht für das interne Netzwerk.
Durch
den
Einsatz
mehrerer
Scan-Profile
können
Sie
unterschiedlichste Sicherheits-Audits durchführen, ohne für die
einzelnen Arten von Sicherheits-Scans eine Neukonfigurierung
vornehmen zu müssen. Ermöglicht wird dies durch die Erstellung
unterschiedlicher,
vordefinierter
Scan-Profile,
die
an
die
Anforderungen Ihrer IT-Infrastruktur angepasst sind und sich einzeln
während der jeweiligen Netzwerk-Scans einsetzen lassen.
76 • Scan-Profile
Scan-Profile lassen sich Zeit sparend für differenzierte Checks und
Anfragen verwenden (z. B. um lediglich alle installierten
Anwendungen anzeigen zu lassen) oder können, je nach
Anforderung, für umfassende, zeitaufwendige Tests eingesetzt
werden (z. B. TCP-/UDP-Port-Scans).
Einsetzen von Scan-Profilen
Scannen eines lokalen Rechners mit dem "Default Scanning
Profile"
1. Öffnen Sie das Menü File ` New ` Scan single computer.
2. Wählen Sie die Option This computer.
Screenshot 62 – Neuer Scan
3. Wählen Sie in der Drop-Down-Liste zu Scan Profile den Eintrag
Default aus.
TIPP: Behalten Sie im Auge, wie viel Zeit ein vollständiger Scan
benötigt und wie umfangreich die gesammelten Daten sind.
Scannen eines lokalen Rechners mit dem "Applications
Scanning Profile"
1. Öffnen Sie das Menü File ` New ` Scan single computer.
2. Wählen Sie die Option This computer.
Scan-Profile • 77
Screenshot 63 – Neuer Scan Auswahl des Scan-Profils "Anwendungen"
3. Wählen Sie in der Drop-Down-Liste zu Scan Profile den Eintrag
Applications aus.
Bis zum Abschluss eines Schwachstellen-Scans per Profil
Applications vergeht weniger Zeit als bei Auswahl des Profils
Default. Grund hierfür ist der geringere Scan-Umfang, da nur
spezifische Checks zur Analyse der auf den Zielrechnern installierten
Anwendungen durchgeführt werden. Andere zusätzliche Daten
werden nicht ermittelt.
Das Scan-Profil Default umfasst zahlreiche Schwachstellen-Checks,
die fast alle Sicherheitsbereiche des Netzwerks abdecken. Aus
diesem Grund wird für einen vollständigen Scan und die Ausgabe der
Scan-Ergebnisse weitaus mehr Zeit benötigt.
Erstellen eines neuen Scan-Profils
So erstellen Sie ein neues Scan-Profil:
1. Gehen Sie auf den Knoten Configuration ` Scanning profiles,
wählen Sie im Kontextmenü New ` Scan Profile.
2. Geben Sie im angezeigten Dialog den Namen des neuen Profils
ein.
78 • Scan-Profile
Screenshot 64 – Konfigurierung der Scan-Profile
Im rechten Fenster der Konfigurationsoberfläche können Sie das neue
Scan-Profil bearbeiten. Hierfür stehen mehrere Reiter zu
unterschiedlichen Scan-Bereichen zur Verfügung, über die Sie deren
jeweilige Parameter festlegen können. Folgende Scan-Bereiche
können für das Scan-Profil definiert werden:
•
TCP ports – Über diesen Reiter können Sie die TCP-Port-Scans
aktivieren und die zu kontrollierenden Ports festlegen.
•
UDP ports – Über diesen Reiter können Sie die UDP-Port-Scans
aktivieren und die zu kontrollierenden Ports festlegen.
•
OS data – Über diesen Reiter können Sie festlegen, welche
Betriebssystem-Daten von Zielrechnern abgerufen werden sollen.
•
Vulnerabilities – Über diesen Reiter können Sie die
Sicherheitslücken-Scans aktivieren und festlegen, mit welchen
Checks die Zielrechner kontrolliert werden sollen.
•
Patches – Über diesen Reiter können Sie die Suche nach
fehlenden Patches aktivieren und festlegen, welche SicherheitsUpdates auf den Zielrechnern gesucht werden sollen.
•
Scanner properties – Über diesen Reiter können Sie die
Parameter für die Funktionen und Zielerkennung der Scan-Engine
festlegen (z. B. Timeout-Werte, Abfragemethoden u. v. m.).
•
Devices – Über diesen Reiter können Sie die Suche nach
angeschlossener (externer) Hardware aktivieren und festlegen,
welche Netzwerk- und USB-Geräte als autorisiert/nicht autorisiert
gelten sollen.
•
Applications – Über diesen Reiter können Sie die Suche nach
installierten Anwendungen aktivieren und festlegen, welche dieser
Anwendungen als autorisiert/nicht autorisiert gelten sollen.
Scan-Profile • 79
Anpassen eines Scan-Profils
So passen Sie ein Scan-Profil an Ihre eigenen Bedürfnisse an:
1. Erweitern Sie den Knoten Configuration ` Scanning Profiles.
2. Wählen Sie das zu bearbeitende Scan-Profil aus.
3. Wählen Sie im rechten Fenster über die Reiter am oberen Rand die
Scan-Bereiche aus, deren Parameter geändert werden sollen. Die
Änderungen werden beim nächsten neuen Scan-Durchlauf
berücksichtigt.
Konfigurieren der TCP/UDP-Port-Scans
Screenshot 65 – Eigenschaften der "Scanning Profiles" Profil "Default", Reiter "TCP Ports"
Aktivieren/Deaktivieren der TCP-Port-Scans
So aktivieren Sie die TCP-Port-Scans eines Scan-Profils:
1. Erweitern Sie den Knoten Configuration ` Scanning Profiles, und
wählen Sie das zu bearbeitende Scan-Profil aus.
2. Klicken Sie im rechten Fenster auf den Reiter TCP Ports.
3. Markieren Sie das Kontrollkästchen der Option Enable TCP Port
Scanning.
Hinweis: TCP-Port-Scans sind für jedes Scan-Profil einzeln zu
konfigurieren. Ist die Option in einem Scan-Profil nicht ausgewählt,
wird bei Sicherheits-Audits mit diesem Profil somit nicht nach offenen
TCP-Ports gesucht.
Aktivieren/Deaktivieren der UDP-Port-Scans
So aktivieren Sie die UDP-Port-Scans eines Scan-Profils:
80 • Scan-Profile
2. Klicken Sie im rechten Fenster auf den Reiter UDP-Ports.
3. Markieren Sie das Kontrollkästchen der Option Enable UDP Port
Scanning.
Hinweis: UDP-Port-Scans sind für jedes Scan-Profil einzeln zu
konfigurieren. Ist die Option in einem Scan-Profil nicht ausgewählt,
wird bei Sicherheits-Audits mit diesem Profil somit nicht nach offenen
UDP-Ports gesucht.
Anpassen der Liste zu scannender TCP/UDP-Ports
So legen Sie fest, welche TCP/UDP-Ports von einem Scan-Profil
während eines Sicherheits-Audits geprüft werden sollen:
2. Klicken Sie im rechten Fenster auf den Reiter TCP Ports oder UDP
Ports.
3. Markieren Sie die einzelnen TCP/UDP-Ports, die bei Verwendung
dieses Scan-Profils kontrolliert werden sollen.
Erweitern der Liste mit neuen TCP/UDP-Ports
Ports.
3. Klicken Sie auf die Schaltfläche Add. Hierdurch wird das Fenster
zum Hinzufügen eines neuen Ports geöffnet.
Scan-Profile • 81
Screenshot 66 – Hinzufügen von Ports
4. Geben Sie die Port-Nummer oder den Port-Bereich (z. B. '80-200')
und eine Beschreibung des Ports an.
Hinweis: Geben Sie Port-Bereiche
Anführungsstrichen (') an, z. B. '80-200'.
immer
in
einfachen
5. Handelt es sich bei der mit diesem Port verbundenen Anwendung
um ein Trojaner-Programm, markieren Sie das Kontrollkästchen Is a
trojan port.
Bearbeiten oder Entfernen eines Ports
Ports.
3. Wählen Sie den zu bearbeitenden oder entfernenden Port aus.
4. Klicken Sie auf die Schaltfläche Edit zum Bearbeiten oder auf
Remove zum Entfernen des Ports.
Hinweis: Beim Entfernen eines Ports wird dieser aus ALLEN ScanProfilen gelöscht. Soll GFI LANguard N.S.S. einen Port im Rahmen
eines einzelnen Scan-Profils nicht länger überprüfen, entfernen Sie
lediglich die Markierung neben dem betreffenden Port in der
TCP/UDP-Liste dieses Scan-Profils.
82 • Scan-Profile
Konfigurieren des Abrufs von Betriebssystem-Daten
Screenshot 67 – Eigenschaften der "Scanning Profiles" Reiter "OS Data"
Über den Reiter OS Data können Sie festlegen, welche
Betriebssystem-Informationen während eines Sicherheits-Audits vom
Zielrechner abgerufen werden. GFI LANguard N.S.S. kann diese
Daten sowohl von Windows- als auch Linux-Rechnern abrufen.
Anpassen des Abrufs von Betriebssystem-Daten
So legen Sie fest, welche Betriebssystem-Daten mit Hilfe eines ScanProfils während eines Sicherheits-Audits geprüft werden sollen:
2. Klicken Sie im rechten Fenster auf den Reiter OS Data.
3. Erweitern Sie den Knoten zur Gruppe Windows OS Data oder
Linux OS Data.
4. Legen Sie fest, welche Informationen zu den Betriebssystemen
während eines Sicherheits-Scans abgerufen werden sollen.
Sollen beispielsweise administrative Freigaben von einem Scan nicht
berücksichtigt werden, erweitern Sie die Option Enumerate shares,
und wählen Sie für Display admin shares die Option No.
Scan-Profile • 83
Konfigurieren der Optionen von Sicherheitslücken-Scans
Screenshot 68 – Eigenschaften der "Scanning Profiles" Reiter "Vulnerabilities"
Über den Reiter Vulnerabilities können Sie festlegen, auf welche
Sicherheitslücken ein Zielrechner während eines Sicherheits-Audits
überprüft werden soll. GFI LANguard N.S.S. bietet standardmäßig
eine vordefinierte Liste mit Schwachstellen-Checks. Diese Checks
können angepasst werden und für jedes Scan-Profil einzeln aktiviert
bzw. deaktiviert werden. Zudem haben Sie die Möglichkeit, eigene
Schwachstellen-Checks zu definieren, sich sich an die
Sicherheitsanforderungen Ihres Netzwerks anpassen lassen.
Aktivieren/Deaktivieren von Sicherheitslücken-Scans
So aktivieren/deaktivieren
einzelnen Scan-Profils:
Sie
Sicherheitslücken-Scans
eines
1. Erweitern Sie den Knoten Configuration ` Scanning Profiles,
und wählen Sie das zu bearbeitende Scan-Profil aus.
2. Klicken Sie im rechten Fenster auf den Reiter Vulnerabilities.
3. Markieren Sie das
Vulnerability Scanning.
Kontrollkästchen
der
Option
Enable
Hinweis: Sicherheitslücken-Scans sind für jedes Scan-Profil einzeln
zu konfigurieren. Ist die Option in einem Scan-Profil nicht ausgewählt,
wird bei Sicherheits-Audits mit diesem Profil somit nicht nach
Schwachstellen gesucht.
Anpassen der Liste zu kontrollierender Sicherheitslücken
So legen Sie fest, welche Sicherheitslücken von einem Scan-Profil
während eines Sicherheits-Audits geprüft werden sollen:
84 • Scan-Profile
Screenshot 69 – Auswahl der Sicherheitslücken-Checks für das Scan-Profil
3. Markieren Sie das Kontrollkästchen neben den Sicherheitslücken,
nach denen dieses Scan-Profil suchen soll.
Anpassen der Eigenschaften von Sicherheitslücken-Checks
Alle unter dem Reiter Vulnerabilities aufgeführten Checks besitzen
unterschiedliche Eigenschaften, die festlegen, wann der Check
ausgelöst wird und welche Informationen während eines Scans
angezeigt werden.
Scan-Profile • 85
Screenshot 70 – Eigenschaften einer Schwachstelle: Reiter "Allgemein"
Zu den Eigenschaften von Sicherheitslücken-Checks zählen:
•
Name der Schwachstelle und kurze Beschreibung
•
Sicherheitskategorie/Gefährdungsstufe der Schwachstelle
•
BugtraqID/URL mit nützlichen Hinweisen zur Schwachstelle
•
Vom Check benötigte Kontrollzeit
•
Auslösebedingungen
des
Sicherheitslücken-Checks
(beispielsweise HTTP-Methode, Ausgabewert).
So ändern Sie die Eigenschaften eines Sicherheitslücken-Checks:
1. Klicken Sie mit der rechten Maustaste auf die zu bearbeitende
Sicherheitslücke, und wählen Sie im Kontextmenü Properties.
2. Ändern Sie die Check-Eigenschaften wie gewünscht.
speichern.
86 • Scan-Profile
Sicherheitslücken-Checks – erweiterte Optionen
Screenshot 71 – Erweiterte Optionen für Schwachstellen-Scans
Per Mausklick auf die Schaltfläche Advanced unter dem Reiter
Vulnerabilities
werden
die
erweiterten
Optionen
für
Sicherheitslücken-Scans aufgerufen. Diese Optionen bieten
zusätzliche Konfigurierungsmöglichkeiten:
1. Sicherheitslücken-Scans lassen sich so konfigurieren, dass
Zielrechner auf unsichere Passwörter, anonymen FTP-Zugriff und
ungenutzte Anwenderkonten überprüft werden.
2. Sie können festlegen, wie GFI LANguard N.S.S. mit neu erstellten
Sicherheitslücken-Checks verfahren soll. Bestimmen Sie, ob neue
Checks automatisch allen anderen Scan-Profilen hinzugefügt oder
von diesen nicht berücksichtigt werden sollen.
3. Lassen Sie GFI LANguard N.S.S. CGI-Anfragen über einen
festgelegten Proxy-Server verschicken. Dies ist erforderlich, wenn
CGI-Anfragen von einem hinter einer Firewall betriebenen Rechner an
einen Web-Server geschickt werden, der sich "außerhalb" der Firewall
befindet (z. B. Web-Server in einer DMZ). Andernfalls würde die
Firewall alle direkten CGI-Anfragen, die GFI LANguard N.S.S. an den
davor liegenden Server schickt, blockieren. Um dies zu verhindern,
wählen Sie für die Option Send CGI requests through proxy bitte
Yes, und geben Sie den Namen/die IP-Adresse des Proxy-Servers
sowie des COM-Ports an, über den die CGI-Anfrage weiterzuleiten ist.
Scan-Profile • 87
Konfigurieren der Patch-Scan-Optionen
Anpassen der Scan-Optionen für fehlende Patches
Screenshot 72 – Eigenschaften der "Scanning Profiles" Reiter "Patches"
Über den Reiter Patches können Sie festlegen, nach welchen
Sicherheits-Updates auf einem Zielrechner gesucht werden soll. Es
werden alle verfügbaren Patches und Service Packs angezeigt und
können einzeln zur Kontrolle ausgewählt werden. Die Liste wird von
GFI LANguard N.S.S. automatisch aktualisiert, wenn GFI Updates zu
neu verfügbaren Patches veröffentlicht.
Über diesen Reiter können Sie zudem zu jedem in der Liste
aufgeführten Patch/Service Pack die Sicherheitsbulletin-Informationen
abrufen. Klicken Sie hierfür mit der rechten Maustaste auf ein
Sicherheits-Update und wählen Sie im Kontextmenü Properties.
Aktivieren/Deaktivieren von Patch-Checks
So aktivieren/deaktivieren Sie die Patch-Checks eines Scan-Profils:
2. Klicken Sie im rechten Fenster auf den Reiter Patches.
3. Markieren Sie das Kontrollkästchen zur Option Detect installed
and missing service packs/patches.
Hinweis: Checks zur Suche nach fehlenden Patches sind für jedes
Scan-Profil einzeln zu konfigurieren. Ist die Option in einem ScanProfil nicht ausgewählt, wird bei Sicherheits-Audits mit diesem Profil
somit nicht nach fehlenden Patches gesucht.
88 • Scan-Profile
Anpassen der Liste zu kontrollierender Patches
So legen Sie fest, nach welchen Patches von einem Scan-Profil
während eines Sicherheits-Audits gesucht werden soll:
2. Klicken Sie im rechten Fenster auf den Reiter Patches.
Screenshot 73 – Auswahl der zu kontrollierenden Patches
3. Markieren Sie das Kontrollkästchen der Patches, die über dieses
Scan-Profil gesucht werden sollen.
Verwenden der Suchfunktion für Sicherheitsbulletins
Screenshot 74 – Umfangreichere Informationen des Sicherheitsbulletins
So starten Sie die Suche nach einem bestimmten Sicherheitsbulletin:
1. Geben Sie im rechten Fenster im Eingabefeld zu Find bulletin den
Namen des Bulletins (z. B. “MS02-017“) oder die QNumber (z. B.
“Q311987“) an.
2. Klicken Sie auf die Schaltfläche Find, um nach dem Eintrag zu
suchen.
Scan-Profile • 89
Konfigurieren der Scanner-Optionen
Screenshot 75 – Eigenschaften der "Scanning Profiles" Reiter "Scanner Options"
Über
den
Reiter
Scanner
Options
können
Sie
die
Funktionsparameter der Scan-Engine festlegen. Diese Parameter
lassen sich für jedes Scan-Profil einzeln festlegen und bestimmen, wie
die Scan-Engine Kontrollen durchführt und Betriebssystem-Daten
abruft.
Zu den konfigurierbaren Optionen zählen Timeouts, Anfragetypen zur
Zielerkennung, SNMP-Abfragebereiche u. v. m.
Hinweis: Diese Parameter sollten mit größter Vorsicht konfiguriert
werden. Fehlerhafte Einstellungen können Sie Scan-Leistung von GFI
LANguard N.S.S. beeinträchtigen.
90 • Scan-Profile
Konfigurieren der Kontrolle extern angeschlossener Hardware
Screenshot 76 – Eigenschaften der "Scanning Profiles" Reiter "Devices"
Über den Reiter Devices lässt sich aktivieren, ob auf den Zielrechnern
nach Netzwerk- und USB-Geräten gescannt werden soll.
Screenshot 77 – Als kritische Sicherheitslücke klassifizierte Netzwerk-Geräte
GFI LANguard N.S.S. kann so konfiguriert werden, dass beim
Auffinden eines bestimmten USB- oder Netzwerk-Geräts eine
Warnmeldung zur einer kritischen Sicherheitslücke ausgegeben wird.
Hierfür müssen Sie eine Liste unautorisierter Geräte erstellen, für die
ein Sicherheitsalarm erfolgen soll.
Scan-Profile • 91
Zudem können Sie festlegen, welche Hardware als "sicher" gelten und
somit keinen Alarm auslösen soll, z. B. USB-Tastaturen. Hierfür
müssen Sie eine Liste autorisierter Geräte erstellen, die während
eines Sicherheits-Audits ignoriert werden sollen.
Screenshot 78 – Liste unerwünschter Netzwerk-Hardware
Netzwerk- und USB-Geräte-Scans sind für jedes Scan-Profil einzeln
zu konfigurieren. Geräte-Audits lassen sich individuell anpassen,
indem Sie mehrere Scan-Profile mit unterschiedlichen Listen zu
(un)autorisierten erstellen.
Beispielsweise können Sie ein standardmäßiges Scan-Profil zur
Kontrolle und Auflistung aller mit den Zielrechnern verbundenen USBund Netzwerk-Geräte errichten. Dabei braucht keine Positiv- oder
Negativ-Liste zu erwünschten/unerwünschten Geräten im Scan-Profil
definiert zu werden. Ebenso kann ein gesondertes Scan-Profil erstellt
werden, das nur an Zielrechner angeschlossene Bluetooth-Dongle
und WLAN-Karten auflistet.
Bei letzterem Fall müssen in der Liste der unerwünschten Netzwerkund USB-Geräte dieses Scan-Profils jedoch die Stichworte
"Bluetooth" und "Wireless" oder "Wifi" angegeben werden.
Über die Konfigurationsseite zu Devices stehen zwei weitere Reiter
zum Konfigurieren der Geräte-Scans zur Verfügung. Diese lauten
Network Devices und USB Devices.
Der Unterreiter Network Devices dient der Konfigurierung der ScanOptionen für angeschlossene Netzwerk-Hardware und der Positiv/
Negativ-Listen für erwünschte/unerwünschte Geräte.
Der Unterreiter USB Devices dient der Konfigurierung der ScanOptionen für angeschlossene USB-Hardware und der Positiv/NegativListen für erwünschte/unerwünschte Geräte.
92 • Scan-Profile
Scannen nach angeschlossener Netzwerk-Hardware
Screenshot 80 – Eigenschaften der "Scanning Profiles" Reiter "Devices"
Netzwerk-Hardware
So aktivieren Sie in einem Scan-Profil Scans nach angeschlossener
Netzwerk-Hardware:
2. Klicken Sie im rechten Fenster auf den Reiter Devices.
3. Markieren Sie das Kontrollkästchen zu Enable Scanning for
installed Network Devices on the target computer(s).
Hinweis: Scans nach Netzwerk-Hardware sind für jedes Scan-Profil
einzeln zu konfigurieren. Ist die Option in einem Scan-Profil nicht
ausgewählt, wird bei Sicherheits-Audits mit diesem Profil somit nicht
nach installierter Netzwerk-Hardware gesucht.
Scan-Profile • 93
Screenshot 81 – Eigenschaften der "Scanning Profiles" Listen zu unautorisierten und zu
ignorierenden Geräten
Anlegen einer Liste unautorisierter Netzwerk-Hardware
So erstellen Sie eine Liste unautorisierter/als gefährlich eingestufter
Netzwerk-Hardware:
3. Klicken Sie auf den Unterreiter Network Devices.
4. Geben Sie in der Liste zu Create a high security vulnerability for
network devices whose name contains: die Namen der NetzwerkHardware ein, bei deren Identifizierung eine kritische Sicherheitslücke
angezeigt werden soll.
Wenn Sie z. B. "wireless" eingeben, wird bei allen Gerätenamen, die
dieses Wort enthalten, eine Warnmeldung zu einer kritischen
Sicherheitslücke ausgegeben.
Anlegen einer Liste erwünschter/sicherer NetzwerkHardware
So erstellen Sie eine Liste erwünschter/als sicher eingestufter
Netzwerk-Hardware:
94 • Scan-Profile
4. Geben Sie in der Liste zu Ignore devices (Do not list/save to db)
whose name contains: die Namen sicherer Netzwerk-Hardware an,
die in den Scan-Ergebnissen nicht aufgeführt sein soll.
Hinweis: Geben Sie nur ein Netzwerk-Gerät pro Zeile an.
Konfigurieren erweiterter Scan-Optionen für NetzwerkHardware
Screenshot 83 – Konfigurieren der erweiterten Scan-Optionen für Netzwerk-Geräte
Über den Reiter Devices können Sie zudem den Typ der NetzwerkHardware angeben, die mit diesem Scan-Profil kontrolliert und in den
Scan-Ergebnissen angezeigt wird. Hierzu zählen: "wired network
devices" (kabelgebundene Netzwerk-Hardware), "wireless network
devices" (drahtlose Netzwerk-Hardware), "software enumerated
network devices" (von Software spezifizierte Hardware) und "virtual
network devices" (virtuelle Netzwerk-Hardware).
So legen Sie fest, welche Netzwerk-Hardware in den ScanErgebnissen aufgeführt werden soll:
4. Klicken Sie auf die Schaltfläche Advanced im unteren Bereich der
Seite.
5. Wählen Sie die benötigten Optionen durch Auswahl von Yes.
Scan-Profile • 95
Scannen nach USB-Geräten
Screenshot 84 – Als kritische Sicherheitslücke klassifizierte USB-Geräte
Aktivieren/Deaktivieren von Checks für angekoppelte USBGeräte
So aktivieren Sie in einem Scan-Profil Scans nach angeschlossener
USB-Hardware:
3. Markieren Sie das Kontrollkästchen zu Enable Scanning for USB
Devices installed on the target computer(s).
Hinweis: Scans nach USB-Hardware sind für jedes Scan-Profil
einzeln zu konfigurieren. Ist die Option in einem Scan-Profil nicht
nach angekoppelten USB-Geräten gesucht.
Anlegen einer Liste unautorisierter USB-Hardware
So legen Sie eine Liste unautorisierter USB-Hardware an:
3. Klicken Sie auf den Unterreiter USB Devices.
4. Geben Sie in der Liste zu Create a high security vulnerability for
USB devices whose name contains: die Namen der USB-Hardware
ein, bei deren Identifizierung eine kritische Sicherheitslücke angezeigt
werden soll.
96 • Scan-Profile
Wenn Sie z. B. "iPod" eingeben, wird bei allen Gerätenamen, die
Anlegen einer Liste erwünschter/sicherer USB-Hardware
So erstellen Sie eine Liste erwünschter/als sicher eingestufter USBHardware:
3. Klicken Sie auf den Unterreiter USB Devices.
4. Geben Sie in der Liste zu Ignore (Do not list/save to db) devices
whose name contains: die Namen sicherer USB-Hardware an (z. B.
USB-Maus), die in den Scan-Ergebnissen nicht aufgeführt werden
soll.
Hinweis: Geben Sie nur ein USB-Gerät pro Zeile an.
Konfigurieren der Kontrolloptionen für Anwendungen
Über den Reiter Applications können Sie festlegen, welche
installierten Anwendungen von diesem Scan-Profil während eines
Sicherheits-Audits überprüft werden sollen.
Screenshot 86 – Eigenschaften der "Scanning Profiles", Liste zu (un)autorisierten/zu
ignorierenden Anwendungen
Scan-Profile • 97
Über diesen Reiter können Sie festlegen, ob GFI LANguard N.S.S.
Zielrechner auf nicht erwünschte oder produktivitätshemmende
Software überprüfen soll. Bei Auffinden solche Programme kann eine
Warnmeldung zu einer kritischen Sicherheitslücke ausgegeben
werden.
Screenshot 87 – Liste unterstützter Anti-Viren- und Anti-Spyware-Anwendungen
GFI LANguard N.S.S. unterstützt standardmäßig die Kontrolle
bestimmter Sicherheitsanwendungen. Hierzu zählen gängige AntiViren- und Anti-Spyware-Lösungen. Bei Sicherheits-Scans wird
kontrolliert, ob unterstützte Sicherheitsprogramme mit den aktuellsten
Signaturdateien arbeiten und korrekt konfiguriert sind.
Anwendungs-Scans sind für jedes Scan-Profil einzeln zu
konfigurieren. Die Konfigurationsoptionen werden über zwei
Unterreiter des Reiters Applications
festgelegt, Installed
Applications und Security Applications.
Anwendungen
So aktivieren Sie in einem Scan-Profil Scans nach installierten
Anwendungen:
2. Klicken Sie im rechten Fenster auf den Reiter Applications.
3. Markieren Sie das Kontrollkästchen zur Option Enable Scanning
for installed applications on target computers.
Hinweis: Scans nach installierten Anwendungen sind für jedes ScanProfil einzeln zu konfigurieren. Ist die Option in einem Scan-Profil nicht
nach installierten Anwendungen gesucht.
98 • Scan-Profile
Scannen nach installierten Anwendungen
Screenshot 88 – Eigenschaften der "Scanning Profiles", Reiter zu installierten Anwendungen
Anlegen einer Liste unautorisierter Anwendungen
So erstellen Sie eine Liste unautorisierter/als gefährlich eingestufter
Anwendungen:
3. Klicken Sie auf den Unterreiter Installed Applications.
4.
Wählen Sie die Option All applications except the ones whose
name contains:
Screenshot 89 – Liste unautorisierter Anwendungen
5. Geben Sie im zugehörigen Eingabefeld die Namen der installierten
Anwendungen ein, bei deren Identifizierung eine kritische
Sicherheitslücke angezeigt werden soll.
Scan-Profile • 99
Wenn Sie z. B. "Kazaa" eingeben, wird bei allen Anwendungen, die
Anlegen einer Liste erwünschter/sicherer Anwendungen
So erstellen Sie eine Liste erwünschter/als sicher eingestufter
Anwendungen:
3. Klicken Sie auf den Unterreiter Installed Applications.
4. Geben Sie in der Liste zu Ignore (Do not list/save to db)
applications whose name contains: die Namen sicherer
Anwendungen an (z. B. MS Excel), die in den Scan-Ergebnissen nicht
aufgeführt werden sollen.
Hinweis: Geben Sie nur einen Anwendungsnamen pro Zeile an.
Scannen nach Sicherheitsanwendungen
Screenshot 90 – Eigenschaften der "Scanning Profiles", Reiter zu Sicherheitsanwendungen
GFI LANguard N.S.S.erlaubt standardmäßig die Kontrolle mehrerer
Anti-Viren- und Anti-Spyware-Anwendungen.
Aktivieren/Deaktivieren von Checks für
So aktivieren Sie in einem Scan-Profil Scans nach installierten
Sicherheitsanwendungen:
100 • Scan-Profile
3. Markieren Sie das Kontrollkästchen zur Option Detect and
process installed anti-virus/anti-spyware software on target
computers.
Hinweis: Scans nach installierten Sicherheitsanwendungen sind für
jedes Scan-Profil einzeln zu konfigurieren. Ist die Option in einem
Scan-Profil nicht ausgewählt, wird bei Sicherheits-Audits mit diesem
Profil somit nicht nach installierten Sicherheitsanwendungen gesucht.
Anpassen der Liste zu scannender
So legen Sie fest, welche Sicherheitsanwendungen während eines
Sicherheits-Audits gescannt werden sollen:
3. Klicken Sie auf den Unterreiter Security Applications.
Screenshot 91 – Auswahl der zu kontrollierenden Sicherheitsanwendungen
4. Markieren Sie die Kontrollkästchen der Sicherheitsanwendungen,
die im Rahmen eines Sicherheits-Audits mit diesem Scan-Profil
überprüft werden sollen.
Scan-Profile • 101
Konfigurieren von Sicherheitsanwendungen – erweiterte
Optionen
Screenshot 92 – Erweiterte Konfigurationsoptionen
Klicken Sie auf der Konfigurationsseite des Unterreiters Security
Applications auf die Schaltfläche Advanced, um die Checks von
Sicherheitsanwendungen zu erweitern. So können Sie festlegen, ob
bei folgenden Ereignissen eine Warnmeldung zu einer kritischen
Sicherheitslücke ausgegeben werden soll:
102 • Scan-Profile
•
Definitionsdateien von Anti-Viren- oder Anti-Spyware-Lösungen
sind veraltet.
•
Der von einigen Anti-Viren- oder Anti-Spyware-Lösungen
angebotene "Echtzeit-Schutz" ist deaktiviert.
•
Keine der ausgewählten Anti-Viren- oder Anti-Spyware-Software
ist zum Zeitpunkt des Scans auf dem Zielrechner installiert.
GFI LANguard N.S.S. ProgrammUpdates
Einführung
GFI LANguard N.S.S. greift beim Sicherheits-Scan eines Netzwerks
auf mehrere Parameter-Dateien zurück. Diese Dateien und
zugehörigen Datenbanken werden regelmäßig von GFI aktualisiert
und um die neuesten Microsoft Patches, Schwachstellen-Checks und
Daten zur Hardware-Identifizierung erweitert. Ebenso werden neue
Produkt-Builds von GFI LANguard N.S.S. bereitgestellt, die neue
Programmfunktionen, Scan-Engine-Optimierungen und Bug-Fixes
enthalten, die die Leistung des Sicherheits-Scanners erhöhen.
Zum Abruf der neuesten Definitionsdateien und Produkt-Builds steht
das Tool "Program Updates" zur Verfügung. GFI LANguard N.S.S.
sucht standardmäßig bei jedem Programmstart automatisch nach
neuen Aktualisierungen. Die Suche nach Updates kann auch manuell
über den Update-Assistenten erfolgen, der über Help ` Check for
updates aufgerufen wird.
Versionskontrolle des Build und der N.S.S.-Datenbanken
Screenshot 93 – Details zur aktuellen Version von Build und Datenbanken
GFI LANguard N.S.S. Programm-Updates • 103
Um den Status von Produkt-Updates zu kontrollieren, klicken Sie auf
den Knoten General ` Program Updates.
Die Informationen sind in unterschiedliche Kategorien unterteilt und
werden im rechten Fenster der Konfigurationsoberfläche angezeigt. In
jeder Update-Kategorie werden Datum und Uhrzeit der letzten Suche
nach Aktualisierungen, der letzte Update-Download und die Version
der aktuellen Datenbank-Updates angezeigt.
Downloaden von Software-Updates für Microsoft-Produkte in
mehreren Sprachen
Screenshot 94 – Auswahl der Microsoft Update-Dateien
GFI LANguard N.S.S. unterstützt standardmäßig die Verwaltung von
Patches für unterschiedliche Sprachversionen von MicrosoftProdukten. Wird während eines Sicherheits-Scans festgestellt, dass
Produkt-Updates zu Microsoft-Lösungen fehlen, lassen sie sich mit
N.S.S. für die verfügbaren/gewünschten Sprachen herunterladen und
installieren.
Fehlende Microsoft-Patches und Service Packs werden vom Scanner
durch Überprüfung der "Microsoft Software Update Files" ermittelt.
Diese Dateien enthalten die aktuellen (vollständigen) Listen zu
Produkt-Updates, die zum Zeitpunkt der Überprüfung über Microsoft
verfügbar sind. Sie liegen in allen Sprachen vor, in denen MicrosoftProdukte erhältlich sind.
Mit Hilfe des Tools Program Update von GFI LANguard N.S.S.
können Sie die neuesten "Microsoft Software Updates Files" für alle in
Ihrem Netzwerk verwendeten Sprachen downloaden. Die ScanEngine kann dadurch fehlende Patches und Service Packs für die
verschiedensten Sprachen ermitteln und eine Warnmeldung
ausgeben. Zudem kann die Engine zur Patch-Verteilung die fehlenden
Update-Dateien herunterladen und im gesamten Netzwerk installieren.
104 • GFI LANguard N.S.S. Programm-Updates
Folgende Sprachen werden unterstützt: Englisch, Deutsch,
Französisch, Italienisch, Spanisch, Arabisch, Dänisch, Tschechisch,
Finnisch,
Hebräisch,
Ungarisch,
Japanisch,
Koreanisch,
Niederländisch, Norwegisch, Polnisch, Portugiesisch, brasilianisches
Portugiesisch, Russisch, Schwedisch, Chinesisch, Chinesisch
(Taiwan), Griechisch und Türkisch.
Informationen zum Download der in verschiedenen Sprachen
verfügbaren "Microsoft Update Files" erhalten Sie weiter unten in
diesem Kapitel.
Manuelle Programm-Updates
So führen Sie einen manuellen Start von Programm-Updates durch:
1. Gehen Sie auf den Knoten General ` Program Updates, klicken
aus dem Kontextmenü Check for Updates aus. Der Assistent zur
Update-Suche wird aufgerufen.
Screenshot 95 – Assistent zur Update-Suche: Stufe 1
2. Geben Sie an, von welchem Speicherort die erforderlichen UpdateDateien heruntergeladen werden sollen.
3. Um den standardmäßigen Download-Pfad zu ändern, wählen Sie
die Option Download all update files from GFI web site to this
path.
4. Klicken Sie auf die Schaltfläche Next, um mit der Aktualisierung
fortzufahren.
Screenshot 96 – Assistent zur Update-Suche: Stufe 2
5. Wählen Sie die herunterzuladenden Updates aus. Folgende
Auswahlmöglichkeiten stehen zur Verfügung:
•
GFI LANguard N.S.S. Vulnerabilities Update – Lädt neue
Schwachstellen-Checks und Bug-Fixes herunter.
•
GFI LANguard N.S.S. Dictionaries Update – Lädt
Aktualisierungen der Wörterbuch-Datei herunter (z. B. zu
unsicheren Community-Strings und Passwörtern).
•
Microsoft Software Updates – Erlaubt die Auswahl von
Software-Updates
für
alle
im
Netzwerk
verwendeten
Sprachversionen von Microsoft-Produkten. Weitere Informationen
hierzu erhalten Sie am Anfang dieses Kapitels unter "Downloaden
von Software-Updates für Microsoft-Produkte in mehreren
Sprachen".
Hinweis: Wählen Sie die Option Update ALL files (including the
ones already updated), um alle Dateien zu aktualisieren.
6. Klicken Sie auf die Schaltfläche Next um fortzufahren.
7. Klicken Sie auf die Schaltfläche
Aktualisierungsvorgang zu starten.
Start,
um
den
Suchen nach Software-Updates beim Start von GFI LANguard
N.S.S.
GFI LANguard N.S.S. sucht standardmäßig bei jedem Programmstart
automatisch nach neuen Aktualisierungen. So deaktivieren Sie die
automatische Suche:
aus dem Kontextmenü Properties aus. Der Eigenschaften-Dialog für
Programm-Updates wird aufgerufen.
106 • GFI LANguard N.S.S. Programm-Updates
Screenshot 97 – Option zur Suche nach Updates bei Programmstart
2. Heben Sie die Auswahl von Check for newer builds at startup am
Ende des Dialogs auf.
Konfigurieren der beim Programmstart zu kontrollierenden Updates
So legen Sie fest, nach welchen Updates beim Start von GFI
LANguard N.S.S. gesucht werden soll:
Screenshot 98 – Eigenschaften von Programm-Updates
aus dem Kontextmenü Properties aus.
2. Wählen Sie die Datenbank- und Engine-Updates aus, die beim
Start von GFI LANguard N.S.S. heruntergeladen werden sollen.
3. Geben Sie an, aus welcher Quelle die ausgewählten ProgrammUpdates abgerufen werden sollen.
speichern.
108 •
Patch-Verwaltung: Bereitstellung von
Microsoft-Updates
Einführung
Mit Hilfe des Patch-Management-Tools können Microsoft-Produkte
automatisch mit den neuesten Patches und Service Packs auf dem
neuesten Stand gehalten werden. Folgende Microsoft-Lösungen
werden unter anderem unterstützt: Windows 2000, XP und 2003,
Microsoft Office XP oder später, Microsoft Exchange 2000 oder später
und Microsoft SQL Server 2000 oder später. Eine vollständige Liste
der Microsoft-Produkte, die von GFI LANguard N.S.S. unterstützt
werden,
steht
zum
Abruf
bereit
unter
Folgende Schritte sind erforderlich, um Patches und Service Packs
erfolgreich in Ihrem Netzwerk bereitstellen zu können:
Schritt 1: Scannen Sie Ihr Netzwerk.
Schritt 2: Wählen Sie die Rechner aus, für die Patches und Service
Packs bereitgestellt werden sollen.
Schritt 3: Wählen Sie die gewünschten Patches und Service Packs
aus.
Schritt 4: Downloaden Sie die Patch- und Service Pack-Dateien.
Schritt 5: Stellen Sie die heruntergeladenen Dateien auf den
Zielrechnern bereit.
Folgende Voraussetzungen müssen erfüllt sein, damit Patches auf
den ausgewählten Zielrechnern installiert werden können:
•
GFI LANguard N.S.S. muss unter einem Konto mit administrativen
Zugriffsrechten für die Zielrechner laufen, auf denen Updates
installiert werden sollen.
•
Auf den Zielrechnern muss NetBIOS aktiviert sein.
Weitere Informationen zur Aktivierung von NetBIOS erhalten Sie im
Kapitel "Ergänzende Informationen" unter "Aktivieren von NetBIOS auf
einem Zielrechner".
Informationen zum Agent für die Patch-Bereitstellung
Die Installation von Patches, Service Packs und eigener Software auf
Zielrechnern erfolgt über einen speziellen N.S.S.-Agent zur PatchBereitstellung. Dieser Agent ist ein Dienst, der automatisch im
Hintergrund auf den Remote-Rechnern installiert wird. Er startet und
kontrolliert die Update-Installation zu einem individuell festlegbaren
Zeitpunkt. Diese Art der Bereitstellung von Patches ist gegenüber
Lösungen ohne Agent weitaus effizienter und zuverlässiger.
Patch-Verwaltung: Bereitstellung von Microsoft-Updates • 109
Informationen zu zurückgezogenen Patches
Es kann vorkommen, dass Patches und Service Packs von Microsoft
zurückgezogen werden. Beispiele hierfür sind der Windows-Patch
“MS03-045“ und der Exchange-Patch “MS03-047“, die am 15. Oktober
2005 veröffentlicht wurden. Patches werden für gewöhnlich aufgrund
neu entdeckter Schwachstellen oder Probleme zurückgezogen, die
bei der Installation dieser Updates aufgetreten sind.
In einem solchen Fall weist GFI LANguard N.S.S. diese Patches als
fehlend aus, obwohl sie nicht installiert werden können. Wenn Sie für
diese fehlenden Patches keine Warnmeldung erhalten möchten, muss
die Suche einzeln für die betreffenden zurückgezogenen Patches
deaktiviert werden. So ändern Sie die Einstellungen:
wählen Sie das zu konfigurierende Profil aus.
2. Klicken Sie im rechten Fenster auf den Knoten Patches, und
entfernen Sie die Markierung des entsprechenden SicherheitsBulletins in der angezeigten Liste.
Zurückgezogene Patches lassen sich zudem einer Ignorieren-Liste
hinzufügen. Diese Liste kann mit einzelnen (zurückgezogenen)
Patches erweitert werden, nach denen während eines SicherheitsAudits nicht gesucht werden soll. So fügen Sie einen fehlenden Patch
der Ignorieren-Liste hinzu:
1. Führen Sie einen Sicherheits-Scan Ihres Netzwerks durch.
2. Rufen Sie in der Übersicht zu den Scan-Ergebnissen die Liste der
fehlenden Patches auf.
3. Wählen Sie den Patch aus, der der Ignorieren-Liste hinzugefügt
werden soll.
3. Klicken Sie mit der rechten Maustaste auf den Patch und wählen
Sie im Kontextmenü Patches ` Add to ignore list for ` This
computer.
110 • Patch-Verwaltung: Bereitstellung von Microsoft-Updates
Screenshot 99 – In der Ignorieren-Liste eines Zielrechners verzeichnete Patches
Um die Patches der Ignorieren-Liste eines bestimmten Zielrechners
anzeigen zu lassen, klicken Sie im mittleren Fensterbereich Scanned
Computers auf System patching status. Die entsprechenden
Patches werden im rechten Fensterbereich Scan Results angezeigt.
Verwaltung von Patches in unterschiedlichen Sprachen
Die Engine zur Patch-Verwaltung lädt die den Spracheinstellungen
des Zielrechners entsprechenden Microsoft Patch-Updates und
Service Packs, die als fehlend erkannt wurden, automatisch herunter
und installiert sie.
Weitere Informationen hierzu erhalten Sie am Anfang dieses Kapitels
unter "Downloaden von Software-Updates für Microsoft-Produkte in
mehreren Sprachen".
Auswählen der Zielrechner zur Bereitstellung von Patches
Ist ein Sicherheits-Scan des Netzwerks beendet, können fehlende
Patches und Service Packs auf den Zielrechnern bereitgestellt
werden.
Diese Bereitstellung ist für einen einzelnen Rechner, eine Auswahl an
Rechnern oder alle Zielrechner möglich, auf denen fehlende Patches
und Service Packs festgestellt wurden.
Screenshot 100 – Bereitstellung fehlender Service Packs und Patches
Bereitstellen fehlender Updates auf einem einzelnen
Zielrechner
Klicken Sie im mittleren Fensterbereich Scanned Computers mit der
rechten Maustaste auf den Rechner, für den eine Aktualisierung
durchgeführt werden soll. Wählen Sie im Kontextmenü Deploy
Microsoft updates ` Service packs on [bzw. Patches on] ` This
computer.
Bereitstellen fehlender Updates für mehrere Zielrechner
1. Markieren Sie im mittleren Fensterbereich Scanned Computers
die Kontrollkästchen der Rechner, die aktualisiert werden sollen.
2. Klicken Sie mit der rechten Maustaste auf einen der ausgewählten
Rechner. Wählen Sie im Kontextmenü Deploy Microsoft updates `
Service packs on [bzw. Patches on] ` Selected computers.
Bereitstellen fehlender Updates auf allen Zielrechnern
Klicken Sie im mittleren Fensterbereich Scanned Computers mit der
rechten Maustaste auf einen der aufgeführten Rechner. Wählen Sie
im Kontextmenü Deploy Microsoft updates ` Service packs on
[bzw. Patches on] ` All computers.
Auswählen bereitzustellender Patches
Screenshot 101 – Optionen für die Patch-Bereitstellung
Nachdem Sie die zu aktualisierenden Zielrechner angegeben haben,
ruft GFI LANguard N.S.S. automatisch die Bereitstellungsoptionen für
Patches auf. Diese Optionen werden im rechten Fenster der
Konfigurationsoberfläche angezeigt, zusammen mit der Liste der
ausgewählten Zielrechner sowie der Sprache der Updates, die
heruntergeladen und installiert werden sollen.
Hinweis: Um die Optionen zur Patch-Bereitstellung manuell
aufzurufen, klicken Sie auf den Knoten Tools ` Deploy Microsoft
patches.
Sortieren von Scan-Ergebnissen
Die Optionen-Seite zur Patch-Bereitstellung erlaubt die Anordnung
und Anzeige von Service Packs und Patches auf zwei Arten:
•
Sort by computers – Fehlende
Zielrechnern gruppiert angezeigt.
•
Sort by patches – Fehlende Patches werden nach dem Namen
der Update-Datei sortiert.
Patches
werden
nach
Ein Wechsel zwischen diesen Ansichten erfolgt über die
entsprechenden Reiter Sort by computers und Sort by patches.
Auswählen bereitzustellender Patches
Screenshot 102 – Herunterzuladende und bereitzustellende Patches
GFI LANguard N.S.S. lädt standardmäßig alle fehlenden Patches und
Service Packs (in allen verfügbaren Sprachen) herunter und stellt
diese bereit. Um einzelne Patches davon auszunehmen, entfernen
Sie die Markierung des Kontrollkästchens der entsprechenden
Patches.
Downloaden der Patch- und Service Pack-Dateien
Nachdem Sie die erforderlichen Patches und Service Packs
ausgewählt haben, kann der Download der zugehörigen Dateien
gestartet werden.
Ist der Vorgang gestartet, führt GFI LANguard N.S.S. alle weiteren
Schritte automatisch durch.
Screenshot 103 – Liste herunterzuladender Patches
Starten des Downloads von Patches und Service Packs
Um den Download einzelner Patches oder Service Packs zu starten,
klicken Sie mit der rechten Maustaste auf die gewünschte PatchDatei, und wählen Sie im Kontextmenü Download File.
Um den Download von ausgewählten Patches oder Service Packs zu
starten, klicken Sie mit der rechten Maustaste auf eine der PatchDateien, und wählen Sie im Kontextmenü Download all checked
files.
Die Symbole neben jeder Update-Datei zeigen den aktuellen
Download-Status an. Folgende Statusmeldungen werden angezeigt:
•
Heruntergeladen
•
Noch aktiver Download
•
•
Wartezustand: Anwender muss auf zugehörige Web-Seite
gehen und für den Download der Datei auf den entsprechenden
Link klicken.
Update nicht heruntergeladen
Per Benutzereingriff durchzuführende Downloads
Screenshot 104 – Patch-Download von Web-Seite
Einige Patch-Dateien können nur manuell von einer Download-Seite
heruntergeladen werden. Diese Dateien werden mit dem Symbol
gekennzeichnet.
Bei dieser Art von Patch-Downloads öffnet GFI LANguard N.S.S. die
zugehörige Web-Seite automatisch im unteren Bereich des
Bereitstellungs-Tools. Klicken Sie auf den Download-Link auf der
Web-Seite, um den Download zu starten.
Abbruch aktiver Downloads
Um einen aktiven Patch-Download abzubrechen, klicken Sie auf den
entsprechenden Patch, und wählen Sie Cancel Download.
Konfigurieren alternativer Bereitstellungsparameter für PatchDateien (optional)
Screenshot 105 – Eigenschaften einer Patch-Datei
Optional können Sie auch für jeden Patch eigene, alternative
Bereitstellungsparameter festlegen. Zu diesen Einstellungen zählen
die Download-URL und der Speicherort der heruntergeladenen Datei.
So ändern Sie die Bereitstellungs- und Download-Einstellungen
fehlender Patches:
1. Klicken Sie mit der rechten Maustaste auf die gewünschte PatchDatei, und wählen Sie im sich öffnenden Kontextmenü Properties.
Der Eigenschaften-Dialog für die Patch-Datei wird geöffnet.
2. Führen Sie die gewünschten Änderungen durch, und klicken Sie
auf die Schaltfläche OK, um die Einstellungen zu speichern.
Bereitstellen von Updates
Screenshot 106 – Optionen für die Patch-Bereitstellung
Starten der Bereitstellung
Nachdem der Download der benötigten Patch-Dateien abgeschlossen
ist, kann deren Bereitstellung auf den Zielrechnern erfolgen. Klicken
Sie hierfür auf die Schaltfläche Start unten rechts auf der Seite zur
Patch-Bereitstellung.
Überwachen der Bereitstellung
Screenshot 107 – Überwachung der Bereitstellung
Um die Bereitstellung der Patches zu verfolgen, klicken Sie auf den
Reiter Deployment Status neben dem Reiter Sort by patches im
oberen Bereich des Fensters.
118 •
Patch-Verwaltung: Installieren eigener
Software
Einführung
Mit dem Tool zur Bereitstellung eigener Software (Deploy Custom
Software) können benutzerspezifische Software sowie Patches und
Updates von Drittanbietern im gesamten Netzwerk installiert werden.
Mit Hilfe dieses Tools lassen sich beispielsweise alle Rechner des
Netzwerks mit den aktuellsten Viren-Signaturen aktualisieren.
Das Tool steht zur Verfügung über Tools ` Deploy Custom
software. Die Vorgehensweise beim Installieren eigener Software ist
der Bereitstellung von Microsoft-Updates für einen Rechner sehr
ähnlich. Folgende Schritte sind hierfür erforderlich:
Schritt 1: Wählen Sie den Rechner aus, auf dem die Software/das
Update zu installieren ist.
Schritt 2: Geben Sie an, welche Software bereitgestellt werden soll.
Schritt 3: Starten Sie die Bereitstellung.
Auswählen der Zielrechner zur Bereitstellung eigener
Software/Patches
Screenshot 108 – Auswahl der Zielrechner
Patch-Verwaltung: Installieren eigener Software • 119
1. Klicken Sie auf den Knoten Tools ` Deploy Custom software.
2. Klicken Sie im mittleren Bereich der Konfiguration unter
Computer(s) to deploy software on auf die Schaltfläche Add, um
einen einzelnen Computer festzulegen. Durch Klick auf die
Schaltfläche Select können Sie mehrere Computer angeben.
Hinweis: Über die Schaltfläche Import kann eine in einer TXT-Datei
gespeicherte Liste mit Rechnern importiert werden, auf denen
Patches bereitgestellt werden sollen.
Festlegen der bereitzustellenden Software
Screenshot 109 – Auswahl bereitzustellender Software
1. Klicken Sie im mittleren Bereich der Konfiguration unter Software
auf die Schaltfläche Add.
120 • Patch-Verwaltung: Installieren eigener Software
Screenshot 110 – Angabe bereitzustellender Software
2. Geben Sie den Speicherort der Quelldatei an.
3. Wählen Sie eine der folgenden Optionen, um BefehlszeilenParameter während der Bereitstellung der Datei zu verwenden:
•
Windows operating system patch – Bei Bereitstellung von
Patches für Windows-Betriebssysteme.
•
Internet Explorer patch – Bei Bereitstellung von Patches für den
Internet Explorer.
•
Custom – Bei Verwendung benutzerdefinierter Parameter. Geben
Sie die erforderlichen Parameter im Eingabefeld unten im
Dialogfeld an.
Beginnen der Bereitstellung
Screenshot 111 – Einstellungsoptionen zur Software-Bereitstellung
Nachdem Sie die bereitzustellende Software und die Zielrechner
festgelegt haben, starten Sie die Bereitstellung durch Klick auf die
Schaltfläche Start.
Patch-Bereitstellung nach Zeitplan
So legen Sie die Bereitstellung eigener Patches per Zeitplan fest:
1. Wählen Sie die Option Deploy on.
2. Geben Sie in den zugehörigen Eingabefeldern Datum und Uhrzeit
der Bereitstellung an.
3. Klicken Sie auf die Schaltfläche Start, um die Bereitstellung nach
Zeitplan zu aktivieren.
Bereitstellungsoptionen
Allgemeine Bereitstellungsoptionen
Screenshot 112 – Allgemeine Optionen für die Patch-Bereitstellung
Über die allgemeinen Bereitstellungsoptionen können Sie Aktionen
konfigurieren, die vor und nach der Bereitstellung gestartet werden
sollen.
Vor der Bereitstellung durchzuführende Aktionen
Über den Reiter General stehen folgende Optionen für Aktionen zur
Verfügung, die vor der Patch-Bereitstellung durchgeführt werden
können:
•
Warn users before deployment – Schickt eine Warnmeldung an
den Benutzer des Zielrechners, um auf die bevorstehende PatchBereitstellung hinzuweisen.
Screenshot 113 – Warnhinweis an Benutzer zu einer bevorstehenden Patch-Installation
Durch eine solchen Warnhinweis haben Anwender die Möglichkeit,
geöffnete Dateien zu sichern und aktive Programme zu schließen,
bevor die Patches auf ihrem Rechner installiert werden.
•
Wait for user’s approval – Fordert Benutzer des Zielrechners vor
der Bereitstellung einer Patch-Datei zur Freigabe der Installation
auf. Hierdurch kann die Installation so lange verzögert werden, bis
andere ggf. bereits aktive Prozesse (z. B. Systemsicherungen)
beendet sind. Dies ist vor allem von Bedeutung, wenn nach der
Installation der Patch-Datei ein Neustart des Rechners erforderlich
ist. Um die Installation des Patches zu starten, muss der Benutzer
des Zielrechners auf die im Hinweisdialog angezeigte Schaltfläche
OK klicken.
•
Stop services before deployment – Hält einzelne Dienste an,
bevor mit der Installation begonnen wird. Geben Sie die
entsprechenden Dienste durch Mausklick auf die Schaltfläche
Services an.
Nach Bereitstellung durchzuführende Aktionen
Über den Reiter General stehen folgende Optionen für Aktionen zur
Verfügung, die nach der Patch-Bereitstellung durchgeführt werden
können:
•
Do not reboot – Legt fest, dass KEIN Remote-Neustart des
Zielrechners nach der Patch-Installation durchgeführt werden soll.
•
Reboot the target computers – Legt fest, dass nach der
Installation der Software/Patches ein automatischer Neustart der
Zielrechner durchgeführt wird.
•
Let the user decide when to reboot – Erlaubt es Benutzern von
Zielrechnern, auf denen Software/Patches installiert wurden, zu
entscheiden, wann ein Rechner-Neustart durchgeführt werden
soll.
Bei Auswahl dieser Option wird folgender Dialog automatisch dem
Benutzer des Zielrechners angezeigt.
Screenshot 114 – Optionen für Aktionen nach Patch-Bereitstellung: Festlegung des
Rechner-Neustarts durch Benutzer
Über diesen Dialog können Anwender folgende Neustart-Optionen
auswählen:
o
Restart Now – Führt einen sofortigen Neustart durch.
o
Remind me in [X] Minutes – Erinnert Anwender in
regelmäßigen Abständen (in Minuten), einen Neustart
durchzuführen.
o
Restart on [date] at [time] – Führt einen Neustart des
Zielrechners zu einem vom Anwender festgelegten Zeitpunkt
durch.
o
Don’t bother me again – Fordert nicht weiter zum Neustart
auf.
o
Shutdown the target computer(s) – Fährt Zielrechner nach
der Software-/Patch-Bereitstellung herunter.
•
Delete copied files on the remote computers after deployment
– Löscht nach einer erfolgreichen Installation die Quell/Installationsdatei vom Zielrechner.
•
Computer filters – Klicken Sie auf die Schaltfläche Computer
filters, um einzelne Filterbedingungen für Zielrechner zu
konfigurieren. Mit Hilfe dieser Einstellungen kann festgelegt
werden, dass Patches nur dann installiert werden sollen, wenn die
Zielrechner mit einem bestimmten Betriebssystem laufen.
Erweiterte Bereitstellungsoptionen
Screenshot 115 – Erweiterte Optionen für die Patch-Bereitstellung
Über den Reiter Advanced können erweiterte Bereitstellungsoptionen
konfiguriert werden. Folgende Parameter stehen hierfür zur
Verfügung:
•
Anzahl der zu verwendenden Bereitstellungs-Threads
•
Installations-Timeout
•
Starten des Bereitstellungs-Agent mit alternativen Zugangsdaten
Vergleichen von Scan-Ergebnissen
Einführung
Durch regelmäßige Sicherheits-Audits und den Vergleich von ScanErgebnissen lassen sich Änderungen des Sicherheitszustands eines
Netzwerks leichter erkennen und analysieren. Neue Schwachstellen
können rechtzeitig erkannt werden. Zudem ist eine Untersuchung und
Behebung
weiterhin
vorhandener/wiederkehrender
Sicherheitsprobleme leichter möglich.
GFI LANguard N.S.S. bietet eine spezielles Tool zum Vergleich von
Scan-Ergebnissen. Es hilft Ihnen, Berichte erstellen zu lassen, die
Unterschiede zwischen zwei Scans aufzeigen. Diese Berichte können
interaktiv oder automatisch erstellt werden.
Vergleichsberichte lassen sich interaktiv über den Knoten Security
Scanner ` Result comparison erstellen. Hierfür sind die zu
vergleichenden Scan-Ergebnisse (von direkt aufeinander folgenden
oder beliebigen Scans) auszuwählen.
Die automatische Erstellung von Vergleichsberichten bei einem nach
Zeitplan durchgeführten Scan wird über den Knoten Configuration `
Scheduled Scans unter dem Reiter Results notifications
konfiguriert. Bei dieser Berichterstellung lassen sich die neuesten
Scan-Ergebnisse bequem mit denen des vorherigen (nach Zeitplan)
durchgeführten Scans vergleichen. Weitere Informationen zu Scans
nach Zeitplan erhalten Sie im Kapitel "Konfigurieren von GFI
LANguard N.S.S." unter "Scans nach Zeitplan".
Dank der über den Ergebnisvergleich gewonnenen Informationen
können Sie Schwachstellen beheben und Ihr Netzwerk proaktiv vor
bestehenden und potenziellen Gefahren schützen.
Interaktives Vergleichen von Scan-Ergebnissen
Die von GFI LANguard N.S.S. ausgegebenen Scan-Daten lassen sich
in Datenbank- oder XML-Dateien speichern. GFI LANguard N.S.S.
sichert Scan-Ergebnisse standardmäßig per Microsoft Access oder
Microsoft SQL Server Datenbank-Backend. Bei Scans nach Zeitplan
erfolgt die Speicherung von Scan-Ergebnissen auch in einer XMLDatei, um ein vereinfachtes Reporting zu erlauben.
Das Tool zum Ergebnisvergleich erlaubt neben dem Erstellen einer
Liste aller gefundenen Änderungen im Netzwerk auch die
Gegenüberstellung gespeicherter Scan-Ergebnisse.
Festlegen der im Vergleichsbericht aufzuführenden Daten
Das Tool zum Ergebnisvergleich kann Daten unterschiedlichster Art in
einem Vergleichsbericht ausgeben. So legen Sie fest, welche Daten in
einem Vergleichsbericht aufgeführt sein sollen:
Vergleichen von Scan-Ergebnissen • 127
1. Klicken Sie auf den Knoten Security Scanner ` Result
comparison.
Screenshot 116 – Optionen für Daten eines Vergleichsberichts
2. Klicken Sie im rechten Fenster auf die Schaltfläche Options.
3. Markieren Sie das Kontrollkästchen der Elemente, die im Bericht
aufgeführt werden sollen. Folgende Auswahlmöglichkeiten stehen zur
Verfügung:
•
New items – Alle beim letzten Scan neu identifizierten
Schwachstellen, die in vorherigen Scan-Ergebnissen nicht
protokolliert wurden, werden angezeigt.
•
Removed items – Alle im Vergleich zum vorherigen/vergangenen
Scan-Ergebnis nicht mehr identifizierten Elemente (z. B. installierte
Anwendungen) und Komponenten/Geräte (z. B. Netzwerk-Karten,
USB-Hardware, WLAN-Hardware u. v. m.) werden angezeigt.
•
Changed items – Alle Elemente, bei denen zwischen zwei Scans
Änderungen
vorgenommen
wurden,
z. B.
Aktivierung/Deaktivierung von Diensten, werden angezeigt.
•
Show vulnerability changes – Alle seit dem vorherigen Scan
neu aufgetretenen und behobenen Sicherheitslücken werden
angezeigt.
•
Show only hotfix changes – Alle seit dem vorherigen Scan
fehlenden und installierten Patches werden angezeigt.
128 • Vergleichen von Scan-Ergebnissen
Erstellen eines Vergleichsberichts
Screenshot 117 – Vergleich von Scan-Ergebnissen
So erstellen Sie einen Vergleichsbericht: 1. Klicken Sie auf den
Knoten Security Scanner ` Result comparison.
2. Klicken Sie auf die Schaltflächen zur Dateisuche
, um die
Dateien mit Scan-Ergebnissen auszuwählen, die miteinander
verglichen werden sollen. Ergebnisse lassen sich nur vergleichen,
wenn sie dasselbe Dateiformat besitzen, d. h. ein direkter Vergleich
einer XML-Datei mit einer Datenbank-Datei ist nicht möglich.
3. Klicken Sie auf die
Ergebnisvergleich zu starten.
Schaltfläche
Compare,
um
den
Vergleichsbericht
Screenshot 118 – Vergleichsbericht
Vergleichen von Scan-Ergebnissen • 129
Der Vergleichsbericht informiert über Änderungen bei Konfiguration
und Netzwerk-Layout des Zielrechners, die zwischen zwei ScanErgebnissen festgestellt werden konnten.
130 • Vergleichen von Scan-Ergebnissen
Anzeigen geplanter Aktionen
Mit Hilfe des Status-Monitors von GFI LANguard N.S.S. kann der
aktuelle Zustand von aktivierten geplanten Scans und von UpdateBereitstellungen angezeigt werden.
Screenshot 119 – Status-Monitor-Symbol in der Systemablage von Windows
Der Status-Monitor wird automatisch in der Systemablage von
Windows gestartet, wenn die Konfigurationsoberfläche von GFI
LANguard N.S.S. aufgerufen wird. Um den Status-Monitor aufzurufen,
klicken Sie auf das Symbol in der Systemablage von Windows.
Hinweis: Der Status-Monitor kann auch ohne Aufruf der
Konfigurationsoberfläche von GFI LANguard N.S.S. geöffnet werden.
Gehen Sie hierfür auf Start ` Programme ` GFI LANguard Network
Security Scanner 7.0 ` LNSS Status Monitor.
Anzeigen des Verlaufs von Scans nach Zeitplan
Screenshot 120 – Status-Monitor: Active scheduled scans tab.
So rufen Sie auf, welche geplanten Scans aktuell durchgeführt
werden:
1. Rufen Sie den GFI LANguard N.S.S. Status-Monitor auf.
2. Klicken Sie auf den Reiter Active scheduled scans.
GFI LANguard N.S.S. Status-Monitor • 131
Hinweis 1: Jeder geplante Scan, der aktuell durchgeführt wird, kann
per Mausklick auf die Schaltfläche Stop selected scans abgebrochen
werden.
Hinweis 2: Über den Reiter Active scheduled scans können nur
aktuell aktive geplante Scans angezeigt und abgebrochen werden.
Hinweis 3: Anzeige und Abbruch geplanter Scans, die noch nicht
gestartet wurden, erfolgen über die Konfigurationsoberfläche von GFI
LANguard N.S.S. über den Knoten Configuration ` Scheduled
Scans.
Anzeigen des Verlaufs von Patch-Bereitstellungen nach
Zeitplan
Screenshot 121 – Status-Monitor: Patch-Bereitstellungen nach festem Zeitplan
So rufen Sie auf, welche geplanten Patch-Bereitstellungen aktuell
durchgeführt werden:
1. Rufen Sie den GFI LANguard N.S.S. Status-Monitor auf.
2. Klicken Sie auf den Reiter Scheduled deployments.
Hinweis: Jede geplante Patch-Bereitstellung, die aktuell durchgeführt
wird, kann per Mausklick auf die Schaltfläche Cancel selected
deployment abgebrochen werden.
132 • GFI LANguard N.S.S. Status-Monitor
Werkzeuge
Einführung
GFI LANguard N.S.S. bietet eine Auswahl an Netzwerk-Tools, mit
denen sich häufig auftretende Netzwerk-Probleme beseitigen lassen
und die Unterstützung bei der Netzwerk-Administration leisten.
Folgende Netzwerk-Tools lassen sich über den Knoten
Konfiguration von GFI LANguard N.S.S: aufrufen:
•
DNS-Lookup
•
Whois Client
•
Trace Route
•
SNMP-Walk
•
SNMP-Audit
•
Microsoft SQL Server-Audit
•
Enumerate Computers (Auflistung von Rechnern)
•
Enumerate Users (Auflistung von Usern).
Tools in der
DNS-Lookup
Über das Tool Tools ` DNS Lookup lassen sich Domänennamen in
ihre IP-Adresse auflösen und einzelne Informationen zur Zieldomäne
abrufen (z. B. MX-Eintrag u. ä.).
Screenshot 122 – DNS Lookup
Werkzeuge • 133
So führen Sie die Auflösung eines Domänen-/Host-Namens durch:
1. Klicken Sie auf den Knoten Tools ` DNS lookup.
2. Geben Sie den Host-Namen an, der aufgelöst werden soll.
3. Geben Sie an, welche Informationen abgerufen werden sollen:
•
Basic Information – Ruft den Host-Namen und die zugehörige IPAdresse ab.
•
Host Information – Ruft HINFO-Angaben (Host-Informationen)
ab. Hierzu zählen üblicherweise Daten zum Zielrechner wie
Hardware-Spezifikationen und Betriebssystem-Details.
Hinweis: Bei den meisten DNS-Einträgen sind
Informationen aus Sicherheitsgründen nicht enthalten.
diese
•
Aliases – Ruft
Zieldomäne ab.
•
MX Records – Listet alle E-Mail-Server auf und die Reihenfolge
(d. h. Priorität), in der sie E-Mails für die Zieldomäne empfangen
und verarbeiten.
•
NS Records – Listet alle für eine Domäne oder Unterdomäne
zuständigen Name-Server auf.
Informationen
zu
den
"A-Einträgen"
der
4. Falls erforderlich, geben Sie einen alternativen DNS-Server für den
DNS-Lookup ein, oder lassen Sie den standardmäßigen DNS-Server
unverändert.
5. Klicken Sie auf die Schaltfläche Retrieve, um den Abruf zu starten.
Traceroute
Screenshot 123 - Traceroute
134 • Werkzeuge
Über das Tool Tools ` Traceroute lässt sich der Pfad verfolgen, über
den GFI LANguard N.S.S. einen Zielrechner erreicht hat. So setzen
Sie dieses Tool ein:
1. Geben Sie in der Drop-Down-Liste Trace den zur Kontrolle der
Vermittlung gewünschten Namen, die IP-Adresse oder Domäne
an.
2. Klicken Sie auf die Schaltfläche Traceroute, um die Kontrolle zu
starten.
Traceroute ermittelt, auf welchem Weg ein Zielrechner erreicht wird,
und zeigt die hierfür passierten "Hops" an. Ein Hop ist eine
Zwischenstation bei der Übermittlung und steht für einen
Computer/Router, über den die Anfrage weitergeleitet wird. Bei
diesem Tool wird für jeden Hop die IP-Adresse des passierten
Computers angegeben, die Häufigkeit der Weiterleitung über einen
Computer und die verstrichene Zeit, bis der jeweilige Computer
erreicht wurde. Neben jedem Hop ist zudem ein Symbol abgebildet.
Es informiert über den Status des Hops. Folgende Symbole werden
verwendet:
•
Zeigt an, dass ein Hop innerhalb normaler Parameter
erfolgreich war.
•
Zeigt einen erfolgreichen Hop mit relativ langer Antwortzeit an.
•
Zeigt einen erfolgreichen Hop mit zu langer Antwortzeit an.
•
Zeigt einen Hop an, bei dem eine Zeitüberschreitung
aufgetreten ist (> 1000 ms).
Whois Client
Screenshot 124 – Whois-Tool
Werkzeuge • 135
Über das Tool Tools ` Whois Client lassen sich Informationen zu
einer Domäne oder IP-Adresse abrufen.
Wählen Sie im rechten Bereich der Konfiguration den für die Abfrage
bevorzugten
Whois-Server
aus,
oder
behalten
Sie
die
Standardeinstellung bei, damit der Server automatisch für Sie
ausgewählt wird.
Um Informationen zu einer bestimmten Domäne oder IP-Adresse
abzurufen, geben Sie die Domäne/IP-Adresse oder den Host-Namen
in der Drop-Down-Liste Query an. Klicken Sie dann auf die
Schaltfläche Retrieve.
SNMP-Walk
Screenshot 125 – SNMP-Walk
Über das Tool Tools ` SNMP Walk können Sie Netzwerk-Knoten
kontrollieren und SNMP-Informationen abrufen (z. B. Object Identifier,
OIDs). So starten Sie den SNMP-Walk, um einen Zielrechner zu
kontrollieren:
1. Klicken Sie auf den Knoten Tools ` SNMP Walk.
2. Geben Sie die IP-Adresse des Computers an, den Sie auf SNMPInformationen überprüfen wollen.
Hinweis 1: SNMP-Prozesse werden oftmals bereits vom Router/der
Firewall blockiert, sodass Internet-Benutzer keinen SNMP-Scan Ihres
Netzwerks durchführen können.
Hinweis 2: Sie haben die Möglichkeit, alternative Community-Strings
bereitzustellen.
Hinweis 3: Die über SNMP abrufbaren Informationen können von
böswilligen Anwendern für einen Angriff auf Ihr System verwendet
werden. SNMP sollte stets deaktiviert sein, es sei denn, dieser Dienst
wird unbedingt benötigt.
136 • Werkzeuge
SNMP-Audit
Screenshot 126 – SNMP-Audit
Über das Tool Tools ` SNMP Audit können Sie SNMP-Audits für
Ziele im Netzwerk durchführen und unsichere Community-Strings
ermitteln.
Es identifiziert unsichere SNMP Community-Strings, indem mit der
Wörterbuch-Datei snmp-pass.txt ein Angriff gestartet wird. Mit Hilfe
eines Text-Editors wie Notepad kann die standardmäßige
Wörterbuch-Datei auch um neue Community-Strings erweitert werden.
Das Tool für SNMP-Audits kann zur Kontrolle zudem auf andere
Wörterbuch-Dateien als die vorgegebene zugreifen. Geben Sie hierfür
über den Bereich Options rechts in der Konfiguration den Pfad zur
gewünschten Datei an.
So führen Sie ein SNMP-Audit durch:
1. Klicken Sie auf den Knoten Tools ` SNMP Audit.
2. Geben Sie die IP-Adresse des Rechners ein, der überprüft werden
soll.
Über das Tool Tools ` Microsoft SQL Server Audit können Sie ein
Sicherheits-Audit für Microsoft SQL Server durchführen. Eine
Kontrolle der Passwortsicherheit ist sowohl für das SA-Konto (d. h.
den Root-Administrator) als auch alle anderen auf dem SQL-Server
konfigurierten Benutzerkonten möglich. Standardmäßig werden bei
dem Kontrollangriff auf die Konten des SQL-Servers die in der
Wörterbuch-Datei
passwords.txt
enthaltenen
Zugangsdaten
eingesetzt. Das Tool für SQL Server-Audits kann zur Kontrolle zudem
auf andere Wörterbuch-Dateien als die vorgegebene zugreifen. Die
Werkzeuge • 137
standardmäßige Wörterbuch-Datei kann durch Hinzufügen neuer
Passwörter erweitert werden.
So führen Sie ein SQL Server-Audit durch:
1. Klicken Sie auf den Knoten Tools ` SQL Server Audit.
2. Geben Sie die IP-Adresse des SQL-Servers ein, der überprüft
werden soll.
Hinweis: Standardmäßig wird die Sicherheit des Administrator/SAKontos getestet. Sollen auch alle anderen SQL-Benutzerkonten
überprüft werden, wählen Sie die Option Audit all SQL user
accounts, und geben Sie die Zugangsdaten für SQL Server ein.
Diese Daten sind für die Authentifizierung am Server erforderlich,
wenn die Liste der Benutzerkonten abgerufen wird.
Tool zum Auflisten von Rechnern
Screenshot 127 – Tool zum Auflisten von Computern
Über das Tool Tools ` Enumerate Computers lassen sich Domänen
und Arbeitsgruppen in einem Netzwerk identifizieren. Während der
Kontrolle werden dabei die jeder Domäne/Arbeitsgruppe zugehörigen
Computer aufgeführt. Folgende Daten werden über dieses Tool
abgerufen: Name der Domäne/Arbeitsgruppe, Liste der zur jeweiligen
Domäne/Arbeitsgruppe gehörenden Computer, das auf den
identifizierten Computern installierte Betriebssystem sowie sonstige
Daten, die sich über NetBIOS abrufen lassen.
Computer lassen sich mit Hilfe folgender Methoden auflisten:
•
138 • Werkzeuge
Über Active Directory – Diese Methode ist schneller und führt auch
Rechner auf, die zum Zeitpunkt des Scans ausgeschaltet sind.
•
Über den Windows Explorer – Bei dieser Methode werden
Rechner im Rahmen eines Echtzeit-Scans des Netzwerks
ermittelt. Sie ist zeitaufwendiger und erfasst keine Computer, die
zum Zeitpunkt des Scans ausgeschaltet sind.
Über den Reiter Information Source des Tools lässt sich die
bevorzugte Identifizierungsmethode auswählen.
Hinweis: Für einen Active Directory-Scan muss das Tool und somit
GFI LANguard N.S.S. unter einem Konto mit AD-Zugriffsrechten
laufen.
Starten eines Sicherheits-Scans
Das Tool zur Auflistung von Computern scannt das gesamte Netzwerk
und erkennt Domänen/Arbeitsgruppen samt der darin verzeichneten
Computer. Nachdem alle Rechner einer Domäne oder Arbeitsgruppe
ermittelt wurden, können sie direkt mit diesem Tool einem SicherheitsScan unterzogen werden. Klicken Sie hierfür mit der rechten
Maustaste auf einen der gelisteten Computer, und wählen Sie im
Kontextmenü den Befehl Scan aus.
Sie haben auch die Möglichkeit, einen Sicherheits-Scan zu starten
und gleichzeitig das Tool zum Auflisten von Computern weiterhin
einzusetzen. Klicken Sie hierfür mit der rechten Maustaste auf einen
der gelisteten Rechner, und wählen Sie im Kontextmenü den Befehl
Scan in background aus.
Bereitstellen eigener Patches
Das Tool zum Auflisten von Computern kann verwendet werden, um
benutzerdefinierte Patches und Dritthersteller-Software auf den
aufgeführten Computern bereitzustellen. So starten Sie die
Bereitstellung direkt über dieses Tool:
1. Wählen Sie alle Computer aus, für die Patches oder andere
Software bereitgestellt werden sollen.
2. Klicken Sie mit der rechten Maustaste auf einen der ausgewählten
Computer, und wählen Sie im Kontextmenü den Befehl Deploy
Custom Patches aus.
Aktivieren von Audit-Richtlinien
Mit dem Tool zum Auflisten von Computern lassen sich AuditRichtlinien auf einzelnen Rechnern konfigurieren. So ändern Sie die
Einstellungen:
1. Wählen Sie die Computer aus, auf denen Audit-Richtlinien aktiviert
werden sollen. 2. Klicken Si emit der rechten Maustaste auf einen der
ausgewählten Computer, und wählen Sie im Kontextmenü Enable
Auditing Policies. Der Konfigurations-Assistent für Audit-Richtlinien
wird gestartet und hilft Ihnen bei der Konfigurierung. Weitere
Informationen zur Konfigurierung von Audit-Richtlinien auf einzelnen
Zielrechnern per Fernzugriff erhalten Sie im Kapitel "Erste Schritte:
Durchführen eines Sicherheits-Audits" unter "Security Audit Policy
(Richtlinien für Sicherheits-Audits)".
Werkzeuge • 139
Tool zum Auflisten von Anwendern
Screenshot 128 – Auflistung von Anwendern
Über das Tool Tools ` Enumerate Users lässt sich ein Scan des
Active Directory einer Domäne durchführen, um eine Liste aller darin
verzeichneten Benutzer und Kontakte abzurufen.
Wählen Sie aus der Liste der Domänen Ihres Netzwerks den
gewünschten Domänennamen aus, und klicken Sie auf die
Schaltfläche Retrieve. Die abzurufenden Informationen können
gefiltert werden, damit nur Anwender oder Kontaktdaten angezeigt
werden. Zudem können mit Hilfe dieses Tools deaktivierte ("Disabled
accounts") oder gesperrte Konten ("Locked accounts") optional
hervorgehoben werden. Die Einstellungen sind auf der rechten Seite
im Bereich Options unter dem Reiter General vorzunehmen.
Jedes aufgeführte Benutzerkonto kann mit Hilfe dieses Tools aktiviert
oder deaktiviert werden. Klicken Sie hierfür mit der rechten Maustaste
auf das gewünschte Konto, und wählen Sie Enable/Disable account.
140 • Werkzeuge
Verwenden von GFI LANguard N.S.S.
per Befehlszeile
Schwachstellen-Scans und Patch-Bereitstellung lassen sich auch
ohne Aufruf der Konfigurationsoberfläche direkt mit von GFI LANguard
N.S.S. unterstützten Befehlszeilen-Tools starten.
Über das per Befehlszeile startfähige Scan-Tool lnsscmd.exe können
Sicherheitslücken-Checks von Zielrechnern im Netzwerk direkt aus
"externen" Programmen (d. h. Drittanbieter-Anwendungen), BatchDateien oder Skripten gestartet werden.
Über das per Befehlszeile startfähige Patch-Tool deploycmd.exe
können Patches/Software auf Zielrechnern im Netzwerk direkt aus
"externen" Programmen (d. h. Drittanbieter-Anwendungen), BatchDateien oder Skripten gestartet werden.
Die unterschiedlichen Optionen dieser Befehlszeilen-Tools können
über unterstützte Switches konfiguriert werden. Diese Switches bieten
alle Hauptfunktionen, die sonst über die Konfigurationsoberfläche von
GFI LANguard N.S.S. verfügbar sind.
Verwenden des Befehlszeilen-Tools "lnsscmd.exe" für NetzwerkScans
Die Syntax der über das Befehlszeilen-Tool
verschickten Befehle sieht wie folgt aus:
lnsscmd.exe
lnsscmd [Target] [/profile=profileName] [/report=reportPath]
[/output=pathToXmlFile] [/user=usrname /password=password]
[/UseComputerProfiles] [/email=emailAddress]
[/DontShowStatus] [/?]
Mit folgenden Switches wird das Befehlszeilen-Tool lnsscmd.exe
konfiguriert:
•
Target – Geben Sie die IP/den IP-Bereich oder die Namen der zu
scannenden Hosts an.
•
/Profile – (Optional) Geben Sie das für einen Sicherheits-Scan zu
verwendende Scan-Profil an. Bei Nichtangabe dieses Parameters
wird das in GFI LANguard N.S.S. zurzeit aktive Scan-Profil
eingesetzt.
Hinweis: Das standardmäßige (d. h. aktive) Scan-Profil wird in der
Konfiguration über den Hinweis "(Active)" neben dem Profilnamen
angezeigt. Klicken Sie zur Kontrolle des aktiven Scan-Profils auf
den Knoten Configuration ` Scanning Profiles.
•
/Output – (Optional) Geben Sie den vollständigen Pfad zur XMLDatei (mit Dateiname) an, in der die Scan-Ergebnisse gespeichert
werden sollen.
Verwenden von GFI LANguard N.S.S. per Befehlszeile • 141
•
/Report – (Optional) Geben Sie den vollständigen Pfad zur HTMLDatei (mit Dateiname) an, in der die Scan-Ergebnisse des HTMLBerichts ausgegeben/gespeichert werden sollen.
•
/User und /Password – (Optional) Geben Sie alternative
Zugangsdaten an, die während eines Sicherheits-Scans von der
Scan-Engine zur Authentifizierung am Zielrechner verwendet
werden
sollen.
Alternativ
können
Sie
den
Switch
/UseComputerProfiles nutzen, um die bereits in den ComputerProfilen (über den Knoten Configuration ` Computer Profiles)
konfigurierten Zugangsdaten zu verwenden.
•
/Email – (Optional) Geben Sie die E-Mail-Adresse an, an die nach
Beendigung des Scans die Scan-Berichte geschickt werden
sollen. Die Berichte werden mit Hilfe des in der Konfiguration über
den Knoten Configuration ` Alerting Options festgelegten EMail-Servers verschickt.
•
/DontShowStatus – (Optional) Verwenden Sie diesen Switch, um
Scans im Hintergrund durchführen zu lassen. Der Scan-Fortschritt
wird hierbei nicht angezeigt.
•
/? /? – (Optional) Mit diesem Switch lassen Sie die Benutzerhilfe
des Befehlszeilen-Tools anzeigen.
Hinweis: Vollständige Profilnamen und Pfade müssen immer in
doppelten Anführungsstrichen stehen, z. B. "Default" oder
"c:\temp\test.xml".
Beim Befehlszeilen-Tool können mit Hilfe einzelner Variablen
bestimmte Parameter festgelegt werden. Diese Variablen werden bei
der Ausführung automatisch durch den entsprechenden Wert ersetzt.
Folgende Variablen werden unterstützt:
•
%INSTALLDIR% – Wird während des Scan-Vorgangs durch den
Pfad zum Installationsverzeichnis von GFI LANguard N.S.S.
ersetzt.
•
%TARGET% – Wird während des Scan-Vorgangs durch den
Namen des Zielrechners ersetzt.
•
%SCANDATE% – Wird während des Scan-Vorgangs durch das
Scan-Datum ersetzt.
•
%SCANTIME% – Wird während des Scan-Vorgangs durch die
Scan-Uhrzeit ersetzt.
Beispiel: Starten eines Zielrechner-Scans per BefehlszeilenTool
Für folgendes Beispiel wird ein Scan mit folgenden Parametern
angenommen:
1. Der Sicherheits-Scan ist für einen Zielrechner mit der IP-Adresse
130.16.130.1 durchzuführen.
2. Die Scan-Ergebnisse sind in der XML-Datei c:\out.xml zu
protokollieren.
3. Es soll ein HTML-Bericht erstellt und in der Datei c:\result.html
gespeichert werden.
4. Der HTML-Bericht ist per E-Mail an [email protected] zu schicken.
Die über das Befehlszeilen-Tool zu erteilende Anweisung lautet somit:
142 • Verwenden von GFI LANguard N.S.S. per Befehlszeile
lnsscmd.exe 130.16.130.1 /Profile="Default" /Output="c:\out.xml"
/Report="c:\result.html" /email="[email protected]"
Verwenden des Befehlszeilen-Tools "deploycmd.exe" zur PatchBereitstellung
Mit folgenden Switches wird das Befehlszeilen-Tool deploycmd.exe
konfiguriert:
deploycmd [target] [/file=FileName] [/username=UserName
/password=Password]
[/UseComputerProfiles]
[/warnuser]
[/useraproval] [/stopservices] [/customshare=CustomShareName]
[/reboot]
[/rebootuserdecides]
[/shutdown]
[/deletefiles]
[/timeout=Timeout(sec)] [/?]
Mit folgenden Switches wird das Befehlszeilen-Tool deploycmd.exe
konfiguriert:
•
Target – Geben Sie die Namen, IP-Adressen oder den IP-Bereich
der Zielrechner an, auf denen Patches bereitgestellt werden
sollen.
•
/File – Geben Sie die Datei an, die auf den angegebenen
Zielrechnern installiert werden soll.
•
/User und /Password – (Optional) Geben Sie alternative
Zugangsdaten an, die während der Patch-Bereitstellung von der
Scan-Engine zur Authentifizierung am Zielrechner verwendet
werden
sollen.
Alternativ
können
Sie
den
Switch
/UseComputerProfiles nutzen, um die bereits in den ComputerProfilen (über den Knoten Configuration ` Computer Profiles)
konfigurierten Zugangsdaten zu verwenden.
•
/warnuser – (Optional) Verwenden Sie diesen Switch, wenn
Benutzer des Zielrechners informiert werden sollen, dass die
Installation
einer
Datei/eines
Patches
bevorsteht.
Die
Benachrichtigung
erfolgt
über
die
Einblendung
eines
Dialogfensters unmittelbar vor der Installation.
•
/useraproval – (Optional) Verwenden Sie diesen Switch, wenn die
Installation einer Datei/eines Patches erst nach erfolgreicher
Zustimmung durch den Benutzer des Zielrechners erfolgen soll.
Die hierdurch mögliche zeitliche Verschiebung erlaubt es, dass auf
dem Zielrechner aktive Prozesse zunächst beendet werden
können.
•
/stopservice – (Optional) Verwenden Sie diesen Switch, wenn vor
der Installation der Datei/des Switches bestimmte Dienste beendet
werden sollen.
Hinweis: Alle Dienste, die über das Befehlszeilen-Tool beendet
werden können, müssen zuvor über die Konfigurationsoberfläche
festgelegt worden sein. Weitere Informationen zur Angabe von zu
beendenden Diensten erhalten Sie im Kapitel “Patch-Verwaltung:
Bereitstellen eigener Software” unter “Bereitstellungsoptionen“.
•
/customshare – (Optional) Verwenden Sie diesen Switch, um das
Zielverzeichnis anzugeben, in das die Datei vor der Installation
verschoben werden soll.
Verwenden von GFI LANguard N.S.S. per Befehlszeile • 143
•
/reboot – (Optional) Verwenden Sie diesen Switch, wenn der
Zielrechner nach der Installation einer Datei/eines Patches neu
gestartet werden soll.
•
/rebootuserdecides – (Optional) Verwenden Sie diesen Switch,
wenn der Benutzer des Zielrechners festlegen können soll, wann
sein Rechner nach der Patch-Installation neu zu starten ist.
•
/shutdown – (Optional) Verwenden Sie diesen Switch, wenn der
Zielrechner nach der Installation einer Datei/eines Patches
heruntergefahren werden soll.
•
/deletefiles – (Optional) Verwenden Sie diesen Switch, wenn die
Quelldatei nach der erfolgreichen Installation gelöscht werden soll.
•
/timeout – (Optional) Verwenden Sie diesen Switch, um ein
Timeout für den Installationsprozess festzulegen. Dieser Wert legt
fest, wie viel Zeit der Installationsprozess in Anspruch nehmen
darf, bevor er wegen Zeitüberschreitung abgebrochen wird.
•
/? /? – (Optional) Mit diesem Switch lassen Sie die Benutzerhilfe
des Befehlszeilen-Tools anzeigen.
Beispiel: Starten der Patch-Bereitstellung per BefehlszeilenTool
Für folgendes Beispiel wird eine Patch-Bereitstellung mit folgenden
Parametern angenommen:
1. Es soll eine Datei
bereitgestellt werden.
mit
dem
Namen
patchA001002.XXX
2. Die Bereitstellung soll auf dem Zielrechner TMjason erfolgen.
3. Der Zielrechner ist nach einer erfolgreichen Installation neu zu
starten.
Die über das Befehlszeilen-Tool zu erteilende Anweisung lautet somit:
deploycmd TMjason /file=“patchA001002.XXX“ /reboot
144 • Verwenden von GFI LANguard N.S.S. per Befehlszeile
Hinzufügen von Sicherheits-Checks
per Benutzer-Bedingungen/Skripten
Einführung
GFI LANguard N.S.S. erlaubt zusätzlich die Erstellung eigener
Schwachstellen-Checks.
Diese Checks können mit Hilfe von Skripten oder durch das
Definieren neuer Sicherheitslücken erstellt werden. Bei Skripten lässt
sich mit jede VBScript-kompatible Skriptsprache verwenden. Weitere
Unterstützung leistet der standardmäßig mitgelieferte Skript-Editor von
GFI LANguard N.S.S.
Neu erstellte Schwachstellen-Checks müssen in die Liste der von GFI
LANguard N.S.S. unterstützten Checks aufgenommen werden. Hierfür
steht der Reiter Vulnerabilities zur Verfügung, über den die bereits
vorhandenen Checks für jedes einzelne Scan-Profil ergänzt werden
können.
Hinweis: Neue Schwachstellen-Checks sollten nur von erfahrenen
Anwendern erstellt werden. Fehler bei der Skript-Erstellung und
fehlerhafte Konfigurationseinstellungen eines Schwachstellen-Checks
können Fehlalarme zur Folge haben oder dazu führen, dass
vorhandene Schwachstellen nicht erkannt werden.
GFI LANguard N.S.S. VBScript
GFI LANguard N.S.S. unterstützt Skripten, die in VBScriptkompatiblen Sprachen geschrieben sind. Hierdurch lassen sich eigene
Skripten erstellen, mit denen Sie Ziele im Netzwerk auf von Ihnen
definierte Sicherheitslücken überprüfen können.
Beim Erstellen von Skripten für Sicherheits-Audits hilft der
mitgelieferte Skript-Editor von GFI LANguard N.S.S. Er unterstützt Sie
bei der Skript-Entwicklung, indem er Syntax hervorhebt und DebugFunktionen zur Fehlerbeseitigung bietet. Starten Sie den Skript-Editor
über Start ` Programme ` GFI LANguard Network Security
Scanner 7.0 ` LNSS Script Debugger.
Hinweis: Weitere Informationen zum Erstellen von Skripten mit Hilfe
des integrierten Skript-Editors erhalten Sie in der Hilfe-Datei "Scripting
documentation", die Sie unter Start ` Programme ` GFI LANguard
Network Security Scanner 7.0 ` LNSS Scripting documentation
finden.
Wichtiger Hinweis: GFI bietet keinen Support zu Anfragen bezüglich
selbst erstellter Skripten. Bei Fragen zum Scripting von GFI LANguard
N.S.S. wenden Sie sich bitte an das GFI-Forum zu den GFI
LANguard-Produkten unter http://forums.gfi.com/. Über die GFI-Foren
Hinzufügen von Sicherheits-Checks per Benutzer-Bedingungen/Skripten • 145
können Sie Skripten austauschen und Probleme mit anderen
Anwendern von GFI LANguard N.S.S. diskutieren.
GFI LANguard N.S.S. SSH-Modul
Im Lieferumfang von GFI LANguard N.S.S. ist ein SSH-Modul
enthalten, das es Ihnen erlaubt, Skripten zur Überprüfung von
Sicherheitslücken auch auf Linux/UNIX-Systemen ausführen zu
lassen.
Das SSH-Modul bestimmt das Ergebnis von SicherheitslückenChecks, indem die von einem ausgeführten Skript generierten
Konsolendaten analysiert werden. Dies hat den Vorteil, dass sich jede
vom Linux/UNIX-System unterstützte Skriptsprache verwenden lässt,
die Ergebnisse im Textformat an die Konsole ausgeben kann.
Erkennen des Check-Status anhand von Stichwörtern
Das SSH-Modul kann Skripten über sein Terminal-Fenster laufen
lassen. Wird ein Sicherheits-Scan für Linux-/UNIX-basierte
Zielrechner gestartet, werden die Skripten zur SchwachstellenKontrolle per SSH-Verbindung an den Zielrechner übermittelt und
laufen darauf lokal.
Der Aufbau der SSH-Verbindung erfolgt über die Zugangsdaten (d. h.
Benutzername und Passwort/SSH Private Key-Datei), die vor dem
Beginn des Sicherheits-Scans angegeben worden sind.
Das SSH-Modul erkennt den Status eines Sicherheitslücken-Checks
über bestimmte Stichwörter, die in der Textausgabe des ausgeführten
Skripts enthalten sind. Die vom Modul verarbeiteten Stichwörter
werden zur weiteren Ausgabe dann an GFI LANguard N.S.S.
weitergeleitet. Folgende Stichwörter werden standardmäßig vom
SSH-Modul erkannt:
•
TRUE:
•
FALSE:
•
AddListItem
•
SetDescription
•
!!SCRIPT_FINISHED!!
Jedes dieser Stichwörter löst einen eigenen Prozess im SSH-Modul
aus. Nachfolgend wird die Funktion jedes Stichworts näher erläutert:
•
TRUE: / FALSE: – Mit diesen Strings wird das Ergebnis eines
ausgeführten Schwachstellen-Checks/Skripts angezeigt. Erkennt
das SSH-Modul den Ausgabewert "TRUE":, zeigt dies an, dass
der Check erfolgreich durchgeführt werden konnte. Bei "FALSE:"
hingegen erkennt das Modul den Check als fehlgeschlagen.
•
AddListItem – Mit diesem String wird eine interne Funktion
aufgerufen, die dem Schwachstellen-Bericht Scan-Ergebnisse
hinzufügt. Die Ergebnisse werden nach Abschluss eines Scans
über die Konfigurationsoberfläche von GFI LANguard N.S.S.
angezeigt. Der String sieht wie folgt aus:
AddListItem([[[[übergeordneter Knoten]]]],[[[[String]]]])
146 • Hinzufügen von Sicherheits-Checks per Benutzer-Bedingungen/Skripten
o
[[[[übergeordneter Knoten]]]] – Enthält den Namen des
Scan-Ergebnis-Knotens, dem das Ergebnis hinzugefügt
werden soll.
o
[[[[String]]]] – Enthält den Wert, der dem Scan-ErgebnisKnoten, hinzugefügt werden soll.
Hinweis: Jeder Sicherheitslücken-Check ist einem ScanErgebnis-Knoten zugeordnet. Dies bedeutet, dass Ergebnisse von
AddListItem standardmäßig unter einem zugewiesenen
Schwachstellen-Knoten aufgeführt werden. Wird kein Parameter
für den übergeordneten Knoten angegeben, fügt die Funktion den
angegebenen String somit dem Standard-Knoten hinzu.
•
SetDescription – Mit diesem String wird eine interne Funktion
aufgerufen,
die
die
vorgegebene
Beschreibung eines
Sicherheitslücken-Checks ändert. Der String sieht wie folgt aus:
SetDescription([neue Beschreibung])
•
!!SCRIPT_FINISHED!! – Dieser String zeigt das Ende einer
Skriptausführung an. Das SSH-Modul sucht nach diesem String,
bis die Suche erfolgreich ist oder wegen Zeitüberschreitung
abgebrochen wird. Sollte ein Timeout eintreten, bevor der String
!!SCRIPT_FINISHED!!
ausgegeben
ist,
wird
der
Sicherheitslücken-Check vom SSH-Modul als fehlgeschlagen
gewertet.
Wichtiger Hinweis: Jedes selbst definierte Skript muss den String
!!SCRIPT_FINISHED!! am Ende des Kontrollvorgangs ausgeben.
Hinzufügen von auf individuellen VBS-Skripten basierenden
Sicherheits-Checks
Mit Hilfe des Skript-Editors von GFI LANguard N.S.S. lassen sich
eigene Skripten erstellen, mit denen Sie Ziele im Netzwerk auf von
Ihnen definierte Schwachstellen überprüfen können. So erstellen Sie
neue Schwachstellen-Checks, die auf von Ihnen erstellten VBScripts
basieren:
•
Schritt 1: Erstellung des Skripts
•
Schritt 2: Hinzufügen des neuen Schwachstellen-Checks:
Folgende Beispiele erläutern die hierfür notwendigen Schritte.
Schritt 1: Erstellen des Skripts
1. Starten Sie den Script-Debugger über Start ` Programme ` GFI
LANguard Network Security Scanner 7.0 ` LNSS Script
Debugger.
3. Erstellen Sie Ihr Skript. Folgender Skript-Code soll als Beispiel
dienen:
Function Main
echo "Script has run successfully"
Main = true
End Function
4. Sichern Sie das Skript z. B. unter “C:\Program Files\GFI\LANguard
Network Security Scanner 7.0\Data\Scripts\meinSkript.vbs“.
1. Rufen Sie die Konfigurationsoberfläche von GFI LANguard N.S.S.
auf.
wählen Sie das Scan-Profil aus, dem der neue Check hinzugefügt
werden soll.
3. Klicken Sie auf den Reiter Vulnerabilities.
4. Wählen Sie im mittleren Fenster die Kategorie aus, der der neue
Schwachstellen-Check hinzugefügt werden soll (z. B. DNS
Vulnerabilities).
Screenshot 129 – Dialog zum Erstellen eines neuen Schwachstellen-Checks
5. Klicken Sie auf die Schaltfläche Add. Das Dialogfenster für den
neuen Schwachstellen-Check wird geöffnet.
6. Geben Sie grundlegende Informationen ein, wie den Namen der
Schwachstelle, eine kurze Beschreibung, die Sicherheitsstufe,
und eine BugtraqID/URL (falls zutreffend). Des Weiteren können Sie
optional angeben, wie viel Zeit die Ausführung dieses SicherheitsChecks in Anspruch nimmt.
7. Klicken Sie auf die Schaltfläche Add. Das Dialogfenster für
Auslösebedingungen wird geöffnet.
Screenshot 130 – Dialog zur Angabe von Auslösebedingungen
8. Wählen Sie aus der Drop-Down-Liste Check type: den Eintrag
VBScript aus, und geben Sie im Feld Condition die
Auslösebedingung an.
("Öffnen"), und wählen Sie die
VBScript-Datei aus, die von diesem Check ausgeführt wird. Wählen
Sie in diesem Fall die erstellte Beispieldatei meinSkript.vbs.
10. Klicken Sie auf die Schaltfläche Add, um den SchwachstellenCheck der Liste hinzuzufügen.
11. Markieren Sie das Kontrollkästchen für diese Sicherheitslücke,
damit sie beim nächsten Schwachstellen-Scan ebenfalls kontrolliert
wird.
Testen des beispielhaft erstellten SchwachstellenChecks/Skripts
Scannen Sie Ihren lokalen Host mit dem Scan-Profil, dem der neue
Check hinzugefügt wurde.
Unter dem Knoten Vulnerabilities ` Miscellaneous Alerts der ScanErgebnisse wird eine entsprechende Sicherheitslücke angezeigt
werden.
Hinzufügen von auf eigenen Shell-Skripten basierenden
Schwachstellen-Checks
GFI LANguard N.S.S. bietet die Möglichkeit, auf selbst erstellten
Shell-Skripten basierende Schwachstellen-Checks zur Kontrolle von
Linux- und UNIX-Rechnern hinzuzufügen. Diese Checks werden per
SSH über das SSH-Modul remote ausgeführt. Skripten lassen sich in
allen Skript-Sprachen erstellen, die eine Ausgabe von Ergebnissen im
Textformat unterstützen.
Im folgenden Beispiel wird ein Schwachstellen-Check für LinuxRechner erstellt, das ein in Bash geschriebenes Skript verwendet. Mit
diesem Check soll überprüft werden, ob eine Testdatei namens
"test.file" auffindbar ist.
Schritt 1: Erstellen des Skripts
1. Öffnen Sie den von Ihnen bevorzugten Text-Editor.
2. Erstellen Sie ein neues Skript mit folgendem Code:
#!/bin/bash
if [ -e test.file ]
then
echo "TRUE:"
else
echo "FALSE:"
if
echo "!!SCRIPT_FINISHED!!"
3. Sichern Sie das Skript z. B. unter “C:\Program Files\GFI\LANguard
Network Security Scanner 7.0\Data\Scripts\meinSkript.sh“.
Screenshot 131 – Hinzufügen eines neuen Schwachstellen-Checks
werden soll.
2. Klicken Sie auf den Reiter Vulnerabilities.
3. Wählen Sie im mittleren Fenster die Kategorie aus, der der neue
Schwachstellen-Check hinzugefügt werden soll (z. B. DNS
Vulnerabilities).
Schwachstelle, eine kurze Beschreibung, die Sicherheitsstufe und
eine BugtraqID/URL (falls zutreffend). Des Weiteren können Sie
9. Wählen Sie aus der Drop-Down-Liste Check type: den Eintrag
SSH aus, und geben Sie im Feld Condition die Auslösebedingung
an.
("öffnen"), und wählen Sie die
SSH-Script aus, das von diesem Check ausgeführt wird. Wählen Sie
in diesem Fall die erstellte Beispieldatei meinSkript.sh.
11. Klicken Sie auf die Schaltfläche Add, um den SchwachstellenCheck der Liste hinzuzufügen.
12. Markieren Sie in der Liste der Checks das Kontrollkästchen für
diese Sicherheitslücke, damit sie beim nächsten Schwachstellen-Scan
ebenfalls kontrolliert wird.
Testen des beispielhaft erstellten SchwachstellenChecks/Skripts
1. Melden Sie sich an einem Linux-Rechner an, und erstellen Sie
eine Datei mit dem Namen test.file. Der Check gibt eine
Schwachstellen-Warnung aus, wenn diese Datei gefunden wird.
2. Unterziehen Sie den Linux-Rechner, auf dem die Datei erstellt
wurde, einem Sicherheits-Scan.
3. Kontrollieren Sie die Scan-Ergebnisse. Unter dem Knoten
Vulnerabilities wird die Warnmeldung wie folgt angezeigt.
Hinzufügen eines Sicherheits-Checks für CGI-Schwachstellen
Soll ein neuer Check für eine CGI-Schwachstelle eingerichtet werden,
ist hierfür kein gesondertes VB- oder SSH-Skript zu erstellen. Die
Scan-Funktionen für CGI-Checks sind über die Optionen der CheckEigenschaften konfigurierbar.
Screenshot 133 – Erstellen eines neuen Checks für CGI-Schwachstellen
So erstellen Sie einen neuen Check für eine CGI-Sicherheitslücke:
1. Gehen Sie auf den Knoten Configuration ` Scanning Profiles `
CGI Scanning.
3. Klicken Sie im mittleren Fenster auf den Knoten CGI Abuses.
4. Klicken Sie auf die Schaltfläche Add. Das Dialogfenster zur
Bearbeitung der CGI-Schwachstelle wird geöffnet.
Screenshot 134 – Dialog zum Erstellen eines neuen Checks für CGI-Schwachstellen
6. Legen Sie im Bereich Trigger condition folgende Parameter fest:
•
HTTP Method – Legen Sie die Art der HTTP-Anfrage fest, die der
Check zum Informationsabruf verwenden soll. Checks für CGISchwachstellen unterstützen zwei HTTP-Methoden, GET und
HEAD.
•
To check for the URL – Geben Sie den Namen des CGI-Skripts
an, das während eines Zielrechner-Scans ausgeführt werden soll.
•
Under the Directories – Geben Sie die Verzeichnisse an, in
denen sich das CGI-Skript befindet.
•
Return String – Geben Sie den erwarteten Ergebnis-String an.
GFI LANguard N.S.S. erkennt, ob dieser Check erfolgreich ist,
indem der von Ihnen festgelegte Ausgabe-String mit dem Text der
Check-Ergebnisse verglichen wird. Der Textvergleich erfolgt
anhand einer der folgenden Bedingungen:
o
Contains any text – Der Check ist erfolgreich, wenn ein
beliebiger Teil des angegebenen Strings in den CheckErgebnissen gefunden wird.
o
Contains the text – Der Check ist nur dann erfolgreich, wenn
der angegebene String komplett in den Check-Ergebnissen
gefunden wird.
o
Does not contain the text – Der Check ist nur dann
erfolgreich, wenn der angegebene String nicht in den CheckErgebnissen gefunden wird.
speichern.
Hinweis: Um neue Checks automatisch bei kommenden Scans zu
berücksichtigen, klicken Sie auf die Schaltfläche Advanced, und
wählen Sie für New vulnerabilities are enabled by default die
Option Yes.
Hinzufügen weiterer Kontrollen für Sicherheitslücken
GFI LANguard N.S.S. ermöglicht das Erstellen von SchwachstellenChecks ohne VB- oder SSH-Skripten. Diese Checks basieren auf
demselben Prinzip wie Checks für CGI-Schwachstellen, verfügen
jedoch über andere Konfigurationsparameter und Optionen.
Screenshot 135 – Erstellen eines neuen Checks für CGI-Schwachstellen
So erstellen Sie einen Check ohne VB- oder SSH-Skripten:
werden soll.
3. Wählen Sie im mittleren Fenster die Kategorie aus, für die der neue
Schwachstellen-Check erstellt werden soll.
Screenshot 136 – Dialog zum Erstellen eines neuen Schwachstellen-Checks
7. Wählen Sie aus der Drop-Down-Liste Check type: den
erforderlichen Check-Typ aus, und geben Sie im Feld Condition die
zugehörige Auslösebedingung an. Folgende Check-Typen und
Auslösebedingungen werden unterstützt:
•
•
Betriebssystem
•
Registry Key*
•
Registry Path *
•
•
•
•
•
Registry Value
Service Pack
Hot Fix
IIS
IIS-Version
•
RPC-Service
•
NT-Service
•
NT Service running
•
•
Unterstützte
Auslösebedingungen
Unterstützter CheckTyp
NT Service startup type
•
Port (TCP)
•
UDP-Port
•
FTP banner **
•
HTTP banner **
•
SMTP banner **
•
Is
•
Is Not
•
Exists
•
Not Exists
•
Exists
•
Not Exists
•
Is Equal With
•
Is Not Equal With
•
Is Less Than
•
Is Greater Than
•
Is
•
Is Not
•
Is Lower Than
•
Is Higher Than
•
Is Installed
•
Is Not Installed
•
Is Installed
•
Is Not Installed
•
Is
•
Is Not
•
Is Lower Than
•
Is Higher Than
•
Is Installed
•
Is Not Installed
•
Is Installed
•
Is Not Installed
•
Is running
•
Is not running
•
Automatic
•
Manual
•
Disabled
•
Is Open
•
Is Closed
•
Is Open
•
Is Closed
•
Is
•
Is Not
•
Is
•
Is Not
•
Is
•
Is Not
•
POP3 banner **
•
DNS banner **
•
SSH banner **
•
Telnet banner **
•
Script
•
SSH Script
•
Is
•
Is Not
•
Is
•
Is Not
•
Is
•
Is Not
•
Is
•
Is Not
•
Returns: True (1)
•
Returns: False (0)
•
Returns True (TRUE:)
•
Returns False (FALSE:)
* Funktioniert nur unter HKEY_LOCAL_COMPUTER
** Sie können Suchmuster erstellen, die nach Version 1.0 bis 1.4 suchen, sowie
nach Version 2.0 bis 2.2, jedoch nicht nach Version 1.5 bis 1.9. Siehe Beispiele
weiter unten.
8. Klicken Sie auf die Schaltfläche Add, um die ausgewählte
Bedingung dem Schwachstellen-Check hinzuzufügen.
speichern
und
den
Dialog
zu
schließen.
Zusätzliche Informationen
Screenshot 138 – Schwachstellen-Check mit mehreren Auslösebedingungen
Jeder Schwachstellen-Check kann mit mehreren Auslösebedingungen
versehen werden. Hierdurch ist gewährleistet, dass die Auslösung erst
dann erfolgt, wenn alle angegebenen Kriterien/Bedingungen erfüllt
sind.
Ergänzende Optionen
Aktivieren von NetBIOS auf einem Netzwerk-Rechner
1. Melden Sie sich am Zielrechner mit administrativen Rechten an.
2. Navigieren Sie zur Systemsteuerung über Start ` Einstellungen `
Systemsteuerung, und doppelklicken Sie auf das Symbol
Netzwerkverbindungen.
Symbol für LAN-Verbindung
3. Klicken Sie mit der rechten Maustaste auf das LAN-Symbol der
Netzwerkkarte, die Sie konfigurieren möchten, und wählen Sie im
Kontextmenü Properties.
4. Klicken Sie auf Internetprotokoll (TCP/IP), und klicken Sie auf die
Schaltfläche Eigenschaften.
5. Klicken Sie auf die Schaltfläche Erweitert.
6. Klicken Sie auf den Reiter WINS.
Screenshot 139 – LAN-Eigenschaften, Reiter "WINS"
7. Wählen Sie im Bereich NetBIOS-Einstellung die Option Standard.
Ergänzende Optionen • 159
Hinweis: Falls Sie eine statische IP-Adresse verwenden oder der
DHCP-Server keine NetBIOS-Einstellung anbietet, wählen Sie
stattdessen die Option NetBIOS über TCP/IP aktivieren.
8. Klicken Sie auf die Schaltfläche OK, und schließen Sie die
einzelnen Dialogfenster.
Installieren des Client für Microsoft-Netzwerke unter Windows 2000
oder höher
Der Client für Microsoft-Netzwerke ist eine wichtige SoftwareKomponente, die für den Netzwerkbetrieb der Microsoft WindowsBetriebssysteme benötigt wird. Der Client muss auf einem WindowsRechner laufen, damit dieser per Fernzugriff auf Dateien, Drucker und
andere freigegebene Netzwerk-Ressourcen zugreifen kann. Folgende
Schritt-für-Schritt-Anweisungen helfen bei der Überprüfung, ob der
Client bereits installiert ist und unterstützen Sie andernfalls bei dessen
Installierung.
Systemsteuerung.
2. Klicken Sie mit der rechten Maustaste auf Netzwerkverbindung,
und
wählen
Sie
Öffnen.
Hierdurch
wird
der
Dialog
"Netzwerkverbindungen" geöffnet.
3. Klicken Sie mit der rechten Maustaste auf das Symbol LANVerbindung, und wählen Sie im Kontextmenü Eigenschaften.
Hierdurch wird der Dialog "Eigenschaften von LAN-Verbindung"
geöffnet.
Hinweis: Bei älteren Versionen von Windows wie Windows 95 oder
Windows 98 klicken Sie mit der rechten Maustaste auf
Netzwerkumgebung,
und
wählen
Sie
im
Kontextmenü
Eigenschaften. Alternativ können Sie zur Systemsteuerung
navigieren und das Element Netzwerk öffnen.
160 • Ergänzende Optionen
Screenshot 140 – LAN-Eigenschaften
4. Wählen Sie unter dem Reiter Allgemein das Kontrollkästchen zu
Client für Microsoft-Netzwerke aus, und klicken Sie auf Installieren,
um mit der Installation zu beginnen.
Hinweis 1: Ist das Kontrollkästchen zu Client für MicrosoftNetzwerke schon ausgewählt, wurde die Komponente bereits
installiert.
Hinweis 2: Ist das Netzwerk gerade aktiv, sind unter Umständen
keine Kontrollkästchen sichtbar. Klicken Sie in diesem Fall erneut auf
die Schaltfläche Eigenschaften, um zum gesamten Reiter Allgemein
zu gelangen.
Hinweis 3: Wird eine ältere Version von Windows verwendet, rufen
Sie den Reiter Konfiguration auf, und kontrollieren Sie, ob der Client
für Microsoft-Netzwerke in der angezeigten Liste aufgeführt ist. Ist
dies nicht der Fall, installieren Sie die Komponente, indem Sie auf die
Schaltfläche Add klicken.
5. Wählen Sie im neu eingeblendeten Dialog Client aus, und klicken
Sie auf die Schaltfläche Add.
6. Wählen Sie rechts in der Liste der Hersteller den Eintrag
Microsoft aus. Wählen Sie dann Client für Microsoft-Netzwerke aus
der Liste der Netzwerk-Clients auf der rechten Fensterseite aus.
Klicken Sie auf die Schaltfläche OK.
7. Klicken Sie auf die Schaltfläche OK, um die Installation
abzuschließen, und führen Sie einen Neustart des Rechners durch.
Nach dem Neustart wird der Client für Microsoft-Netzwerke
automatisch installiert.
Konfigurieren von Passwort-Richtlinien einer Active Directorybasierten Domäne
Hinweis: Zur Durchführung der folgenden Schritte müssen Sie als
Mitglied der Gruppe Domänen-Admins angemeldet sein.
So legen Sie Passwort-Richtlinien für Netzwerk-Rechner fest, die zu
einer Active Directory-Domäne gehören:
Systemsteuerung, und klicken Sie auf Verwaltung.
Screenshot 141 – Konfigurierung von Active Directory-Benutzern und -Computern
2. Klicken Sie auf das Snap-in Active Directory-Benutzer und Computer. Klicken Sie mit der rechten Maustaste auf den
Stammcontainer der Domäne, und wählen Sie im Kontextmenü
Eigenschaften.
Screenshot 142 – Konfigurierung eines neuen Gruppenrichtlinienobjekts (GPO)
3. Klicken Sie im Eigenschaften-Dialog auf den Reiter
Gruppenrichtlinie. Klicken Sie auf die Schaltfläche Neu, um im
Stammcontainer ein neues Gruppenrichtlinienobjekt zu erstellen.
4. Geben Sie der neuen Richtlinie einen Namen (z. B.
"Domänenrichtlinie"), und klicken Sie auf die Schaltfläche Schließen.
Hinweis: Microsoft empfiehlt, keine Änderungen an der standardmäßigen Richtlinie ("Standarddomänenrichtlinie") vorzunehmen,
sondern anstatt dessen ein neues Gruppenrichtlinienobjekt zu
erstellen. Schwer wiegende Probleme bei Sicherheitseinstellungen
lassen sich hierdurch leichter beheben. In einem solchen Fall braucht
lediglich das neue Gruppenrichtlinienobjekt vorübergehend deaktiviert
zu werden, bis die problematischen Einstellungen gefunden sind.
5. Klicken Sie mit der rechten Maustaste auf den Stammcontainer der
Domäne, und wählen Sie im Kontextmenü Eigenschaften. Der Dialog
zu den Eigenschaften der Domäne wird geöffnet.
6. Klicken Sie auf den Reiter Gruppenrichtlinie, und wählen Sie die
gerade
erstellte
Gruppenrichtlinienobjekt-Verknüpfung
(z. B.
“Domänenrichtlinie“) aus.
7. Klicken Sie auf die Schaltfläche Nach oben, um das neue GPO an
die oberste Stelle in der Liste zu verschieben. Klicken Sie dann auf die
Schaltfläche Bearbeiten, um den Editor "GPEdit" zu öffnen.
Screenshot 143 – Group Policy Object Editor
8. Erweitern Sie den Knoten Computerkonfiguration, und navigieren
Sie zum Verzeichnis Windows-Einstellungen
` Sicherheitseinstellungen ` Kontorichtlinien ` Kennwortrichtlinie.
Screenshot 144 – Konfigurierung der Kennwortchronik
9. Doppelklicken Sie im rechten Fenster auf die Richtlinie
Kennwortchronik erzwingen. Wählen Sie die Option Diese
Richtlinieneinstellung definieren, und setzen Sie den Wert für
Kennwortchronik behalten auf "24".
10. Klicken Sie abschließend auf die Schaltfläche OK, um den Dialog
zu schließen.
Screenshot 145 – Konfigurierung des Kennwortablaufs
11. Doppelklicken Sie im rechten Fenster auf die Richtlinie Maximales
Kennwortalter. Wählen Sie die Option Diese Richtlinieneinstellung
definieren, und setzen Sie den Wert für Kennwort läuft ab in auf
"42" Tage.
12. Klicken Sie auf die Schaltfläche OK, um den Eigenschaftendialog
zu schließen.
Screenshot 146 – Konfigurierung des minimalen Kennwortalters
13. Doppelklicken Sie im rechten Fenster auf die Richtlinie Minimales
Kennwortalter. Wählen Sie die Option Diese Richtlinieneinstellung
definieren, und setzen Sie den Wert für Kennwort kann geändert
werden nach auf "2" Tage.
zu schließen.
Screenshot 147 – Konfigurierung der Mindestanzahl an Zeichen eines Passworts
15. Doppelklicken Sie im rechten Fenster auf die Richtlinie Minimale
Kennwortlänge.
Wählen
SIe
die
Option
Diese
Richtlinieneinstellung definieren, und setzen Sie den Wert für
Minimale Kennwortlänge auf “8“ Zeichen.
zu schließen.
Screenshot 148 – Erzwingen der Kennwortkomplexität
17. Doppelklicken Sie im rechten Fenster auf die Richtlinie
Kennwörter müssen bestimmten Komplexitätsanforderungen
entsprechen. Wählen Sie die Option Diese Richtlinieneinstellung
definieren und Aktiviert.
zu schließen.
19. Die Einstellungen der Passwortrichtlinien des neuen GPO sind
nun konfiguriert. Schließen Sie alle Dialogfenster inklusive des
Dialogs "Active Directory-Benutzer und -Computer".
Anzeigen von Passwort-Richtlinien einer Active Directory-basierten
Domäne
Hinweis: Zur Durchführung der folgenden Schritte müssen Sie als
Mitglied der Gruppe Domänen-Admins angemeldet sein.
Gehen Sie wie nachfolgend beschrieben vor, um zu kontrollieren, ob
alle notwendigen Einstellungen zu Passwortrichtlinien korrekt
angewendet werden. Die Kontrolle der Einstellungen und ihrer
Funktion stellt sicher, dass für sämtliche Benutzer der Domäne
korrekte Passwortrichtlinien gelten.
So kontrollieren Sie die Passwort-Richtlinien einer Active DirectoryDomäne:
Systemsteuerung, und klicken Sie auf Verwaltung.
2. Klicken Sie auf das Snap-in Active Directory-Benutzer und Computer. Klicken Sie mit der rechten Maustaste auf den
Stammcontainer der Domäne, und wählen Sie im Kontextmenü
Eigenschaften.
3. Klicken Sie auf den Reiter Gruppenrichtlinie. Wählen Sie das zu
kontrollierende GPO aus (z. B. Domain Policy GPO), und klicken Sie
auf die Schaltfläche Bearbeiten, um den Editor "GPEdit" zu öffnen.
4. Erweitern Sie den Knoten Computerkonfiguration, und navigieren
Sie zum Verzeichnis Windows-Einstellungen
` Sicherheitseinstellungen ` Kontorichtlinien ` Kennwortrichtlinie.
Screenshot 149 – Kontrolle der GPO-Einstellungen
Die Einstellungen der Passwortrichtlinie werden im rechten Fenster
des GPO-Editors angezeigt. Vorausgesetzt, Sie haben die GPOPasswortrichtlinie wie im obigen Screenshot dargestellt konfiguriert,
sollten Sie sicherstellen, dass Benutzer keine Passwörter verwenden
können, die weniger als acht Zeichen besitzen. Mit Hilfe dieser
Richtlinieneinstellungen sollte es Benutzern zudem nicht möglich sein,
zu einfache Passwörter zu erstellen. Ebenso wenig sollte die
Änderung von Passwörtern erlaubt sein, die noch nicht zwei Tage
aktiv sind.
168 •
Troubleshooting
Einführung
In diesem Kapitel erfahren Sie, welche Hilfsmöglichkeiten es bei
Problemen gibt. Folgende Informationsquellen stehen zur Verfügung:
•
Das Handbuch – die meisten Probleme lassen sich mithilfe des
Handbuchs lösen.
•
Die GFI Knowledge-Base auf der Web-Site von GFI.
•
Die Support-Site von GFI.
•
E-Mail-Anfrage an den GFI-Support an [email protected]
•
Kontaktaufnahme
mit
dem
GFI-Support
englischsprachigen
Live-Support
http://support.gfi.com/livesupport.asp.
•
Telefonische Kontaktaufnahme mit dem GFI-Support.
über
den
unter
Knowledge-Base
Die Knowledge-Base von GFI hält Antworten zu den am häufigsten
gestellten Fragen bereit. Bei Problemen sollten Sie zunächst die
Knowledge-Base konsultieren. Diese Wissensdatenbank bietet immer
die neuesten Informationen zu Support-Fragen und Patches.
Sie kann aufgerufen werden unter http://kbase.gfi.com.
Support-Anfrage per E-Mail
Wenn Sie Ihre Probleme mit Hilfe der Wissensdatenbank und dem
Handbuch nicht lösen konnten, können Sie sich an den GFI-Support
wenden. Sie sollten den Support per E-Mail kontaktieren, da Sie an
Ihre Nachricht wichtige Informationen anhängen können, die helfen,
Ihre Fragen schneller zu beantworten.
Das Programm Troubleshooter aus der Programmgruppe generiert
automatisch eine Reihe von Dateien, die GFI zur Problemanalyse
benötigt. Die Dateien beinhalten u. a. Angaben zur Konfiguration. Um
diese Dateien zu erzeugen, starten Sie den Troubleshooter, und
folgen Sie den Anweisungen des Programms.
Neben dem Sammeln von Informationen stellt Ihnen das Programm
einige Fragen. Bitte nehmen Sie sich die Zeit, diese korrekt zu
beantworten. Ohne die richtigen Informationen ist es dem
Kundendienst nicht möglich, Ihr Problem genauer zu diagnostizieren.
Öffnen Sie danach im Programmverzeichnis das Unterverzeichnis
"Support" (unter "troubleshooter\support"), komprimieren Sie die darin
enthaltenen Dateien im ZIP-Format, und senden Sie diese
komprimierte ZIP-Datei an [email protected].
Troubleshooting • 169
Stellen Sie jedoch zuvor bitte sicher, dass Sie Ihr Produkt auf der GFIWeb-Site
unter
registriert haben!
Ihre Anfrage wird innerhalb von 24 Stunden beantwortet.
Support-Anfrage per Web-Chat
Sie erhalten weiteren technischen Support über unseren Live-Chat im
Web. Den technischen Support von GFI erreichen Sie auch über den
englischsprachigen Live-Support:
http://support.gfi.com/livesupport.asp.
Stellen Sie jedoch zuvor bitte sicher, dass Sie Ihr Produkt auf unserer
Web-Site
unter
registriert haben!
Support-Anfrage per Telefon
Für technische Hilfe können Sie auch telefonischen Kontakt mit dem
Support-Team aufnehmen. Die entsprechenden Rufnummern für Ihr
Land finden Sie auf der Support-Site von GFI.
Web-Site für technischen Support:
http://support.gfi.com/?lcode=de
Stellen Sie jedoch zuvor bitte sicher, dass Sie Ihr Produkt auf unserer
Web-Site
unter
registriert haben!
Web-Forum
Über das Web-Forum steht Ihnen der User-to-User-Support zur
Verfügung. Das Forum erreichen Sie unter
http://forums.gfi.com/
Mitteilungen zu neuen Builds
Es wird empfohlen, für aktuelle Informationen zu den neuesten
Produkt-Builds den entsprechenden GFI-Newsletter zu abonnieren.
Um stets über die neuesten Builds auf dem Laufenden zu sein,
können Sie die Mitteilungen abonnieren unter:
http://support.gfi.com
170 • Troubleshooting
M
Index
133, 137
N
NetBIOS 43, 159
Netzwerk-Geräte 91
Netzwerk-Hardware 3, 40, 95
A
O
angemeldete Benutzer 37
Anwendungen 97
Applikationen 39, 79
Attendant 5
Offene Ports 35, 52
B
Befehlszeilen-Tools 4, 141
Benutzer Error! Not a valid
bookmark in entry on
page 2
Benutzer und Gruppen 36
Betriebssystem 4
Betriebssystem-Daten 83
C
Computer-Profile 10, 20, 59,
64, 65
P
Parameter-Dateien 59, 67
Passwort-Richtlinien 31
Patch-Bereitstellung 5, 109,
116, 125
Patch-Status 42
Patch-Verwaltung 3, 109
physische Geräte 40
Programm-Updates 103
R
Registrierdatenbank 32
Registry 28
Remote-Prozesse 38
S
D
Datenbank-Backend 3, 11,
47, 59, 60, 68, 69, 72
Datenbankwartung 70
Datenbankwartungsoptionen
59, 68
Dienste 3, 12, 35, 38, 68, 71
DNS-Lookup 133
drahtlose Geräte 40
E
eigene Skripten 6, 149
Ergebnisvergleich 127, 129
F
Freigaben 30, 52
G
Scan-Ergebnisse 3, 5, 11,
23, 47, 51, 60, 62, 68,
69, 85, 141
Scan-Profile 16, 35, 59, 75,
152
Scans nach Zeitplan 59, 60,
131
Scheduled Scans 131
Script Debugger 4, 6
Sicherheitslücken 27, 51,
151
Sicherheitsschwachstelle 85
Skript-Editor 145
SNMP-Audit 133, 137
SNMP-Walk 133, 136
Sprachversion Patches 111
SSH 9, 146
SSH Private Key 21, 62, 64,
146
Status-Monitor 4, 7, 131
Systemanforderungen 9
Gruppen 36
T
I
Trace Route 133, 134
Installation 9
U
L
Lizenzierung 7, 10
USB-Geräte 1, 3, 15, 41, 75,
79, 91, 96
Users Error! Not a valid
bookmark in entry on
page 2
Index• 171
V
virtuelle Geräte 40
Vulnerabilities 25
W
Warnmeldungen 13
Warnoptionen 59
Whois 133, 135, 136
Z
zurückgezogene Patches
110
172 •Index

Handbuch

Transcrição

Documentos relacionados

Network Security Scanner - IT

Pressemitteilung als PDF

Network Security Scanner

Schutz vor per E-Mail übertragenen Viren, Exploits und

Firewall ZoneLabs

→ Kalender-Export aus JEvents für den Import in den Google

Anleitung zur Onlinebuchung für Privatunterricht

Anleitung zur Umstellung auf die VR-Kennung in der VR

OpenVPN XP

rotary club hamm (westfalen)

So gelangen Sie zu den gewünschten Informationen: