GFI LANguard Network Security Scanner 8 Handbuch GFI Software http://www.gfisoftware.de E-Mail: [email protected] Die Informationen in diesem Dokument können ohne vorherige Ankündigung geändert werden. In den Beispielen verwendete Firmen, Namen und Daten sind, wenn nicht anders angegeben, rein fiktiv. Ohne vorherige ausdrückliche und schriftliche Zustimmung von GFI SOFTWARE darf das Dokument weder ganz noch teilweise in irgendeiner Form, sei es elektronisch oder mechanisch, oder zu irgendeinem Zweck reproduziert bzw. übertragen werden. LANguard ist urheberrechtlich geschützt durch GFI SOFTWARE. © 2000-2007 GFI SOFTWARE. Alle Rechte vorbehalten. Version 8.0 – Letzte Aktualisierung: 14. August 2007 Inhaltsverzeichnis 1. Einführung 1 Überblick über GFI LANguard Network Security Scanner............................................. 1 Aufbau dieses Handbuchs ................................................................................ 1 Hauptmerkmale von GFI LANguard N.S.S. ................................................................... 2 Komponenten von GFI LANguard N.S.S. ...................................................................... 4 Information zur Lizenzierung.......................................................................................... 7 Produktevaluierung ........................................................................................................ 7 2. Installieren von GFI LANguard N.S.S. 9 Systemanforderungen.................................................................................................... 9 Hinweise zum Einsatz von Firewalls................................................................. 9 Starten der Installation ................................................................................................... 9 Aktualisieren von Vorgängerversionen auf GFI LANguard N.S.S. 8 ........................... 13 Eingeben des Registrierschlüssels nach der Installation............................................. 14 3. Verwenden der Verwaltungskonsole 15 Einführung.................................................................................................................... 15 Aufbau der Verwaltungskonsole .................................................................................. 15 4. Erste Schritte: Durchführen eines Audits 17 Einführung.................................................................................................................... 17 Durchführen von Sicherheits-Scans mit Standardvorgaben........................................ 18 Konfigurieren zu scannender IP-Bereiche ................................................................... 22 Scan-Bereiche................................................................................................. 22 Scan-Ausnahmen in einem IP-Bereich........................................................... 22 Sofort-Scans mit Anmeldeinformationen des aktuellen Benutzers.............................. 23 Sofort-Scans mit Hilfe alternativer Anmeldeinformationen .......................................... 23 Sofort-Scans mit Hilfe eines SHH Private Key ............................................................ 24 Sofort-Scan mit Hilfe einer Null-Session...................................................................... 24 5. Erste Schritte: Analysieren der Scan-Ergebnisse 25 Einführung.................................................................................................................... 25 Scan-Ergebnisse.......................................................................................................... 25 Analysieren der zusammengefassten Scan-Ergebnisse von Netzwerkrechnern ........................................................................................................ 26 Analysieren des Scan-Ergebnisses eines Einzelrechners .......................................... 27 Nach einem Scan durchzuführende Aktionen ............................................................. 28 Analysieren der detaillierten Scan-Ergebnisse ............................................................ 28 Scan-Ergebnisse im Detail: Analysieren der Schwachstellen ..................................... 30 Anzeigen unerlaubter USB-Geräte als kritische Sicherheitslücken ............................................................................................ 34 Scan-Ergebnisse im Detail: Analysieren potenzieller Schwachstellen ........................ 35 Scan-Ergebnisse im Detail: Analysieren von Freigaben.............................................. 36 Umgang mit Freigaben ................................................................................... 36 Umgang mit administrativen Freigaben .......................................................... 37 Scan-Ergebnisse im Detail: Analysieren der Passwortrichtlinie .................................. 37 GFI LANguard Network Security Scanner Inhaltsverzeichnis • i Scan-Ergebnisse im Detail: Analysieren der RegistrierdatenbankEinstellungen................................................................................................................ 38 Scan-Ergebnisse im Detail: Analysieren der Überwachungsrichtlinien ....................... 39 Scan-Ergebnisse im Detail: Analysieren offener TCP-Ports........................................ 41 Wichtige Hinweise vor Scan-Beginn ............................................................... 41 Service-Fingerprinting..................................................................................... 42 Gefährliche Ports ............................................................................................ 42 Scan-Ergebnisse im Detail: Analysieren von Benutzer- und Gruppenkonten ............................................................................................................ 42 Scan-Ergebnisse im Detail: Analysieren der angemeldeten Benutzer ........................ 43 Scan-Ergebnisse im Detail: Analysieren von Diensten................................................ 44 Scan-Ergebnisse im Detail: Analysieren von Prozessen............................................. 44 Scan-Ergebnisse im Detail: Analysieren installierter Anwendungen ........................... 46 Gruppen zu Anti-Virus- und Anti-Spyware-Programmen................................ 46 Gruppe zu allgemeinen Anwendungen........................................................... 47 Scan-Ergebnisse im Detail: Analysieren von Netzwerkgeräten .................................. 47 Scan-Ergebnisse im Detail: Analysieren der USB-Geräte........................................... 48 Scan-Ergebnisse im Detail: Analysieren des Installationsstatus von Patches/Service Packs ................................................................................................ 49 Scan-Ergebnisse im Detail: Analysieren von NetBIOS-Namen................................... 49 Scan-Ergebnisse im Detail: Analysieren der Systeminformationen von Zielrechnern .......................................................................................................... 50 Scan-Ergebnisse im Detail: Analysieren von Sessions ............................................... 51 Scan-Ergebnisse im Detail: Analysieren der Uhrzeit des Zielrechners ....................... 52 Scan-Ergebnisse im Detail: Analysieren lokaler Festplattenlaufwerke........................ 52 Anzeigen und Sortieren von Scan-Kategorien............................................................. 52 6. Speichern und Abrufen von Scan-Ergebnissen 55 Einführung.................................................................................................................... 55 Speichern von Scan-Ergebnissen in einer externen (XML-)Datei ............................... 55 Abrufen von Scan-Ergebnissen ................................................................................... 56 Abrufen gespeicherter Scan-Daten aus dem DatenbankBackend .......................................................................................................... 56 Abrufen gespeicherter Scan-Ergebnisse aus einer XML-Datei ...................... 57 7. Filtern von Scan-Ergebnissen 59 Einführung.................................................................................................................... 59 Anwenden von Filtern auf Scan-Ergebnisse................................................................ 61 Erstellen eigener Scan-Filter........................................................................................ 62 8. Konfigurieren von GFI LANguard N.S.S. 67 Einführung.................................................................................................................... 67 Erstellen und Konfigurieren von Scans nach Zeitplan ................................................. 67 Erstellen eines Scans nach Zeitplan............................................................................ 68 Scan nach Zeitplan: Konfigurieren von Scan-Zielen....................................... 70 Scan nach Zeitplan: Festlegen der Anmeldeinformationen............................ 70 Scan nach Zeitplan: Konfigurieren erweiterter Optionen................................ 71 Scan nach Zeitplan: Konfigurieren der Ergebnisspeicherung ..................................... 72 Scan nach Zeitplan: Festlegen der Ergebnisbenachrichtigung ................................... 73 Konfigurieren von Warnungen ..................................................................................... 74 Computer-Profile .......................................................................................................... 75 Informationen zur SSH-basierten Authentifizierung per Private Key-Datei ............................................................................................ 75 Erstellen eines neuen Computer-Profils ......................................................... 76 Konfigurieren von Computer-Profilen ............................................................. 77 Aktivieren/Deaktivieren von Computer-Profilen ........................................................... 77 Verwenden von Computer-Profilen für einen Sicherheits-Scan .................................. 78 Konfigurieren des automatischen Patch-Downloads ................................................... 78 ii • Inhaltsverzeichnis GFI LANguard Network Security Scanner Parameter-Dateien....................................................................................................... 80 Datenbankwartung ....................................................................................................... 81 Auswählen des Datenbank-Backends ............................................................ 82 Speichern von Scan-Ergebnissen in einer Microsoft AccessDatenbank....................................................................................................... 82 Speichern von Scan-Ergebnissen in einer Microsoft SQL Server-Datenbank ........................................................................................... 83 Datenbankwartung: Verwalten gespeicherter ScanErgebnisse ...................................................................................................... 84 Datenbankwartung: Anzeigen aller gescannten Computer ............................ 85 Datenbankwartung: erweiterte Optionen ........................................................ 86 9. Scan-Profile 89 Einführung.................................................................................................................... 89 Informationen zu OVAL................................................................................................ 89 Unterstützung von OVAL durch GFI LANguard N.S.S. ............................................... 90 Informationen zum OVAL Compatibility Program ........................................................ 90 Fehlerbericht bei OVAL-Problemen ............................................................................. 91 Erläuterung der Scan-Profile........................................................................................ 91 Hinweise zur Auswahl des Scan-Profils ......................................................... 94 Einsetzen von Scan-Profilen........................................................................................ 95 Erstellen eines neuen Scan-Profils .............................................................................. 96 Anpassen eines Scan-Profils ....................................................................................... 97 Konfigurieren der TCP/UDP-Port-Scans...................................................................... 97 Aktivieren der Scan-Option für TCP/UPD-Ports ............................................. 97 Auswählen der zu scannenden TCP/UDP-Ports ............................................ 98 Hinzufügen/Entfernen der zu scannenden TCP/UDP-Ports........................... 98 Konfigurieren des Abrufs von Betriebssystemdaten.................................................... 99 Konfigurieren der Optionen von Schwachstellen-Scans............................................100 Aktivieren/Deaktivieren des Schwachstellen-Scanning ................................100 Anpassen der Liste zu kontrollierender Schwachstellen ..............................101 Anpassen der Eigenschaften einzelner SchwachstellenChecks ..........................................................................................................101 Festlegen von Bedingungen für Schwachstellen-Checks ............................103 Schwachstellen-Checks – erweiterte Optionen ............................................105 Konfigurieren der Patch-Scan-Optionen ....................................................................106 Aktivieren/Deaktivieren von Patch-Checks...................................................106 Anpassen der Liste zu kontrollierender Patches ..........................................107 Suchen nach Informationen eines Sicherheitsbulletins ................................107 Konfigurieren der Scanner-Optionen .........................................................................108 Konfigurieren der Kontrolle extern angeschlossener Hardware ................................109 Aktivieren/Deaktivieren von Checks für installierte Netzwerkgeräte .............................................................................................112 Erstellen einer Liste befugter/unbefugter Netzwerkgeräte ...........................112 Konfigurieren erweiterter Scan-Optionen für Netzwerkgeräte......................113 Aktivieren/Deaktivieren von Checks für angeschlossene USB-Geräte...................................................................................................114 Erstellen einer Liste autorisierter/unbefugter USB-Geräte ...........................115 Konfigurieren der Optionen von Anwendungs-Scans................................................116 Scannen installierter Anwendungen ..........................................................................117 Aktivieren/Deaktivieren von Checks für installierte Anwendungen ...............................................................................................117 Erstellen einer Liste befugter/unbefugter Anwendungen..............................118 Scannen von Sicherheitsanwendungen ....................................................................119 Aktivieren/Deaktivieren von Scans nach Sicherheitsanwendungen..............................................................................120 Anpassen der Liste zu scannender Sicherheitsanwendungen.....................120 Konfigurieren von Sicherheitsanwendungen – erweiterte Optionen........................................................................................................121 GFI LANguard Network Security Scanner Inhaltsverzeichnis • iii 10. Abrufen von Software-Updates 123 Einführung..................................................................................................................123 Kontrollieren von aktuell installierten Programm-Updates.........................................123 Herunterladen von Microsoft Produkt-Updates für verschiedene Sprachen....................................................................................................................124 Durchführen manueller Programmaktualisierungen ..................................................125 Suchen nach Software-Aktualisierungen beim Programmstart .................................126 Beim Programmstart zu kontrollierende Aktualisierungen.........................................127 11. Patch-Verwaltung: Bereitstellen von Microsoft-Updates 129 Einführung..................................................................................................................129 Auswählen von Zielrechnern für Patch-Bereitstellung ...............................................130 Bereitstellen fehlender Aktualisierungen auf einem Rechner.......................130 Bereitstellen fehlender Aktualisierungen auf ausgewählten Rechnern.......................................................................................................130 Bereitstellen fehlender Aktualisierungen auf allen Rechnern .......................130 Auswählen bereitzustellender Patches ......................................................................131 Sortieren aller anstehenden Software-Aktualisierungen............................................131 Herunterladen von Patch- und Service Pack-Dateien ...............................................132 Überprüfen des Dateistatus in der Download-Warteschlange......................132 Abbrechen laufender Downloads..................................................................133 Konfigurieren alternativer Bereitstellungsparameter für Patch-Dateien (optional) ....................................................................................................................134 Bereitstellen heruntergeladener Patches auf ausgewählten Zielrechnern ...............................................................................................................135 Überwachen der Patch-Bereitstellung .......................................................................135 Patch-Rollback: Deinstallieren von bereits bereitgestellten Sicherheitsaktualisierungen .......................................................................................136 Überwachen der Deinstallation von Sicherheitsaktualisierungen..............................137 12. Patch-Verwaltung: Bereitstellen eigener Software 139 Einführung..................................................................................................................139 Festlegen der bereitzustellenden Software ...............................................................140 Auswählen von Zielrechnern für Software-Bereitstellung ..........................................141 Bereitstellungsoptionen..............................................................................................142 Konfigurieren von Aktionen vor der Bereitstellung........................................142 Konfigurieren von Aktionen nach der Bereitstellung.....................................143 Konfigurieren von erweiterten Bereitstellungsaktionen.................................144 Beginnen der Software-Bereitstellung .......................................................................145 13. Vergleichen von Scan-Ergebnissen 147 Einführung..................................................................................................................147 Festlegen der bei Scan-Ergebnissen anzuzeigenden Änderungen ..........................147 Erstellen eines Vergleichsberichts .............................................................................148 Überprüfen des Vergleichsberichts............................................................................149 14. GFI LANguard N.S.S. Status-Monitor 151 Einführung..................................................................................................................151 Anzeigen des Gefährdungsgrads des gesamten Netzwerks.....................................152 Anzeigen des Verlaufs von Sicherheits-Scans nach Zeitplan ...................................153 Anzeigen des Verlaufs von Software-Bereitstellungen nach Zeitplan .......................153 Anzeigen der Warteschlange für automatische Downloads ......................................155 15. Werkzeuge 157 Einführung..................................................................................................................157 DNS-Lookup...............................................................................................................157 iv • Inhaltsverzeichnis GFI LANguard Network Security Scanner Traceroute..................................................................................................................158 Whois .........................................................................................................................159 Enumerate Computers (Auflistung von Rechnern) ....................................................160 Starten eines Sicherheits-Scans...................................................................160 Bereitstellen eigener Patches .......................................................................161 Aktivieren von Audit-Richtlinien ....................................................................161 Enumerate Users (Auflistung von Anwendern)..........................................................162 SNMP Audit................................................................................................................163 SNMP Walk................................................................................................................164 Microsoft SQL Server-Audit .......................................................................................164 16. Verwenden von GFI LANguard N.S.S. per Befehlszeile 167 Einführung..................................................................................................................167 Verwenden des Befehlszeilen-Tools lnsscmd.exe für NetzwerkScans .........................................................................................................................167 Verwenden des Befehlszeilen-Tools deploycmd.exe zur PatchBereitstellung .............................................................................................................169 17. Erstellen von Schwachstellen-Checks über selbstdefinierte Bedingungen/Skripten 171 Einführung..................................................................................................................171 GFI LANguard N.S.S. VBScript .................................................................................171 GFI LANguard N.S.S. SSH-Modul .............................................................................172 Erkennen des Check-Status anhand von Stichwörtern ................................172 Hinzufügen von auf eigenen VBS-Skripten basierenden SicherheitsChecks .......................................................................................................................173 Schritt 1: Erstellen des Skripts ......................................................................173 Schritt 2: Hinzufügen des neuen Schwachstellen-Checks ...........................174 Hinzufügen von auf eigenen Shell-Skripten basierenden Schwachstellen-Checks.............................................................................................176 Schritt 1: Erstellen des Skripts ......................................................................176 Schritt 2: Hinzufügen des neuen Schwachstellen-Checks ...........................177 Hinzufügen eines Sicherheits-Checks für CGI-Schwachstellen ................................179 18. Weiterführende Optionen 181 Einführung..................................................................................................................181 Aktivieren von NetBIOS auf einem Netzwerk-Rechner .............................................181 Installieren des Clients für Microsoft-Netzwerke unter Windows 2000 oder höher..................................................................................................................182 Konfigurieren von Passwort-Richtlinien einer Active Directorybasierten Domäne......................................................................................................184 Anzeigen von Passwort-Richtlinien einer Active Directory-basierten Domäne......................................................................................................................189 19. Troubleshooting 191 Einführung..................................................................................................................191 Knowledge-Base ........................................................................................................191 Support-Anfrage per E-Mail .......................................................................................191 Support-Anfrage per Web-Chat .................................................................................192 Support-Anfrage per Telefon .....................................................................................192 Web-Forum ................................................................................................................192 Benachrichtigung bei neuen Builds............................................................................192 Index GFI LANguard Network Security Scanner 193 Inhaltsverzeichnis • v 1. Einführung Überblick über GFI LANguard Network Security Scanner GFI LANguard Network Security Scanner (N.S.S.) ist eine integrierte Lösung für Schwachstellen-Scans, Patch-Management und Sicherheits-Audits, die folgende Funktionalitäten zum Scannen und Absichern Ihres Netzwerks bietet: • Identifizierung von System- und Netzwerksicherheitslücken mit einer leistungsfähigen, auf OVAL- und SANS Top 20Schwachstellen basierenden Schwachstellendatenbank. • Audits sämtlicher Hardware- und Software-Bereiche von im Netzwerk installierten Systemen für eine detaillierte Bestandsaufnahme der IT-Infrastruktur. Sogar installierte Anwendungen und mit dem Netzwerk verbundene USB-Geräte werden angezeigt. Darüber erfolgt eine Überprüfung der Konfigurationseinstellungen von installierten Anti-Virus- und Anti-Spyware-Lösungen um sicherzustellen, dass Schutzfunktionen aktiviert sind. • Automatischer Download und Remote-Installation von Service Packs und Patches zu Microsoft-Betriebssystemen und Lösungen von Drittherstellern. Aufbau dieses Handbuchs In diesem Handbuch werden alle aufeinander aufbauenden Schritte erklärt, die für die schnelle Installation, Einrichtung und Verwendung von GFI LANguard N.S.S. erforderlich sind. • Kapitel 1 und 2 führen Sie in die Funktionsweise von GFI LANguard N.S.S. ein und erläutern die Installation. • Kapitel 3 informiert über die Funktionen der Verwaltungskonsole. • Kapitel 4 und 5 beschreiben die ersten Schritte zur Durchführung von Audits und zur Analyse der ScanErgebnisse. • Kapitel 6 erklärt, wie Scan-Ergebnisse gespeichert und gesicherte Scan-Daten aufgerufen werden können. • Kapitel 7 erläutert, wie Scan-Ergebnisse angezeigt und eigene Filter erstellt werden. gefiltert und Hinweis: Mit den Informationen dieser sieben Kapitel besitzen Sie ausreichende Kenntnisse, GFI LANguard N.S.S. anhand der standardmäßigen Einstellungen zu betreiben. • Kapitel 8 erläutert, wie Sie GFI LANguard N.S.S. an besondere Gegebenheiten Ihres Netzwerks anpassen können. GFI LANguard Network Security Scanner 1. Einführung • 1 • Kapitel 9 beschreibt den Einsatz von Scan-Profilen und ihre Modifizierung. Erfahren Sie, wie durch das Erstellen neuer Profile gezielt nach Problemen gesucht werden kann. • Kapitel 10 befasst sich mit der Aktualisierung von GFI LANguard N.S.S und dem Abruf von Sicherheits-Updates für Microsoft-Produkte. • Kapitel 11 und 12 erläutern die eigentliche Bereitstellung von Microsoft-Updates, Service Packs und DrittherstellerAnwendungen mit Hilfe von GFI LANguard N.S.S. Erfahren Sie zudem, wie Microsoft-Updates per Rollback-Funktion rückgängig gemacht werden können. • Kapitel 13 beschreibt die Erstellung von Vergleichsberichten, mit denen Unterschiede zwischen den Ergebnissen zweier Scans hervorgehoben werden. • Kapitel 14 informiert Sie über den Status-Monitor und dessen Funktionen. Erfahren Sie, welche Kontrollmöglichkeiten die unterschiedlichen Reiter des Status-Monitors bieten. • Kapitel 15 erläutert die verschiedenen Kontroll-Tools von GFI LANguard N.S.S., wie DNS Lookup, Traceroute und die Auflistung von Benutzern und Diensten. • Kapitel 16 und 17 behandeln die Verwendung von GFI LANguard N.S.S. über die Befehlszeile und das Erstellen eigener Schwachstellen-Checks mit Hilfe von Skripten. • Kapitel 18 greift zusätzliche weiterführende Themen auf. • Kapitel 19 liefert Informationen zur Fehlerbehebung. Hauptmerkmale von GFI LANguard N.S.S. • Identifiziert schädliche Dienste und offene TCP- und UDP-Ports. • Erkennt bekannte Sicherheitsschwachstellen in den Bereichen CGI, DNS, FTP, E-Mail, RPC u. v. m. • Identifiziert unbefugte und Backdoor-User. • Erkennt Freigaben und listet Anwender auf, die darauf Zugriff haben (inklusive Berechtigungen). • Scannt nach allen in der jeweiligen OVAL-, CVE- und SANS Top 20-Datenbank verzeichneten Schwachstellen. • Listet folgende Elemente auf: • 2 • 1. Einführung o Gruppen und deren Mitglieder zum Zeitpunkt des Scans. o An Zielrechner angeschlossene USB-Geräte. o Netzwerk-Geräte (kabelgebunden, drahtlos oder virtuell). o Dienste mit ihrem jeweiligen Status. o Aktive Remote-Prozesse. o Installierte Anwendungen. Kontrolliert, ob die Signaturdateien der unterstützten Sicherheitsanwendungen (Anti-Virus- und Anti-Spyware-Programme) auf dem neuesten Stand sind. Wo möglich, wird zudem eine Konfigurationskontrolle einzelner Security-Produkte durchgeführt (z. B. für die Anti-Virus-Lösung von BitDefender) um GFI LANguard Network Security Scanner sicherzustellen, dass wichtige Funktionen wie Echtzeit-Scans aktiviert sind. • Führt Netzwerk-Scans nach einem festen Zeitplan durch und liefert Scan-Ergebnisse per E-Mail-Bericht. • Initiiert Sicherheits-Scans für Windows-Betriebssysteme und erfasst Betriebssystemdaten. • Führt Sicherheits-Scans für Linux-Betriebssysteme durch und erfasst Betriebssystemdaten per SSH. • Meldet sich mit herkömmlichen Zugangsdaten oder Public-KeyAuthentifizierung (d. h. per SSH mit Public/Private Keys) an entfernten Linux-Rechnern an. • Ruft beim Programmstart Definitionsdateien für die neuesten Schwachstellen-Checks und Informationen zu fehlenden Patches automatisch ab. • Unterstützt Patch-Verwaltung für Windows 2000/XP/2003/Vista, Microsoft Office XP oder neuer sowie Microsoft Exchange 2000/2003 und Microsoft SQL Server 2000 oder neuer. • Erlaubt Patch-Verwaltung für verschiedene Sprachversionen von Betriebssystemen, die Unicode-kompatibel sind. • Unterstützt das Entfernen installierter Patches dank RollbackFunktion. • Ermöglicht die Speicherung von Scan-Ergebnissen per Microsoft Access oder Microsoft SQL Server Datenbank-Backend und in XML-Dateien. • Liefert Administratoren nach Abschluss eines geplanten Scans detaillierte Scan-Ergebnisse und/oder Informationen zu Änderungen zwischen aufeinander folgenden Scans. • Unterstützt die Erkennung von aktiven Hosts Betriebssystemen sowie, SNMP- und Microsoft SQL-Audits. • Bietet Skript-Debugger zum Erstellen und Debuggen eigener Schwachstellen-Checks (Checkerstellung erfolgt mit Hilfe einer VBScript-kompatiblen Skriptsprache). • Liefert Multithreading-Unterstützung zum gleichzeitigen Scannen von mehr als drei Computern. • Liefert Befehlszeilen-Tools, mit denen sich SoftwareUpdates/Patches und Dritthersteller-Anwendungen ohne Aufruf der GUI von GFI LANguard N.S.S. scannen und bereitstellen lassen (Tool-Verwendung erfolgt direkt über die Eingabeaufforderung, aus Dritthersteller-Applikationen heraus oder über selbst definierte Skripten und Batch-Dateien). GFI LANguard Network Security Scanner und 1. Einführung • 3 Komponenten von GFI LANguard N.S.S. Die leistungsfähige, zuverlässige und skalierbare Architektur von GFI LANguard N.S.S. unterstützt sowohl mittlere als auch größere Netzwerke. GFI LANguard N.S.S. besteht aus fünf Komponenten: • Verwaltungskonsole • Attendant • Status-Monitor • Patch-Agent • Script-Debugger Verwaltungskonsole Screenshot 1 - GFI LANguard N.S.S. Verwaltungskonsole Starten Sie die Verwaltungskonsole von GFI LANguard N.S.S. über Start ` Programme ` GFI LANguard Network Security Scanner 8.0 ` GFI LANguard Network Security Scanner. Mit der Verwaltungskonsole können Sie: 4 • 1. Einführung • Netzwerk-Sicherheits-Scans und die Patch-Bereitstellung starten. • Ergebnisse von gespeicherten und aktuellen Scans anzeigen lassen. • Scan-Optionen und -profile sowie Berichtfilter konfigurieren. • Spezielle Administrations-Tools für Netzwerksicherheit aufrufen. GFI LANguard Network Security Scanner Attendant Der im Hintergrund laufende Dienst ist für das Durchführen von Aktionen nach Zeitplan verantwortlich, darunter Sicherheits-Scans und die Bereitstellung von Patches. Patch-Agent Der im Hintergrund laufende Dienst sorgt für die korrekte Bereitstellung von Patches, Service Packs und Software-Updates auf den Zielrechnern. Script-Debugger Screenshot 2 – GFI LANguard Script-Debugger Das Modul ermöglicht das Erstellen und Debuggen benutzerdefinierter Skripten mit Hilfe einer VBScript-kompatiblen Skriptsprache. Mit den Skripten können einzelne Ziele im Netzwerk auf von Ihnen definierte Schwachstellen überprüft werden. Starten Sie den GFI LANguard N.S.S. Script-Debugger über Start ` Programme ` GFI LANguard Network Security Scanner 8.0 ` GFI LANguard N.S.S. Script Debugger. GFI LANguard Network Security Scanner 1. Einführung • 5 Status-Monitor Screenshot 3 - GFI LANguard N.S.S. Status-Monitor Mit dem Status-Monitor können Sie: • Den Gefährdungsgrad des gesamten Netzwerks überprüfen. • Den Status von geplanten Scans, Software-Updates und PatchBereitstellungen überwachen. • Nach Zeitplan ablaufende Vorgänge, deren Durchführung noch aussteht, deaktivieren. • Den Status der Warteschlange für den automatischen PatchDownload überwachen. Screenshot 4 – Starten des GFI LANguard N.S.S. Status-Monitor Der Status-Monitor wird beim Hochfahren des Computers automatisch gestartet und als Symbol in der Systemablage angezeigt. Um den Status-Monitor zu öffnen, klicken Sie mit der rechten Maustaste auf dessen Symbol , und wählen Sie Status. 6 • 1. Einführung GFI LANguard Network Security Scanner Information zur Lizenzierung Die Lizenzierung von GFI LANguard N.S.S. erfolgt auf Grundlage der Anzahl der Computer und Geräte, die gescannt werden sollen. Bei einer Lizenz für 100 IPs können Sie zum Beispiel bis zu 100 Rechner oder Geräte von einem einzigen Arbeitsplatzrechner/Server in Ihrem Netzwerk aus scannen. Hinweis: Die Lizenzierung von GFI LANguard N.S.S. erfolgt auf Grundlage der • Anzahl der Computer, auf denen die Sicherheitslösung betrieben wird. • Anzahl der Computer, die von der Sicherheitslösung gescannt werden. Beispiel: Wenn Sie GFI LANguard N.S.S. auf einem Server installieren und ein Netzwerk mit 20 Rechnern scannen wollen, ist eine Lizenz für 25 IPs erforderlich. Weitere Informationen zur Lizenzierung von GFI LANguard N.S.S. erhalten Sie unter: http://www.gfi.com/pricing/pricelist.aspx?product=lanss&curr=eur&lan g=de. Hinweis 2: Hinweise zum Kauf von GFI LANguard N.S.S. erhalten Sie, indem Sie auf die Schaltfläche Configuration klicken und den Knoten General ` How to purchase auswählen. Produktevaluierung Eine nicht registrierte Testversion von GFI LANguard N.S.S. kann standardmäßig maximal 10 Tage genutzt werden und weist folgende Funktionseinschränkungen auf: • Es werden nicht alle ermittelten Schwachstellen und Ergebnisse von Netzwerk-Audits angezeigt. Weitere Informationen erhalten Sie in folgendem Knowledge-BaseArtikel von GFI: http://kbase.gfi.com/showarticle.asp?id=KBID003081. • Scan-Ergebnisse lassen sich nicht im Datenbank-Backend speichern oder daraus abrufen. • Der Import und Export für XML-Dateien ist deaktiviert. • Die Bereitstellung fehlender Microsoft-Patches/Aktualisierungen im Stapel ist deaktiviert. Es kann jeweils nur ein Patch/Update bereitgestellt werden. • Die Bereitstellung von eigener/Dritthersteller-Software im Stapel ist deaktiviert. Es kann jeweils nur eine Datei bereitgestellt werden. • Aktionen nach Zeitplan sind deaktiviert. • Scan-Ergebnisse lassen sich nicht vergleichen. Mit der Angabe Ihrer persönlichen Daten auf der Website von GFI können Sie ein Kundenkonto eröffnen und das Produkt mit eingeschränktem Funktionsumfang für insgesamt 30 Tage nutzen. Zudem erhalten Sie während dieses Zeitraums technischen Support und wichtige Produktmitteilungen. Hier können Sie sich für die 30- GFI LANguard Network Security Scanner 1. Einführung • 7 Tage-Testversion registrieren: http://www.gfisoftware.de/de/pages/regfrm.htm Hinweis: Für eine Testversion mit vollständigem Funktionsumfang wenden Sie sich bitte per E-Mail an unseren Vertrieb: [email protected]. 8 • 1. Einführung GFI LANguard Network Security Scanner 2. Installieren von GFI LANguard N.S.S. Systemanforderungen Für die Installation von GFI LANguard Network Security Scanner sind erforderlich: • Windows 2000 (SP4), XP (SP2), 2003, Vista. • Internet Explorer 5.1 oder höher. • Client für Microsoft-Netzwerke – ist standardmäßig im Lieferumfang von Windows 95 und höher enthalten. Hinweis: Nähere Informationen zur Installation des Client für Microsoft-Netzwerke erhalten Sie im Kapitel „Weiterführende Optionen“ unter „Installieren des Clients für Microsoft-Netzwerke unter Windows 2000 oder höher“. • Secure Shell (SSH) – ist standardmäßig im Lieferumfang jeder Linux-Distribution enthalten Hinweise zum Einsatz von Firewalls Auf dem Host-Rechner oder den zu überprüfenden Zielrechnern installierte Firewalls beeinträchtigen die korrekte Funktionsweise von GFI LANguard N.S.S. Folgende Vorgehensweise ist erforderlich, um GFI LANguard N.S.S. korrekt einsetzen zu können: • Deaktivieren Sie vor Durchführung eines Sicherheits-Audits die Firewall-Software auf dem Host-/Zielrechner(n) oder • Legen Sie über die Domänenrichtlinien der Internetverbindungsfirewall von Windows die Ports und Dienste fest, die von GFI LANguard N.S.S. für eine korrekte Funktionsweise benötigt werden. Weitere Informationen, wie die Active Directory-Richtlinien zu konfigurieren sind, damit abgehende und eingehende Scans von Rechnern mit aktivierter Internetverbindungsfirewall (Windows XP SP2 oder 2003 SP1) unterstützt werden, erhalten Sie unter: http://kbase.gfi.com/showarticle.asp?id=KBID002177. Starten der Installation So installieren Sie GFI LANguard N.S.S. 8: 1. Doppelklicken Sie auf die Installationsdatei languardnss8.exe, und klicken Sie auf die Schaltfläche Next. 2. Lesen Sie die Lizenzvereinbarung. Wählen Sie die Option „Accept the licensing agreement“ aus, damit die Installation fortgeführt werden kann, und klicken Sie auf die Schaltfläche Next. GFI LANguard Network Security Scanner 2. Installieren von GFI LANguard N.S.S. • 9 3. Geben Sie die erforderlichen Lizenzdaten an. Klicken Sie auf die Schaltfläche Next. Hinweis: Mit dem standardmäßigen Evaluierungsschlüssel kann das Produkt 10 Tage getestet werden. Screenshot 5 – Angabe der Zugangsdaten des Domänen-Administrators oder Verwendung eines lokalen Systemkontos 4. Ist GFI LANguard N.S.S. bereits auf Ihrem Computer installiert, werden Sie aufgefordert, auf eine neuere Version oder den aktuellen Build zu upgraden. Hinweis: Weitere Informationen erhalten Sie unter „Aktualisieren älterer Versionen von GFI LANguard N.S.S.“ in diesem Kapitel. 5. Geben Sie das Dienstkonto an, unter dem GFI LANguard N.S.S laufen soll. Klicken Sie auf die Schaltfläche Next. Hinweis 1: Zum Scannen von Netzwerk-Computern mit GFI LANguard N.S.S. sind administrative Zugriffsrechte erforderlich. Hinweis 2: Weitere Informationen zur Festlegung unterschiedlicher Administratorzugangsdaten je Computer erhalten sie im Kapitel „Computer-Profile“. 10 • 2. Installieren von GFI LANguard N.S.S. GFI LANguard Network Security Scanner Screenshot 6 – Auswahl des Datenbank-Backend 6. Wählen Sie das für die Speicherung der Scan-Ergebnisse zu verwendende Datenbank-Backend aus, und klicken Sie auf die Schaltfläche Next. Hinweis: Es wird empfohlen, Microsoft SQL Server Express oder höher zu verwenden. Screenshot 7 – Angabe der Datenbank-Informationen bei Einsatz von MS SQL Server 7. Geben Sie bei Auswahl von Microsoft SQL Server die Server-Daten und die Authentifizierungsmethode an. Klicken Sie auf die Schaltfläche Next. Hinweis: Die Dienste von GFI LANguard N.S.S. erfordern administrative Zugriffsrechte auf das Microsoft SQL Server Datenbank. GFI LANguard Network Security Scanner 2. Installieren von GFI LANguard N.S.S. • 11 Screenshot 8 – Angabe von E-Mail-Adresse und -Server für Warnmeldungen 8. Geben Sie den SMTP-Mailserver an, und legen Sie die E-MailAdresse für Administratorwarnungen fest. Klicken Sie auf die Schaltfläche Next. Screenshot 9 – Angabe der Patch-Sprachen 9. Bestimmen Sie, welche Sprachen für das Patch-Management durch GFI LANguard N.S.S. berücksichtigt werden sollen. Klicken Sie auf die Schaltfläche Next. 10. Geben Sie das Installationsverzeichnis für GFI LANguard N.S.S. an, und klicken Sie auf die Schaltfläche Next. 11. Klicken Sie auf die Schaltfläche Finish, um die Installation abzuschließen. 12 • 2. Installieren von GFI LANguard N.S.S. GFI LANguard Network Security Scanner Aktualisieren von Vorgängerversionen auf GFI LANguard N.S.S. 8 Beim Aktualisieren von Version 5, 6 und 7 auf die aktuelle Version 8 von GFI LANguard N.S.S. können die zuvor definierten Scan-Profile, Scan-Zeitpläne, Einstellungen des E-Mail-Servers und Scan-ErgebnisDatenbank beibehalten werden. So aktualisieren Sie ältere Versionen von GFI LANguard N.S.S.: 1. Starten Sie das Installationsprogramm von GFI LANguard N.S.S. Screenshot 10 – Auswahl von Import-Optionen 2. Wählen Sie die gewünschten Import-Optionen aus. 3. Fahren Sie mit der Installation fort, wie zuvor unter „Starten der Installation“ beschrieben. Hinweis: Testversionen und ältere Builds von GFI LANguard N.S.S. 8 können auf diese Weise ebenfalls auf den aktuellen Build aktualisiert werden. GFI LANguard Network Security Scanner 2. Installieren von GFI LANguard N.S.S. • 13 Eingeben des Registrierschlüssels nach der Installation Nach Abschluss der Installation können Sie den Registrierschlüssel über den Knoten Lizenzierung eingeben. Nach Kauf eines Schlüssels für die Vollversion ist keine Neuinstallation oder Neukonfigurierung des Produkts erforderlich. So geben Sie den Registrierschlüssel ein: 1. Rufen Sie die Verwaltungskonsole von GFI LANguard N.S.S. auf. 2. Klicken Sie links im Tools Explorer auf die Schaltfläche Configuration. 3. Gehen Sie auf den Knoten General ` Licensing. 14 • 2. Installieren von GFI LANguard N.S.S. GFI LANguard Network Security Scanner 3. Verwenden der Verwaltungskonsole Einführung Die standardisierte Verwaltungskonsole von GFI LANguard N.S.S. erlaubt neben der Konfigurierung des Produkts den Start von Schwachstellen-Scans, die Verwaltung von Patches und die Erfassung sicherheitsrelevanter Systeminformationen – alles über eine zentrale, intuitive Benutzeroberfläche. Aufbau der Verwaltungskonsole Screenshot 11 – Verwaltungskonsole Werkzeugleiste „Scan“– Dient der Durchführung Scan-bezogener Aufgaben, darunter der Start von Schwachstellenkontrollen und die Angabe alternativer Zugangsdaten für Scans. Werkzeugleiste „Quick Scan“ – Ermöglicht die sofortige Sicherheitsüberprüfung einer bestimmten IP-Adresse mit Hilfe eines auswählbaren Scan-Profils. Werkzeugschaltflächen – Mit den drei Schaltflächen Main, Configuration und Tools werden im linken Navigationsfenster unterschiedliche Optionen aufrufbar. Linkes Navigationsfenster – Zeigt die Optionen an, die jeweils über die Schaltflächen Main, Configuration und Tools aufgerufen werden, und bietet Zugriff darauf. Hierzu zählen Filter für Scan-Ergebnisse sowie Tools zur Anpassung von Scan-Zeitplänen und zur Netzwerkadministration. Mittleres Fenster – Informiert über die Ergebnisse der Sicherheitsüberprüfungen und bietet eine Unterteilung in Kategorien wie „Schwachstellen“, „potenzielle Schwachstellen“ und „Systeminformationen“. GFI LANguard Network Security Scanner 3. Verwenden der Verwaltungskonsole • 15 Rechtes Fenster – Bietet Detailinformationen zu Scan-Ergebnissen und eine grafische Darstellung des Gefährdungsgrads pro Computer oder pro Sicherheits-Scan. Fenster zur Scan-Aktivität – Informiert über aktuell ablaufende ScanSchritte. Screenshot 12 – Assistent zum Einrichten eines neuen Scans Hinweis: Beim ersten Start von GFI LANguard N.S.S. wird der Assistent für Sicherheits-Scans aufgerufen. Er unterstützt Sie bei den ersten Überprüfungen Ihres Netzwerks. Weitere Informationen zum Starten eines neuen Scans erhalten Sie im Kapitel „Erste Schritte: Durchführen eines Sicherheits-Audits“ unter „Durchführen von Sicherheits-Scans mit Standardvorgaben“. 16 • 3. Verwenden der Verwaltungskonsole GFI LANguard Network Security Scanner 4. Erste Schritte: Durchführen eines Audits Einführung Mit Hilfe von Sicherheits-Scans können Administratoren potenzielle Risiken für ihr Netzwerk erkennen und bewerten. GFI LANguard N.S.S. unterstützt Systemverantwortliche bei dieser Aufgabe und führt Scans automatisch und effizient ohne unnötige Wiederholungen durch. In diesem Kapitel erfahren Sie, wie Sicherheits-Scans nach standardmäßigen und benutzerdefinierten Vorgaben erfolgen können, wie Kontrollen direkt über die Werkzeugleiste gestartet werden und wie sich der Kontrollbereich von Scans festlegen lässt. Vor der Durchführung eines Sicherheits-Audits müssen folgende drei Hauptparameter der Scan-Engine definiert werden: 1. Der zu überprüfende Zielrechner, 2. das zu verwendende Scan-Profil (Art der für spezielle Ziele durchzuführenden Schwachstellen-Checks/Tests) und 3. die für die Anmeldung an den Zielrechnern erforderlichen Zugangsdaten. Soll beispielsweise ein umfassender Tiefen-Scan werden, ist die Option Full Scan zu wählen. durchgeführt Informationen zu Authentifizierungsdaten Zur Durchführung eines Sicherheits-Scans muss GFI LANguard N.S.S. sich an Zielrechnern anmelden, um Schwachstellen-Checks starten und Systeminformationen abrufen zu können. Diese „direkte“ Anmeldung ist über ein lokales Administrator- oder Domänenadministrator-Konto oder ein ähnliches Konto mit administrativen Zugriffsrechten für die zu kontrollierenden Computer erforderlich. Je nach System sind oftmals unterschiedliche Authentifizierungsverfahren erforderlich. Für Linux-Systeme wird beispielsweise häufig die Angabe einer Private Key-Datei an Stelle eines herkömmlichen Passworts benötigt. Hinweis 1: Weitere Informationen zu Authentifizierungsmethoden erhalten Sie im Kapitel „Konfigurieren von GFI LANguard N.S.S.“ unter „Computer-Profile“. Hinweis 2: Weitere Informationen zur Authentifizierung per Private Key erhalten Sie im Kapitel „Konfigurieren von GFI LANguard N.S.S.“ unter „Informationen zur Authentifizierung per SSH mit Private Key“. GFI LANguard Network Security Scanner 4. Erste Schritte: Durchführen eines Audits • 17 Informationen zum Scan-Ablauf Das Scannen von Computern läuft in drei Phasen ab: Phase 1: Ermittlung der Verfügbarkeit des Computers GFI LANguard N.S.S. kontrolliert, ob ein zu überprüfender Computer für Sicherheits-Scans erreichbar ist. Hierfür werden Verbindungsanfragen in Form von NetBIOS- und SNMP-Requests und/oder ICMPPings gestartet. Hinweis: Geräte, die nicht auf solche Verbindungsanfragen antworten, werden standardmäßig nicht gescannt. Phase 2: Verbindungsherstellung mit Ziel-Computer GFI LANguard N.S.S. stellt per Remote-Anmeldung eine direkte Verbindung mit dem zu kontrollierenden Computer her. Hierfür werden die in Schritt 5 des Scan-Assistenten angegebenen Anmeldeinformationen verwendet. Phase 3: Durchführung von Sicherheits-Checks GFI LANguard N.S.S. führt die Sicherheits-Checks durch, die im ausgewählten Scan-Profil definiert sind. Die ggf. ermittelten Schwachstellen werden über die Verwaltungskonsole angezeigt. Hinweis 1: Im Lieferumfang von GFI LANguard N.S.S. sind bereits mehrere Scan-Profile mit vorkonfigurierten Sicherheits-Checks enthalten. Sowohl die Scan-Profile als auch die zugehörigen Checks lassen sich an Ihre Bedürfnisse anpassen. Weitere Informationen hierzu erhalten Sie im Kapitel „Scan-Profile“. Hinweis 2: Sollte während der von GFI LANguard N.S.S. durchgeführten Scans Intrusion Detection Software (IDS) aktiv sein, löst die IDS Warnmeldungen und Eindringlingsalarm aus. Sind Sie nicht mit der Administration des IDS-Systems betraut, sollten Sie daher den zuständigen Administrator über einen bevorstehenden Scan informieren. Hinweis 3: Neben den von den Scans verursachten IDS-Alarmen sollten Sie auch beachten, dass viele der Scans zudem in den Protokolldateien unterschiedlichster Systeme verzeichnet werden. So wird der GFI LANguard N.S.S.-Computer in UNIX-Logs, von Webservern u. Ä. als Angreifer registriert. Auch für diesen Fall sollten ggf. andere zuständige Administratoren schon vor einem Scan informiert werden. Durchführen von Sicherheits-Scans mit Standardvorgaben GFI LANguard N.S.S. ist bereits vorkonfiguriert, sodass Sie sofort nach Abschluss der Produktinstallation Ihr System überprüfen können. Für einen Standard-Scan müssen lediglich die zu kontrollierenden Zielrechner angegeben werden. Danach werden folgende Schritte automatisch durchgeführt: • Anmeldung an den Zielrechnern über die Zugangsdaten des aktuell verwendeten Benutzerkontos (d. h. per Anmeldeinformationen, mit denen GFI LANguard N.S.S. gestartet wurde). • 18 • 4. Erste Schritte: Durchführen eines Audits GFI LANguard Network Security Scanner Start einer umfassenden Zahl an Standard-Checks, die im ScanProfil Full Scan bereits vorkonfiguriert sind. Dieses Profil ist eines von mehreren, die sich im Lieferumfang von GFI LANguard N.S.S. befinden. So führen Sie Ihren ersten Scan durch: 1. Klicken Sie auf die Schaltfläche New Scan…. Screenshot 13 – Auswahl der Scan-Aufgabe 2. Wählen Sie eine der folgenden Scan-Aufgaben aus, und klicken Sie danach auf die Schaltfläche Next: • Vulnerability Scanning – Listet alle auf den Ziel-Computern identifizierten Schwachstellen auf, darunter auch fehlende Patches. • Patching status – Listet lediglich alle auf den Ziel-Computern fehlenden Patches auf. • Network & Software Auditing – Ruft lediglich Systeminformationen ab. Schwachstellen und fehlende Patches werden nicht berücksichtigt. • Complete/Combination Scans – Ruft Systeminformationen ab und überprüft alle Schwachstellen, fehlende Patches eingeschlossen. GFI LANguard Network Security Scanner 4. Erste Schritte: Durchführen eines Audits • 19 Screenshot 14 – Auswahl des Scan-Profils 3. Wählen Sie das gewünschte Scan-Profil aus, und klicken Sie auf die Schaltfläche Next. Hinweis: Eine umfassende Beschreibung der einzelnen Scan-Profile finden Sie im Kapitel „Scan-Profile“ unter „Erläuterung der ScanProfile“. Screenshot 15 – Auswahl des Scan-Umfangs 4. Wählen Sie einen der folgenden Scan-Typen zur Festlegung des Scan-Bereichs aus, und klicken Sie auf die Schaltfläche Next. • Scan single computer… – Scannt einen einzelnen Computer. 20 • 4. Erste Schritte: Durchführen eines Audits GFI LANguard Network Security Scanner • Scan range of Computers… – Scannt einen bestimmten IPBereich. • Scan list of Computers… – Scannt eine benutzerdefinierte Liste mit Computern. • Scan a Domain… – Scannt eine komplette Windows-Domäne. Screenshot 16 – Verschiedene Scan-Optionen 5. Geben Sie die erforderlichen Daten des zu kontrollierenden Computers ein (Host-Name, IP-Adresse, IP-Bereich oder Domänenname). Klicken Sie auf die Schaltfläche Next. Hinweis: Bei Angabe eines Bereich zu scannender IP-Adressen können einzelne IPs von der Kontrolle ausgenommen werden. Weitere Informationen hierzu erhalten Sie unter „Konfigurieren zu scannender IP-Bereiche“. GFI LANguard Network Security Scanner 4. Erste Schritte: Durchführen eines Audits • 21 Screenshot 17 – Angabe der Anmeldeinformationen für Scans 6. Geben Sie die für Scans zu verwendenden Authentifizierungsinformationen an. Klicken Sie auf die Schaltfläche Scan, um die Kontrolle zu starten. Konfigurieren zu scannender IP-Bereiche GFI LANguard N.S.S. 8 ermöglicht es Ihnen, mehrere aufeinander folgende IP-Adressen, die zu scannen sind, als IP-Bereich anzugeben. Zudem können Sie auch Adressen festlegen, die in einem zu kontrollierenden IP-Bereich nicht überprüft werden sollen. Die Angabe von Scan-Bereichen erfolgt mit Hilfe des Assistenten für neue Scans über das Feld Computer or range. Scan-Bereiche Ein Scan-Bereich wird durch Verwendung des Schrägstrichs (/) definiert. Beispiel: • 192.168.0.1/165 Mit dieser Eingabe werden alle verfügbaren IP-Adressen von 192.168.0.1 bis 192.168.0.165 gescannt. Scan-Ausnahmen in einem IP-Bereich Scan-Ausnahmen für einen IP-Bereich werden durch Angabe von „+“ und „-“ festgelegt. Beispiel: • +192.168.0.1/165 • -192.168.0.13 In diesem Beispiel werden bis auf die IP-Adresse 192.168.0.13 alle verfügbaren IP-Adressen des Bereichs 192.168.0.1 bis 192.168.0.165 gescannt. 22 • 4. Erste Schritte: Durchführen eines Audits GFI LANguard Network Security Scanner Sofort-Scans mit Anmeldeinformationen des aktuellen Benutzers Sicherheits-Scans lassen sich ohne aufwendige Einstellungen oder den Aufruf des Scan-Assistenten direkt über die Werkzeugleiste starten. Gehen Sie hierfür wie folgt vor: Screenshot 18 – Werkzeugleiste „New Scan“ 1. Wählen Sie in der Werkzeugleiste aus der Drop-Down-Liste Using die Option Currently Logged-On User aus. Screenshot 19 – Angabe des Zielrechners und Scan-Profils in der Werkzeugleiste 2. Geben Sie in der Drop-Down-Liste Scan Target den/die zu scannenden Zielrechner an. 3. Wählen Sie aus der Drop-Down-Liste Profile das für die Überprüfung zu verwendende Scan-Profil aus. 4. Klicken Sie auf die Schaltfläche Scan, um den Scan-Vorgang zu starten. Sofort-Scans mit Hilfe alternativer Anmeldeinformationen So starten Sie einen Sicherheits-Scan unter Verwendung alternativer Zugangsdaten: Screenshot 20 – Werkzeugleiste „New Scan“, Drop-Down-Liste für Authentifizierungsmethoden 1. Wählen Sie in der Werkzeugleiste aus der Drop-Down-Liste Using die Option Alternative Credentials aus. 2. Geben Sie in den nebenstehenden Eingabefeldern den Benutzernamen (Username) und das Passwort (Password) an, unter denen der Scan gestartet werden soll. 3. Geben Sie alle weiteren Daten an, wie oben unter „Sofort-Scans mit Hilfe der Anmeldeinformationen des aktuellen Benutzers“ beschrieben. GFI LANguard Network Security Scanner 4. Erste Schritte: Durchführen eines Audits • 23 Sofort-Scans mit Hilfe eines SHH Private Key So starten Sie ein Sicherheits-Audit unter Verwendung eines SSH Private Key: Screenshot 21 – Werkzeugleiste „New Scan“, Drop-Down-Liste für Authentifizierungsmethoden 1. Wählen Sie in der Werkzeugleiste aus der Drop-Down-Liste Using die Option SSH Private Key aus. 2. Geben Sie in den nebenstehenden Eingabefeldern den Benutzernamen und die Schlüsseldatei an, die für diesen Scan verwendet werden sollen. 3. Geben Sie alle weiteren Daten an, wie oben unter „Sofort-Scans mithilfe der Anmeldeinformationen des aktuellen Benutzers“ beschrieben. Sofort-Scan mit Hilfe einer Null-Session Die Sicherheit von Netzwerken ist vor allem durch Anmeldeinformationen gefährdet, für die unzureichende Passwörter verwendet werden. Eine kritische Schwachstelle sind standardmäßige Passwörter oder Passwörter, die einfach leer gelassen werden (sogenannte Null-Passwörter). In diesen Fällen erhalten Angreifer ohne großen Aufwand Zugang zum System. Mit GFI LANguard N.S.S. können Sie per Option Null Session insbesondere nach Zielrechnern suchen, für die kein Passwort festgelegt wurde. Während dieser NullSession versucht der Scanner, sich ohne Angabe von Anmeldeinformationen an den Zielrechnern anzumelden. Hat er dabei Erfolg, bedeutet dies, dass jeder Benutzer ohne Bereitstellung dieser Daten auf den jeweiligen Computer zugreifen kann. So starten Sie eine Null-Session: 1. Wählen Sie in der Werkzeugleiste aus der Drop-Down-Liste Using die Option Null Session aus. 2. Geben Sie in der Drop-Down-Liste Scan Target die im Rahmen einer Null-Session zu scannenden Computer an. 3. Wählen Sie aus der Drop-Down-Liste Profile das für die Überprüfung zu verwendende Scan-Profil aus. 4. Klicken Sie auf die Schaltfläche Scan, um den Scan-Vorgang zu starten. 24 • 4. Erste Schritte: Durchführen eines Audits GFI LANguard Network Security Scanner 5. Erste Schritte: Analysieren der ScanErgebnisse Einführung Nach der Durchführung eines Sicherheits-Scans ist es erforderlich herauszufinden, welche Netzwerkbereiche und Computer dringend zu behebende Schwachstellen aufweisen. Hierfür müssen die von GFI LANguard N.S.S. erfassten Daten und ausgegebenen Hinweise überprüft und korrekt interpretiert werden. In diesem Kapitel zur Analyse der Scan-Ergebnisse erfahren Sie Schritt für Schritt, wie Sie: 1. Die Ergebnisse der Sicherheits-Scans aufrufen, 2. Scan-Daten/Ergebnisse analysieren und interpretieren und 3. ermitteln, welche weitergehenden Maßnahmen durchzuführen sind. Hinweis: Die Testversion von GFI LANguard N.S.S. zeigt standardmäßig nur einen Teilbereich der gesamten Scan-Ergebnisse an. Weitere Informationen hierzu erhalten Sie im Kapitel „Produktevaluierung“ in diesem Handbuch. Scan-Ergebnisse Detaillierte Scan-Ergebnisse werden im Fenster Scan Results angezeigt. Klicken Sie auf die im Fenster Scanned Computers angezeigten Knoten, um die unterschiedlichen Ergebnisse aufzurufen. Die Ergebnisdaten ändern sich je nach gewähltem Computer und werden in mehreren Detailanzeigen aufgelistet. Screenshot 22 – Scan-Ergebnisse GFI LANguard Network Security Scanner 5. Erste Schritte: Analysieren der Scan-Ergebnisse • 25 Informationen werden wie folgt angezeigt: Knoten zu Scan-Zielen: Zeigt den Scan-Bereich der Scan-Ziele an und ob ScanErgebnisse aus der Datenbank abgerufen wurden. Knoten zu einzelnen Computern: Zeigt Informationen zum gescannten Computer an, ob der Scan erfolgreich war und welches Betriebssystem installiert ist. Knoten zu Computer-spezifischen Scan-Details: Zeigt Computer-spezifische Kontrollbereiche an, darunter Anzahl der identifizierten Schwachstellen, PatchStatus u. Ä. Knoten zu einzelnen Scan-Ergebnissen: Listet Scan-Ergebnisse nach einzelnen Kontrollbereichen eines Computers auf. Detaillierte Scan-Ergebnisse: Schlüsselt die Scan-Ergebnisse im Detail auf. Hierzu zählen der Name einer Schwachstelle oder eines fehlenden Patches, die Schwachstellen-/Patch-Kategorie, Detailangaben zu Schwachstellen und fehlenden Patches, Daten zu verbundenen Geräten u. Ä. Analysieren der zusammengefassten Scan-Ergebnisse von Netzwerkrechnern Durch einen Mausklick auf den Knoten zu Scan-Zielen wird eine grafische Darstellung des Gefährdungsgrads Ihres gesamten Netzwerks aufgerufen. Dabei handelt es sich um eine automatisierte und kombinierte Interpretation der Scan-Ergebnisse eines oder mehrerer Computer im Netzwerk. Zusätzlich zur Anzeige des netzwerkweiten Gefährdungsgrads werden Hinweise angegeben, wie sich die während der Scans ermittelten Schwachstellen beheben lassen. Screenshot 23 – Ergebnisfenster 26 • 5. Erste Schritte: Analysieren der Scan-Ergebnisse GFI LANguard Network Security Scanner Informationen werden wie folgt angezeigt: Eine Farbskala, anhand derer der Gefährdungsgrad auf Grundlage der gewichteten Summe aller während des letzten Scans identifizierten Schwachstellen ablesbar ist. Scan-Details und eine Beschreibung des aktuellen Gefährdungsgrads. Die fünf am meisten gefährdeten Computer. Links zu weiterführenden Aktionen, die bei der Behebung der identifizierten Schwachstellen helfen. Links zur Aktivierung/Konfigurierung von Überwachungsrichtlinien. Analysieren des Scan-Ergebnisses eines Einzelrechners Durch einen Mausklick auf den Knoten des Ziel-Computers wird eine grafische Darstellung seines Gefährdungsgrads angezeigt. Auch hierbei handelt es sich um eine automatisierte Interpretation der ScanErgebnisse dieses Computers. Zusätzlich zur Anzeige des Gefährdungsgrads des Einzelrechners werden Hinweise angegeben, wie sich die während der Scans ermittelten Schwachstellen beheben lassen. Screenshot 24 – Ergebnisfenster Informationen werden wie folgt angezeigt: Eine Farbskala, anhand derer der Gefährdungsgrad auf Grundlage der gewichteten Summe aller während des letzten Scans identifizierten Schwachstellen ablesbar ist. Die Top-5 der am dringlichsten zu behebenden Schwachstellen. Per Mausklick auf ein aufgeführtes Problem wird das zugehörige Sicherheitsbulletin aufgerufen. Weitere Informationen zu den angezeigten Scan-Ergebnissen. Links zu weiterführenden Aktionen, die bei der Behebung der identifizierten Schwachstellen helfen. Zusätzliche Optionen, mit denen sich sicherheitsrelevante Richtlinien anzeigen und aktivieren, Mitteilungen versenden und Computer herunterfahren lassen. GFI LANguard Network Security Scanner 5. Erste Schritte: Analysieren der Scan-Ergebnisse • 27 Nach einem Scan durchzuführende Aktionen Mit der Zusammenfassung der Scan-Ergebnisse werden Sie über allgemeine/empfohlene Aktionen informiert, die bei der Behebung der während der Scans gefundenen Schwachstellen helfen. Folgende Aktionen werden abhängig vom Ergebnis angezeigt: • Deploy Microsoft Service Packs/Patches – Behebt Schwachstellen aufgrund fehlender Microsoft Service Packs und Sicherheits-Patches. Klicken Sie auf den jeweiligen Link, um Verwaltungsoptionen aufzurufen, die Ihnen den Download und die automatische netzwerkweite Bereitstellung der Patches und Service Packs erlauben. Weitere Informationen zu diesen Optionen erhalten Sie im Kapitel „Patch-Verwaltung: Bereitstellen von Microsoft-Updates“. • Deploy custom software – Stellt Skripten, Dateien oder Drittherstelleranwendungen im gesamten Netzwerk bereit. Weitere Informationen zu diesen Optionen erhalten Sie im Kapitel „PatchVerwaltung: Bereitstellen eigener Software“. • Uninstall Microsoft Service Packs/Paches – Behebt Probleme, zu deren Lösung eine Deinstallation von Service Packs oder Sicherheits-Patches erforderlich ist. • Enable auditing policy – Behebt Schwachstellen, die auf die fehlerhafte Konfiguration der Microsoft-Überwachungsrichtlinien zurückzuführen sind. Klicken Sie auf diese Option, um den Assistenten „GFI LANguard N.S.S. Auditing Policies Administrative Support Wizard“ aufzurufen. Er ermöglicht es Ihnen, die Überwachungsrichtlinien der Zielrechner zu anzupassen. Analysieren der detaillierten Scan-Ergebnisse Screenshot 25 – Konfigurationsoberfläche: Analyse der Scan-Ergebnisse Über die im Bereich Scanned Computers angezeigten Informationen können Sie die Scan-Ergebnisse der überprüften Computer 28 • 5. Erste Schritte: Analysieren der Scan-Ergebnisse GFI LANguard Network Security Scanner kontrollieren. Ergebnisse sind in verschiedene Kategorien aufgeschlüsselt, für die jeweils ein eigener Unterknoten bereitsteht. Hierdurch lassen sich Schwachstellen schnell und gezielt erkennen und untersuchen. Scan-Ergebnisse werden in folgende Sicherheitskategorien unterteilt: • Vulnerabilities (Sicherheitsschwachstellen) • Potential Vulnerabilities (potenzielle Schwachstellen) • System patching status (Patch-Status eines Computers) • Shares (Freigaben) • Applications (Anwendungen) • Network devices (Netzwerkgeräte) • USB devices (USB-Geräte) • Password policy (Passwort-Richtlinie) • Security audit policy (Richtlinie für Sicherheits-Audits) • Registry (Registrierdatenbank) • Open TCP Ports (Offene TCP-Ports) • Open UDP Ports (Offene UDP-Ports) • System patching status (Patch-Status eines Computers) • NetBIOS names (NetBIOS-Namen) • Computer • Groups (Gruppen) • Users (Benutzer) • Logged On Users (Angemeldete Benutzer) • Sessions (Sitzungen) • Services (Dienste) • Processes (Prozesse) • Local drives (Lokale Festplatten) • Remote time of day (TOD, Systemzeit des Zielrechners) Durch Auswahl eines dieser Unterknoten werden im rechten Fenster Scan Results die Ergebnisse der jeweiligen Kategorie aufgelistet. GFI LANguard Network Security Scanner 5. Erste Schritte: Analysieren der Scan-Ergebnisse • 29 Scan-Ergebnisse im Detail: Analysieren der Schwachstellen Screenshot 26 – Knoten „Vulnerabilities“ Klicken Sie auf den Unterknoten Vulnerabilities , um die auf dem Zielrechner identifizierten Sicherheitsschwachstellen anzuzeigen. Diese werden nach Typ und Gefährdungsgrad in fünf Kategorien unterteilt: • Missing Service Packs (fehlende Service Packs) • Missing patches (fehlende Patches) • High security vulnerabilities (kritische Sicherheitslücken) • Medium security vulnerabilities (wichtige Sicherheitslücken) • Low security vulnerabilities (kleinere Sicherheitslücken) Vulnerabilities ` Missing Service Packs Bei einem Service Pack (SP) handelt es sich Software, mit der bekannte Fehler von Betriebssystemen und Anwendungen behoben oder neue Funktionen hinzugefügt werden. GFI LANguard N.S.S. sucht nach fehlenden Service Packs für Microsoft-Produkte, indem die auf den Zielrechnern installierten Service Packs mit den aktuell von Microsoft bereitgestellten Versionen verglichen werden. Screenshot 27 – Baumansicht zu fehlenden Service Packs Hinweis: Die Suche nach fehlenden Patches und Service Packs kann für mehrere Produkte von Microsoft erfolgen. Eine vollständige Liste der unterstützten Produkte steht zum Abruf bereit unter: http://kbase.gfi.com/showarticle.asp?id=KBID001820. 30 • 5. Erste Schritte: Analysieren der Scan-Ergebnisse GFI LANguard Network Security Scanner Folgende Informationen werden für die Kategorie Missing Service Packs angezeigt: • Produktname und Service Pack-Nummer. • URL: Link zu Support-Hinweisen zum fehlenden Service Pack. • Release Date (Veröffentlichungsdatum): Datum, an dem das als fehlend festgestellte Service Pack veröffentlicht wurde. Aufrufen von Sicherheitsbulletins Klicken Sie mit der rechten Maustaste auf ein Service Pack, und wählen Sie im Kontextmenü More details ` Bulletin Info, um die Informationen des zugehörigen Sicherheitsbulletins aufzurufen. Screenshot 28 – Fehlendes Service Pack – Sicherheits-Bulletin Der Dialog Bulletin Info mit Hinweisen zum Service Pack wird geöffnet. Hierzu zählen: • Die „QNumber“. Sie wird von Microsoft jedem Software-Update als eindeutige Kennung zugewiesen. • Das Veröffentlichungsdatum Packs. • Eine ausführlichere Beschreibung des Service Packs und seiner Inhalte. • Alle Betriebssysteme/Anwendungen, für die das Service Pack gedacht ist. • Eine URL, unter der weitergehende Informationen zum Service Pack abrufbar sind. • Der Name der Service Pack-Datei und die Dateigröße. • Die URL, unter der das Service Pack manuell heruntergeladen werden kann. GFI LANguard Network Security Scanner des Sicherheitsbulletins/Service 5. Erste Schritte: Analysieren der Scan-Ergebnisse • 31 Vulnerabilities ` Missing Patches Ein Patch ist ein Update, das von Software-Unternehmen veröffentlicht wird, um als Reparatursoftware ein technisches oder sicherheitsrelevantes Problem zu beheben. Bekannte Sicherheitsschwachstellen, die nicht gepatcht werden, können von Angreifern missbraucht werden, um sich z. B. Zugang zum Netzwerk zu verschaffen. Neu verfügbare Patches sollten daher so schnell wie möglich installiert werden, damit ein Schutz von Unternehmenssystemen und -daten sichergestellt ist. GFI LANguard N.S.S. überprüft beim Scannen von Zielrechnern, ob alle von Microsoft veröffentlichten SicherheitsUpdates installiert sind. Screenshot 29 – Ergebnis eines Sicherheits-Scans: Fehlende Patches Patches, deren Fehlen während des Rechner-Scans festgestellt wurde, werden in der Kategorie Missing Patches gruppiert. Der Ergebnisbaum dieser Kategorie zeigt folgende Informationen an: • Patch-ID und Produktname. • ID/URL: Die ID und URL des zugehörigen Artikels aus der Microsoft Knowledge-Base. • Severity (Schwere der Sicherheitslücke): Beschreibt den Grad der Sicherheitsgefährdung, die mit diesem Patch behoben wird. • Date Posted (Veröffentlichungsdatum): Veröffentlichungsdatum fehlender Patches. Klicken Sie mit der rechten Maustaste auf einen Patch, und wählen Sie im Kontextmenü More details ` Bulletin Info, um Informationen zum zugehörigen Sicherheitsbulletin aufzurufen. 32 • 5. Erste Schritte: Analysieren der Scan-Ergebnisse GFI LANguard Network Security Scanner Vulnerabilities ` High/Medium/Low security vulnerabilities Screenshot – Kritische, wichtige und kleinere Sicherheitslücken Die Unterknoten High, Medium und Low security vulnerabilities bieten Informationen zu Sicherheitsschwachstellen, die bei der Kontrolle eines Zielrechners festgestellt wurden. Schwachstellen werden in 10 Gruppen unterteilt: • E-Mail • FTP • Web • Registry (Registrierdatenbank) • Services (Dienste) • RPC • DNS • Software • Rootkits • Miscellaneous (sonstige Schwachstellen) Nachfolgend werden die Inhalte jeder Gruppe näher erläutert: E-Mail, FTP, RPC, DNS und Miscellaneous – In diesen Gruppen sind Schwachstellen aufgeführt, die auf FTP-Servern, DNS-Servern und SMTP/POP3/IMAP-Mailservern identifiziert wurden. Die Informationen bieten Links zu Artikeln der Microsoft Knowledge-Base oder anderer Support-Dokumentation. Web – Führt die auf Webservern identifizierten Schwachstellen auf (darunter fehlerhafte Konfigurationseinstellungen). Webserver, die unterstützt werden, sind Apache, Netscape und Microsoft IIS. Es werden Informationen bereitgestellt zu: o Vulnerability check name (Name des SicherheitslückenChecks, z. B. Imported_IIS: FrontPage Check) GFI LANguard Network Security Scanner 5. Erste Schritte: Analysieren der Scan-Ergebnisse • 33 o Description (Beschreibung) – Liefert eine kurze Beschreibung der Sicherheitslücke. o ID/URL – Kennung des zugehörigen Artikels aus der Knowledge-Base von Microsoft und eine URL, unter der detailliertere Informationen zur Sicherheitslücke abgerufen werden können. Services – Führt Schwachstellen in aktiven Diensten auf und zeigt alle nicht genutzten Konten an, die aktiv und zugänglich sind. Registry – Zeigt Schwachstellen in den Einstellungen der Registrierdatenbank eines gescannten Netzwerkgeräts an. Die Informationen bieten Links zu unterstützender Dokumentation und eine kurze Beschreibung der Sicherheitslücke. Software – Informiert über Schwachstellen in Software, die auf den Netzwerkgeräten installiert ist. Die Informationen bieten Links zu unterstützender Dokumentation und eine kurze Beschreibung der Sicherheitslücke. Rootkit – Zeigt Informationen zu Schwachstellen an, die auf ein installiertes Rootkit zurückzuführen sind. Die Informationen bieten Links zu unterstützender Dokumentation und eine kurze Beschreibung der Sicherheitslücke. Anzeigen unerlaubter USB-Geräte als kritische Sicherheitslücken Screenshot 30 – Als kritische Sicherheitslücke klassifiziertes USB-Gerät Legen Sie über GFI LANguard N.S.S. fest, welche USB-Geräte erwünscht/unerwünscht sein sollen und entsprechend anzuzeigen sind. Weitere Informationen hierzu erhalten Sie im Kapitel „ScanProfile“ unter „Erstellen einer Liste mit unerlaubten Netzwerkgeräten“. 34 • 5. Erste Schritte: Analysieren der Scan-Ergebnisse GFI LANguard Network Security Scanner Scan-Ergebnisse im Detail: Analysieren potenzieller Schwachstellen Screenshot 31 – Knoten “Potential Vulnerabilities” Klicken Sie auf den Unterknoten Potential Vulnerabilities, um Scan-Ergebnisse anzeigen zu lassen, die auf potenzielle Netzwerkschwachstellen hinweisen. Obwohl die in dieser Kategorie aufgeführten Scan-Ergebnisse nicht als Gefahr klassifiziert sind, müssen die entsprechenden Schwachstellen von Ihnen kontrolliert werden, da sie ein Eindringen in Ihr System ermöglichen. Beispiel: Während eines Sicherheits-Scans listet GFI LANguard N.S.S. alle für Zielrechner installierten und konfigurierten Modems auf. Sollten diese nicht ans Telefonnetz angeschlossen sein, besteht keine Gefahr. Andernfalls können sie jedoch von Netzwerkbenutzern verwendet werden, um unbefugt und von Netzwerkschutzlösungen unüberwacht auf das Internet zuzugreifen. Abwehrmaßnahmen zur Perimeter-Sicherheit wie Firewalls, Anti-Virus-Software und Programme für Website-Bewertungen und -Zugriffsschutz könnten umgangen werden, und die IT-Infrastruktur ist in mehrfacher Hinsicht gefährdet. GFI LANguard N.S.S. stuft installierte Modems daher als potenzielle Gefahren ein und führt sie unter dem Unterknoten Potential Vulnerability auf, damit Sie entsprechende Maßnahmen ergreifen können. GFI LANguard Network Security Scanner 5. Erste Schritte: Analysieren der Scan-Ergebnisse • 35 Scan-Ergebnisse im Detail: Analysieren von Freigaben Viele böswillige Software-Schädlinge wie Würmer und Viren (z. B. Klez, Bugbear, Elkern und Lovgate) verbreiten sich über Freigaben von Netzwerkcomputern. Umgang mit Freigaben Freigaben werden ebenfalls in den Scan-Ergebnissen angezeigt, und können somit gezielt kontrolliert werden. Klicken Sie auf den Unterknoten Shares, um alle auf Zielrechnern gefundenen Freigaben anzeigen zu lassen . Screenshot 32 – Knoten "Shares" Über den Unterknoten Bereichen bereit: Shares stehen Informationen zu folgenden 1. Benutzer mit Freigaben für komplette Festplatten. 2. Freigaben mit schwachen oder fehlerhaft festgelegten Zugriffsberechtigungen, die einen Zugang ohne vorherige Anmeldung möglich machen. 3. Startordner und ähnliche Systemdateien, auf die unbefugte Benutzer zugreifen können oder die über Benutzerkonten zugänglich sind, die zwar keine Administratorrechte besitzen, jedoch Code auf dem Zielrechner ausführen dürfen. 4. Nicht benötigte oder verwendete Freigaben. Für jede gefundene Freigabe werden im Einzelnen folgende Daten angezeigt: • Name der Freigabe • Anmerkungen zur Freigabe (Zusatzinformationen) • Genaue Ordnerangabe auf dem Zielrechner • Freigabeberechtigungen und Zugriffsrechte • NTFS-Berechtigungen und Zugriffsrechte 36 • 5. Erste Schritte: Analysieren der Scan-Ergebnisse GFI LANguard Network Security Scanner Umgang mit administrativen Freigaben Jeder Windows-Rechner besitzt administrative Freigaben (C$, D$, E$ usw.), die standardmäßig beim Scannen des Zielrechners aufgelistet werden. Sollte diese Überprüfung im Rahmen eines Sicherheits-Audits nicht länger notwendig sein, können Sie festlegen, dass administrative Freigaben beim Scannen unberücksichtigt bleiben sollen. Weitere Informationen hierzu erhalten Sie im Kapitel „Scan-Profile“ unter „Anpassen der Abfrageparameter für Betriebssystemdaten“. Scan-Ergebnisse im Detail: Analysieren der Passwortrichtlinie Unter Windows 2000/XP/2003 können für alle Benutzerkonten Sicherheitsrichtlinien festgelegt werden, die Schutz vor PasswortAngriffen und anderen „Brute-Force-Attacken“ bieten. Sind beispielsweise Richtlinien für Kontosperrungen oder solche, die die Nutzung sicherer Passwörter erfordern, korrekt eingerichtet, sind gültige Anmeldeinformationen nur sehr schwer herauszubekommen. So lassen sich beispielsweise typische Fehler vermeiden, die Schwachstellen verursachen, wie die Beibehaltung vom Hersteller vorgegebener Passwörter, Passwörter mit wenigen Zeichen oder auch die Verwendung des Benutzernamens als Passwort. Screenshot 33 – Knoten „Password policy“ Da GFI LANguard N.S.S. die Einstellungen der auf Zielrechnern definierten Passwortrichtlinien abruft und anzeigt, lässt sich eine fehlerhafte Konfigurierung schnell feststellen. Eine manuelle Überprüfung auf einzelnen Computern ist somit nicht notwendig. Klicken Sie auf den Unterknoten Password Policy, um die Richtlinieneinstellungen anzeigen zu lassen. GFI LANguard Network Security Scanner 5. Erste Schritte: Analysieren der Scan-Ergebnisse • 37 Scan-Ergebnisse im Detail: Analysieren der RegistrierdatenbankEinstellungen Die Registrierdatenbank (Registry) ist einer der sensibelsten Bestandteile eines Windows-Betriebssystems, da sie als zentrale Konfigurationsdatenbank für die Koordination der einzelnen Hardware- und Software-Komponenten eines Systems zuständig ist. Sie enthält wichtige Einstellungen für Betriebssystem und installierte Anwendungen, unter anderem, welche Treiber und Programme beim Systemstart automatisch aufgerufen werden sollen. Somit ist die Registrierdatenbank als neuralgischer Punkt ein beliebtes Angriffsziel von Hackern und Anwendern mit unlauteren Absichten. Hacker, die Zugang auf die Registrierdatenbank erhalten, können Einstellungen so manipulieren, dass bei jedem Rechner- oder Programmstart automatisch böswillige Software wie Trojaner geladen wird. Auf diese Weise erhalten Angreifer, vom Anwender unbemerkt, per Hintertür Zugriff auf das System. Screenshot 34 – Knoten „Registry“ GFI LANguard N.S.S. erlaubt die zentrale Erfassung von Einstellungen der Registrierdatenbank aller überprüften Computer, sodass sich Manipulationen leichter erkennen lassen. Klicken Sie auf den Unterknoten Registry, um die erfassten Einstellungen der Registrierdatenbank abzurufen. Öffnen Sie im Fenster Scan Results beispielsweise den Standardordner Run, um festzustellen, welche Programme beim Systemstart automatisch mit aufgerufen werden. Unerwünschte Software lässt sich hierdurch schnell erkennen. 38 • 5. Erste Schritte: Analysieren der Scan-Ergebnisse GFI LANguard Network Security Scanner Scan-Ergebnisse im Detail: Analysieren der Überwachungsrichtlinien Bestandteil eines jeden Sicherheitskonzepts sollte die Überwachung und Kontrolle von Ereignissen sein, die in Ihrem Netzwerk eintreten. Ereignisse werden in Ereignisprotokollen aufgezeichnet, deren Analyse bei der Identifizierung von Sicherheitslücken oder verletzungen hilft. Versuche, in Ihr Netzwerk einzudringen, sollten schnell erkannt und abgewehrt werden, bevor ein Schaden entstehen kann. Anhand der „Gruppenrichtlinien“ von Microsoft Windows können Sie Überwachungsrichtlinien festlegen, mit denen sich Benutzeraktivitäten oder Systemereignisse in bestimmten Protokollen nachverfolgen lassen. GFI LANguard N.S.S. erfasst Einstellungen zu Überwachungsrichtlinien der kontrollierten Computer, die Sie im Detail in den Scan Results (Scan-Ergebnisse) überprüfen können. Klicken Sie auf den Unterknoten Security Audit Policy, um die Richtlinieneinstellungen zu kontrollieren. Hinweis: GFI empfiehlt, Sicherheitsrichtlinien-Einstellungen Netzwerkrechnern wie folgt zu konfigurieren: Überwachungsrichtlinie Erfolg Fehler Anmeldeversuche Ja Ja Kontenverwaltung Ja Ja Active Directory-Zugriff Ja Ja Anmeldeereignisse Ja Ja Objektzugriffsversuch Ja Ja Richtlinienänderungen Ja Ja Rechteverwendung Nein Nein Vorgangsprotokollierung Nein Nein Ja Ja Systemereignisse auf Einstellungen der Richtlinien können nicht nur überprüft, sondern über GFI LANguard N.S.S. auch auf Zielrechnern aufgerufen und geändert werden. Gehen Sie hierfür wie folgt vor: 1. Klicken Sie im mittleren Fenster Scanned Computers mit der rechten Maustaste auf den gewünschten Zielrechner, und wählen Sie eine der folgenden Optionen: • Enable auditing on ` This computer – Erlaubt die Konfigurierung der Richtlinieneinstellungen auf dem gewählten Computer. • Enable auditing on ` Selected computers – Erlaubt die Konfigurierung der Richtlinieneinstellungen auf mehreren ausgewählten Computern. • Enable auditing on ` All computers – Erlaubt die Konfigurierung der Richtlinieneinstellungen auf allen gescannten Computern. GFI LANguard Network Security Scanner 5. Erste Schritte: Analysieren der Scan-Ergebnisse • 39 Screenshot 35 – Administrationsassistent für Überwachungsrichtlinien 2. Wählen Sie die Überwachungsrichtlinien aus, die auf den ausgewählten Zielrechnern eingerichtet werden sollen. Um beispielsweise erfolgreiche Ereignisse zu protokollieren, markieren Sie für die entsprechende Überwachungsrichtlinie das Kontrollkästchen Success. Klicken Sie auf die Schaltfläche Next, die Einstellungen der Überwachungsrichtlinien für die Zielrechner zu übernehmen. Screenshot 36 – Ergebnisdialog des Assistenten für Sicherheitsrichtlinien 3. Ein Dialog informiert Sie, ob die Richtlinien erfolgreich eingerichtet werden konnten. Traten bei der Einrichtung Probleme auf, klicken Sie 40 • 5. Erste Schritte: Analysieren der Scan-Ergebnisse GFI LANguard Network Security Scanner auf die Schaltfläche Back, um den Vorgang erneut durchzuführen. Klicken Sie auf die Schaltfläche Next, wenn alle Richtlinien erfolgreich aktiviert werden konnten. 4. Klicken Sie auf die Schaltfläche Finish, um die Einstellungen zu speichern und den Assistenten zu schließen. Scan-Ergebnisse im Detail: Analysieren offener TCP-Ports Offene Ports stehen für aktive Dienste und Anwendungen, über die Anwender missbräuchlich Zugriff auf einen Computer nehmen können. Es sollten nur solche Ports geöffnet bleiben, die eindeutig für die zentralen bzw. Hauptfunktionen Ihrer Netzwerkdienste benötigt werden. Alle anderen Ports sollten aus Sicherheitsgründen geschlossen sein. Screenshot 37 – Knoten „Open TCP Ports“ Im Rahmen eines Scans werden alle auf den Zielrechnern gefundenen offenen TCP-Ports erkannt und aufgeführt. Klicken Sie auf den Unterknoten Open TCP Ports, um die Liste der offenen Ports anzeigen zu lassen. Wichtige Hinweise vor Scan-Beginn GFI LANguard N.S.S. nutzt standardmäßig das Scan-Profil Full Scan. Mit Hilfe dieses Scan-Profils werden jedoch nicht alle 65535 TCP- und UDP-Ports kontrolliert, da eine vollständige Überprüfung auf sämtlichen Zielrechnern sehr zeitintensiv ist. Per Full Scan werden nur solche Ports kontrolliert, die ein beliebtes Angriffsziel/Schlupfloch von Hackern, Trojanern, Viren, Spyware und sonstiger Malware sind. Um für alle Zielrechner einen umfassenden Port-Scan mit Überprüfung aller offenen Ports zu starten, wählen Sie das Scan-Profil Full TCP & UDP Port Scan. Weitere Informationen zur Durchführung von Sicherheits-Audits mit Hilfe unterschiedlicher Scan-Profile erhalten Sie im Kapitel „ScanProfile“ unter „Einsetzen von Scan-Profilen“. GFI LANguard Network Security Scanner 5. Erste Schritte: Analysieren der Scan-Ergebnisse • 41 Weitere Informationen zur Anpassung von Scan-Profilen erhalten Sie im Kapitel „Scan-Profile“ unter „Erstellen eines neuen Scan-Profils“. Service-Fingerprinting Neben der Überprüfung auf offene oder geschlossene Ports analysiert GFI LANguard N.S.S. mit Hilfe des Service-Fingerprinting alle Dienste, die hinter den identifizierten offenen Ports laufen. So kann ausgeschlossen werden, dass ein offener Port per Port-Hijacking unbefugt übernommen worden ist und missbräuchlich verwendet wird. Beispielsweise können Sie überprüfen, ob hinter Port 21 eines Zielrechners auch wirklich ein FTP-Server aktiv ist und nicht etwa ein HTTP-Server. Gefährliche Ports Screenshot 38 – Suchergebnisse: Markierung gefährlicher Ports in Rot GFI LANguard N.S.S. zeigt offene Ports, die häufig missbräuchlich verwendet werden, mit einem roten Warnpunkt an. Dieser Hinweis bedeutet jedoch nicht zwangsläufig, dass dort ein BackdoorProgramm aktiv ist. Einige gültige Programme greifen auf dieselben Ports zurück wie einige bekannte Trojaner – daher sollte eine weitere Kontrolle erfolgen, bevor der Port geschlossen wird. Scan-Ergebnisse im Detail: Analysieren von Benutzer- und Gruppenkonten Missbräuchlich angelegte, veraltete oder standardmäßige Benutzerkonten können von böswilligen oder unbefugten Benutzern ausgenutzt werden, um auf geschützte Bereiche der IT-Infrastruktur zuzugreifen. Das Gäste-Konto ist nur ein Beispiel hierfür. Es bleibt in den meisten Fällen standardmäßig aktiviert und ist vielfach nur mit einem standardmäßigen Passwortschutz versehen. Zudem sind Anwendungen im Umlauf, mit denen das Gäste-Konto automatisch 42 • 5. Erste Schritte: Analysieren der Scan-Ergebnisse GFI LANguard Network Security Scanner reaktiviert und mit Administratorrechten versehen werden kann. So wird selbst ein Zugriff auf sensible Infrastrukturbereiche möglich. GFI LANguard N.S.S. erfasst Informationen zu allen Benutzer- und Gruppenkonten, die auf den überprüften Rechnern aktiviert sind. Die Ergebnisse werden im Bereich Scan Results unter zwei Knoten angezeigt. Klicken Sie auf den Unterknoten Users, um alle auf einem Zielrechner identifizierten Benutzerkonten anzeigen zu lassen. Hierdurch können Sie die Zugriffsrechte kontrollieren, die den einzelnen Konten zugewiesen wurden. Klicken Sie auf den Unterknoten Groups, um alle auf einen Zielrechner identifizierten Benutzergruppen anzeigen zu lassen. Hinweis: Benutzer sollten sich nicht über ein lokales Konto an einem Netzwerkrechner anmelden. Aus Gründen der erhöhten Sicherheit ist ein Login über ein Domänen- oder Active Directory-Konto zu empfehlen. Scan-Ergebnisse im Detail: Analysieren der angemeldeten Benutzer Klicken Sie auf den Unterknoten Logged on Users, um die Liste der Benutzer aufzurufen, die am Zielrechner lokal (per interaktiver Anmeldung) oder entfernt (per Remote-Netzwerkverbindung) angemeldet sind. Screenshot 39 – Angemeldete Benutzer GFI LANguard Network Security Scanner 5. Erste Schritte: Analysieren der Scan-Ergebnisse • 43 Folgende Daten angemeldeter Benutzer werden aufgeführt: • Logged on username – Aktueller Benutzername. • Logon date and time – Uhrzeit und Datum der Anmeldung am Zielrechner. • Elapsed Time – Dauer der Verbindung seit Anmeldung des Benutzers. • Number of programs running – Anzahl der Programme, die der interaktiv angemeldete Benutzer zum Zeitpunkt des Scans geöffnet hatte. • Idle time – Leerlaufzeit der Verbindung eines RemoteBenutzers (bei vollständiger Inaktivität). • Open Files – Gibt an, wie viele Dateien der angemeldete Benutzer geöffnet hat. • Client type – Plattform/Betriebssystem, über die/das der Benutzer eine Verbindung mit dem Zielrechner hergestellt hat. • Transport – Name des Diensts, über den die Verbindung zwischen dem Remote-Rechner und dem Zielrechner hergestellt wurde (z. B. NetBIOS/SMB, Terminal Service, Remote Desktop). Scan-Ergebnisse im Detail: Analysieren von Diensten Aktive Dienste stellen ein potenzielles Sicherheitsrisiko für ein Netzwerk dar. Hinter Diensten können sich Trojaner, Viren oder andere Malware verbergen. Zudem beanspruchen nicht benötigte, jedoch aktive Anwendungen und Dienste wertvolle Systemressourcen und können die Computerleistung beinträchtigen. Während eines Scans werden alle auf Zielrechnern laufenden Dienste aufgeführt. So können Sie leicht feststellen, welche Dienste unerwünscht sind und beendet werden müssen. Neben der Freigabe von Ressourcen verringern Sie hierdurch auch die Anzahl der Schlupflöcher, durch die Hacker unerlaubten Zugriff auf Ihr System nehmen können. Klicken Sie auf den Unterknoten Services, um die ermittelten Dienste anzuzeigen. Scan-Ergebnisse im Detail: Analysieren von Prozessen Klicken Sie auf den Unterknoten Processes, um eine Übersicht aller Prozesse anzeigen zu lassen, die während des SicherheitsScans auf den Zielrechnern aktiv waren. 44 • 5. Erste Schritte: Analysieren der Scan-Ergebnisse GFI LANguard Network Security Scanner Screenshot 40 – Liste aller auf Zielrechnern aktiven Prozesse Während eines Scans werden folgende Informationen zu aktiven Prozessen erfasst: • Name des Prozesses • PID (Prozess-ID) • Path (Pfad) • User (Benutzer) • PPID (Parent Process Identifier) • Domain (Domäne) • Command Line (Befehlszeile) • Handle Count (Anzahl der Handles) • Thread Count (Anzahl der Threads) • Priority (Priorität) GFI LANguard Network Security Scanner 5. Erste Schritte: Analysieren der Scan-Ergebnisse • 45 Scan-Ergebnisse im Detail: Analysieren installierter Anwendungen Screenshot 41 – Liste aller auf Zielrechnern installierten Anwendungen Klicken Sie auf den Unterknoten Applications, um eine Übersicht aller Anwendungen anzeigen zu lassen, die auf einem gescannten Zielrechner installiert sind. Die identifizierten Anwendungen werden in drei Gruppen unterteilt angezeigt: • Anti-Virus-Programme • Anti-Spyware-Programme • Allgemeine Anwendungen Gruppen zu Anti-Virus- und Anti-Spyware-Programmen Unter Anti-Virus Applications und Anti-Spyware Applications werden alle Sicherheitsanwendungen gruppiert, die auf den gescannten Zielrechnern installiert sind. Folgende Informationen werden unter der jeweiligen Gruppe aufgeführt: • Application name (Anwendungsname) • Real time protection – Zeigt den Status des Echtzeit-Schutzes einer Anti-Virus-Anwendung an (aktiviert/deaktiviert). • Up to date – Informiert, ob die Anti-Virus/SpywareSignaturdateien einer Sicherheitsanwendung auf dem neuesten Stand sind. Hierfür wird die Statuskennzeichnung für Signaturdateien kontrolliert (falls möglich). • Last update – Zeigt Datum und Uhrzeit des letzten Updates der Anti-Virus/Spyware-Signaturen an. • Version – Informiert Sicherheitsanwendung. • über die Versionsnummer der Publisher – Zeigt Herstellerinformationen an. 46 • 5. Erste Schritte: Analysieren der Scan-Ergebnisse GFI LANguard Network Security Scanner Gruppe zu allgemeinen Anwendungen Unter der Gruppe General Applications werden alle allgemeinen Anwendungen aufgeführt, die auf dem gescannten Zielrechner installiert sind. Hierzu zählen sämtliche Programme, die nicht als AntiVirus/Spyware-Produkte klassifiziert sind, z. B. der Adobe Reader oder auch GFI LANguard N.S.S. Folgende Informationen werden in der Gruppe General Applications aufgeführt: • Application name (Anwendungsname) • Version – Informiert über die Versionsnummer der Anwendung. • Publisher – Zeigt Herstellerinformationen an. Scan-Ergebnisse im Detail: Analysieren von Netzwerkgeräten Nicht überwachte Netzwerkgeräte, vor allem kabellose Hardware, können Sicherheitslöcher öffnen, die eine Gefahr für die Unternehmenssicherheit darstellen. Aus diesem Grund sollten nur von Ihnen zugelassene Geräte dieser Art mit Ihrem Netzwerk verbunden werden. Screenshot 42 – Identifizierte Netzwerkgeräte Im Rahmen eines Sicherheits-Scans werden sämtliche installierte Software- und Hardware-Netzwerkgeräte (kabelgebunden und drahtlos) angezeigt. Klicken Sie auf den Unterknoten Network Devices, um die ermittelten Netzwerkgeräte anzuzeigen. Die erfassten Informationen werden in folgenden Gruppen angezeigt: • Physical devices (Wired) (kabelgebundene physische Geräte) • Wireless devices (drahtlose Geräte) • Virtual devices (virtuelle Geräte) • Software enumerated devices (von Software spezifizierte Geräte) GFI LANguard Network Security Scanner 5. Erste Schritte: Analysieren der Scan-Ergebnisse • 47 In jeder Gruppe werden verschiedene Informationen zu den erkannten Geräten aufgeführt, darunter: • MAC-Adresse • IP-Adresse(n) • Device Type (Gerätetyp) • Host-Name • Domain (Domäne) • DHCP details (DHCP-Informationen) • WEP (falls verfügbar) • SSID (falls verfügbar) • Gateway • Status Scan-Ergebnisse im Detail: Analysieren der USB-Geräte Screenshot 43 – Liste identifizierter USB-Geräte Klicken Sie auf den Unterknoten USB devices, um eine Übersicht über alle USB-Geräte anzeigen zu lassen, die mit den Zielrechnern verbunden sind. Mit Hilfe dieser Informationen können Sie unerwünschte USB-Geräte, darunter auch Bluetooth-Dongles, identifizieren, die zum Zeitpunkt des Scans mit den kontrollierten Zielrechnern verbunden waren. Viele portable Geräte wie der Apple iPod oder Creative Zen MP3-Player, die sich als Massenspeicher einsetzen lassen, werden per USB verbunden und können zum Diebstahl vertraulicher Daten oder zur Übertragung von Schadsoftware verwendet werden. 48 • 5. Erste Schritte: Analysieren der Scan-Ergebnisse GFI LANguard Network Security Scanner Scan-Ergebnisse im Detail: Analysieren des Installationsstatus von Patches/Service Packs Screenshot 44 – Liste fehlender und installierter Patches/Service Packs Klicken Sie auf den Knoten System patching status, um eine Übersicht über den Patch/Service Pack-Status eines Zielrechners zu erhalten. Scan-Ergebnisse im Detail: Analysieren von NetBIOS-Namen Jeder Rechner eines Netzwerks besitzt einen eindeutigen NetBIOSComputernamen. Dieser Name besteht aus 16 Zeichen, mit denen sich NetBIOS-Ressourcen im Netzwerk identifizieren lassen. NetBIOS-Namen werden mit Hilfe der NetBIOS-Namensauflösung einer IP-Adresse zugewiesen. Während der Kontrolle fragt GFI LANguard N.S.S. die Identität und Verfügbarkeit eines Zielrechners ab. Falls der Zielrechner verfügbar ist, antwortet er durch Übersendung des entsprechenden NetBIOSNamens auf die Anfrage. Klicken Sie auf den Unterknoten NETBIOS names, um die erfassten NetBIOS-Einstellungen aufzurufen. GFI LANguard Network Security Scanner 5. Erste Schritte: Analysieren der Scan-Ergebnisse • 49 Scan-Ergebnisse im Detail: Analysieren der Systeminformationen von Zielrechnern Screenshot 45 – Systeminformationen des Zielrechners Klicken Sie auf den Unterknoten Computer, um folgende Systemdaten zu einem gescannten Rechner abzurufen: • MAC – Zeigt die MAC-Adresse der Netzwerkkarte an, über die der Zielrechner mit dem Netzwerk verbunden ist. • Time To Live (TTL) – Informiert über die maximal erlaubte Anzahl von Netzwerk-Hops, bevor ein Datenpaket verworfen und nicht weitergeleitet wird. Über diese Angabe können Sie die Distanz (d. h. die Anzahl der Router-Hops) zwischen dem GFI LANguard N.S.S.-Rechner und dem gescannten Zielrechner feststellen. Typische TTL-Werte sind 32, 64, 128 und 255. • Network Role – Zeigt an, ob es sich bei einem gescannten Zielrechner um eine Workstation oder einen Server handelt. • Domain – Zeigt den Namen der Domäne/Arbeitsgruppe an. Gehört ein gescanntes Ziel zu einer Domäne, werden in diesem Feld die vertrauenswürdigen Domänen angezeigt. Andernfalls steht in diesem Feld der Name der Arbeitsgruppe, zu der der Rechner gehört. • LAN-Manager – Bietet Angaben zum verwendeten Betriebssystem und LAN-Manager (z. B. Windows 2000 LAN Manager). • Language – Informiert über die Spracheinstellungen des Zielrechners (z. B. Englisch). 50 • 5. Erste Schritte: Analysieren der Scan-Ergebnisse GFI LANguard Network Security Scanner Scan-Ergebnisse im Detail: Analysieren von Sessions Screenshot 46 – Sitzungsinformationen Klicken Sie auf den Unterknoten Sessions, um eine Übersicht aller Hosts anzeigen zu lassen, die während des Sicherheits-Scans per Fernzugriff mit dem Zielrechner verbunden waren. Folgende Informationen werden unter diesem Knoten aufgeführt: • • Computer – IP-Adresse des Hosts, der mit dem gescannten Zielrechner zum Zeitpunkt des Scans remote verbunden war. Username – Aktueller Benutzername • Open files – Anzahl der Dateien, auf die bislang während der Sitzung zugegriffen worden ist. • Connection time – Die Verbindungsdauer (in Sekunden), d. h. wie lange ein Benutzer zum Zeitpunkt des Scans bereits mit dem Zielrechner remote verbunden ist. • Idle time – Gesamtdauer (in Sekunden) für die die Verbindung bislang inaktiv gewesen ist. • Client type – Plattform/Betriebssystem, mit dem der remote angemeldete Rechner (d. h. der Client-Computer) läuft. • Transport – Name des Diensts, über den die RemoteVerbindung zwischen dem Client-Rechner und dem Zielrechner hergestellt wurde (z. B. NetBIOS/SMB). Hinweis: Zu den unter diesem Knoten aufgeführten Informationen zählen auch Angaben zur Remote-Verbindung, die durch den von GFI LANguard N.S.S. durchgeführten Scan aufgebaut wurde. Die IPAdresse des Rechners, auf dem GFI LANguard N.S.S. läuft, seine Anmeldeinformationen u. Ä. werden somit ebenfalls angezeigt. GFI LANguard Network Security Scanner 5. Erste Schritte: Analysieren der Scan-Ergebnisse • 51 Scan-Ergebnisse im Detail: Analysieren der Uhrzeit des Zielrechners Klicken Sie auf den Unterknoten Remote TOD, um die Netzwerkzeit anzuzeigen, die während des Scans vom Zielrechner abgerufen wurde. Diese Uhrzeit wird bei Netzwerkrechnern im Allgemeinen vom zuständigen Domänen-Controller bestimmt. Scan-Ergebnisse im Detail: Analysieren lokaler Festplattenlaufwerke Klicken Sie auf den Unterknoten Local Drives, um eine Übersicht zu allen physischen Festplatten auf dem Zielrechner aufzurufen. Die über diesen Unterknoten abrufbaren Informationen umfassen den Laufwerksbuchstaben, die Gesamtgröße des Laufwerks sowie den freien Festplattenspeicher. Anzeigen und Sortieren von Scan-Kategorien Legen Sie fest, welche Scan-Ergebniskategorien im Fenster Scan Results angezeigt werden sollen. Bestimmen Sie zudem, in welcher Reihenfolge die Kategorien aufzuführen sind. Nicht erforderliche und unter Umständen ablenkende Elemente können ausgeblendet werden. Screenshot 47 – Anpassung des Anzeige-Fensters 52 • 5. Erste Schritte: Analysieren der Scan-Ergebnisse GFI LANguard Network Security Scanner So wählen Sie die anzuzeigenden Scan-Kategorien und deren Reihenfolge aus: 1. Klicken Sie auf die Schaltfläche Anzeige anzupassen. Customize view, um die 2. Markieren Sie über den Reiter View die Scan-Kategorien, die angezeigt werden sollen. Klicken Sie auf die Schaltfläche Apply, um die Einstellungen zu übernehmen. 3. Über den Reiter Sorting können Sie die Reihenfolge der angezeigten Kategorien festlegen. Klicken Sie auf die Schaltfläche OK, um die Einstellungen zu speichern. GFI LANguard Network Security Scanner 5. Erste Schritte: Analysieren der Scan-Ergebnisse • 53 54 • 5. Erste Schritte: Analysieren der Scan-Ergebnisse GFI LANguard Network Security Scanner 6. Speichern und Abrufen von ScanErgebnissen Einführung Scan-Ergebnisse liefern Systemadministratoren wertvolle Informationen, ob für weitergehende oder auch vergleichende Analysen. Mit GFI LANguard N.S.S. werden Scan-Daten per Microsoft SQL Server oder Microsoft Access gesichert und lassen sich im XML-Format exportieren. In diesem Kapitel erhalten Sie Informationen zu den Themen: 1. Speicherung der Scan-Ergebnisse durch GFI LANguard N.S.S. 2. Abruf gespeicherter Scan-Ergebnisse per Verwaltungskonsole von GFI LANguard N.S.S. Hinweis: Wenn Sie die Testversion von GFI LANguard N.S.S. verwenden, können Scan-Ergebnisse nicht im Datenbank-Backend oder in einer XML-Datei gesichert oder daraus abgerufen werden. Weitere Informationen hierzu erhalten Sie im Kapitel „Produktevaluierung“ in diesem Handbuch. Speichern von Scan-Ergebnissen in einer externen (XML-)Datei Nach Abschluss eines Sicherheits-Scans werden alle Ergebnisse automatisch im Datenbank-Backend gesichert. Die Ergebnisse können zudem in einer externen XML-Datei gespeichert werden. Gehen Sie hierfür wie folgt vor: 1. Gehen Sie auf File ` Save scan results. 2. Geben Sie den Namen der XML-Datei an, in der die Ergebnisse gespeichert werden sollen (z. B. ScanErgebnis_11052006.xml). 3. Klicken Sie auf die Schaltfläche Save. GFI LANguard Network Security Scanner 6. Speichern und Abrufen von Scan-Ergebnissen • 55 Abrufen von Scan-Ergebnissen Abrufen gespeicherter Scan-Daten aus dem DatenbankBackend Screenshot 48 – Abruf gespeicherter Scan-Ergebnisse GFI LANguard N.S.S. kann Scan-Ergebnisse per Microsoft Access oder Microsoft SQL Server Datenbank-Backend oder in einer XMLDatei speichern. In der Datenbank werden standardmäßig die Ergebnisse der letzten 10 Scans pro Scan-Profil gespeichert. Hinweis: Die Anzahl der in der Datenbank gespeicherten ScanErgebnisse lässt sich individuell anpassen. Weitere Informationen hierzu erhalten Sie im Kapitel „Datenbank-Wartung – Optionen“ unter „Verwalten gespeicherter Scan-Ergebnisse“. In einer XML-Datei gespeicherte Scan-Ergebnisse lassen sich ebenfalls zur weiteren Verarbeitung und Analyse abrufen. So rufen Sie gespeicherte Scan-Ergebnisse aus dem Datenbank-Backend ab: 1. Klicken Sie im linken Navigationsfenster auf die Schaltfläche Main. 2. Klicken Sie mit der rechten Maustaste auf den Knoten Security Scanner (Default), und wählen Sie Load saved scan results from ` Database. 56 • 6. Speichern und Abrufen von Scan-Ergebnissen GFI LANguard Network Security Scanner Screenshot 49 – Gespeicherte Scan-Ergebnisse 3. Wählen Sie die abzurufenden Scan-Ergebnisse aus, und klicken Sie auf die Schaltfläche OK. Abrufen gespeicherter Scan-Ergebnisse aus einer XMLDatei Der Abruf von Scan-Ergebnissen aus einer XML-Datei erfolgt ähnlich wie bei der Datenbank: 1. Klicken Sie im linken Navigationsfenster auf die Schaltfläche Main. 2. Klicken Sie mit der rechten Maustaste auf den Knoten Security Scanner (Default), und wählen Sie Load saved scan results from ` XML. 3. Wählen Sie die XML-Datei mit den Scan-Ergebnissen aus, und klicken Sie auf die Schaltfläche OK. GFI LANguard Network Security Scanner 6. Speichern und Abrufen von Scan-Ergebnissen • 57 58 • 6. Speichern und Abrufen von Scan-Ergebnissen GFI LANguard Network Security Scanner 7. Filtern von Scan-Ergebnissen Einführung Scan-Ergebnisse umfassen eine große Auswahl an Daten aus den unterschiedlichsten Bereichen. Obwohl alle gesammelten Informationen sicherheitsrelevant sind, kann es mitunter erforderlich sein, Ergebnisse zu filtern, um sich bei Kontrollen nur auf einzelne Sicherheitsaspekte zu konzentrieren, beispielsweise auf fehlende Patches. Screenshot 50 – Knoten „Results Filtering“ GFI LANguard N.S.S. bietet eine Auswahl an Standard-Filtern, mit denen nur speziell erforderliche Daten angezeigt werden. In diesem Kapitel erfahren Sie, wie Filter auf Scan-Ergebnisse angewendet werden, um spezifische Informationen zur Analyse zu isolieren. GFI LANguard Network Security Scanner 7. Filtern von Scan-Ergebnissen • 59 Informationen zu standardmäßigen Filtern Scan-Ergebnisse können mit folgenden bereits standardmäßig verfügbaren Filtern bearbeitet werden: • Full Report – Zeigt sämtliche während eines Scans erfassten sicherheitsbezogenen Daten an, darunter Systeminformationen, veraltete Virensignaturen und fehlende Sicherheitsaktualisierungen. • Vulnerabilities [High security] – Informiert nur über schwere Sicherheitslücken wie fehlende Sicherheits-Patches und Service Packs, die als „kritisch“ gekennzeichnet sind. • Vulnerabilities [Medium security] – Führt nur mittelschwere Sicherheitslücken durch fehlende Sicherheits-Patches und Service Packs auf, die vom Administrator überprüft werden sollten. • Vulnerabilities [All] – Informiert über kritische und mittelschwere Sicherheitslücken wie fehlende Patches und Service Packs. • High vulnerability level computers – Führt gefährdete Computer mit Sicherheitslücken der Kategorie „hoch“ auf. • Missing Patches and Service Packs – Informiert nur über Patches und Service Packs, die auf den gescannten Rechnern fehlen. • Missing Critical Patches – Informiert über alle fehlenden Patches, die als „kritisch“ eingestuft sind. • Missing Service Packs – Führt alle Computer auf, auf denen Service Packs fehlen. • Important Devices – USB – Führt sämtliche USB-Geräte auf, die mit den gescannten Computern zum Zeitpunkt der Kontrolle verbunden waren. • Important Devices – Wireless – Führt sämtliche WirelessNetzwerkkarten (PCI und USB) auf, die zum Zeitpunkt des Scans mit den gescannten Zielrechnern verbunden waren. • Open Ports – Zeigt alle offenen TCP- und UDP-Ports auf den gescannten Zielrechnern an. • Open Shares – Informiert über alle Freigaben und zugehörige Zugriffsrechte. • Auditing Policies – Listet die Einstellungen der Überwachungsrichtlinien der gescannten Zielrechner auf. • Password Policies – Listet die Einstellungen der aktiven Passwort-Richtlinien auf, die für die gescannten Zielrechner definiert wurden. • Groups and Users – Zeigt die auf den gescannten Zielrechnern erkannten Benutzer und Gruppen an. • Computer Properties – Zeigt die Eigenschaften jedes Zielrechners an. • Installed Applications – Informiert über alle installierten Anwendungen (inklusive Sicherheitssoftware), die während eines Sicherheits-Scans auf Zielrechnern identifiziert wurden. 60 • 7. Filtern von Scan-Ergebnissen GFI LANguard Network Security Scanner • Non-Updated Security Software – Listet nur solche installierten Sicherheitsanwendungen (d. h. Anti-Virus/SpywareSoftware) auf, bei denen Updates fehlen und deren Signaturdateien veraltet sind. Hinweis: Alle standardmäßigen Scan-Filter lassen sich individuell anpassen. Ein Erstellen neuer Filter ist ebenfalls möglich. Anwenden von Filtern auf Scan-Ergebnisse So filtern Sie vorhandene Scan-Daten mit Hilfe eines Scan-Filters: 1. Starten und beenden Sie einen Sicherheits-Scan Ihres Netzwerks, oder rufen Sie Ergebnisse vorheriger Scans aus Ihrer Datenbank oder XML-Datei ab. Screenshot 51 – Scan-Filter: Vollständiger Bericht 2. Erweitern Sie den Knoten Security Scanner ` Results Filtering. 3. Wählen Sie den gewünschten Scan-Filter aus (z. B. Vulnerabilities [All]). GFI LANguard Network Security Scanner 7. Filtern von Scan-Ergebnissen • 61 Erstellen eigener Scan-Filter So erstellen Sie einen eigenen Scan-Filter: 1. Klicken Sie im Tools Explorer auf die Schaltfläche Main. Gehen Sie auf den Knoten Security Scanner ` Results Filtering, klicken Sie mit der rechten Maustaste auf Results Filtering, und wählen Sie im Kontextmenü New ` Filter. Screenshot 52 – Eigenschaften eines neuen Scan-Filters: Reiter „General“ 2. Geben Sie unter dem Reiter General in Eingabefeld Filter name den Namen des neuen Scan-Filters an. Screenshot 53 – Eigenschaften eines Filters 62 • 7. Filtern von Scan-Ergebnissen GFI LANguard Network Security Scanner 3. Klicken Sie auf die Schaltfläche Add, und wählen Sie aus der angezeigten Liste die gewünschte Filtereigenschaft aus (z. B. „Operating system“). Hierdurch legen Sie fest, welche Art von Information aus den Scan-Ergebnissen herausgefiltert werden soll, d. h. Sie bestimmen den Anwendungsbereich. 4. Klicken Sie auf die Schaltfläche Next. Screenshot 54 – Eigenschaften einer Filterbedingung 5. Wählen Sie aus der Drop-Down-Liste zu Conditions die benötigte Filterbedingung aus, und legen Sie den zu ermittelnden Filterwert im Eingabefeld Value fest. Der Filterwert gibt die Zeichenfolge an, nach der der Filter unter Berücksichtigung der Bedingung die ScanErgebnisse durchsucht. 6. Klicken Sie auf die Schaltfläche Add um fortzufahren. Hinweis: Es ist möglich, für jeden Scan-Filter mehrere Filterbedingungen festzulegen. Hierdurch können Sie leistungsfähige Filter erstellen, mit deren Hilfe sich zu analysierende Daten noch gezielter isolieren lassen. GFI LANguard Network Security Scanner 7. Filtern von Scan-Ergebnissen • 63 Screenshot 55 – Eigenschaften eines neuen Scan-Filters: Reiter „Report Items“ 7. Klicken Sie auf den Reiter Report Items, und wählen Sie alle Informationskategorien/Unterknoten aus, die in der Konfiguration angezeigt werden sollen. Klicken Sie auf die Schaltfläche OK, um den neuen Filter zu erstellen und zu speichern. Der neue Filter wird dauerhaft als Unterknoten unter Security Scanner ` Results Filtering aufgeführt. Hinweis: Um einen Scan-Filter zu löschen oder zu bearbeiten, klicken Sie mit der rechten Maustaste darauf, und wählen Sie im Kontextmenü Delete zum Löschen oder Properties zum Bearbeiten der Eigenschaften. Beispiel 1 – Erstellen eines Filters zur Suche nach Rechnern, auf denen ein bestimmter Patch fehlt Anhand des folgenden Beispiels wird gezeigt, wie ein Filter erstellt werden kann, der alle Windows XP-Rechner auflistet, auf denen der Microsoft-Patch MS03-026 (zur Abwehr des Blaster-Virus) fehlt. 1. Klicken Sie im Tools Explorer auf die Schaltfläche Main. Gehen Sie auf den Knoten Security Scanner ` Results Filtering. Klicken Sie mit der rechten Maustaste auf Results Filtering, und wählen Sie im Kontextmenü New ` Filter. 2. Geben Sie im Eingabefeld Filter name den Namen „Fehlender Blaster-Patch“ ein, und klicken Sie auf die Schaltfläche Add. 3. Wählen Sie aus der Liste der Filtereigenschaften die Option Operating system aus, und klicken Sie auf die Schaltfläche Next. 64 • 7. Filtern von Scan-Ergebnissen GFI LANguard Network Security Scanner Screenshot 56 – Filterbedingungen 4. Wählen Sie aus der Drop-Down-Liste zu Conditions den Eintrag Equal to (gleich) aus. Geben Sie im Eingabefeld Value den Wert „Windows XP“ ein. 5. Klicken Sie auf die Schaltfläche Add, um die Bedingung dem Filter hinzuzufügen. Screenshot 57 – Eigenschaften eines neuen Scan-Filters: Reiter „General“ GFI LANguard Network Security Scanner 7. Filtern von Scan-Ergebnissen • 65 6. Klicken Sie auf die Schaltfläche Add, um eine weitere Filterbedingung für den Patch-Namen (d. h. MS03-026) zu erstellen. 7. Wählen Sie aus der Liste der Filtereigenschaften den Eintrag Patch aus, und klicken Sie auf die Schaltfläche Next. 8. Wählen Sie aus der Drop-Down-Liste zu Conditions den Eintrag is not installed aus. Geben Sie im Eingabefeld Value den Wert „MS03026” ein. Klicken Sie auf die Schaltfläche Add, um die Bedingung dem Filter hinzuzufügen. 9. Klicken Sie auf die Schaltfläche OK, um die Konfigurierung abzuschließen und den Filter zu erstellen. Der Filter steht jetzt über einen neuen Unterknoten zur Verfügung (über Security Scanner ` Results Filtering ` Fehlender Blaster-Patch). Beispiel 2 – Erstellen eines Filters zur Auflistung aller SunWorkstations mit Webserver So erstellen Sie einen Filter, der alle Sun-Workstations anzeigt, auf denen einen Webserver auf Port 80 läuft: 1. Klicken Sie im Tools Explorer auf die Schaltfläche Main. Gehen Sie auf den Knoten Security Scanner ` Results Filtering. Klicken Sie mit der rechten Maustaste auf Results Filtering, und wählen Sie im Kontextmenü New ` Filter. 2. Geben Sie im Eingabefeld für den Filternamen „Sun WS, Webserver auf Port 80“ ein. Klicken Sie auf die Schaltfläche Add. 3. Wählen Sie aus der Liste der Filtereigenschaften den Eintrag Operating system aus, und klicken Sie auf die Schaltfläche Next. 4. Wählen Sie aus der Drop-Down-Liste zu Conditions den Eintrag Includes (enthält) aus. Geben Sie im Eingabefeld Value den Wert „Sun OS“ ein. 5. Klicken Sie auf die Schaltfläche Add. 6. Klicken Sie im Dialog zu den Filtereigenschaften auf die Schaltfläche Add, um eine weitere Filterbedingung hinzuzufügen. 7. Wählen Sie TCP Port, und klicken Sie auf die Schaltfläche Next. 8. Wählen Sie aus der Drop-Down-Liste zu Conditions den Eintrag is open (ist offen) aus. Geben Sie im Eingabefeld Value den Wert „80“ ein. 9. Klicken Sie auf die Schaltfläche Add, um die Bedingung dem Filter hinzuzufügen. 10. Klicken Sie auf die Schaltfläche OK, um die Einstellungen zu speichern. Der Filter steht jetzt über einen neuen Unterknoten zur Verfügung (über Security Scanner ` Results Filtering ` Sun WS, Webserver auf Port 80). 66 • 7. Filtern von Scan-Ergebnissen GFI LANguard Network Security Scanner 8. Konfigurieren von GFI LANguard N.S.S. Einführung Dank vorkonfigurierter Einstellungen können bereits unmittelbar nach der Installation von GFI LANguard N.S.S. Sicherheits-Scans durchgeführt werden. Je nach Unternehmensanforderung lassen sich Konfigurationsvorgaben auch individuell anpassen. Anpassbar sind Scan-Zeitpläne, Schwachstellen-Checks, Scan-Filter und ScanProfile. Hinweis: Mit der Testversion von GFI LANguard N.S.S. können ScanErgebnisse nicht miteinander verglichen werden. Die Einrichtung von Scans nach Zeitplan ist ebenfalls nicht möglich. Weitere Informationen hierzu erhalten Sie im Kapitel „Produktevaluierung“ in diesem Handbuch. In diesem Kapitel erhalten Sie Informationen zu den Themen: • Erstellen und Konfigurieren von Scans nach Zeitplan • Konfigurieren von E-Mail-Warnungen • Konfigurieren von Computer-Profilen • Konfigurieren automatischer Patch-Download • Konfigurieren des Datenbank-Backendes Erstellen und Konfigurieren von Scans nach Zeitplan Überprüfungen des Netzwerks auf Sicherheitslücken lassen sich automatisch starten: zu einem bestimmten Zeitpunkt und in täglichen, wöchentlichen oder monatlichen Intervallen. Ergebnisse aus per Zeitplan durchgeführten Scans werden standardmäßig in einem Microsoft Access- oder Microsoft SQL DatenbankBackend gesichert. Zudem können Sie Ergebnisdaten speichern lassen per: • XML- oder HTML-Datei, die für einen Berichtvergleich verwendet werden kann. • Automatisch angefertigten Ergebnisbericht, der per E-Mail an den Administrator verschickt wird. Hinweis: Weitere Informationen zur Festlegung der Einstellungen des E-Mail-Servers oder der E-Mail-Adresse des Administrators erhalten Sie in diesem Kapitel unter „Konfigurieren von Warnungen“. Nach Abschluss eines Scans nach Zeitplan haben Sie die Möglichkeit, zwei Arten von Berichten automatisch erstellen und per E-Mail versenden zu lassen: einen umfassenden Bericht mit sämtlichen Scan-Ergebnissen und einen Vergleichsbericht. GFI LANguard Network Security Scanner 8. Konfigurieren von GFI LANguard N.S.S. • 67 • Der Bericht mit sämtlichen Scan-Ergebnissen enthält alle während eines Scans erfassten oder erstellten Daten. • Der Vergleichsbericht informiert nur über Unterschiede, die zwischen dem aktuellen und dem davor durchgeführten Scan festgestellt werden konnten. Hinweis: Wurden bei Auswahl des Vergleichsberichts keine Unterschiede zwischen zwei Scann-Durchläufen festgestellt, oder ist ein Scan nach Zeitplan zum ersten Mal durchgeführt worden, wird kein Bericht verschickt. Erstellen eines Scans nach Zeitplan Screenshot 58 – Übersicht über Scans nach Zeitplan So erstellen Sie einen nach einem Zeitplan durchzuführenden Scan: 1. Klicken Sie auf die Schaltfläche Configuration, und gehen Sie auf den Unterknoten Configuration ` Settings. 2. Klicken Sie mit der rechten Maustaste auf Scheduled Scans. Gehen Sie im Kontextmenü auf New ` Scheduled scan. Der Konfigurationsdialog für einen neuen Scan nach Zeitplan wird geöffnet. 68 • 8. Konfigurieren von GFI LANguard N.S.S. GFI LANguard Network Security Scanner Screenshot 59 – Neuer Scan nach Zeitplan 3. Geben Sie im standardmäßig angezeigten Reiter General die gewünschten Zielrechner an (mit Host-Name, IP-Adresse oder IPBereich). Hinweis: Weitere Informationen zum Festlegen zu scannender Computer erhalten Sie nachfolgend unter „Scan nach Zeitplan: Konfigurieren von Scan-Zielen“. 4. Wählen Sie das Scan-Profil aus, das für den Scan nach Zeitplan verwendet werden soll, und geben Sie eine Beschreibung des Scans an. 5. Soll der Scan regelmäßig erfolgen, geben Sie das Scan-Intervall an. 6. Legen Sie Datum und Uhrzeit des Scan-Starts fest. 7. Sind für diesen Scan alternative Zugangsdaten erforderlich, können diese über den Reiter Logon Credentials angegeben werden. Weitere Informationen hierzu erhalten Sie nachfolgend unter „Scan nach Zeitplan: Festlegen der Anmeldeinformationen“. 8. Sollten die zu scannenden Zielrechner nicht ständig mit dem Netzwerk verbunden sein (z. B. Laptops), klicken Sie auf den Reiter Advanced. Weitere Informationen zu den erforderlichen Einstellungen erhalten Sie nachfolgend unter „Scan nach Zeitplan: Konfigurieren erweiterter Optionen“. 9. Klicken Sie auf die Schaltfläche OK, um die Einstellungen zu speichern. GFI LANguard Network Security Scanner 8. Konfigurieren von GFI LANguard N.S.S. • 69 Scan nach Zeitplan: Konfigurieren von Scan-Zielen Zu scannende Computer lassen sich mit folgenden Angaben festlegen: • Vollständiger Name einer Domäne (FQDN), um alle Computer einer bestimmten Domäne zu scannen. • Einzelne Computernamen • URL (z. B. computer.unternehmen.com) • IP-Adresse des zu scannenden Computers (z. B. 192.168.100.5) • IP-Bereich (z. B. 192.168.100.5 – 192.168.100.50) • Subnetze in CIDR-Notation (z. B.168.100.0/24) • Name und vollständiger Pfad zu einer Textdatei mit Daten der zu scannenden Computer: file:<Dateiname> Hinweis: In der Textdatei darf nur ein Computer pro Zeile aufgeführt sein. Scan nach Zeitplan: Festlegen der Anmeldeinformationen Wie bei regulären Sicherheits-Scans muss auch bei Scans nach Zeitplan die Anmeldung am Zielrechner über ein Konto mit Administratorrechten erfolgen, um Kontrollen durchführen zu können. Bei Scans nach Zeitplan werden zur Anmeldung standardmäßig die Anmeldeinformationen des aktuellen Benutzerkontos verwendet. Falls erforderlich, lassen sich auch andere Zugangsdaten nutzen. Screenshot 60 – Festlegen von Zugangsdaten 70 • 8. Konfigurieren von GFI LANguard N.S.S. GFI LANguard Network Security Scanner Als Anmeldeinformation für einen Scan nach Zeitplan können über die Drop-Down-Liste Logon using folgende Optionen ausgewählt werden: • Alternative Credentials – Wählen Sie diese Option, um sich an Zielrechnern mit einem gesonderten Benutzernamen und Passwort anzumelden, falls erforderlich. • SSH Private Key – Wählen Sie diese Option, um sich an LinuxRechnern per Private-Key-Authentifizierung anzumelden. Geben Sie den Benutzernamen und die Private-Key-Datei an. Scan nach Zeitplan: Konfigurieren erweiterter Optionen Screenshot 61 – Konfigurierung erweiterter Optionen GFI LANguard N.S.S. kann sich Scan-Ziele merken, die während eines Sicherheits-Scans nicht verfügbar (z. B. ausgeschaltet) waren. Sobald diese wieder mit dem Netzwerk verbunden sind, wird ein neuer Scan-Versuch gestartet. Klicken Sie hierfür auf den Reiter Advanced, und wählen Sie die Option Wait for offline machines to connect to the network. GFI LANguard Network Security Scanner 8. Konfigurieren von GFI LANguard N.S.S. • 71 Scan nach Zeitplan: Konfigurieren der Ergebnisspeicherung Screenshot 62 – Eigenschaften von Scans nach Zeitplan So speichern Sie Scan-Ergebnisse in einer XML/HTML-Datei: 1. Klicken Sie auf die Schaltfläche Configuration, und gehen Sie auf den Unterknoten Configuration ` Settings. 2. Klicken Sie mit der rechten Maustaste auf den Unterknoten Scheduled Scans, und wählen Sie im Kontextmenü Properties. Der Eigenschaften-Dialog für Scans nach Zeitplan wird geöffnet. 3. Legen Sie fest, in welchem Format die Scan-Ergebnisse gespeichert werden sollen: Save scheduled scan results to XML file – Speichert ScanErgebnisse in einer XML-Datei. Generate and save scan result HTML reports to – Speichert ScanErgebnisse in einer HTML-Datei. 4. Klicken Sie auf die Schaltfläche OK, um die Einstellungen zu sichern. 72 • 8. Konfigurieren von GFI LANguard N.S.S. GFI LANguard Network Security Scanner Scan nach Zeitplan: Festlegen der Ergebnisbenachrichtigung Screenshot 63 – Eigenschaften von Scans nach festem Zeitplan: Reiter „Results Notification“ So legen Sie fest, welche Art von Bericht nach Durchführung eines Scans per E-Mail zugestellt wird: 1. Klicken Sie auf die Schaltfläche Configuration, und gehen Sie auf den Unterknoten Configuration ` Settings. 2. Klicken Sie mit der rechten Maustaste auf den Unterknoten Scheduled Scans, und wählen Sie im Kontextmenü Properties. Der Eigenschaften-Dialog für Scans nach Zeitplan wird geöffnet. 3. Klicken Sie auf den Reiter Results Notifications, und wählen Sie die Berichte aus, die per E-Mail zugestellt werden sollen. 4. Klicken Sie auf die Schaltfläche OK, um die Einstellungen zu speichern. Hinweis: Weitere Informationen zur Festlegung der Einstellungen des E-Mail-Servers oder der E-Mail-Adresse des Administrators erhalten Sie in diesem Kapitel unter „Konfigurieren von Warnungen“. GFI LANguard Network Security Scanner 8. Konfigurieren von GFI LANguard N.S.S. • 73 Konfigurieren von Warnungen So legen Sie die Einstellungen des E-Mail-Servers oder die E-MailAdresse des Administrators fest: 1. Klicken Sie auf die Schaltfläche Configuration, und gehen Sie auf den Unterknoten Configuration ` Settings. 2. Klicken Sie mit der rechten Maustaste auf den Unterknoten Alerting Options, und wählen Sie im Kontextmenü Properties. Der Eigenschaften-Dialog für Scans nach Zeitplan wird geöffnet. Screenshot 64 – Konfigurierung von Warnungen 3. Nehmen Sie folgende Einstellungen vor: • To – Adresse des Empfängers der E-Mail-Warnungen an. • CC – Weiterer Empfänger einer Kopie der E-Mail • From – Anzeigename des Absenders der verschickten E-Mail • Server – Daten des SMTP-Servers • Port – Port des SMTP-Servers • User name – Benutzername für den SMTP-Server (optional) • Password – Passwort für den SMTP-Server (optional) 4. Klicken Sie auf die Schaltfläche Verify Settings, um die E-MailEinstellungen zu kontrollieren. 5. Klicken Sie auf die Schaltfläche OK, um die Einstellungen zu speichern. 74 • 8. Konfigurieren von GFI LANguard N.S.S. GFI LANguard Network Security Scanner Computer-Profile Sowohl in kleineren als auch größeren Netzwerken sind für die Anmeldung an den einzelnen Netzwerkrechnern unterschiedliche Zugangsdaten erforderlich. Einige Systeme, z. B. Linux-basierte, setzen mitunter auf eine spezielle Authentifizierung per Public Key. Im Allgemeinen ist hierbei die Angabe eigens definierte Zugangsdaten per Private Key-Datei an Stelle herkömmlicher Passwort-Strings erforderlich. Mit den Computer-Profilen von GFI LANguard N.S.S. können Sie die unterschiedlichen Zugangsdaten jedes zu scannenden Zielrechners angeben und speichern. Die Scan-Engine greift dann für die Authentifizierung an den Zielrechnern auf die in den Profilen angegebenen Anmeldeinformationen zu, sodass vor dem Start eines Netzwerk-Scans die erforderlichen Standarddaten nicht von Ihnen bereitgestellt werden müssen. Zudem können im Rahmen eines einzelnen Scan-Durchlaufs Zielrechner überprüft werden, die unterschiedliche Anmeldeinformationen und Authentifizierungsverfahren erfordern. Beispiel: Während eines Scan-Durchlaufs können Schwachstellen-Checks sowohl für Windows-Rechner (unter Verwendung von Benutzername/Passwort) als auch Linux-Rechner (unter Verwendung von Benutzername/SSH Private Key-Dateien) durchgeführt werden. Informationen zur SSH-basierten Authentifizierung per Private Key-Datei GFI LANguard N.S.S. stellt die Verbindung mit Linux-Zielrechnern per SSH her. Bei der Public Key-Verschlüsselung werden zur Überprüfung der Authentizität einer SSH-Verbindungsanfrage zwei Schlüssel (in Form von Textdateien) verwendet. Diese Schlüssel sind der „SSH Private Key“ und der „SSH Public Key“. Die SSH-Schlüssel werden mit Hilfe eines Dritthersteller-Tools wie SSH-KeyGen, das standardmäßig im SSH-Paket für Linux enthalten ist, manuell erstellt. Der SSH Private Key wird von der Scan-Engine für die Authentifizierung an einem entfernten Linux-Rechner verwendet. Dieser Teil des Schlüsselpaares wird somit an Stelle eines herkömmlichen Passwort-Strings verwendet und muss auf dem Rechner mit GFI LANguard N.S.S. gespeichert sein. Der SSH Public Key als anderer Teil des Schlüsselpaares wird auf dem entfernten Zielrechner gespeichert und von diesem für die korrekte Authentifizierung durch GFI LANguard N.S.S. verwendet. GFI LANguard Network Security Scanner 8. Konfigurieren von GFI LANguard N.S.S. • 75 Erstellen eines neuen Computer-Profils Screenshot 65 – Eigenschaften eines Computer-Profils So erstellen Sie ein neues Computer-Profil: 1. Klicken Sie auf die Schaltfläche Configuration, und gehen Sie auf den Unterknoten Configuration ` Settings. 2. Klicken Sie mit der rechten Maustaste auf den Unterknoten Computer Profiles, und wählen Sie im Kontextmenü New ` Computer(s) Profile. Der Eigenschaften-Dialog zu Computer-Profilen wird geöffnet. 3. Der Reiter General wird standardmäßig aufgerufen. Geben Sie den Namen des Zielcomputers ein. 3. Klicken Sie auf den Reiter Logon Credentials, wählen Sie das erforderliche Authentifizierungsverfahren aus, und geben Sie die benötigten Zugangsdaten ein. 4. Klicken Sie auf die Schaltfläche OK, um die Einstellungen zu speichern. Hinweis: Neu erstellte Computer-Profile sind standardmäßig deaktiviert. Weitere Informationen zur Aktivierung erhalten Sie in diesem Kapitel unter „Aktivieren/Deaktivieren von Computer-Profilen“. 76 • 8. Konfigurieren von GFI LANguard N.S.S. GFI LANguard Network Security Scanner Konfigurieren von Computer-Profilen Screenshot 66 – Anzeige bereits vorhandener Computer-Profile So ändern Sie die Eigenschaften eines bereits vorhandenen Computer-Profils: 1. Klicken Sie auf die Schaltfläche Configuration, und gehen Sie auf den Unterknoten Configuration ` Settings ` Computer Profiles. 2. Klicken Sie mit der rechten Maustaste auf das zu bearbeitende Profil, und wählen Sie im Kontextmenü Properties. 3. Führen Sie die gewünschten Änderungen durch, und klicken Sie auf die Schaltfläche OK, um die Einstellungen zu speichern. Aktivieren/Deaktivieren von Computer-Profilen Neu erstellte Computer-Profile sind standardmäßig deaktiviert. Sie stehen somit nicht automatisch für Sicherheits-Scans zur Verfügung. So aktivieren oder deaktivieren Sie Computer-Profile: 1. Klicken Sie auf die Schaltfläche Configuration, und gehen Sie auf den Unterknoten Configuration ` Settings ` Computer Profiles. 2. Wählen Sie alle zu aktivierenden/deaktivierenden Computer-Profile aus. 3. Klicken Sie hierfür mit der rechten Maustaste auf das gewünschte Profile und wählen Sie enable (aktivieren) bzw. disable (deaktivieren) . GFI LANguard Network Security Scanner 8. Konfigurieren von GFI LANguard N.S.S. • 77 Verwenden von Computer-Profilen für einen Sicherheits-Scan Screenshot 67 – Schaltfläche für Scans mit Hilfe eines Computer-Profils Um Computer mit Hilfe von Computer-Profilen zu scannen, klicken Sie in der auf die Schaltfläche Use data from computer profiles Werkzeugleiste rechts oben in der Verwaltungskonsole. Konfigurieren des automatischen Patch-Downloads Die Funktion Patch Autodownload ermöglicht den automatischen Abruf fehlender Sicherheits-Updates und Service Packs von Microsoft in allen 38 von Microsoft unterstützten Sprachen. Der Download lässt sich darüber hinaus zu einem festen Zeitpunkt durchführen. So konfigurieren Sie den automatischen Patch-Download: 1. Klicken Sie auf die Schaltfläche Configuration, und gehen Sie auf den Unterknoten Configuration ` Settings. 2. Klicken Sie mit der rechten Maustaste auf den Unterknoten Patch Autodownload, und wählen Sie im Kontextmenü Properties. 78 • 8. Konfigurieren von GFI LANguard N.S.S. GFI LANguard Network Security Scanner Screenshot 68 – Konfigurierung des automatischen Patch-Downloads 3. Wählen Sie über den Reiter General eine der folgenden Optionen aus: • All patches – Lädt alle verfügbaren Patches herunter. • Only needed patches – Lädt nur solche Patches herunter, die während eines Sicherheits-Scans als fehlend erkannt wurden. 4. Über den Reiter Patch Repository können Sie den Speicherort der heruntergeladenen Patches ändern, sofern erforderlich. 5. Über den Reiter Timeframe können Sie Zeitangaben des PatchDownloads festlegen. Hinweis: GFI LANguard N.S.S. kann bei der Bereitstellung fehlender Patches und Service Packs auch auf Patch-Dateien zugreifen, die bereits von den Microsoft WSUS (Windows Server Update Services) abgerufen worden sind. Wählen Sie hierfür die Option Use files downloaded by Microsoft WSUS when available aus. Geben Sie zudem den Speicherort an, von dem die per Microsoft WSUS heruntergeladenen Patches abgerufen werden sollen. 6. Klicken Sie auf die Schaltfläche OK, um die Einstellungen zu speichern. GFI LANguard Network Security Scanner 8. Konfigurieren von GFI LANguard N.S.S. • 79 Parameter-Dateien Screenshot 69 – Übersicht über Parameter-Dateien Während der Sicherheits-Scans ruft GFI LANguard N.S.S. unterschiedliche Scan-Vorgaben aus einer Reihe von Textdateien ab, den Parameter-Dateien. Diese Dateien lassen sich zur PerformanceSteigerung von GFI LANguard N.S.S. modifizieren. Hinweis: Diese Dateien sollten nur von erfahrenen Anwendern verändert werden. Werden fehlerhafte Änderungen vorgenommen, wirkt sich dies auf die Funktionsfähigkeit und Zuverlässigkeit der Erkennung von Zielrechnern durch GFI LANguard N.S.S. aus. Nachfolgend erhalten Sie eine Übersicht über die Parameter-Dateien, die über den Knoten Configuration ` Settings ` Parameter Files aufgerufen und verändert werden können. • Enterprise_numbers.txt – Liste mit OIDs (Object Identifiers) und den zugehörigen Unternehmenscodes (Hersteller/Universität). Während eines Scans versucht GFI LANguard N.S.S. zuerst, über die Datei object_ids.txt Informationen zu einem ermittelten Netzwerkgerät zu erhalten. Gelingt dies nicht, greift GFI LANguard N.S.S. auf die Datei Enterprise_numbers.txt zu, und versucht, den Produkthersteller über die herstellerspezifischen Informationen, die vom Zielgerät abgerufen werden konnten, zu identifizieren. Diese Herstellerinformationen basieren auf den SMI Network Management Private Enterprise Codes, die eingesehen werden können unter: http://www.iana.org/assignments/enterprisenumbers. • Ethercodes.txt – Liste mit MAC-Adressen und den zugehörigen Herstellern. • Ftp.txt – Liste mit FTP-Server-Bannern, über die GFI LANguard N.S.S. das Betriebssystem eines Zielrechners identifizieren kann (durch Analyse des installierten FTP-Servers). • Identd.txt – Enthält spezifische Banner, über die GFI LANguard N.S.S. das Betriebssystem eines Zielrechners identifizieren kann (über die Banner-Informationen). 80 • 8. Konfigurieren von GFI LANguard N.S.S. GFI LANguard Network Security Scanner • Object_ids.txt – Enthält SNMP Object-IDs und zugehörige Hersteller und Produkte. Reagiert ein Gerät auf eine SNMPAnfrage, vergleicht GFI LANguard N.S.S. die vom Zielrechner ausgegebenen OID-Informationen mit den Daten dieser Datei. • Passwords.txt – Enthält eine Liste mit Passwörtern, die im Rahmen eines Scans für Wörterbuch-Angriffe auf Zielrechner verwendet wird, um schwache Passwörter zu ermitteln. • Rpc.txt – Liste mit RPC-Protokollnummern und den zugehörigen Dienstnamenkennungen. Werden auf UNIX/Linux-Rechnern aktive RPC-Dienste gefunden, vergleicht GFI LANguard N.S.S. die empfangenen RPC-Informationen mit den Daten dieser Datei. Hierdurch lässt sich die zugehörige Dienstnamenkennung herausfinden und verifizieren. • Smtp.txt – Liste mit SMTP-Bannern und den zugehörigen Betriebssystemen. Wie bei den Dateien FTP.txt und identd.txt werden diese Banner zur Identifizierung des Betriebssystems verwendet, das auf dem Zielrechner läuft. • Snmp-pass.txt – Liste mit gängigen Community-Strings. Mit Hilfe dieser Strings erkennt GFI LANguard N.S.S. SNMPSchwachstellen auf einem Zielrechner. Während des Scans wird überprüft, ob in der Datei enthaltene Community-Strings vom kontrollierten SNMP-Server verwendet werden. Ist dies der Fall, werden die entsprechenden Strings in den Scan-Ergebnissen angezeigt. • Telnet.txt – Liste verschiedener Telnet-Server-Banner. Diese Telnet-Banner werden von GFI LANguard N.S.S. zur Identifizierung des Betriebssystems eines Zielrechners verwendet. • Www.txt – Liste verschiedener Webserver-Banner. Diese Webserver-Banner werden von GFI LANguard N.S.S. zur Identifizierung des Betriebssystems eines Zielrechners verwendet. • Port_services_fingerprint.xml – Enthält eine Kopie der Daten, die zum Erkennen der Server-Typen hinter offenen Ports verschickt wurden (HTTP, FTP, SMTP, POP3, SSH, TELNET usw.) • Snmpoids.och – Enthält eine Zuordnung der SNMP-OIDs zu ihren Anzeigenamen und wird zur Anzeige der SNMPInformationen des Tools „SNMP Walk“ verwendet. Datenbankwartung Die Leistungsfähigkeit des zur Sicherung der Scan-Ergebnisse verwendeten Datenbank-Backends lässt sich mit Hilfe verschiedener Wartungsoptionen erhalten und optimieren. Beispielsweise können Scan-Ergebnisse, die ein in Monaten festgelegtes Alter überschreiten, automatisch gelöscht werden, damit die Datenbank weiterhin kompakt bleibt und keine Leistungseinbußen entstehen. Bei Verwendung von Microsoft Access als Datenbank-Backend können Sie zudem die Komprimierung der Datenbank nach einem festen Zeitplan ablaufen lassen. Dabei werden alle fehlerhaften Daten repariert und zu löschende Einträge entfernt. GFI LANguard Network Security Scanner 8. Konfigurieren von GFI LANguard N.S.S. • 81 Auswählen des Datenbank-Backends Screenshot 70 – Eigenschaften der Datenbank-Wartung GFI LANguard N.S.S. unterstützt sowohl Microsoft Access als auch Microsoft SQL Server (2000 und später) als Datenbank-Backend. Speichern von Scan-Ergebnissen in einer Microsoft AccessDatenbank So speichern Sie Scan-Ergebnisse in einer Microsoft AccessDatenbank: 1. Klicken Sie auf die Schaltfläche Configuration, und gehen Sie auf den Unterknoten Configuration ` Settings. 2. Klicken Sie mit der rechten Maustaste auf den Unterknoten Database Maintenance Options, und wählen Sie im Kontextmenü Properties. 3. Wählen Sie die Option MS Access, und geben Sie den vollständigen Pfad zum Speicherort Ihres Access Datenbank-Backends an (inklusive Dateiname). Hinweis 1: Sollte die Datenbank noch nicht existieren, wird sie bei diesem Schritt erstellt. Hinweis 2: Ist die angegebene Datenbankdatei bereits vorhanden und wurde sie von einer früheren Version von GFI LANguard N.S.S. verwendet, werden Sie gefragt, ob bestehende Daten überschrieben werden sollen. 82 • 8. Konfigurieren von GFI LANguard N.S.S. GFI LANguard Network Security Scanner 4. Klicken Sie auf die Schaltfläche OK, um die Einstellungen zu speichern. Speichern von Scan-Ergebnissen in einer Microsoft SQL Server-Datenbank Screenshot 71 – Optionen der Microsoft SQL Server-Datenbank So speichern Sie Scan-Ergebnisse in einer Microsoft SQL ServerDatenbank: 1. Klicken Sie auf die Schaltfläche Configuration, und gehen Sie auf den Unterknoten Configuration ` Settings. 2. Klicken Sie mit der rechten Maustaste auf den Unterknoten Database Maintenance Options, und wählen Sie im Kontextmenü Properties. 3. Wählen Sie die Option MS SQL Server, und bestimmen Sie dann über die Liste der in Ihrem Netzwerk gefundenen Server den SQLServer, der die Datenbank hosten soll. 4. Geben Sie die Anmeldeinformationen für den SQL-Server an, oder wählen Sie die Option Use NT authority credentials, um sich mit Daten des Windows-Kontos am SQL-Server zu authentifizieren. 5. Klicken Sie auf die Schaltfläche OK, um die Einstellungen zu speichern. Hinweis 1: Sind die Angaben zum Server und die Anmeldedaten korrekt, meldet sich GFI LANguard N.S.S. automatisch am SQL- GFI LANguard Network Security Scanner 8. Konfigurieren von GFI LANguard N.S.S. • 83 Server an und erstellt die erforderlichen Datenbanktabellen. Bereits bestehende Datenbanktabellen werden weiterverwendet. Hinweis 2: Bei Auswahl der Windows NT-Authentifizierung (Option Use NT authority credentials) müssen die Dienste von GFI LANguard N.S.S. unter einem Benutzerkonto mit administrativen Zugriffsrechten für die SQL Server-Datenbanken laufen. Datenbankwartung: Verwalten gespeicherter ScanErgebnisse Über den Reiter Saved Scan Results lassen sich die in der Datenbank gespeicherten Scan-Ergebnisse verwalten und ggf. auch löschen. Das Löschen kann manuell oder automatisch über einen festgelegten Zeitplan zur Datenbank-Wartung erfolgen. Während der geplanten Datenbankwartung löscht GFI LANguard N.S.S. gespeicherte Scan-Ergebnisse, die eine in Tagen, Wochen oder Monaten festgelegte Archivierungsdauer überschreiten, automatisch. Die automatische Datenbankwartung kann zudem so konfiguriert werden, dass nur eine festgelegte Anzahl von ScanErgebnissen pro kontrollierten Zielrechner und Scan-Profil gespeichert wird. Screenshot 72 – Eigenschaften der Datenbank-Wartung, Gespeicherte Scan-Ergebnisse So verwalten Sie gespeicherte Scan-Ergebnisse: 1. Klicken Sie auf die Schaltfläche Configuration, und gehen Sie auf den Unterknoten Configuration ` Settings. 84 • 8. Konfigurieren von GFI LANguard N.S.S. GFI LANguard Network Security Scanner 2. Klicken Sie mit der rechten Maustaste auf den Unterknoten Database Maintenance Options, und wählen Sie im Kontextmenü Properties. 3. Klicken Sie auf den Reiter Saved Scan Results. 4. Wählen Sie manuell zu löschende Scan-Ergebnisse aus, und klicken Sie auf die Schaltfläche Delete Scan(s). 5. Folgende Optionen sind zur automatischen Verwaltung der Datenbankwartung verfügbar: • Scans which are less than – Löscht automatisch alle ScanErgebnisse, die eine in Tagen, Wochen oder Monaten festgelegte Archivierungsdauer überschreiten. • Only last – Begrenzt die Speicherung von Scan-Ergebnissen auf die letzten X Scans. Datenbankwartung: Anzeigen aller gescannten Computer Zur Lizenzkontrolle führt GFI LANguard N.S.S. eine übergreifende Liste mit allen gescannten Computern. Hierdurch wird sichergestellt, dass nicht mehr Computer überprüft werden können, als von der erworbenen Produktlizenz abgedeckt. Systemadministratoren haben die Möglichkeit, zuvor gescannte Computer (Knoten) zu löschen, sodass die entsprechenden Lizenzen wieder zur Verfügung stehen, sofern diese Computer nicht länger zum Netzwerk gehören oder von Scans ausgenommen werden sollen. Screenshot 73 – Eigenschaften der Datenbank-Wartung, Reiter „Scanned Computers“ GFI LANguard Network Security Scanner 8. Konfigurieren von GFI LANguard N.S.S. • 85 So löschen Sie zuvor gescannte Computer aus der Datenbank: 1. Klicken Sie auf die Schaltfläche Configuration, und gehen Sie auf den Unterknoten Configuration ` Settings. 2. Klicken Sie mit der rechten Maustaste auf den Unterknoten Database Maintenance Options, und wählen Sie im Kontextmenü Properties. 3. Klicken Sie auf den Reiter Scanned Computers. 4. Wählen Sie bei gedrückter Steuerungstaste alle zu löschenden Computer aus. 5. Klicken Sie auf die Schaltfläche Delete selected computer(s), um die Computer aus der angezeigten Liste zu löschen. Hinweis 1: Mit dem Löschen eines Computers aus der Datenbank werden auch alle damit verbundenen Daten entfernt. Gelöschte Daten können nicht wiederhergestellt werden. Hinweis 2: Mit Hilfe dieser Funktion lassen sich Lizenzen für nicht länger genutzte Knoten schnell freigeben. Beachten Sie jedoch, dass hierdurch die auf lange Sicht angelegte Berichterstellung mit GFI LANguard N.S.S. beeinträchtigt wird. Soll die Sicherheit eines Netzwerks über einen längeren Zeitraum im Ganzen betrachtet werden und dürfen Datenbanken mit Scan-Ergebnissen nicht verändert werden, sollten Sie keine Löschung veranlassen. Stattdessen ist zu empfehlen, zusätzliche Lizenzen zu erwerben, auch um bei einer Erweiterung des Netzwerks weiterhin Scans aller Netzwerkcomputer durchführen zu können. Datenbankwartung: erweiterte Optionen GFI LANguard N.S.S. bietet zwei Funktionen zum regelmäßigen automatischen Reparieren und Komprimieren des Microsoft Access Datenbank-Backends, um dessen Leistung zu optimieren. Während der Komprimierung werden Datenbank-Dateien neu organisiert und zu löschende Einträge werden entfernt. Hierdurch lässt sich wertvoller Speicherplatz zurückgewinnen. Zudem repariert GFI LANguard N.S.S. fehlerhafte Dateien des Datenbank-Backends. Datenkorruption kann verschiedene Ursachen haben. Bei einer Microsoft Access-Datenbank können Probleme auftreten, wenn die Datenbank unerwartet geschlossen wird, bevor Einträge gesichert wurden (z. B. bei Stromausfall, aufgehängten Prozessen, erzwungenen Neustarts usw.). 86 • 8. Konfigurieren von GFI LANguard N.S.S. GFI LANguard Network Security Scanner Screenshot 74 – Eigenschaften der Datenbank-Wartung, Reiter „Erweitert“ So komprimieren und reparieren Sie ein Microsoft Access DatenbankBackend: 1. Klicken Sie auf die Schaltfläche Configuration, und gehen Sie auf den Unterknoten Configuration ` Settings. 2. Klicken Sie mit der rechten Maustaste auf den Unterknoten Database Maintenance Options, und wählen Sie im Kontextmenü Properties. 3. Gehen Sie auf den Reiter Advanced. 4. Klicken Sie auf die Schaltfläche Compact Now, um den Komprimierungs- und Reparaturvorgang der Datenbank sofort zu starten. 5. Um die Komprimierung und Reparatur der Microsoft AccessDatenbank automatisch nach Zeitplan ablaufen zu lassen, wählen Sie eine der folgenden Optionen: • One time only – Führt eine einmalige Reparatur und Komprimierung zum festgelegten Zeitpunkt durch. • Every – Führt die Reparatur und Komprimierung regelmäßig nach Zeitplan durch. Legen Sie Beginn und zeitlichen Abstand zwischen den einzelnen Komprimierungs-/ Reparaturvorgängen in Tagen, Wochen oder Monaten fest. GFI LANguard Network Security Scanner 8. Konfigurieren von GFI LANguard N.S.S. • 87 88 • 8. Konfigurieren von GFI LANguard N.S.S. GFI LANguard Network Security Scanner 9. Scan-Profile Einführung IT-Umgebungen sind kontinuierlich einer Vielzahl unterschiedlicher Angriffe ausgesetzt, die Schwachstellen finden und ausnutzen sollen. GFI LANguard N.S.S. ermöglicht es Ihnen, Ihre IT-Infrastruktur unter Verwendung einer Auswahl vorkonfigurierter Schwachstellen-Checks, den Scan-Profilen, zielgerichtet auf bestimmte Sicherheitslücken zu untersuchen. Mit einem Scan-Profil werden einzelne sicherheitsrelevante Bereiche im Netzwerk untersucht. So lässt sich beispielsweise ein Scan-Profil erstellen, das nur zur Kontrolle von Rechnern in Ihrer DMZ verwendet wird und nicht für das interne Netzwerk. Ebenso können Sie Profile einrichten, mit denen nur nach fehlenden Sicherheits-Updates im Netzwerk gesucht wird. Der Vorteil von ScanProfilen besteht in einem geringeren Aufkommen an Ergebnisdaten, die schneller auf relevante Informationen überprüft werden können. Durch den Einsatz mehrerer Scan-Profile können Sie unterschiedlichste Sicherheits-Audits durchführen, ohne für die einzelnen Arten von Sicherheitskontrollen eine Neukonfigurierung vornehmen zu müssen. In diesem Kapitel erhalten Sie Informationen zu den Themen: • Einsatz der standardmäßigen Scan-Profile von GFI LANguard N.S.S. • Anpassung der standardmäßigen Scan-Profile • Erstellung neuer Scan-Profile Informationen zu OVAL Die Open Vulnerability and Assessment Language (OVAL™) fördert als internationaler Standard zur Informationssicherheit den Austausch öffentlich zugänglicher, sicherheitsrelevanter Informationen. Mit OVAL soll die Verbreitung von für die Informationssicherheit bedeutsamen Erkenntnissen für das gesamte Spektrum an Security-Tools und -Diensten standardisiert werden. Zu OVAL zählt neben der eigentlichen Sprache zur Systemdaten-Kodierung für OVAL-Definitionen auch eine Reihe von Content-Repositories, die von der SicherheitsCommunity verwaltet werden. Die Sprache standardisiert die drei Hauptschritte der Schwachstellenbewertung: • Erfassung und Beschreibung der Systemkonfiguration zwecks Überprüfung • Analyse des Systemstatus (Schwachstellenstatus, Konfiguration, Patch-Status u. Ä.) • Berichterstellung zur Schwachstellenbewertung GFI LANguard Network Security Scanner 9. Scan-Profile • 89 Die Repositories enthalten frei zugängliche, offene Inhalte, die per OVAL erstellt wurden. Die OVAL-Community hat als Grundlage und Vokabular für OVAL drei XML-Schemata entwickelt, die den drei Schritten der Schwachstellenbewertung entsprechen: • „OVAL System Characteristics“ zur Angabe von Systemdaten • „OVAL Definition“ zur Beschreibung des Systemstatus • „OVAL Results“ zum Erstellen von Berichten zur Schwachstellenbewertung In OVAL geschriebene Inhalte werden von der Sicherheits-Community über zahlreiche Content-Repositories zur Verfügung gestellt. Zu diesen Sammlungen zählt auch das von der MITRE Corporation betreute OVAL Repository. OVAL-Definitionen werde dabei über eine zentrale Plattform diskutiert, analysiert, gespeichert und verbreitet. Mit Hilfe der Definitionen des OVAL Repository lässt sich herausfinden, ob bestimmte Software-Schwachstellen, Konfigurationsprobleme, Programme oder Patches auf einem System vorhanden sind. Die Entwicklung von OVAL ist ein von der Sicherheits-Community gemeinschaftlich getragenes Projekt, das über das OVAL Developers’ Forum (zur Weiterentwicklung der OVAL Language) und das OVAL Community Forum (zur Erstellung neuer Definitionen) vorangetrieben wird. OVAL und die auf der OVAL-Website veröffentlichten Sicherheitsdefinitionen werden vom OVAL Board als Aufsichtsgremium, das aus weltweiten Sicherheitsexperten der unterschiedlichsten wirtschaftlichen, akademischen und öffentlichen Bereiche besteht, überwacht. OVAL wird vom US-CERT (Computer Emergency Response Team) des US-Ministeriums für Heimatschutz gefördert. Unterstützung von OVAL durch GFI LANguard N.S.S. GFI LANguard N.S.S. unterstützt sämtliche kontrollen, mit Ausnahme von HP-UX-Checks. OVAL-Sicherheits- Unter dem Betriebssystem HP-UX laufende Rechner werden nicht unterstützt, und es sind keine entsprechenden Checks in der Schwachstellen-Datenbank von GFI LANguard N.S.S. enthalten. Informationen zum OVAL Compatibility Program Das OVAL Compatibility Program hat die konsistente Verwendung und Umsetzung von OVAL durch die Sicherheits-Community zum Ziel. Mehrere Richtlinien sollen sicherstellen, dass die jeweilige OVALImplementierung in Sicherheitslösungen nach einheitlichen Vorgaben erfolgt. Anwender haben bei Produkten, die OVAL-zertifiziert sind, die Gewissheit, dass bei der Implementierung alle offiziellen Anforderungen („Requirements and Recommendations for OVAL Compatibility”) und Kompatibilitätskontrollen eingehalten wurden. GFI LANguard N.S.S. ist als OVAL-kompatibel ausgewiesen, d. h., OVAL wird wie vorgegeben eingesetzt und für die Übermittlung von Angaben zu Schwachstellen, Patches, Sicherheitseinstellungen und anderen Statusmeldungen verwendet. 90 • 9. Scan-Profile GFI LANguard Network Security Scanner Fehlerbericht bei OVAL-Problemen Sollten Fehler im Zusammenhang mit den über GFI LANguard N.S.S. bereitgestellten OVAL-Checks auftreten, wenden Sie sich an den technischen Support von GFI. Weitere Informationen zur Kontaktaufnahme per E-Mail, Web-Chat, Telefon oder Online-Forum erhalten Sie im Kapitel „Troubleshooting“ in diesem Handbuch. Sämtliche von GFI verifizierten Abweichungen oder Fehler werden schnellstmöglich per Update behoben. Aktualisierte SchwachstellenChecks werden im Allgemeinen monatlich zur Verfügung gestellt. Erläuterung der Scan-Profile Folgende Scan-Profile stehen über GFI LANguard N.S.S. zum sofortigen Einsatz bereit: • Vulnerabilities, Patches and Service Packs – Informiert über bestimmte Netzwerkschwachstellen wie offene und somit Trojaner-anfällige TCP/UPD-Ports sowie über fehlende Patches und Service Packs. Der Umfang der mit diesem Profil aufgeführten Schwachstellen kann über den Reiter Vulnerabilities angepasst werden. Hinweis 1: Mit diesem Profil werden keine installierten USBGeräte und Anwendungen ermittelt. Hinweis 2: Es wird nach allen Schwachstellen gesucht, auch solchen, für die ein Microsoft-Patch verfügbar ist und die durch fehlende Patches entstehen. • Vulnerabilities – Informiert über alle Netzwerk-Schwachstellen. Davon ausgenommen sind jedoch fehlende Patches und Service Packs. Zu Schwachstellen zählen auch Trojaner-anfällige TCP/UDP-Ports. Der Umfang der mit diesem Profil aufgeführten Schwachstellen kann über den Reiter Vulnerabilities angepasst werden. Hinweis 1: Mit diesem Profil werden keine Netzwerk-Audits durchgeführt. Hinweis 2: Es werden keine Schwachstellen (OVAL-Schwachstellen eingeschlossen) überprüft, für die ein Microsoft-Patch verfügbar ist. Diese Art von Schwachstellen fallen in die Kategorie „fehlende Patches“, die mit anderen Scan-Profilen ermittelt werden können. • SANS Top 20 Vulnerabilities – Listet alle Schwachstellen auf, die in der SANS Top 20-Liste verzeichnet sind. Hinweis: Mit diesem Profil werden keine fehlenden Patches gesucht oder Netzwerk-Audits durchgeführt. • High Security Vulnerabilities – Führt alle offenen TCP/UDPPorts und kritische Schwachstellen auf. Der Umfang der mit diesem Profil aufgeführten TCP/UDP-Ports und kritischen Schwachstellen kann über die Reiter TCP Ports, UPD Ports bzw. Vulnerabilities angepasst werden. Hinweis: Mit diesem Profil werden keine fehlenden Patches gesucht oder Netzwerk-Audits durchgeführt. • Last Year's Vulnerabilities – Führt Netzwerkschwachstellen auf, die während der vergangenen 12 Monate aufgetreten sind. GFI LANguard Network Security Scanner 9. Scan-Profile • 91 Hinweis: Mit diesem Profil werden keine fehlenden Patches gesucht oder Netzwerk-Audits durchgeführt. • Only Web – Erkennt Webserver-spezifische Schwachstellen. Dies betrifft die Überprüfung und Anzeige offener TCP-Ports, die üblicherweise von Webservern verwendet werden, beispielsweise Port 80. Hinweis: Mit Hilfe dieses Profils werden nur solche TCP-Ports gescannt, die überwiegend von Webservern genutzt werden. Es werden keine Netzwerk-Audits durchgeführt, fehlende Patches gesucht oder Schwachstellen angezeigt. • Trojan Ports – Führt gängige offene TCP/UDP-Ports auf, die überwiegend von bekannten Trojanern ausgenutzt werden. Der Umfang der mit diesem Profil aufgeführten TCP/UDP-Ports kann über die Reiter TCP Ports bzw. UDP Ports angepasst werden. Hinweis: Mit diesem Profil werden keine Netzwerk-Audits durchgeführt, andere offene TCP/UDP-Ports angezeigt oder fehlende Patches gesucht. • Only SNMP – Führt eine Netzwerkerkennung durch und ruft Informationen zu Hardware ab, die SNMP aktiviert haben (Router, Switches, Drucker u. Ä.). Hierdurch lassen sich mit dem Netzwerk verbundene Geräte auf Auffälligkeiten kontrollieren, die näher überprüft werden müssen. Hinweis: Mit diesem Profil werden nur speziell für SNMP-Scans konzipierte Netzwerk-Audits und Schwachstellen-Checks durchgeführt. • Protection from Portable Storage – Kontrolliert, ob GFI EndPointSecurity installiert ist oder ob der Agent zur Zugriffskontrolle von GFI EndPointSecurity auf kontrollierten Zielrechnern installiert ist. Hinweis 1: Mit diesem Profil werden nur speziell für GFI EndPointSecurity konzipierte Schwachstellen-Checks, PatchScans oder Netzwerk-Audits durchgeführt. Hinweis 2: Das Profil lässt sich anpassen, sodass nur unbefugte/unerwünschte oder erwünschte Software angezeigt wird. • Missing Patches – Listet alle fehlenden Microsoft-Patches auf. Der Umfang der mit diesem Profil aufgeführten fehlenden Patches kann über den Reiter Patches angepasst werden. Hinweis: Mit diesem Profil werden lediglich speziell für fehlende Microsoft Patches konzipierte Netzwerk-Audits und Schwachstellen-Checks durchgeführt. • Critical Patches – Listet nur solche fehlenden Microsoft-Patches auf, die als „kritisch“ eingestuft sind. Der Umfang der mit diesem Profil aufgeführten kritischen Patches kann über den Reiter Patches angepasst werden. Hinweis: Mit diesem Profil werden lediglich speziell für fehlende kritische Microsoft Patches konzipierte Netzwerk-Audits und Schwachstellen-Checks durchgeführt. • 92 • 9. Scan-Profile Last Month's Patches – Listet nur solche fehlenden MicrosoftPatches auf, die im vergangenen Monat veröffentlicht wurden. Der GFI LANguard Network Security Scanner Umfang der mit diesem Profil aufgeführten fehlenden Patches kann über den Reiter Patches angepasst werden. Hinweis: Mit diesem Profil werden lediglich Netzwerk-Audits und Schwachstellen-Checks für fehlende Microsoft-Patches durchgeführt, die im vergangenen Monat veröffentlicht wurden. • Only Service Packs – Listet alle fehlenden Microsoft Service Packs auf. Der Umfang der mit diesem Profil aufgeführten Service Packs kann über den Reiter Patches angepasst werden. Hinweis: Mit diesem Profil werden lediglich speziell für fehlende Microsoft Service Packs konzipierte Netzwerk-Audits und Schwachstellen-Checks durchgeführt. • Port Scanner – Führt offene TCP/UDP-Ports auf, darunter auch solche, die überwiegend von Trojanern ausgenutzt werden. Der Umfang der mit diesem Profil aufgeführten Ports kann über den Reiter TCP Ports bzw. UDP Ports angepasst werden. Hinweis: Mit diesem Profil werden nur speziell für offene Ports konzipierte Netzwerk-Audits und Schwachstellen-Checks durchgeführt. • USB Devices – Listet alle USB-Geräte auf, die zum Zeitpunkt des Scans mit den überprüften Netzwerkrechnern verbunden waren. Hinweis 1: Mit diesem Profil werden keine SchwachstellenChecks durchgeführt. Das Profil lässt sich anpassen, sodass nur unbefugte/unerwünschte oder erwünschte USB-Geräte angezeigt werden. • Software Audit – Zeigt alle auf den Zielrechnern installierten Anwendungen an. Hierzu zählen Sicherheits-Software wie AntiVirus- und Anti-Spyware-Lösungen. Hinweis 1: Mit diesem Profil werden keine SchwachstellenChecks durchgeführt oder fehlende Service Packs angezeigt. Das Profil lässt sich anpassen, sodass nur unbefugte/unerwünschte oder erwünschte Software angezeigt wird. • Full TCP & UDP Scan – Führt ein Netzwerk-Audit durch und listet alle offenen TCP- und UDP-Ports auf Hinweis: Mit diesem Profil werden keine Schwachstellen-Checks durchgeführt. • Päng Thema All – Listet alle Computer auf, die zum Zeitpunkt des Scans mit dem Netzwerk verbunden waren. Hinweis: Mit diesem Profil werden keine Schwachstellen-Checks durchgeführt. • Share Finder – Gibt alle Freigaben an, ob sichtbar oder versteckt. Hinweis: Mit diesem Profil werden keine Schwachstellen-Checks durchgeführt. • Uptimes – Stellt die Laufzeit jedes überprüften Computers seit dem letzten Neustart fest. Hinweis: Mit diesem Profil werden keine Schwachstellen-Checks durchgeführt. • Disks Space Usage – Ruft Systeminformationen zum freien Speicherplatz ab. GFI LANguard Network Security Scanner 9. Scan-Profile • 93 • System Information – Ruft Systeminformationen wie Angaben zum Betriebssystem, zu kabellosen/virtuellen/physischen Netzwerkgeräten, USB-Geräten, installierten Anwendungen u. Ä. ab. Hinweis: Mit diesem Profil werden keine Schwachstellen-Checks durchgeführt oder fehlende Patches angezeigt. • Full Scan – Ruft Systeminformationen ab und scannt das Netzwerk nach allen auffindbaren Schwachstellen, darunter: offene TCP/UDP-Ports, fehlende Patches und Service Packs, USBGeräte u. Ä. Die mit diesem Profil für Schwachstellen-Checks vordefinierten Zeitüberschreitungen berücksichtigen die in LANUmgebungen üblichen Verzögerungen bei der Datenübertragung. • Full Scan (Slow Networks) – Ruft Systeminformationen ab und scannt das Netzwerk nach allen auffindbaren Schwachstellen, darunter: offene TCP/UDP-Ports, fehlende Patches und Service Packs, USB-Geräte u. Ä. Die mit diesem Profil für SchwachstellenChecks vordefinierten Zeitüberschreitungen berücksichtigen die in WAN-Umgebungen üblichen Verzögerungen bei der Datenübertragung. Hinweise zur Auswahl des Scan-Profils Die Auswahl eines Scan-Profils sollte unter folgenden Gesichtspunkten erfolgen: 1. Umfang der Schwachstellenanalyse, d. h. die genaue Festlegung der zu kontrollierenden Sicherheitsbereiche. 2. Der für Sicherheits-Scans insgesamt zur Verfügung stehende Zeitrahmen, an dem die Anzahl der Checks ausgerichtet sein sollte. Screenshot 75 – Knoten „Scanning Profiles“ 94 • 9. Scan-Profile GFI LANguard Network Security Scanner Einsetzen von Scan-Profilen Beispiel 1: Scannen des „Vulnerabilities and Patches“ lokalen Computers per Profil 1. Klicken Sie auf die Schaltfläche New Scan…. 2. Wählen Sie die Option Complete/Combination Scans aus, und klicken Sie auf die Schaltfläche Next. 3. Wählen Sie auf der Seite Scanning Profiles die Option Vulnerabilities and Patches. Klicken Sie auf die Schaltfläche Next. 4. Wählen Sie die Option Scan single computer. Klicken Sie auf die Schaltfläche Next. 5. Wählen Sie die Option Scan this computer. Klicken Sie auf die Schaltfläche Next. 6. Geben Sie die Anmeldeinformationen an, mit denen der Scan erfolgen soll. Klicken Sie auf die Schaltfläche Scan, um mit der Überprüfung zu beginnen. Tipp: Behalten Sie im Auge, wie viel Zeit ein vollständiger Scan benötigt und wie umfangreich die gesammelten Daten sind. Beispiel 2: Scannen „Vulnerabilities“ des lokalen Computers per Profil 1. Klicken Sie auf die Schaltfläche New Scan…. 2. Wählen Sie die Option Vulnerability Scanning, und klicken Sie auf die Schaltfläche Next. 3. Wählen Sie die Option Vulnerabilities, und klicken Sie auf die Schaltfläche Next. 4. Wählen Sie die Option Scan single computer. Klicken Sie auf die Schaltfläche Weiter. 5. Wählen Sie die Option Scan this computer. Klicken Sie auf die Schaltfläche Weiter. 6. Geben Sie die Anmeldeinformationen an, mit denen der Scan erfolgen soll. Klicken Sie auf die Schaltfläche Scan, um mit der Überprüfung zu beginnen. Zeitaufwand für eingesetzte Scan-Profile Wie Sie anhand der Scan-Beispiele sehen, nimmt eine Überprüfung mit dem Profil Vulnerabilities weniger Zeit in Anspruch als die Kontrolle per Profil Vulnerabilities and Patches. Grund hierfür ist der geringere Scan-Umfang bei Vulnerabilities, da nur spezielle Checks zur Analyse der auf den Zielrechnern vorhandenen Schwachstellen durchgeführt werden. Andere Daten werden nicht ermittelt. Beim Profil Vulnerabilities and Patches hingegen werden Checks zu sämtlichen sicherheitsanfälligen Netzwerkbereichen und zu fehlenden Patches durchgeführt. Aus diesem Grund wird für den Scan und die Ausgabe der Kontrollergebnisse weitaus mehr Zeit benötigt. GFI LANguard Network Security Scanner 9. Scan-Profile • 95 Erstellen eines neuen Scan-Profils So erstellen Sie ein neues Scan-Profil: 1. Klicken Sie auf die Schaltfläche Configuration, und gehen Sie auf den Unterknoten Configuration ` Settings. 2. Klicken Sie mit der rechten Maustaste auf den Unterknoten Scanning Profiles. Wählen Sie im Kontextmenü New ` Profile… aus. 3. Benennen Sie das neue Profil, und klicken Sie auf die Schaltfläche OK. Screenshot 76 – Konfigurierung der Scan-Profile 4. Die funktionalen Parameter des neuen Scan-Profils werden über die im rechten Fenster der Verwaltungskonsole angezeigten Reiter konfiguriert. Folgende Parameter können über die Reiter definiert werden: • TCP Ports – Erlaubt die Auswahl der zu kontrollierenden TCPPorts und die Bearbeitung ihrer Parameter. • UDP Ports – Erlaubt die Auswahl der zu kontrollierenden UDPPorts und die Bearbeitung ihrer Parameter. • OS Data – Erlaubt die Festlegung, welche Betriebssystemdaten von gescannten Zielen abgerufen werden sollen (hierzu zählen beispielsweise Freigaben, Benutzerkonten, Daten angemeldeter Benutzer u. Ä.). • Vulnerabilities – Erlaubt die Festlegung, welche SchwachstellenChecks auf Zielrechner angewendet werden sollen (z. B. spezielle Webserver-Checks). • Patches – Erlaubt die Festlegung, nach welchen fehlenden Sicherheits-Updates auf Zielrechnern gesucht werden soll. 96 • 9. Scan-Profile GFI LANguard Network Security Scanner • Scanner Options – Erlaubt die Konfigurierung der funktionalen Parameter der Scan-Engine (z. B. Einstellungen zu Zeitüberschreitungen und Abfrageverfahren). • Devices – Erlaubt die Konfigurierung und Aktivierung von Scans nach installierten Netzwerk-Geräten und mit Zielrechnern verbundener USB-Hardware. • Applications – Erlaubt die Konfigurierung der Scan-Parameter für auf Zielrechnern installierte Anwendungen. Anpassen eines Scan-Profils So passen Sie ein Scan-Profil an Ihre Anforderungen an: 1. Klicken Sie auf die Schaltfläche Configuration, und gehen Sie auf den Unterknoten Configuration ` Settings. 2. Wählen Sie das zu bearbeitende Scan-Profil aus. 3. Wählen Sie im rechten Fenster der Verwaltungskonsole über die Reiter am oberen Rand die Scan-Spezifikationen aus, die geändert werden sollen. Hinweis: Änderungen werden beim nächsten neuen Scan-Durchlauf berücksichtigt. Konfigurieren der TCP/UDP-Port-Scans Screenshot 77 – Eigenschaften der Scan-Profile, Profil „Default“, Reiter „TCP Ports“ Aktivieren der Scan-Option für TCP/UPD-Ports So aktivieren Sie die Scan-Option für TCP/UDP-Ports eines ScanProfils: 1. Klicken Sie auf die Schaltfläche Configuration, und gehen Sie auf den Unterknoten Configuration ` Scanning Profiles. GFI LANguard Network Security Scanner 9. Scan-Profile • 97 2. Wählen Sie das zu bearbeitende Profil aus, und klicken Sie im rechten Fenster auf den Reiter TCP Ports bzw. UDP Ports. 3. Markieren Sie das Kontrollkästchen der Option Enable TCP Port Scanning und/oder Enable UDP Port Scanning, um die ScanFunktion jeweils zu aktivieren. Hinweis: Die Einstellungen für TCP- und UDP-Port-Scans sind für jedes Scan-Profil einzeln zu konfigurieren. Nehmen Sie die Aktivierung oder Deaktivierung wie erforderlich für jedes einzelne Scan-Profil vor. Auswählen der zu scannenden TCP/UDP-Ports So legen Sie für ein Scan-Profil fest, welche TCP/UDP-Ports im Einzelnen kontrolliert werden sollen: 1. Klicken Sie auf die Schaltfläche Configuration, und gehen Sie auf den Unterknoten Configuration ` Scanning Profiles. 2. Wählen Sie das zu bearbeitende Profil aus, und gehen Sie im rechten Fenster der Verwaltungsoberfläche auf den Reiter TCP Ports bzw. UDP Ports. 3. Markieren Sie alle Ports, die mit Hilfe des Scan-Profils kontrolliert werden sollen. Hinzufügen/Entfernen der zu scannenden TCP/UDP-Ports 1. Klicken Sie auf die Schaltfläche Configuration, und gehen Sie auf den Unterknoten Configuration ` Scanning Profiles. 2. Wählen Sie das zu bearbeitende Profil aus, und gehen Sie im rechten Fenster der Verwaltungsoberfläche auf den Reiter TCP Ports bzw. UDP Ports. 3. So ergänzen/entfernen Sie neue TCP/UDP-Ports: • Klicken Sie auf die Schaltfläche Add, um der Liste einen neuen Port hinzuzufügen. Geben Sie die Port-Nummer oder den PortBereich und eine Beschreibung an. Wählen Sie die Option This is a Trojan port aus, wenn der Port üblicherweise von Trojanern missbraucht wird. • Klicken Sie auf die Schaltfläche Edit, um einzelne Einstellungen zu ändern. • Um Ports zu entfernen, wählen Sie die entsprechenden Ports aus, und klicken Sie auf die Schaltfläche Remove. Hinweis: Beachten Sie, dass in allen Scan-Profilen dieselben TCP/UDP-Ports zur Auswahl stehen. Beim Entfernen eines Ports aus der angezeigten Liste wird dieser aus allen Scan-Profilen gelöscht. Einzelne Ports, die von Scans ausgenommen werden sollen, lassen sich je Profil deaktivieren. Hinweise hierzu erhalten Sie in diesem Kapitel unter „Auswählen der zu scannenden TCP/UDP-Ports“. 98 • 9. Scan-Profile GFI LANguard Network Security Scanner Konfigurieren des Abrufs von Betriebssystemdaten Screenshot – Eigenschaften eines Scan-Profils, Reiter „OS Data“ So legen Sie fest, welche Betriebssystemdaten mit Hilfe eines ScanProfils angezeigt werden: 1. Klicken Sie auf die Schaltfläche Configuration, und gehen Sie auf den Unterknoten Configuration ` Scanning Profiles. 2. Wählen Sie das zu bearbeitende Profil aus, und gehen Sie im rechten Fenster der Verwaltungsoberfläche auf den Reiter OS Data. 3. Erweitern Sie im rechten Fenster den Knoten zur Gruppe Windows OS Data oder Linux OS Data. 4. Wählen Sie aus, welche Windows/Linux-spezifischen Informationen von den gescannten Computern abgerufen werden sollen. Sollen beispielsweise administrative Freigaben von einem Scan berücksichtigt werden, erweitern Sie die Option Enumerate shares, und wählen Sie für Display admin shares die Option Yes. GFI LANguard Network Security Scanner 9. Scan-Profile • 99 Konfigurieren der Optionen von Schwachstellen-Scans Screenshot 78 – Eigenschaften der Scan-Profile, Reiter „Vulnerabilities“ Die im Lieferumfang von GFI LANguard N.S.S. enthaltenen ScanProfile sind bereits zur Ausführung mehrerer Schwachstellen-Checks vorkonfiguriert. Die Option zur Kontrolle von Schwachstellen kann jedoch je Profil deaktiviert werden. Zudem lässt sich die Liste der durchzuführenden Checks anpassen. Aktivieren/Deaktivieren des Schwachstellen-Scanning So aktivieren/deaktivieren Sie die Option für Schwachstellen-Scans in einem Scan-Profil: 1. Klicken Sie auf die Schaltfläche Configuration, und gehen Sie auf den Unterknoten Configuration ` Scanning Profiles. 2. Wählen Sie das zu bearbeitende Profil aus, und gehen Sie im rechten Fenster der Verwaltungsoberfläche auf den Reiter Vulnerabilities. 3. Aktivieren Sie Option für Schwachstellen-Scans, indem Sie das Kontrollkästchen zu Enable Vulnerability Scanning markieren. Entfernen Sie die Markierung, um Schwachstellen-Scans für das gewählte Profil zu deaktivieren. Hinweis: Schwachstellen-Scans sind für jedes Scan-Profil einzeln zu konfigurieren. Ist die Option in einem Scan-Profil nicht ausgewählt, wird bei Sicherheits-Audits mit diesem Profil somit nicht nach Schwachstellen gesucht. 100 • 9. Scan-Profile GFI LANguard Network Security Scanner Anpassen der Liste zu kontrollierender Schwachstellen So legen Sie fest, welche Schwachstellen mit Hilfe eines Scan-Profils geprüft werden sollen: 1. Klicken Sie auf die Schaltfläche Configuration, und gehen Sie auf den Unterknoten Configuration ` Scanning Profiles. 2. Wählen Sie das zu bearbeitende Profil aus, und gehen Sie im rechten Fenster der Verwaltungsoberfläche auf den Reiter Vulnerabilities. Screenshot 79 – Auswahl der Schwachstellen-Checks 3. Wählen Sie alle Schwachstellen-Checks aus, die mit Hilfe des jeweiligen Scan-Profils durchgeführt werden sollen. Anpassen der Eigenschaften einzelner SchwachstellenChecks Alle unter dem Reiter Vulnerabilities aufgeführten Checks besitzen unterschiedliche Eigenschaften, die festlegen, wann der jeweilige Check die Schwachstelle signalisieren soll und welche Informationen während eines Scans angezeigt werden. GFI LANguard Network Security Scanner 9. Scan-Profile • 101 Screenshot 80 – Eigenschaften einer Schwachstelle: Reiter „General“ So ändern Sie die Eigenschaften eines Schwachstellen-Checks: 1. Klicken Sie mit der rechten Maustaste auf die zu bearbeitende Schwachstelle, und wählen Sie im Kontextmenü Properties. 2. Die Einstellungen eines Schwachstellen-Checks können mit Hilfe der folgenden Reiter geändert werden: • General – Erlaubt die Anpassung allgemeiner Einstellungen wie Name des Checks, Art der Schwachstelle (z. B. Web-Schwachstelle), Betriebssystem-Familie, Version des Betriebssystems, betroffenes Produkt, Zeitangabe und Schwere der Schwachstelle. • Conditions – Erlaubt die Festlegung der funktionalen Parameter des Schwachstellen-Checks. Diese Bedingungen legen fest, wann der Check als positiv und die Schwachstelle als vorliegend gewertet wird. Weitere Informationen zur Festlegung von Bedingungen erhalten Sie unter „Festlegen von Bedingungen für Schwachstellen-Checks“ in diesem Kapitel. • Description – Erlaubt eine Änderung der Check-Beschreibung. • References – Erlaubt die Anpassung von Verweisen und Verknüpfungen zu Sicherheitsberichten von Quellen wie OVAL, CVE, MS Security, Security Focus und SANS TOP 20. 3. Klicken Sie auf die Schaltfläche OK, um die Einstellungen zu speichern. 102 • 9. Scan-Profile GFI LANguard Network Security Scanner Festlegen von Bedingungen für Schwachstellen-Checks Über den Reiter Conditions können Sie Bedingungen bearbeiten oder neue hinzufügen, die festlegen, wann die Schwachstelle als vorliegend angezeigt wird. Die Einrichtung benutzerdefinierter Checks muss durch erfahrene Anwender erfolgen, die über die Auswirkungen der Einstellungen informiert sind. Screenshot 81 – Festlegung von Schwachstellenbedingungen So fügen Sie eine neue Check-Bedingung hinzu: 1. Klicken Sie auf die Schaltfläche Add. GFI LANguard Network Security Scanner 9. Scan-Profile • 103 Screenshot 82 – Assistent für Schwachstellen-Checks 2. Wählen Sie den zu konfigurierenden Check-Typ aus, und klicken Sie auf die Schaltfläche Next. 3. Bestimmen Sie das zu untersuchende Element, und klicken Sie auf die Schaltfläche Next. 4. Legen Sie die gewünschten Attribute/Parameter fest, und klicken Sie auf die Schaltfläche Finish, um die Einstellungen zu speichern. Screenshot 83 – Bearbeitung einer Schwachstelle 104 • 9. Scan-Profile GFI LANguard Network Security Scanner 5. Bestimmen Sie bei Angabe von mehreren Bedingungen verknüpfende Operatoren. Klicken Sie auf die Schaltfläche OK, um die Einstellungen zu speichern. Schwachstellen-Checks – erweiterte Optionen Screenshot 84 – Eigenschaften der Scan-Profile Per Mausklick auf die Schaltfläche Advanced auf dem Reiter Vulnerabilities werden Optionen zu erweiterten Einstellungen für Schwachstellen aufgerufen. Screenshot 85 – Erweiterte Scan-Optionen für Schwachstellen GFI LANguard Network Security Scanner 9. Scan-Profile • 105 Diese Optionen bieten folgende Möglichkeiten: • Schwachstellen-Scans lassen sich zusätzlich so konfigurieren, dass Zielrechner auf unsichere Passwörter, anonymen FTP-Zugriff und ungenutzte Anwenderkonten überprüft werden. • Sie können festlegen, wie GFI LANguard N.S.S. mit der Aktivierung neu erstellter Schwachstellen-Checks verfahren soll. • Lassen Sie GFI LANguard N.S.S. CGI-Anfragen über einen festgelegten Proxy-Server verschicken. Dies ist erforderlich, wenn CGI-Anfragen von einem hinter einer Firewall betriebenen Rechner an einen Webserver geschickt werden, der sich außerhalb der Firewall befindet (z. B. Webserver in einer DMZ). Andernfalls würde die Firewall alle direkten CGI-Anfragen, die GFI LANguard N.S.S. an den davor liegenden Server schickt, blockieren. Um dies zu verhindern, wählen Sie für Send CGI requests through proxy die Option Yes, und geben Sie den Namen/die IP-Adresse des Proxy-Servers sowie des COM-Ports an, über den die CGI-Anfrage erfolgen soll. Konfigurieren der Patch-Scan-Optionen Screenshot 86 – Eigenschaften der Scan-Profile, Reiter „Patches“ Über den Reiter Patches können Sie festlegen, nach welchen Sicherheits-Updates während eines Scans gesucht werden soll. Es werden standardmäßig alle unterstützten Patches und Service Packs angezeigt, die sich einzeln zur Kontrolle auswählen lassen. Die Liste wird von GFI LANguard N.S.S. automatisch aktualisiert, wenn GFI Updates zu neu verfügbaren Patches veröffentlicht. Aktivieren/Deaktivieren von Patch-Checks So aktivieren/deaktivieren Sie die Patch-Checks eines Scan-Profils: 1. Klicken Sie auf die Schaltfläche Configuration, und gehen Sie auf den Unterknoten Configuration ` Scanning Profiles. 2. Wählen Sie das zu bearbeitende Profil aus, und gehen Sie im rechten Fenster der Verwaltungsoberfläche auf den Reiter Patches. 106 • 9. Scan-Profile GFI LANguard Network Security Scanner 3. Wählen Sie die Option Detect installed and missing service packs/patches aus. Hinweis: Parameter zur Suche nach fehlenden Patches und Service Packs sind für jedes Scan-Profil einzeln zu konfigurieren. Aktivieren Sie die Suche nach fehlenden Sicherheits-Updates für alle Profile, im Rahmen derer eine solche Kontrolle erforderlich ist. Anpassen der Liste zu kontrollierender Patches So legen Sie fest, nach welchen Sicherheits-Updates im Rahmen eines Scan-Profils gesucht werden soll: 1. Klicken Sie auf die Schaltfläche Configuration, und gehen Sie auf den Unterknoten Configuration ` Scanning Profiles. 2. Wählen Sie das zu bearbeitende Profil aus, und gehen Sie im rechten Fenster der Verwaltungsoberfläche auf den Reiter Patches. Screenshot 87 – Auswahl der zu suchenden Patches 3. Wählen Sie aus, welche fehlenden Patches vom jeweiligen ScanProfil angezeigt werden sollen. Suchen nach Informationen eines Sicherheitsbulletins Screenshot 88 – Suche nach Informationen eines Sicherheitsbulletins GFI LANguard Network Security Scanner 9. Scan-Profile • 107 So starten Sie die Suche nach einem bestimmten Sicherheitsbulletin: 1. Geben Sie im rechten Fenster im unteren Eingabefeld zu Find bulletin den Namen des Bulletins (z. B. „MS02-017“) oder die QNumber (z. B. „Q311987“) an. 2. Klicken Sie auf die Schaltfläche Find, um nach dem Eintrag zu suchen. Screenshot 89 – Umfangreichere Informationen des Sicherheitsbulletins Konfigurieren der Scanner-Optionen Über den Reiter Scanner Options können Sie die funktionalen Parameter der Scan-Engine festlegen. Diese Parameter lassen sich für jedes Scan-Profil einzeln festlegen und bestimmen, wie die ScanEngine Kontrollen durchführt und Betriebssystemdaten abruft. Screenshot 90 – Eigenschaften der Scan-Profile, Reiter „Scanner Options“ 108 • 9. Scan-Profile GFI LANguard Network Security Scanner Zu den konfigurierbaren Optionen zählen Timeouts, Anfragetypen zur Zielerkennung, Anzahl der Scan-Threads, SNMP-Abfragebereiche u. v. m. Hinweis: Diese Parameter sollten mit größter Vorsicht konfiguriert werden. Fehlerhafte Einstellungen können die Scan-Leistung von GFI LANguard N.S.S. beeinträchtigen. Konfigurieren der Kontrolle extern angeschlossener Hardware Screenshot 91 – Konfigurieren zu kontrollierender Geräte, Reiter „Devices“ Über den Reiter Devices lässt sich festlegen, ob auf den Zielrechnern nach Netzwerk- und USB-Geräten gescannt werden soll. Screenshot 92 – Als kritische Sicherheitslücke klassifizierte Netzwerk-Geräte GFI LANguard Network Security Scanner 9. Scan-Profile • 109 GFI LANguard N.S.S. kann so konfiguriert werden, dass beim Auffinden eines bestimmten unerwünschten USB- oder NetzwerkGeräts eine Warnmeldung zur einer kritischen Sicherheitslücke ausgegeben wird. Hierfür müssen Sie eine Liste unautorisierter Geräte erstellen (Blacklist), für die ein Sicherheitsalarm erfolgen soll. Zudem können Sie festlegen, welche USB-Hardware als „sicher“ gilt und somit von der Überprüfung ausgenommen werden soll, z. B. USB-Tastaturen. Erstellen Sie hierfür eine separate Liste (Whitelist) der autorisierten Geräte, die bei Scans unbeachtet bleiben sollen. Screenshot 93 – Liste erwünschter Netzwerkgeräte Richten Sie beispielsweise ein Scan-Profil zur Kontrolle und Auflistung aller mit den Zielrechnern verbundenen USB- und Netzwerk-Geräte ein. In diesem Fall braucht die Negativ-Liste/Blacklist zu unerwünschten Geräten im Scan-Profil nicht weiter definiert zu werden. Screenshot 94 – Liste unerwünschter Netzwerkgeräte Ebenso kann ein gesondertes Scan-Profil erstellt werden, das nur an Zielrechner angeschlossene Bluetooth-Dongles und WLAN-Karten auflistet. Hierbei muss in der Liste der unbefugten Netzwerk- und USB-Geräte eine im Gerätenamen enthaltene Zeichenfolge, beispielsweise mit „Bluetooth“ und „Wireless“ oder „WLAN“, angegeben werden. 110 • 9. Scan-Profile GFI LANguard Network Security Scanner Screenshot 95 – Reiter zu Netzwerk- und USB-Geräten Über die Konfigurationsseite zu Devices stehen zwei Reiter zum Konfigurieren der Geräte-Scans zur Verfügung. Diese lauten Network Devices und USB Devices. • Der Unterreiter Network Devices dient der Konfigurierung der Scan-Optionen für angeschlossene Netzwerkgeräte und der Positiv/Negativ-Listen für erwünschte/unerwünschte Geräte dieser Art. • Der Unterreiter USB Devices dient der Konfigurierung der ScanOptionen für angeschlossene USB-Hardware und der Positiv/Negativ-Listen für erwünschte/unerwünschte Geräte dieser Art. Scannen nach angeschlossenen Netzwerkgeräten Screenshot 96 – Konfiguration der Hardware-Kontrolle, Reiter „Devices“ GFI LANguard Network Security Scanner 9. Scan-Profile • 111 Aktivieren/Deaktivieren von Checks für installierte Netzwerkgeräte So aktivieren/deaktivieren Sie Scans von Netzwerkgeräten in einem Scan-Profil: 1. Klicken Sie auf die Schaltfläche Configuration, und gehen Sie auf den Unterknoten Configuration ` Scanning Profiles. 2. Wählen Sie das zu bearbeitende Profil aus, und gehen Sie im rechten Fenster der Verwaltungsoberfläche auf den Reiter Devices. 3. Wählen Sie die Option Enable Scanning for installed Network Devices on the target computer(s) aus. Hinweis: Scans nach Netzwerkgeräten sind für jedes Scan-Profil einzeln zu konfigurieren. Wählen Sie diese Option über alle ScanProfile aus, im Rahmen derer eine solche Kontrolle erforderlich ist. Screenshot 97 – Konfiguration der Hardware-Kontrolle, Listen zu unautorisierten und zu ignorierenden Geräten Erstellen einer Liste befugter/unbefugter Netzwerkgeräte So erstellen Sie eine Liste autorisierter/unbefugter Netzwerkgeräte: 1. Klicken Sie auf die Schaltfläche Configuration, und gehen Sie auf den Unterknoten Configuration ` Scanning Profiles. 2. Wählen Sie das zu bearbeitende Profil aus, und gehen Sie im rechten Fenster der Verwaltungsoberfläche auf den Reiter Devices. Screenshot 98 – Liste unerwünschter Netzwerkgeräte 112 • 9. Scan-Profile GFI LANguard Network Security Scanner 3. Klicken Sie auf den Unterreiter Network Devices. Sie haben folgende Optionen: • Zum Erstellen einer Negativ-Liste für Netzwerkgeräte: Legen Sie unter Create a high security vulnerability for network devices whose name contains fest, welche Geräte als kritische Sicherheitslücke klassifiziert werden sollen. Geben Sie hierfür eine im Gerätenamen enthaltene Zeichenfolge an. Wenn Sie z. B. „wireless“ wählen, wird bei allen Gerätenamen, die dieses Wort enthalten, eine Warnmeldung zu einer kritischen Sicherheitslücke ausgegeben. • Zum Erstellen einer Positiv-Liste für Netzwerkgeräte: Legen Sie unter Ignore devices (Do not list/save to db) whose name contains fest, welche Geräte während der Sicherheits-Scans unbeachtet bleiben sollen. Geben Sie hierfür eine im Gerätenamen enthaltene Zeichenfolge an. Hinweis: Geben Sie nur ein Netzwerk-Gerät pro Zeile an. Konfigurieren erweiterter Scan-Optionen für Netzwerkgeräte Screenshot 99 – Konfigurieren der erweiterten Scan-Optionen für Netzwerk-Geräte Über den Reiter Devices können Sie zudem den Typ der Netzwerkgeräte angeben, die mit diesem Scan-Profil kontrolliert und in den Scan-Ergebnissen angezeigt werden soll. Hierzu zählen: „wired network devices” (kabelgebundene Netzwerkgeräte), „wireless network devices” (drahtlose Netzwerkgeräte), „software enumerated network devices” (von Software spezifizierte Geräte) und „virtual network devices” (virtuelle Netzwerkgeräte). GFI LANguard Network Security Scanner 9. Scan-Profile • 113 So legen Sie fest, welche Netzwerkgeräte in den Scan-Ergebnissen aufgeführt werden soll: 1. Klicken Sie auf die Schaltfläche Configuration, und gehen Sie auf den Unterknoten Configuration ` Scanning Profiles. 2. Wählen Sie das zu bearbeitende Profil aus, und gehen Sie im rechten Fenster der Verwaltungsoberfläche auf den Reiter Devices. 3. Der Reiter Network Devices wird automatisch geöffnet. Klicken Sie auf die Schaltfläche Advanced im unteren Bereich des Fensters. 4. Wählen Sie für alle gewünschten Optionen Yes aus, und klicken Sie auf die Schaltfläche OK, um die Einstellungen zu übernehmen. Scannen nach USB-Geräten Screenshot 100 – Als kritische Sicherheitslücke klassifizierte USB-Geräte Aktivieren/Deaktivieren von Checks für angeschlossene USB-Geräte So aktivieren Sie in einem Scan-Profil Scans nach angeschlossener USB-Hardware: 1. Klicken Sie auf die Schaltfläche Configuration, und gehen Sie auf den Unterknoten Configuration ` Scanning Profiles. 2. Wählen Sie das zu bearbeitende Profil aus, und gehen Sie im rechten Fenster der Verwaltungsoberfläche auf den Reiter Devices. 3. Wählen Sie die Option Enable Scanning for USB Devices installed on the target computer(s) aus. Hinweis: Scans nach USB-Hardware sind für jedes Scan-Profil einzeln zu konfigurieren. Wählen Sie diese Option über alle ScanProfile aus, im Rahmen derer eine solche Kontrolle erforderlich ist. 114 • 9. Scan-Profile GFI LANguard Network Security Scanner Erstellen einer Liste autorisierter/unbefugter USB-Geräte So legen Sie eine Liste unautorisierter USB-Hardware an: 1. Klicken Sie auf die Schaltfläche Configuration. Erweitern Sie den Knoten Configuration ` Scanning Profiles, und wählen Sie das zu bearbeitende Scan-Profil aus. 2. Klicken Sie im rechten Fenster auf den Reiter Devices. Screenshot 101 – Liste unerwünschter USB-Geräte 3. Klicken Sie auf den Unterreiter USB Devices. Sie haben folgende Optionen: • Zum Erstellen einer Negativ-Liste für USB-Geräte: Legen Sie unter Create a high security vulnerability for USB devices whose name contains fest, welche Geräte als kritische Sicherheitslücke klassifiziert werden sollen. Geben Sie hierfür eine im Gerätenamen enthaltene Zeichenfolge an. Wenn Sie z. B. „iPod“ eingeben, wird bei allen Namen von USB-Geräten, die diese Zeichenfolge aufweisen, eine Warnmeldung zu einer kritischen Sicherheitslücke ausgegeben. • Zum Erstellen einer Positiv-Liste für USB-Geräte: Legen Sie unter Ignore devices (Do not list/save to db) whose name contains fest, welche USB-Geräte während der Sicherheits-Scans unbeachtet bleiben sollen. Geben Sie hierfür eine im Gerätenamen enthaltene Zeichenfolge an. Hinweis: Geben Sie nur ein USB-Gerät pro Zeile an. GFI LANguard Network Security Scanner 9. Scan-Profile • 115 Konfigurieren der Optionen von Anwendungs-Scans Über den Reiter Applications können Sie festlegen, welche installierten Anwendungen von diesem Scan-Profil während eines Scans überprüft werden sollen. Screenshot 102 – Liste zu (un)autorisierten/zu ignorierenden Anwendungen Über diesen Reiter können Sie angeben, ob GFI LANguard N.S.S. Zielrechner auf nicht erwünschte oder produktivitätshemmende Software überprüfen soll. Bei Auffinden solche Programme kann eine Warnmeldung zu einer kritischen Sicherheitslücke ausgegeben werden. 116 • 9. Scan-Profile GFI LANguard Network Security Scanner Scannen installierter Anwendungen Screenshot 103 – Liste unterstützter Anti-Viren- und Anti-Spyware-Anwendungen GFI LANguard N.S.S. unterstützt standardmäßig die Kontrolle bestimmter Sicherheitsanwendungen. Hierzu zählen gängige AntiVirus- und Anti-Spyware-Lösungen. Bei Sicherheits-Scans wird kontrolliert, ob unterstützte Sicherheitsprogramme mit den aktuellsten Signaturdateien arbeiten und korrekt konfiguriert sind. Anwendungs-Scans sind für jedes Scan-Profil einzeln zu konfigurieren. Die Konfigurationsoptionen werden über zwei Unterreiter des Reiters Applications festgelegt, Installed Applications und Security Applications. Aktivieren/Deaktivieren von Checks für installierte Anwendungen So aktivieren/deaktivieren Sie Scans von installierten Anwendungen in einem Scan-Profil: 1. Klicken Sie auf die Schaltfläche Configuration, und gehen Sie auf den Unterknoten Configuration ` Scanning Profiles. 2. Wählen Sie das zu bearbeitende Profil aus, und gehen Sie im rechten Fenster der Verwaltungsoberfläche auf den Reiter Applications. 3. Wählen Sie die Option Enable applications on target computers aus. scanning for installed Hinweis: Scans nach installierten Anwendungen sind für jedes ScanProfil einzeln zu konfigurieren. Wählen Sie diese Option über alle Scan-Profile aus, im Rahmen derer eine solche Kontrolle erforderlich ist. GFI LANguard Network Security Scanner 9. Scan-Profile • 117 Screenshot 104 – Eigenschaften eines Scan-Profils, Reiter zu installierten Anwendungen Erstellen einer Liste befugter/unbefugter Anwendungen So erstellen Sie eine Liste zu befugten/unbefugten Anwendungen: 1. Klicken Sie auf die Schaltfläche Configuration, und gehen Sie auf den Unterknoten Configuration ` Scanning Profiles. 2. Wählen Sie das zu bearbeitende Profil aus, und gehen Sie im rechten Fenster der Verwaltungsoberfläche auf den Reiter Applications. 3. Klicken Sie auf den Reiter Installed Applications, und wählen Sie eine der folgenden Optionen aus: • Only applications whose name contains – Erlaubt die Aufstellung einer Blacklist/Whitelist zu unerwünschten bzw. erwünschten Anwendungen, in deren Name die angegebene Zeichenfolge enthalten ist. • All applications except the ones whose name contains – Erlaubt die Aufstellung einer Blacklist/Whitelist zu unerwünschten bzw. erwünschten Anwendungen, in deren Name die angegebene Zeichenfolge nicht enthalten ist. 118 • 9. Scan-Profile GFI LANguard Network Security Scanner 4. So erstellen Sie eine Whitelist/Blacklist zu Anwendungen: Screenshot 105 – Liste unbefugter Anwendungen • Zum Erstellen einer Negativ-Liste für Anwendungen: Legen Sie unter Only applications whose name contains fest, welche Anwendungen als kritische Sicherheitslücke klassifiziert werden sollen. Geben Sie hierfür eine im Anwendungsnamen enthaltene Zeichenfolge an. Wenn Sie z. B. „Kazaa“ wählen, wird bei allen Anwendungen, die dieses Wort enthalten, eine Warnmeldung zu einer kritischen Sicherheitslücke ausgegeben. • Zum Erstellen einer Positiv-Liste für Anwendungen: Legen Sie unter Ignore (Do not list/save to db) applications whose name contains fest, welche Anwendungen während der SicherheitsScans unbeachtet bleiben sollen. Geben Sie hierfür einen Bestandteil des Anwendungsnamens an. Hinweis: Geben Sie nur einen Anwendungsnamen pro Zeile an. Scannen von Sicherheitsanwendungen Screenshot 106 – Eigenschaften eines Scan-Profils, Reiter zu Sicherheitsanwendungen GFI LANguard N.S.S. erlaubt standardmäßig die Kontrolle mehrerer Anti-Virus- und Anti-Spyware-Anwendungen. GFI LANguard Network Security Scanner 9. Scan-Profile • 119 Aktivieren/Deaktivieren von Scans nach Sicherheitsanwendungen So aktivieren Sie in einem Scan-Profil Scans von installierten Sicherheitsanwendungen: 1. Klicken Sie auf die Schaltfläche Configuration, und gehen Sie auf den Unterknoten Configuration ` Scanning Profiles. 2. Wählen Sie das zu bearbeitende Profil aus, und gehen Sie im rechten Fenster der Verwaltungsoberfläche auf den Reiter Applications. 3. Gehen Sie auf den Reiter Security Applications, und wählen Sie die Option Detect and process installed anti-virus/anti-spyware software on target computers aus. Hinweis: Scans nach installierten Sicherheitsanwendungen sind für jedes Scan-Profil einzeln zu konfigurieren. Wählen Sie diese Option über alle Scan-Profile aus, im Rahmen derer eine solche Kontrolle erforderlich ist. Anpassen der Liste zu scannender Sicherheitsanwendungen So legen Sie fest, welche Sicherheitsanwendungen während eines Sicherheits-Audits gescannt werden sollen: 1. Klicken Sie auf die Schaltfläche Configuration, und gehen Sie auf den Unterknoten Configuration ` Scanning Profiles. 2. Wählen Sie das zu bearbeitende Profil aus, und gehen Sie im rechten Fenster der Verwaltungsoberfläche auf den Reiter Applications. Screenshot 107 – Auswahl der zu kontrollierenden Sicherheitsanwendungen 120 • 9. Scan-Profile GFI LANguard Network Security Scanner 3. Geben Sie auf den Reiter Security Applications, und wählen Sie alle Sicherheitsanwendungen aus, die kontrolliert werden sollen. 4. Klicken Sie auf die Schaltfläche OK, um die Einstellungen zu speichern. Konfigurieren von Sicherheitsanwendungen – erweiterte Optionen Screenshot 108 – Erweiterte Konfigurationsoptionen Klicken Sie auf der Konfigurationsseite des Unterreiters Security Applications auf die Schaltfläche Advanced, um die Scans von Sicherheitsanwendungen zu erweitern. So können Sie festlegen, ob bei folgenden Ereignissen eine Warnmeldung zu einer kritischen Sicherheitslücke ausgegeben werden soll: • Definitionsdateien von Anti-Virus- oder Anti-Spyware-Lösungen sind veraltet. • Der von einigen Anti-Virus- oder Anti-Spyware-Lösungen angebotene Echtzeit-Schutz ist deaktiviert. • Keine der ausgewählten Anti-Virus- oder Anti-Spyware-Lösungen ist zum Zeitpunkt des Scans auf dem Zielrechner installiert. GFI LANguard Network Security Scanner 9. Scan-Profile • 121 122 • GFI LANguard Network Security Scanner 10. Abrufen von Software-Updates Einführung GFI veröffentlicht regelmäßige Programmaktualisierungen, mit der die Leistung und Funktionalität von GFI LANguard N.S.S. optimiert wird, beispielsweise durch neue Schwachstellen-Checks. Neben Updates für den Scanner lassen sich auch Aktualisierungen für Produkte von Microsoft abrufen, darunter fehlende Patches und Service Packs für Betriebssysteme und Anwendungen, wie Microsoft Office XP/2007. In diesem Kapitel erfahren Sie, wie diese Aktualisierungen abgerufen werden. Ebenso erhalten Sie Informationen, wie beim Anwendungsstart automatisch nach einem neueren Build von GFI LANguard N.S.S. gesucht werden kann. Kontrollieren von aktuell installierten Programm-Updates Screenshot 109 – Details zur aktuellen Version von Build und Datenbanken Um den Status von Produkt-Updates zu kontrollieren, klicken Sie auf die Schaltfläche Configuration. Gehen Sie auf den Knoten General ` Program Updates. Die Informationen sind in unterschiedliche Kategorien unterteilt und werden im rechten Fenster der Verwaltungsoberfläche angezeigt. In jeder Update-Kategorie werden Datum und Uhrzeit der letzten Suche GFI LANguard Network Security Scanner 10. Abrufen von Software-Updates • 123 nach Aktualisierungen, der letzte Update-Download und die Version der aktuellen Datenbank-Updates angezeigt. Herunterladen von Microsoft Produkt-Updates für verschiedene Sprachen Screenshot 110 – Auswahl der Microsoft Update-Dateien GFI LANguard N.S.S. unterstützt standardmäßig die Verwaltung von Patches in mehreren Unicode-kompatiblen Sprachen. Wird während eines Sicherheits-Scans festgestellt, dass Produkt-Updates zu Microsoft-Lösungen fehlen, lassen sie sich mit N.S.S. für die verfügbaren/gewünschten Sprachen herunterladen und installieren. Fehlende Microsoft-Patches und Service Packs werden vom Scanner durch Überprüfung der „Microsoft Software Update Files“ ermittelt. Diese Dateien enthalten die aktuellen (vollständigen) Listen zu Produkt-Updates, die zum Zeitpunkt der Überprüfung über Microsoft verfügbar sind. Sie liegen in allen Sprachen vor, in denen MicrosoftProdukte erhältlich sind. Mit Hilfe des Tools Program Update von GFI LANguard N.S.S. können Sie die für Ihr Netzwerk relevanten, aktuellen „Microsoft Software Updates Files“ downloaden. Die Scan-Engine kann dadurch fehlende Patches und Service Packs für verschiedene Sprachen ermitteln und eine Warnmeldung ausgeben. Zudem kann die Engine zur Patch-Verteilung die fehlenden Update-Dateien herunterladen und im gesamten Netzwerk installieren. Folgende Sprachen werden unterstützt: Arabisch, Chinesisch, Chinesisch (Taiwan), Dänisch, Deutsch, Englisch, Finnisch, Französisch, Griechisch, Hebräisch, Italienisch, Japanisch, Koreanisch, Niederländisch, Norwegisch, Polnisch, Portugiesisch, Portugiesisch (Brasilien), Russisch, Schwedisch, Spanisch, Tschechisch, Türkisch und Ungarisch. 124 • 10. Abrufen von Software-Updates GFI LANguard Network Security Scanner Informationen zum Download der in verschiedenen Sprachen verfügbaren „Microsoft Update Files“ erhalten Sie weiter unten in diesem Kapitel. Durchführen manueller Programmaktualisierungen So führen Sie einen manuellen Start von Programmaktualisierungen durch: 1. Klicken Sie auf die Schaltfläche Configuration, und erweitern Sie den Knoten General. Klicken Sie mit der rechten Maustaste auf den Unterknoten Program Updates, und wählen Sie im Kontextmenü Check for Updates aus. Der Assistent zur Update-Suche wird aufgerufen. Screenshot 111 – Assistent zur Update-Suche: Stufe 1 3. Geben Sie an, von wo die erforderlichen Update-Dateien heruntergeladen werden sollen. 4. Falls Sie den standardmäßigen Speicherpfad für die DownloadDateien ändern möchten, wählen Sie die Option Download all update files from GFI web site to this path, und geben Sie den neuen Pfad an. 5. Klicken Sie auf die Schaltfläche Next, um mit der Aktualisierung fortzufahren. GFI LANguard Network Security Scanner 10. Abrufen von Software-Updates • 125 Screenshot 112 – Assistent zur Update-Suche: Stufe 2 6. Wählen Sie die herunterzuladenden Updates aus, und klicken Sie auf die Schaltfläche Next. Folgende Auswahlmöglichkeiten stehen zur Verfügung: • GFI LANguard N.S.S. Vulnerabilities Update – Lädt neue Schwachstellen-Checks und -Fixes herunter. • GFI LANguard N.S.S. Dictionaries Update – Lädt Aktualisierungen der Wörterbuch-Datei herunter (z. B. zu unsicheren Community-Strings und Passwörtern). • Microsoft Software Updates – Erlaubt die Auswahl von Software-Updates für alle im Netzwerk verwendeten Sprachversionen von Microsoft-Produkten. Weitere Informationen hierzu erhalten Sie am Anfang dieses Kapitels unter „Herunterladen von Microsoft Produkt-Updates für verschiedene Sprachen“. Hinweis: Wählen Sie die Option Update ALL files (including the ones already updated), um alle Dateien zu aktualisieren. Somit werden auch bereits durchgeführte Aktualisierungen erneut durchgeführt. 7. Klicken Sie auf die Schaltfläche Start, um den Aktualisierungsvorgang zu starten. Suchen nach Software-Aktualisierungen beim Programmstart GFI LANguard N.S.S. sucht standardmäßig bei jedem Programmstart automatisch nach neuen Software-Aktualisierungen. So deaktivieren Sie diese Funktion: 1. Klicken Sie auf die Schaltfläche Configuration, und erweitern Sie den Knoten General. Klicken Sie mit der rechten Maustaste auf den Unterknoten Program Updates, und wählen Sie im Kontextmenü Properties aus. Der Eigenschaften-Dialog für Programm-Updates wird aufgerufen. 126 • 10. Abrufen von Software-Updates GFI LANguard Network Security Scanner Screenshot 113 – Option zur Suche nach Updates bei Programmstart 3. Heben Sie die Auswahl von Check for newer builds at startup im unteren Bereich des Dialogfensters auf. Beim Programmstart zu kontrollierende Aktualisierungen So legen Sie fest, nach welchen Aktualisierungen beim Start von GFI LANguard N.S.S. gesucht werden soll: Screenshot 114 – Eigenschaften von Programm-Updates 1. Klicken Sie auf die Schaltfläche Configuration, und erweitern Sie den Knoten General. Klicken Sie mit der rechten Maustaste auf den Unterknoten Program Updates, und wählen Sie im Kontextmenü Properties aus. Der Eigenschaften-Dialog für Programm-Updates wird aufgerufen. 3. Wählen Sie die herunterzuladenden Updates und deren Quelle aus. 4. Klicken Sie auf die Schaltfläche OK, um die Einstellungen zu speichern. GFI LANguard Network Security Scanner 10. Abrufen von Software-Updates • 127 128 • GFI LANguard Network Security Scanner 11. Patch-Verwaltung: Bereitstellen von Microsoft-Updates Einführung Zusätzlich zum automatischen Download von Patches und Service Packs von Microsoft kann GFI LANguard N.S.S. diese Sicherheitsaktualisierungen im gesamten Netzwerk bereitstellen und, falls erforderlich, die Bereitstellung zudem rückgängig machen („PatchRollback“). Patches werden für gewöhnlich aufgrund neu entdeckter Schwachstellen oder Probleme zurückgezogen, die bei der Installation der Updates aufgetreten sind (etwa in Form von Anwendungskonflikten mit vorhandener Software oder Hardware). Beispielsweise wurden von Microsoft die Patches MS03-045 und MS03-047 für Exchange zurückgerufen. Sowohl die Patch-Bereitstellung als auch der Patch-Rollback werden von einem speziellen Agenten verwaltet, der die Dateiübertragung zwischen GFI LANguard N.S.S. und den entfernten Zielrechnern steuert. Der Agent wird während der Patch-Bereitstellung automatisch im Hintergrund auf den Remote-Rechnern installiert. Hinweis 1: Zum erfolgreichen Installieren fehlender Patches muss GFI LANguard N.S.S. unter einem Konto mit administrativen Zugriffsrechten laufen. Hinweis 2: Stellen Sie sicher, dass auf den entfernten Zielrechnern NetBIOS aktiviert ist. Weitere Informationen zur Aktivierung von NetBIOS erhalten Sie im Kapitel „Weiterführende Informationen“ unter „Aktivieren von NetBIOS auf einem Zielrechner“. Hinweis 3: Eine vollständige Liste der Microsoft-Produkte, für die GFI LANguard N.S.S. Patches herunterladen und bereitstellen kann, steht zum Abruf bereit unter: http://kbase.gfi.com/showarticle.asp?id=KBID001820. Hinweis 4: Mit der Testversion von GFI LANguard N.S.S. können Microsoft-Patches nicht per Stapelverarbeitung bereitgestellt werden. Weitere Informationen hierzu erhalten Sie im Kapitel „Produktevaluierung“ in diesem Handbuch. In diesem Kapitel erfahren Sie, wie Sie: • Zielrechner angeben, auf denen Patches bereitzustellen sind, • festlegen, welche Microsoft-Aktualisierungen bereitzustellen sind, • Patches sortieren und ihre Download-Priorität ändern, • Patches und Service Packs herunterladen, • die Bereitstellung von Updates starten und überwachen und • die Installation von bereits eingerichteten Patches rückgängig machen. GFI LANguard Network Security Scanner 11. Patch-Verwaltung: Bereitstellen von Microsoft-Updates • 129 Auswählen von Zielrechnern für Patch-Bereitstellung Nachdem ein Netzwerk-Scan beendet ist, können auf Computern, für die Patches und Service Packs fehlen, aller erforderlichen Sicherheitsaktualisierungen bereitgestellt werden. Screenshot 115 – Bereitstellung fehlender Service Packs und Patches So legen Sie fest, auf welchen Zielrechnern Patches und Service Packs bereitgestellt werden sollen: Bereitstellen fehlender Aktualisierungen auf einem Rechner Klicken Sie in der Verwaltungskonsole im mittleren Fensterbereich Scanned Computers mit der rechten Maustaste auf den Rechner, für den eine Aktualisierung durchgeführt werden soll. Wählen Sie im Kontextmenü Deploy Microsoft updates ` Service packs on [bzw. Patches on] ` This computer. Bereitstellen fehlender Aktualisierungen auf ausgewählten Rechnern 1. Markieren Fensterbereich Rechner. Sie in der Verwaltungskonsole im mittleren Scanned Computers alle zu aktualisierenden 2. Klicken Sie mit der rechten Maustaste auf einen der markierten Rechner. Wählen Sie im Kontextmenü Deploy Microsoft updates ` Service packs on [bzw. Patches on] ` Selected computers. Bereitstellen fehlender Aktualisierungen auf allen Rechnern Klicken Sie im mittleren Fensterbereich Scanned Computers mit der rechten Maustaste auf einen der aufgeführten Rechner. Wählen Sie im Kontextmenü Deploy Microsoft updates ` Service packs on [bzw. Patches on] ` All computers. 130 • 11. Patch-Verwaltung: Bereitstellen von Microsoft-Updates GFI LANguard Network Security Scanner Auswählen bereitzustellender Patches Screenshot 116 – Optionen für die Patch-Bereitstellung Nachdem Sie die zu aktualisierenden Zielrechner angegeben haben, ruft GFI LANguard N.S.S. automatisch die Bereitstellungsoptionen für Patches auf. Diese Optionen werden in der Verwaltungskonsole angezeigt, darunter die Liste der ausgewählten Zielrechner und die Updates, die heruntergeladen und bereitgestellt werden sollen. Screenshot 117 – Herunterzuladende und bereitzustellende Patches Hinweis: Sie können GFI LANguard N.S.S. so konfigurieren, dass nach einem Sicherheits-Scan fehlende Patches und Service Packs automatisch heruntergeladen und bereitgestellt werden. Weitere Informationen hierzu erhalten Sie unter „Konfigurieren des automatischen Patch-Downloads“ im Kapitel „Konfigurieren von GFI LANguard N.S.S.“. Sortieren aller anstehenden Software-Aktualisierungen Über die Optionen-Seite zur Patch-Bereitstellung können Service Packs und Patches auf zwei Arten sortiert werden: • Sort by computers – Fehlende Zielrechnern gruppiert angezeigt. • Sort by patches – Fehlende Patches werden nach dem Namen der Update-Datei sortiert. GFI LANguard Network Security Scanner Patches werden nach 11. Patch-Verwaltung: Bereitstellen von Microsoft-Updates • 131 Herunterladen von Patch- und Service Pack-Dateien Screenshot 118 – Liste herunterzuladender Patches So starten Sie den Download ausgewählter Patches und Service Packs: • Um einzelne Patches oder Service Packs herunterzuladen, klicken Sie mit der rechten Maustaste auf die gewünschte Datei, und wählen Sie im Kontextmenü Download File. • Um alle ausgewählten Patches oder Service Packs herunterzuladen, klicken Sie mit der rechten Maustaste auf eine der Dateien, und wählen Sie im Kontextmenü Download all checked files. Überprüfen des Dateistatus in der Download-Warteschlange Screenshot 119 – Überprüfen des Status der Download-Warteschlange 132 • 11. Patch-Verwaltung: Bereitstellen von Microsoft-Updates GFI LANguard Network Security Scanner Die Symbole neben jeder Update-Datei zeigen den aktuellen Download-Status an. Folgende Statusmeldungen werden angezeigt: • Heruntergeladen • Noch aktiver Download • Update nicht heruntergeladen Abbrechen laufender Downloads Screenshot 120 – Abbrechen aktiver Downloads Um einen laufenden Patch-Download abzubrechen, klicken Sie mit der rechten Maustaste auf den entsprechenden Patch, und wählen Sie Cancel Download. GFI LANguard Network Security Scanner 11. Patch-Verwaltung: Bereitstellen von Microsoft-Updates • 133 Konfigurieren alternativer Bereitstellungsparameter für PatchDateien (optional) Screenshot 121 – Eigenschaften einer Patch-Datei Optional können Sie für jeden einzelnen Patch eigene Bereitstellungsparameter festlegen. Zu diesen Parametern zählen die Download-URL und der Speicherort der heruntergeladenen Datei. So ändern Sie die Bereitstellungs- und Download-Einstellungen fehlender Patches: 1. Klicken Sie mit der rechten Maustaste auf die gewünschte PatchDatei, und wählen Sie im Kontextmenü Properties. Der Eigenschaften-Dialog für die Patch-Datei wird geöffnet. 2. Führen Sie die gewünschten Änderungen durch, und klicken Sie auf die Schaltfläche OK, um die Einstellungen zu speichern. 134 • 11. Patch-Verwaltung: Bereitstellen von Microsoft-Updates GFI LANguard Network Security Scanner Bereitstellen heruntergeladener Patches auf ausgewählten Zielrechnern Screenshot 122 – Optionen für die Patch-Bereitstellung Nachdem der Download der benötigten Patch-Dateien abgeschlossen ist, kann die Bereitstellung auf den Zielrechnern erfolgen. Klicken Sie hierfür auf die Schaltfläche Start unten rechts auf der Seite zur PatchBereitstellung. Überwachen der Patch-Bereitstellung Screenshot 123 – Überwachung der Patch-Bereitstellung Um die Bereitstellung der Sicherheitsaktualisierungen zu überwachen, klicken Sie auf den Reiter Deployment Status neben dem Reiter Sort by patches im oberen Bereich des Fensters. GFI LANguard Network Security Scanner 11. Patch-Verwaltung: Bereitstellen von Microsoft-Updates • 135 Patch-Rollback: Deinstallieren von bereits bereitgestellten Sicherheitsaktualisierungen So deinstallieren Sie bereits eingerichtete Patches oder Service Packs („Patch-Rollback“): 1. Führen Sie einen Scan aller Computer durch, von denen zuvor eingerichtete Sicherheitsaktualisierungen entfernt werden sollen. 2. Klicken Sie in der Übersicht der Scan-Ergebnisse mit der rechten Maustaste auf einen der aufgeführten Computer, und wählen Sie Uninstall Microsoft updates ` Service packs from [oder Patches from] ` This computer (diesem Computer) [oder Selected computers (ausgewählten Computern) oder All computers (allen Computern)]. Screenshot 124 – Deinstallation eines Patches 3. Wählen Sie alle Patches oder Service Packs aus, die von den ausgewählten Zielrechnern deinstalliert werden sollen. Hinweis 1: Für einige Patches oder Service Packs ist ein PatchRollback nicht möglich, da eine Deinstallation die Funktionalität/Stabilität des Systems beeinträchtigen könnte. Sicherheitsaktualisierungen, die sich nicht deinstallieren lassen, stehen nicht zur Auswahl bereit. Hinweis 2: Sortieren Sie die aktuell angezeigten Sicherheitsaktualisierungen nach Computern oder Patches, indem Sie auf den Reiter Sort by computers bzw. Sort by patches klicken. 4. Klicken Sie auf die Schaltfläche Start, um mit der Deinstallation zu beginnen. 136 • 11. Patch-Verwaltung: Bereitstellen von Microsoft-Updates GFI LANguard Network Security Scanner Überwachen der Deinstallation von Sicherheitsaktualisierungen Um die Deinstallation der Sicherheitsaktualisierungen zu überwachen, klicken Sie auf den Reiter Uninstallation Status neben dem Reiter Sort by patches im oberen Bereich des Fensters. Screenshot 125 – Überwachung der Patch-Deinstallation (Patch-Rollback) GFI LANguard Network Security Scanner 11. Patch-Verwaltung: Bereitstellen von Microsoft-Updates • 137 138 • 11. Patch-Verwaltung: Bereitstellen von Microsoft-Updates GFI LANguard Network Security Scanner 12. Patch-Verwaltung: Bereitstellen eigener Software Einführung Zusätzlich zu den von Microsoft verfügbar gemachten Sicherheitsaktualisierungen lassen sich mit GFI LANguard N.S.S. auch eigene und Drittanbieter-Software per Fernzugriff im gesamten Netzwerk installieren. Folgende Software kann per Fernzugriff bereitgestellt werden: • Sicherheitslösungen wie komplette Anti-Virus- und Anti-SpywareProdukte, Software-Firewalls u. Ä. • Updates und Patches von Drittanbietern (beispielsweise AntiVirus- und Anti-Spyware-Signaturen) • Eigener Code wie Skripten und Batch-Dateien • Desktop-Anwendungen wie Microsoft Office 2007 u. Ä. Hinweis: Mit der Testversion von GFI LANguard N.S.S. kann benutzerdefinierte Software nicht per Stapelverarbeitung bereitgestellt werden. Weitere Informationen hierzu erhalten Sie im Kapitel „Produktevaluierung“ in diesem Handbuch. In diesem Kapitel erfahren Sie, wie Sie: • Software angeben, die bereitgestellt werden soll, • Zielrechner angeben, auf denen die Software zu installieren ist, • Vorgaben zur Bereitstellung definieren und • die Bereitstellung von Sicherheitsaktualisierungen starten und überwachen. GFI LANguard Network Security Scanner 12. Patch-Verwaltung: Bereitstellen eigener Software • 139 Festlegen der bereitzustellenden Software Screenshot 126 – Auswahl bereitzustellender Software So legen Sie fest, welche Software bereitgestellt werden soll: 1. Klicken Sie im linken Fenster der Verwaltungskonsole auf die Schaltfläche Main, und erweitern die den Knoten Patch Deployment. 2. Klicken Sie auf den Knoten Deploy Custom Software, und klicken Sie im rechten Fensterbereich im Bereich Software auf die Schaltfläche Add (siehe Screenshot oben). Screenshot 127 – Angabe bereitzustellender Software 3. Geben Sie den kompletten Pfad der bereitzustellenden Datei/ Software an. 140 • 12. Patch-Verwaltung: Bereitstellen eigener Software GFI LANguard Network Security Scanner 4. Wählen Sie eine der folgenden Optionen aus, falls die Bereitstellung mit festgelegten Befehlszeilenparameter erfolgen soll: • Parameters normally used for Windows patches – Verwendet für die Installation von Windows-Patches übliche Parameter. • Parameters normally used for Internet Explorer patches – Verwendet für die Installation von Internet Explorer-Patches übliche Parameter. • Custom – Erlaubt die Festlegung eigener Parameter. Geben Sie die erforderlichen Parameter im zugehörigen Eingabefeld des Dialogfelds an. 5. Klicken Sie auf die Schaltfläche Add, um die Einstellungen zu speichern. Wiederholen Sie diesen Vorgang für jede Datei/Software, die Sie bereitstellen möchten. Abschließend sind alle Zielrechner anzugeben, auf denen die ausgewählten Dateien bereitgestellt werden sollen. Hinweise hierzu erhalten Sie im nachfolgenden Abschnitt. Auswählen von Zielrechnern für Software-Bereitstellung Screenshot 128 – Auswahl der Zielrechner Geben Sie unter Computer(s) to deploy software on (siehe Screenshot oben) mit Hilfe einer der folgenden Optionen die Zielrechner an, auf denen die benutzerdefinierte Software bereitgestellt werden soll: • Klicken Sie auf die Schaltfläche Add, um die IP-Adresse/den Namen des/der Zielrechner einzugeben. • Klicken Sie auf die Schaltfläche Select, um den/die Zielrechner aus allen Computern auszuwählen, die aktuell mit Ihrer Domäne verbunden sind. • Klicken Sie auf die Schaltfläche Import, um eine Liste mit Zielrechnern aus einer Textdatei zu importieren. GFI LANguard Network Security Scanner 12. Patch-Verwaltung: Bereitstellen eigener Software • 141 Bereitstellungsoptionen Allgemeine Bereitstellungsoptionen Über die allgemeinen Bereitstellungsoptionen im Bereich Options unter dem Reiter General können Sie Aktionen und Abläufe konfigurieren, die vor und nach der Bereitstellung der ausgewählten Software gestartet werden sollen. Unterstützt werden Aktionen wie die Benachrichtigung des Benutzers, der am zu aktualisierenden Computer angemeldet ist, dass neue Software installiert werden soll. Ebenso kann ein Rechner-Neustart nach der erfolgreichen Bereitstellung veranlasst werden. Screenshot 129 – Allgemeine Optionen für die Patch-Bereitstellung Konfigurieren von Aktionen vor der Bereitstellung Folgende Optionen veranlassen Aktionen unmittelbar vor der Software-Bereitstellung: • Warn users before deployment – Schickt eine Warnmeldung an den Benutzer des Zielrechners, um auf eine bevorstehende PatchBereitstellung hinzuweisen. Screenshot 130 – Warnhinweis an Benutzer zu einer bevorstehenden Patch-Installation Durch einen solchen Warnhinweis haben Anwender die Möglichkeit, geöffnete Dateien zu sichern und aktive Programme zu schließen, bevor die Sicherheitsaktualisierungen auf ihrem Rechner installiert werden. 142 • 12. Patch-Verwaltung: Bereitstellen eigener Software GFI LANguard Network Security Scanner • Wait for user’s approval – Fordert Benutzer des Zielrechners vor der Bereitstellung einer Patch-Datei zur Freigabe der Installation auf. Hierdurch kann die Installation so lange verzögert werden, bis andere ggf. noch aktive Prozesse (z. B. Systemsicherungen) beendet sind. Dies ist vor allem von Bedeutung, wenn nach der Installation der Patch-Datei ein Neustart des Rechners erforderlich ist. • Stop services before deployment – Hält einzelne Dienste an, bevor mit der Installation begonnen wird. Klicken Sie auf die Schaltfläche Services, um die anzuhaltenden Dienste anzugeben. Konfigurieren von Aktionen nach der Bereitstellung Folgende Optionen veranlassen Aktionen unmittelbar nach der Software-Bereitstellung: • Do not reboot/shut down the computer(s) – Legt fest, dass nach der Installation KEIN per Fernzugriff angewiesener Neustart der/des Zielrechner(s) durchgeführt werden soll. • Reboot the target computers – Führt nach Abschluss der Installation automatisch einen Neustart des Zielrechners durch. • Let the user decide when to reboot – Erlaubt es Benutzern von Zielrechnern, auf denen Software/Patches installiert wurden, zu entscheiden, wann ein Rechner-Neustart durchgeführt werden soll. Bei dieser Option wird nach Abschluss der Installation dem Benutzer des Zielrechners automatisch ein Dialog angezeigt, über den er den Zeitpunkt des Neustarts festlegen kann: Screenshot 131 – Optionen für Aktionen nach Patch-Bereitstellung: Festlegung des RechnerNeustarts durch Benutzer Über diesen Dialog müssen Anwender eine der folgenden Neustart-Optionen auswählen: 1. Restart Now – Führt einen sofortigen Neustart durch. 2. Remind me in [X] Minutes – Erinnert Anwender in regelmäßigen Abständen (in Minuten), einen Neustart durchzuführen. 3. Restart on [date] at [time] – Führt einen Neustart des Zielrechners zu einem vom Anwender festgelegten Zeitpunkt durch. 4. Don’t bother me again – Fordert nicht weiter zum Neustart auf. GFI LANguard Network Security Scanner 12. Patch-Verwaltung: Bereitstellen eigener Software • 143 5. Shutdown the target computer(s) – Fährt Zielrechner nach der Installation herunter. • Delete copied files on the remote computers after deployment – Löscht nach einer erfolgreichen Installation die Quell/Installationsdatei vom Zielrechner. • Computer filters – Klicken Sie auf die Schaltfläche Computer filters, um einzelne Filterbedingungen für Zielrechner zu konfigurieren. Beispielsweise kann die Installation auf Computer mit Windows XP beschränkt werden. Konfigurieren von erweiterten Bereitstellungsaktionen Screenshot 132 – Erweiterte Optionen für die Patch-Bereitstellung Über den Reiter Advanced können folgende erweiterte Bereitstellungsoptionen konfiguriert werden: • Anzahl der zu verwendenden Bereitstellungs-Threads • Installations-Timeout • Authentifizierungsdaten Bereitstellung für 144 • 12. Patch-Verwaltung: Bereitstellen eigener Software den Agenten zur Software- GFI LANguard Network Security Scanner Beginnen der Software-Bereitstellung Screenshot 133 – Einstellungsoptionen zur Software-Bereitstellung Nachdem alle erforderlichen Parameter angegeben wurden, kann die Bereitstellung der Software wie folgt durchgeführt werden: 1. Starten Sie die Bereitstellung per Mausklick auf die Schaltfläche Start. 2. Lassen Sie die Software zu einem bestimmten Zeitpunkt bereitstellen. Wählen Sie hierfür auf die Option Deploy on, und legen Sie Datum und Uhrzeit der Bereitstellung fest. Klicken Sie abschließend auf die Schaltfläche Start. GFI LANguard Network Security Scanner 12. Patch-Verwaltung: Bereitstellen eigener Software • 145 146 • 12. Patch-Verwaltung: Bereitstellen eigener Software GFI LANguard Network Security Scanner 13. Vergleichen von Scan-Ergebnissen Einführung Das im Lieferumfang von GFI LANguard N.S.S. enthaltene Tool zum Ergebnisvergleich erlaubt neben dem Erstellen einer Liste aller im Netzwerk gefundenen Änderungen auch die Gegenüberstellung gespeicherter Scan-Ergebnisse. In diesem Kapitel erhalten Sie Informationen, wie Sie: • festlegen, welche Änderungen bei Scan-Ergebnissen angezeigt werden, • einen Bericht zum Ergebnisvergleich manuell erstellen, • einen Bericht zum Ergebnisvergleich automatisch erstellen und • Ergebnisse eines Vergleichsberichts analysieren. Festlegen der bei Scan-Ergebnissen anzuzeigenden Änderungen Das Tool zum Ergebnisvergleich kann Daten unterschiedlichster Art in einem Vergleichsbericht zu zwei Scans ausgeben. So bestimmen Sie, welche Änderungen in einem Vergleichsbereicht angezeigt werden sollen: 1. Klicken Sie auf die Schaltfläche Main und dann auf den Knoten Security Scanner ` Result comparison. Screenshot 134 – Optionen für Daten eines Vergleichsberichts 2. Klicken Sie im rechten Fenster auf die Schaltfläche Options, und wählen Sie aus, welche der folgenden Elemente anzuzeigen sind: GFI LANguard Network Security Scanner 13. Vergleichen von Scan-Ergebnissen • 147 • New items – Führt alle seit dem letzten Scan neu identifizierten Sicherheitsgefahren auf. • Removed items – Führt entfernte Elemente auf, d. h. im Vergleich zum vorherigen/vergangenen Scan-Ergebnis nicht länger identifizierbare Elemente (z. B. installierte Anwendungen) und Komponenten/Geräte (z. B. Netzwerk-Karten, USB-Hardware, WLAN-Hardware u. v. m.). • Changed items – Führt alle geänderten Elemente auf. Elemente, bei denen zwischen zwei Scans Änderungen vorgenommen wurden, z. B. Dienst-Aktivierung/Deaktivierung, werden angezeigt. • Show vulnerability changes – Führt alle Änderungen bei Schwachstellen auf. • Show only hot-fix changes – Zeigt alle seit dem vorherigen Scan installierten und fehlenden Patches an. Erstellen eines Vergleichsberichts Screenshot 135 – Vergleich von Scan-Ergebnissen So erstellen Sie einen Vergleichsbericht zu Scan-Ergebnissen: 1. Klicken Sie auf die Schaltfläche Main und dann auf den Knoten Security Scanner ` Result comparison. 2. Klicken Sie auf die Schaltflächen zur Dateisuche , um die Dateien mit Scan-Ergebnissen auszuwählen, die miteinander verglichen werden sollen. Hinweis: Ergebnisse lassen sich nur vergleichen, wenn sie dasselbe Dateiformat besitzen, d. h. ein direkter Vergleich einer XML-Datei mit einer Datenbank-Datei ist nicht möglich. 3. Klicken Sie auf die Schaltfläche Compare, um den Ergebnisvergleich zu starten. 148 • 13. Vergleichen von Scan-Ergebnissen GFI LANguard Network Security Scanner Überprüfen des Vergleichsberichts Screenshot 136 – Vergleichsbericht Nach Abschluss des Vergleichs wird der Vergleichsbericht im rechten Fenster der Verwaltungskonsole angezeigt. GFI LANguard Network Security Scanner 13. Vergleichen von Scan-Ergebnissen • 149 150 • 13. Vergleichen von Scan-Ergebnissen GFI LANguard Network Security Scanner 14. GFI LANguard N.S.S. StatusMonitor Einführung Mit Hilfe des Status-Monitors wird der Zustand unterschiedlicher Prozesse, ob aktiv oder anstehend, grafisch angezeigt (beispielsweise der Patch-Download). Screenshot 137 – Status-Monitor-Symbol in der Systemablage von Windows Der Status-Monitor wird automatisch in der Systemablage von Windows gestartet, wenn die Verwaltungsoberfläche von GFI LANguard N.S.S. aufgerufen wird. Hinweis: Der Status-Monitor kann auch ohne Aufruf der Verwaltungsoberfläche von GFI LANguard N.S.S. geöffnet werden. Gehen Sie hierfür auf Start ` Programme ` GFI LANguard Network Security Scanner 8.0 ` LNSS Status Monitor. In diesem Kapitel erfahren Sie, welche verschiedenen Anzeigemöglichkeiten der Status-Monitor bietet: • Gefährdungsgrad des gesamten Netzwerks • Status aktiver Scans nach Zeitplan • Bereitstellung von Sicherheitsaktualisierungen nach Zeitplan • Warteschlange für den automatischen Patch-Download GFI LANguard Network Security Scanner 14. GFI LANguard N.S.S. Status-Monitor • 151 Anzeigen des Gefährdungsgrads des gesamten Netzwerks Screenshot 138 – Status-Monitor: Reiter zum Gefährdungsgrad des gesamten Netzwerks Der Reiter Global security threat level liefert eine übersichtliche Zusammenfassung der während eines Scans gesammelten Sicherheitsdaten. In kompakter Form können Sie den aktuellen Gefährdungsgrad des Netzwerks, die fünf sicherheitsanfälligsten Computer und die Anzahl der Computer in der Datenbank überprüfen. Zudem werden alle Computer, auf denen Sicherheitslücken festgestellt werden konnten, in unterschiedliche Gefahrenkategorien aufgeschlüsselt. Hinweis 1: Die über den Reiter Global security threat level angezeigten Daten werden von GFI LANguard N.S.S. auf Grundlage vorheriger Scans dynamisch angepasst. So zeigen Sie den Gefährdungsgrad des gesamten Netzwerks an: 1. Öffnen Sie den Status-Monitor mit einem rechten Mausklick auf das Symbol in der Windows-Systemablage, und wählen Sie im Kontextmenü Status. 2. Klicken Sie auf den Reiter Global security threat level. 152 • 14. GFI LANguard N.S.S. Status-Monitor GFI LANguard Network Security Scanner Anzeigen des Verlaufs von Sicherheits-Scans nach Zeitplan Scans nach Zeitplan werden zu einem bestimmten Zeitpunkt durchgeführt, den Sie festlegen können. Über den Reiter Active scheduled scans im Status-Monitor lassen sich geplante Scans überwachen, aktive Scans beenden oder Informationen zu abgeschlossenen Scans löschen. Screenshot 139 – Status-Monitor: Reiter zu aktiven Scans nach Zeitplan So rufen Sie auf, welche Scans nach Zeitplan aktuell durchgeführt werden: 1. Öffnen Sie den Status-Monitor mit einem rechten Mausklick auf das Symbol in der Windows-Systemablage, und wählen Sie im Kontextmenü Status. 2. Klicken Sie auf den Reiter Active scheduled scans. 3. Falls erforderlich, starten Sie einen der folgenden Vorgänge: 1. Um einen aktuell durchgeführten Scan abzubrechen, klicken Sie auf die Schaltfläche Stop Selected Scans. 2. Um Informationen zu beendeten Scans zu entfernen, klicken Sie auf die Schaltfläche Remove finished scans. Hinweis: Über den Reiter Active scheduled scans können nur aktuell aktive geplante Scans angezeigt und abgebrochen werden. Um zu kontrollieren, welche weiteren Scans nach Zeitplan noch nicht gestartet wurden und um diese zu löschen, öffnen Sie die Verwaltungskonsole, und gehen Sie auf Configuration ` Scheduled Scans. Anzeigen des Verlaufs von Software-Bereitstellungen nach Zeitplan Bereitstellungen von Patches oder Service Packs nach Zeitplan werden zu einem von Ihnen festlegbaren Zeitpunkt durchgeführt. Dank dieser Funktion können Sicherheitsaktualisierungen dann erfolgen, wenn Benutzer nicht unmittelbar während ihrer Arbeitszeit davon betroffen sind. GFI LANguard Network Security Scanner 14. GFI LANguard N.S.S. Status-Monitor • 153 Über den Reiter Scheduled deployments im Status-Monitor lassen sich Patch- und Service-Pack-Bereitstellungen nach Zeitplan kontrollieren, abbrechen oder Informationen zu abgeschlossenen Bereitstellungen löschen. Screenshot 140 – Status-Monitor: Software-Bereitstellungen nach Zeitplan So rufen Sie auf, welche geplanten Software-Bereitstellungen aktuell durchgeführt werden: 1. Öffnen Sie den Status-Monitor mit einem rechten Mausklick auf das Symbol in der Windows-Systemablage, und wählen Sie im Kontextmenü Status. 2. Klicken Sie auf den Reiter Scheduled deployments. 3. Falls erforderlich, starten Sie einen der folgenden Vorgänge: • Um einen aktuell durchgeführten Scan abzubrechen, klicken Sie auf die Schaltfläche Stop selected deployment. • Um Angaben zu beendeten Bereitstellungen zu entfernen, klicken Sie auf die Schaltfläche Remove finished deployments. 154 • 14. GFI LANguard N.S.S. Status-Monitor GFI LANguard Network Security Scanner Anzeigen der Warteschlange für automatische Downloads Screenshot 141 – Status-Monitor: Reiter zur Kontrolle automatischer Downloads So zeigen Sie die Warteschlange für automatische Downloads an: 1. Öffnen Sie den Status-Monitor mit einem rechten Mausklick auf das Symbol in der Windows-Systemablage, und wählen Sie im Kontextmenü Status. 2. Klicken Sie auf den Reiter Autodownload queue. 3. Falls erforderlich, starten Sie einen der folgenden Vorgänge: • Um alle laufenden Downloads anzuhalten, klicken Sie auf die Schaltfläche Pause All. • Um einen laufenden Download abzubrechen, klicken Sie auf die Schaltfläche Cancel Selected Downloads. • Ändern Sie die Priorität eines Downloads über das Drop-DownFeld Set Priority. GFI LANguard Network Security Scanner 14. GFI LANguard N.S.S. Status-Monitor • 155 156 • 14. GFI LANguard N.S.S. Status-Monitor GFI LANguard Network Security Scanner 15. Werkzeuge Einführung In diesem Kapitel erfahren Sie, wie Sie mit den über GFI LANguard N.S.S. aufrufbaren Netzwerk-Tools häufig auftretende Netzwerkprobleme beheben und Ihr Netzwerk leichter administrieren können. Klicken Sie auf die Schaltfläche Tools, um Zugriff auf die folgenden standardmäßigen Netzwerk-Tools zu erhalten: • DNS-Lookup • Traceroute • Whois • Enumerate Computers (Auflistung von Rechnern) • Enumerate Users (Auflistung von Usern). • SNMP-Audit • SNMP-Walk • SQL Server-Audit DNS-Lookup Klicken Sie auf die Schaltfläche Tools, und gehen Sie auf den Knoten Tools ` DNS Lookup. Hierüber lassen sich Domänennamen in ihre IP-Adresse auflösen und einzelne Informationen zur Zieldomäne abrufen (z. B. MX-Eintrag u. ä.). Screenshot 142 – DNS Lookup GFI LANguard Network Security Scanner 15. Werkzeuge • 157 So führen Sie die Auflösung eines Domänen-/Host-Namens durch: 1. Klicken Sie auf die Schaltfläche Tools, und gehen Sie auf den Knoten Tools ` DNS lookup. 2. Geben Sie den Host-Namen an, der aufgelöst werden soll. 3. Geben Sie an, welche Informationen abgerufen werden sollen: • Basic Information – Ruft den Host-Namen und die zugehörige IPAdresse ab. • Host Information – Ruft HINFO-Angaben (Host-Informationen) ab. Hierzu zählen üblicherweise Daten zum Zielrechner wie Hardware-Spezifikationen und Betriebssystemdetails. Hinweis: Bei den meisten DNS-Einträgen sind Informationen aus Sicherheitsgründen nicht enthalten. diese • Aliases – Ruft Informationen zu den „A-Einträgen“ der Zieldomäne ab. • MX Records – Listet alle E-Mail-Server auf und die Reihenfolge (d. h. Priorität), in der sie E-Mails für die Zieldomäne empfangen und verarbeiten. • NS Records – Listet alle für eine Domäne oder Unterdomäne zuständigen Nameserver auf. 4. Falls erforderlich, geben Sie einen alternativen DNS-Server für den DNS-Lookup ein, oder lassen Sie den standardmäßigen DNS-Server unverändert. 5. Klicken Sie auf die Schaltfläche Retrieve, um den Abruf zu starten. Traceroute Screenshot 143 - Traceroute Klicken Sie auf die Schaltfläche Tools, und gehen Sie auf den Knoten Tools ` Traceroute. Hierüber lässt sich der Pfad verfolgen, über den GFI LANguard N.S.S. einen Zielrechner erreicht hat. So setzen Sie dieses Tool ein: • 158 • 15. Werkzeuge Geben Sie in der Drop-Down-Liste Trace (domain/IP/name) den zu kontrollierenden Namen, die IP-Adresse oder Domäne an. GFI LANguard Network Security Scanner • Klicken Sie auf die Schaltfläche Traceroute, um die Kontrolle zu starten. Traceroute ermittelt, auf welchem Weg ein Zielrechner erreicht wird, und zeigt die hierfür passierten Hops an. Ein Hop ist eine Zwischenstation bei der Übermittlung und steht für einen Computer/Router, über den die Anfrage weitergeleitet wird. Bei diesem Tool wird für jeden Hop die IP-Adresse des passierten Computers angegeben, die Häufigkeit der Weiterleitung über einen Computer und die verstrichene Zeit, bis der jeweilige Computer erreicht wurde. Neben jedem Hop ist zudem ein Symbol abgebildet. Es informiert über den Status des Hops. Folgende Symbole werden verwendet: • Zeigt an, dass ein Hop innerhalb normaler Parameter erfolgreich war. • Zeigt einen erfolgreichen Hop mit relativ langer Antwortzeit an. • Zeigt einen erfolgreichen Hop mit zu langer Antwortzeit an. • Zeigt einen Hop an, bei dem eine Zeitüberschreitung aufgetreten ist (> 1000 ms). Whois Screenshot 144 – Whois-Tool Klicken Sie auf die Schaltfläche Tools, und gehen Sie auf den Knoten Tools ` Whois Client. Hierüber lassen sich Informationen zu einer Domäne oder IP-Adresse abrufen. Wählen Sie im rechten Bereich der Verwaltungskonsole den für die Abfrage bevorzugten Whois-Server aus, oder behalten Sie die Standardeinstellung bei, damit der Server automatisch für Sie ausgewählt wird. Um Informationen zu einer bestimmten Domäne oder IP-Adresse abzurufen, geben Sie die Domäne/IP-Adresse oder den Host-Namen in der Drop-Down-Liste Query (domain/IP/name) an. Klicken Sie dann auf die Schaltfläche Retrieve. GFI LANguard Network Security Scanner 15. Werkzeuge • 159 Enumerate Computers (Auflistung von Rechnern) Screenshot 145 – Tool zum Auflisten von Computern Klicken Sie auf die Schaltfläche Tools, und gehen Sie auf den Knoten Tools ` Enumerate Computers. Hierüber lassen sich Domänen und Arbeitsgruppen in einem Netzwerk identifizieren. Während der Kontrolle werden die jeder Domäne/Arbeitsgruppe zugehörigen Computer aufgeführt. Folgende Daten werden über dieses Tool abgerufen: Name der Domäne/Arbeitsgruppe, Liste der zur jeweiligen Domäne/Arbeitsgruppe gehörenden Computer, das auf den identifizierten Computern installierte Betriebssystem sowie sonstige Daten, die sich über NetBIOS abrufen lassen. Computer lassen sich mit Hilfe folgender Methoden auflisten: • Über Active Directory – Diese Methode ist schneller und führt Rechner auf, die zum Zeitpunkt des Scans ausgeschaltet sind. • Über den Windows Explorer – Bei dieser Methode werden Rechner im Rahmen eines Echtzeit-Scans des Netzwerks ermittelt. Sie ist zeitaufwendiger und erfasst keine Computer, die zum Zeitpunkt des Scans ausgeschaltet sind. Über den Reiter Information Source des Tools lässt sich die bevorzugte Identifizierungsmethode auswählen. Hinweis: Für einen Active Directory-Scan muss das Tool und somit GFI LANguard N.S.S. unter einem Konto mit AD-Zugriffsrechten laufen. Starten eines Sicherheits-Scans Das Tool zur Auflistung von Computern scannt das gesamte Netzwerk und erkennt Domänen/Arbeitsgruppen samt der darin verzeichneten Computer. Nachdem alle Rechner einer Domäne oder Arbeitsgruppe ermittelt wurden, können sie direkt mit diesem Tool einem SicherheitsScan unterzogen werden. Klicken Sie hierfür mit der rechten Maustaste auf einen der gelisteten Computer, und wählen Sie im Kontextmenü den Befehl Scan aus. Sie haben auch die Möglichkeit, einen Sicherheits-Scan zu starten und gleichzeitig das Tool zum Auflisten von Computern einzusetzen. 160 • 15. Werkzeuge GFI LANguard Network Security Scanner Klicken Sie hierfür mit der rechten Maustaste auf einen der gelisteten Rechner, und wählen Sie im Kontextmenü den Befehl Scan in background aus. Bereitstellen eigener Patches Das Tool zum Auflisten von Computern kann verwendet werden, um benutzerdefinierte Patches und Dritthersteller-Software auf den aufgeführten Computern bereitzustellen. So starten Sie die Bereitstellung direkt über dieses Tool: 1. Wählen Sie alle Computer aus, für die Patches oder andere Software bereitgestellt werden sollen. 2. Klicken Sie mit der rechten Maustaste auf einen der ausgewählten Computer, und wählen Sie im Kontextmenü den Befehl Deploy Custom Patches. Aktivieren von Audit-Richtlinien Mit dem Tool zum Auflisten von Computern lassen sich Audit-Richtlinien auf einzelnen Rechnern konfigurieren. So führen Sie die Konfiguration durch: 1. Wählen Sie die Computer aus, auf denen Audit-Richtlinien aktiviert werden sollen. 2. Klicken Sie mit der rechten Maustaste auf einen der ausgewählten Computer, und wählen Sie im Kontextmenü den Befehl Enable Auditing Policies. Der Konfigurations-Assistent für Audit-Richtlinien wird gestartet und hilft Ihnen bei der Konfigurierung. Weitere Informationen zur Fern-Konfigurierung von Audit-Richtlinien auf einzelnen Zielrechnern erhalten Sie im Kapitel „Erste Schritte: Durchführen eines Sicherheits-Audits“. GFI LANguard Network Security Scanner 15. Werkzeuge • 161 Enumerate Users (Auflistung von Anwendern) Screenshot 146 – Auflistung von Anwendern Klicken Sie auf die Schaltfläche Tools, und gehen Sie auf den Knoten Tools ` Enumerate Users. Hierüber lässt sich ein Scan des Active Directory einer Domäne durchführen, um eine Liste aller darin verzeichneten Benutzer und Kontakte abzurufen. Wählen Sie aus der Liste der Domänen Ihres Netzwerks den gewünschten Domänennamen aus, und klicken Sie auf die Schaltfläche Retrieve. Die abzurufenden Informationen können gefiltert werden, damit nur Anwender oder Kontaktdaten angezeigt werden. Zudem können mit Hilfe dieses Tools deaktivierte („Disabled accounts“) oder gesperrte Konten („Locked accounts“) optional hervorgehoben werden. Die Einstellungen sind auf der rechten Seite im Bereich Options unter dem Reiter General vorzunehmen. Jedes aufgeführte Benutzerkonto kann mit Hilfe dieses Tools aktiviert oder deaktiviert werden. Klicken Sie hierfür mit der rechten Maustaste auf das gewünschte Konto, und wählen Sie Enable account bzw. Disable account. 162 • 15. Werkzeuge GFI LANguard Network Security Scanner SNMP Audit Screenshot 147 – SNMP-Audit Klicken Sie auf die Schaltfläche Tools, und gehen Sie auf den Knoten Tools ` SNMP Audit . Hierüber können Sie SNMP-Audits für Ziele im Netzwerk durchführen und unsichere Community-Strings ermitteln. Das Tool identifiziert unsichere SNMP Community-Strings, indem mit der Wörterbuch-Datei snmp-pass.txt ein Angriff gestartet wird. Mit Hilfe eines Text-Editors wie Notepad kann die standardmäßige Wörterbuch-Datei auch um neue Community-Strings erweitert werden. Das Tool für SNMP-Audits kann zur Kontrolle zudem auf andere Wörterbuch-Dateien als die vorgegebene zugreifen. Geben Sie hierfür über den Bereich Options rechts in der Verwaltungskonsole den Pfad zur gewünschten Datei an. So führen Sie ein SNMP-Audit durch: 1. Klicken Sie auf die Schaltfläche Tools, und gehen Sie auf den Knoten Tools ` SNMP Audit. 2. Geben Sie die IP-Adresse des Rechners ein, der überprüft werden soll. 3. Klicken Sie auf die Schaltfläche Retrieve, um den Abruf zu starten. GFI LANguard Network Security Scanner 15. Werkzeuge • 163 SNMP Walk Screenshot 148 – SNMP-Walk Klicken Sie auf die Schaltfläche Tools, und gehen Sie auf den Knoten Tools ` SNMP Walk. Hierüber können Sie Netzwerk-Knoten kontrollieren und SNMP-Informationen abrufen (z. B. Object Identifier, OIDs). So starten Sie den SNMP-Walk, um einen Zielrechner zu kontrollieren: 1. Klicken Sie auf die Schaltfläche Tools, und gehen Sie auf den Knoten Tools ` SNMP Walk. 2. Geben Sie die IP-Adresse des Computers an, den Sie auf SNMPInformationen überprüfen wollen. 3. Klicken Sie auf die Schaltfläche Retrieve, um den Abruf zu starten. Hinweis 1: SNMP-Prozesse werden oftmals bereits vom Router/der Firewall blockiert, sodass Internet-Benutzer keinen SNMP-Scan Ihres Netzwerks durchführen können. Hinweis 2: Sie haben die Möglichkeit, alternative Community-Strings bereitzustellen. Hinweis 3: Die über SNMP abrufbaren Informationen können von böswilligen Anwendern für einen Angriff auf Ihr System verwendet werden. SNMP sollte stets deaktiviert sein, es sei denn, dieser Dienst wird unbedingt benötigt. Microsoft SQL Server-Audit Klicken Sie auf die Schaltfläche Tools, und gehen Sie auf den Knoten Tools ` Microsoft SQL Server Audit. Hierüber können Sie ein Sicherheits-Audit für eine Microsoft SQL Server-Installation durchführen. Eine Kontrolle der Passwortsicherheit ist sowohl für das SA-Konto (d. h. den Root-Administrator) als auch alle anderen auf dem SQL-Server konfigurierten Benutzerkonten möglich. Standardmäßig werden bei dem Kontrollangriff auf die Konten des SQLServers die in der Wörterbuch-Datei passwords.txt enthaltenen Zugangsdaten eingesetzt. Das Tool für SQL Server-Audits kann zur Kontrolle zudem auf andere Wörterbuch-Dateien als die vorgegebene 164 • 15. Werkzeuge GFI LANguard Network Security Scanner zugreifen. Die standardmäßige Wörterbuch-Datei lässt sich durch Hinzufügen neuer Passwörter erweitern. So führen Sie ein SQL Server-Audit durch: 1. Klicken Sie auf die Schaltfläche Tools, und gehen Sie auf den Knoten Tools ` SQL Server Audit. 2. Geben Sie die IP-Adresse des SQL-Servers ein, der überprüft werden soll. Hinweis: Standardmäßig wird die Sicherheit des Administrator/SAKontos getestet. Sollen auch alle anderen SQL-Benutzerkonten überprüft werden, wählen Sie die Option Audit all SQL user accounts, und geben Sie die jeweiligen SQL-Zugangsdaten ein. Diese Daten sind für die Authentifizierung am Server erforderlich, wenn die Liste der Benutzerkonten abgerufen wird. 3. Klicken Sie auf die Schaltfläche Retrieve, um den Abruf zu starten. GFI LANguard Network Security Scanner 15. Werkzeuge • 165 166 • 15. Werkzeuge GFI LANguard Network Security Scanner 16. Verwenden von GFI LANguard N.S.S. per Befehlszeile Einführung In diesem Kapitel erfahren Sie, wie die beiden Befehlszeilen-Tools lnsscmd.exe und deploycmd.exe von GFI LANguard N.S.S. eingesetzt werden können. Mit diesen Tools können SicherheitsScans und Patch-Bereitstellung ohne Aufruf der Verwaltungskonsole direkt per Befehlszeile starten. Nachfolgend erhalten Sie eine Übersicht über alle unterstützten Befehlszeilen-Switches und entsprechende Funktionsbeschreibungen. Verwenden des Befehlszeilen-Tools lnsscmd.exe für NetzwerkScans Mit dem Tool lnsscmd.exe können Sicherheits-Scans von Zielrechnern im Netzwerk direkt über die Befehlszeile, aus Dritthersteller-Anwendungen heraus oder über Batch-Dateien und Skripten gestartet werden. Folgende Switches werden von diesem Befehlszeilen-Tool unterstützt: lnsscmd [Target] [/profile=profileName] [/report=reportPath] [/output=pathToXmlFile] [/user=usrname /password=password] [/UseComputerProfiles] [/email=emailAddress] [/DontShowStatus] [/?] Switches: • Target – Geben Sie die IP/den IP-Bereich oder die Namen der zu scannenden Hosts an. • /Profile – (Optional) Geben Sie das für einen Sicherheits-Scan zu verwendende Scan-Profil an. Bei Nichtangabe dieses Parameters wird das in GFI LANguard N.S.S. aktuell aktive Scan-Profil eingesetzt. Hinweis: Das standardmäßige (d. h. aktive) Scan-Profil wird in der Verwaltungskonsole über den Hinweis „(Active)“ neben dem Profilnamen angezeigt. Klicken Sie zur Kontrolle des aktiven ScanProfils auf den Knoten Configuration ` Scanning Profiles. • /Output – (Optional) Geben Sie den vollständigen Pfad zur XMLDatei (mit Dateiname) an, in der die Scan-Ergebnisse gespeichert werden sollen. • /Report – (Optional) Geben Sie den vollständigen Pfad zur HTMLDatei (mit Dateiname) an, in der die Scan-Ergebnisse des HTMLBerichts ausgegeben/gespeichert werden sollen. • /User und /Password – (Optional) Geben Sie alternative Zugangsdaten an, die während eines Sicherheits-Scans von der GFI LANguard Network Security Scanner 16. Verwenden von GFI LANguard N.S.S. per Befehlszeile • 167 Scan-Engine zur Authentifizierung am Zielrechner verwendet werden sollen. Alternativ können Sie den Switch /UseComputerProfiles nutzen, um die bereits in den ComputerProfilen (über den Knoten Configuration ` Computer Profiles) konfigurierten Zugangsdaten zu verwenden. • /Email – (Optional) Geben Sie die E-Mail-Adresse an, an die nach Beendigung des Scans die Scan-Berichte geschickt werden sollen. Die Berichte werden mit Hilfe des in der Verwaltungskonsole über den Knoten Configuration ` Alerting Options festgelegten E-Mail-Servers verschickt. • /DontShowStatus – (Optional) Verwenden Sie diesen Switch, um Scans im Hintergrund durchführen zu lassen. Der Scan-Fortschritt wird hierbei nicht angezeigt. • /? – (Optional) Mit diesem Switch lassen Sie die Benutzerhilfe des Befehlszeilen-Tools anzeigen. Hinweis: Vollständige Profilnamen und Pfade müssen immer in doppelten Anführungsstrichen stehen, z. B. "Default" oder "c:\temp\test.xml". Beim Befehlszeilen-Tool können mit Hilfe einzelner Variablen bestimmte Parameter festgelegt werden. Diese Variablen werden bei der Ausführung automatisch durch den entsprechenden Wert ersetzt. Folgende Variablen werden unterstützt: • %INSTALLDIR% – Wird während des Scan-Vorgangs durch den Pfad zum Installationsverzeichnis von GFI LANguard N.S.S. ersetzt. • %TARGET% – Wird während des Scan-Vorgangs durch den Namen des Zielrechners ersetzt. • %SCANDATE% – Wird während des Scan-Vorgangs durch das Scan-Datum ersetzt. • %SCANTIME% – Wird während des Scan-Vorgangs durch die Scan-Uhrzeit ersetzt. Beispiel: Starten eines Zielrechner-Scans per Befehlszeilen-Tool Für folgendes Beispiel wird ein Scan mit folgenden Parametern angenommen: 1. Der Sicherheits-Scan ist für einen Zielrechner mit der IP-Adresse 130.16.130.1 durchzuführen. 2. Die Scan-Ergebnisse sind in der XML-Datei c:\out.xml zu protokollieren. 3. Es soll ein HTML-Bericht erstellt und in der Datei c:\result.html gespeichert werden. 4. Der HTML-Bericht ist per E-Mail an [email protected] zu schicken. Die über das Befehlszeilen-Tool zu erteilende Anweisung lautet somit: lnsscmd.exe 130.16.130.1 /Profile="Default" /Output="c:\out.xml" /Report="c:\result.html" /email="[email protected]" 168 • 16. Verwenden von GFI LANguard N.S.S. per Befehlszeile GFI LANguard Network Security Scanner Verwenden des Befehlszeilen-Tools deploycmd.exe zur PatchBereitstellung Mit dem Tool deploycmd.exe kann die Bereitstellung von MicrosoftPatches und Dritthersteller-Software auf Remote-Rechnern direkt über die Befehlszeile, Dritthersteller-Anwendungen, Batch-Dateien oder Skripten erfolgen. Folgende Switches werden von diesem Befehlszeilen-Tool unterstützt: deploycmd [target] [/file=FileName] [/username=UserName /password=Password] [/UseComputerProfiles] [/warnuser] [/useraproval] [/stopservices] [/customshare=CustomShareName] [/reboot] [/rebootuserdecides] [/shutdown] [/deletefiles] [/timeout=Timeout(sec)] [/?] Switches: • Target – Geben Sie die Namen, IP-Adressen oder den IP-Bereich der Zielrechner an, auf denen Patches bereitgestellt werden sollen. • /File – Geben Sie die Datei an, die auf den angegebenen Zielrechnern installiert werden soll. • /User und /Password – (Optional) Geben Sie alternative Zugangsdaten an, die während der Patch-Bereitstellung von der Scan-Engine zur Authentifizierung am Zielrechner verwendet werden sollen. Alternativ können Sie den Switch /UseComputerProfiles nutzen, um die bereits in den ComputerProfilen (über den Knoten Configuration ` Computer Profiles) konfigurierten Zugangsdaten zu verwenden. • /warnuser – (Optional) Verwenden Sie diesen Switch, wenn Benutzer des Zielrechners informiert werden sollen, dass die Installation einer Datei/eines Patches bevorsteht. Die Benachrichtigung erfolgt über die Einblendung eines Dialogfensters unmittelbar vor der Installation. • /useraproval – (Optional) Verwenden Sie diesen Switch, wenn die Installation einer Datei/eines Patches erst nach erfolgreicher Zustimmung durch den Benutzer des Zielrechners erfolgen soll. Die hierdurch mögliche zeitliche Verschiebung erlaubt es, dass auf dem Zielrechner aktive Prozesse zunächst beendet werden können. • /stopservice – (Optional) Verwenden Sie diesen Switch, wenn vor der Installation der Datei/des Switches bestimmte Dienste auf dem Zielrechner angehalten werden sollen. Hinweis: Alle Dienste, die über das Befehlszeilen-Tool angehalten werden können, müssen zuvor über die Verwaltungskonsole festgelegt worden sein. Weitere Informationen zur Angabe von zu beendenden Diensten erhalten Sie im Kapitel „Patch-Verwaltung: Bereitstellen eigener Software“ unter „Bereitstellungsoptionen“. • /customshare – (Optional) Verwenden Sie diesen Switch, um das Zielverzeichnis anzugeben, in das die Datei vor der Installation verschoben werden soll. • /reboot – (Optional) Verwenden Sie diesen Switch, wenn der Zielrechner nach der Installation einer Datei/eines Patches neu gestartet werden soll. GFI LANguard Network Security Scanner 16. Verwenden von GFI LANguard N.S.S. per Befehlszeile • 169 • /rebootuserdecides – (Optional) Verwenden Sie diesen Switch, wenn der Benutzer des Zielrechners festlegen können soll, wann sein Rechner nach der Patch-Installation neu zu starten ist. • /shutdown – (Optional) Verwenden Sie diesen Switch, wenn der Zielrechner nach der Installation einer Datei/eines Patches heruntergefahren werden soll. • /deletefiles – (Optional) Verwenden Sie diesen Switch, wenn die Quelldatei nach der erfolgreichen Installation gelöscht werden soll. • /timeout – (Optional) Verwenden Sie diesen Switch, um ein Timeout für den Installationsprozess festzulegen. Dieser Wert legt fest, wie viel Zeit der Installationsprozess in Anspruch nehmen darf, bevor er wegen Zeitüberschreitung abgebrochen wird. • /? – (Optional) Mit diesem Switch lassen Sie die Benutzerhilfe des Befehlszeilen-Tools anzeigen. Beispiel: Starten der Patch-Bereitstellung per Befehlszeilen-Tool Für folgendes Beispiel wird eine Patch-Bereitstellung mit folgenden Parametern angenommen: 1. Es soll eine Datei mit dem Namen „patchA001002.XXX“ bereitgestellt werden. 2. Die Bereitstellung soll auf dem Zielrechner „TMjason“ erfolgen. 3. Der Zielrechner ist nach einer erfolgreichen Installation neu zu starten. Die über das Befehlszeilen-Tool zu erteilende Anweisung lautet somit: deploycmd TMjason /file=”patchA001002.XXX” /reboot 170 • 16. Verwenden von GFI LANguard N.S.S. per Befehlszeile GFI LANguard Network Security Scanner 17. Erstellen von SchwachstellenChecks über selbstdefinierte Bedingungen/Skripten Einführung In diesem Kapitel erfahren Sie, wie Sie eigene, mit Skripten oder durch Festlegung eigener Schwachstellen erstellte SchwachstellenChecks den vorgegebenen Checks hinzufügen können. Für Skripten lässt sich mit jede VBScript-kompatible Skriptsprache verwenden. Weitere Unterstützung leistet der standardmäßig mitgelieferte Skript-Editor von GFI LANguard N.S.S. Neu erstellte Schwachstellen-Checks müssen in die Liste der von GFI LANguard N.S.S. unterstützten Checks aufgenommen werden. Hierfür steht der Reiter Vulnerabilities zur Verfügung, über den die bereits vorhandenen Checks für jedes einzelne Scan-Profil ergänzt werden können. Hinweis: Neue Schwachstellen-Checks sollten nur von erfahrenen Anwendern erstellt werden. Fehler bei der Skript-Erstellung und fehlerhafte Konfigurationseinstellungen eines Schwachstellen-Checks können Fehlalarme zur Folge haben oder dazu führen, dass vorhandene Schwachstellen nicht erkannt werden. GFI LANguard N.S.S. VBScript GFI LANguard N.S.S. unterstützt Skripten, die in VBScriptkompatiblen Sprachen geschrieben sind. Hierdurch lassen sich eigene Skripten erstellen, mit denen Sie Ziele im Netzwerk auf von Ihnen definierte Sicherheitslücken überprüfen können. Beim Erstellen von Skripten für Sicherheits-Audits hilft der mitgelieferte Skript-Editor von GFI LANguard N.S.S. Er unterstützt Sie bei der Skript-Entwicklung, indem er Syntax hervorhebt und DebugFunktionen zur Fehlerbeseitigung bietet. Starten Sie den Skript-Editor über Start ` Programme ` GFI LANguard Network Security Scanner 8.0 ` LNSS Script Debugger. Hinweis: Weitere Informationen zum Erstellen von Skripten mit Hilfe des integrierten Skript-Editors erhalten Sie in der Hilfe-Datei „Scripting documentation“, die Sie unter Start ` Programme ` GFI LANguard Network Security Scanner 8.0 ` GFI LANguard N.S.S. Scripting documentation finden. Wichtiger Hinweis: GFI bietet keinen Support zu Anfragen bezüglich selbst erstellter Skripten. Bei Fragen zum Scripting von GFI LANguard N.S.S. wenden Sie sich bitte an das GFI-Forum zu den GFI LANguard-Produkten unter http://forums.gfi.com/. Über die GFIGFI LANguard Network Security Scanner17. Erstellen von Schwachstellen-Checks über selbstdefinierte Bedingungen/Skripten • 171 Foren können Sie Skripten austauschen und Probleme mit anderen Anwendern von GFI LANguard N.S.S. diskutieren. GFI LANguard N.S.S. SSH-Modul Im Lieferumfang von GFI LANguard N.S.S. ist ein SSH-Modul enthalten, das es Ihnen erlaubt, Skripten zur Überprüfung von Sicherheitslücken auch auf Linux/UNIX-Systemen ausführen zu lassen. Das SSH-Modul bestimmt das Ergebnis von SicherheitslückenChecks, indem die von einem ausgeführten Skript generierten Konsolendaten analysiert werden. Dies hat den Vorteil, dass sich jede vom Linux/UNIX-System unterstützte Skriptsprache verwenden lässt, die Ergebnisse im Textformat an die Konsole ausgeben kann. Erkennen des Check-Status anhand von Stichwörtern Das SSH-Modul kann Skripten über sein Terminal-Fenster laufen lassen. Wird ein Sicherheits-Scan für Linux-/UNIX-basierte Zielrechner gestartet, werden die Skripten zur Schwachstellen-Kontrolle per SSH-Verbindung an den Zielrechner übermittelt und laufen darauf lokal. Der Aufbau der SSH-Verbindung erfolgt über die Zugangsdaten (d. h. Benutzername und Passwort/SSH Private Key-Datei), die vor dem Beginn des Sicherheits-Scans angegeben worden sind. Das SSH-Modul erkennt den Status eines Schwachstellen-Checks über bestimmte Stichwörter, die in der Textausgabe des ausgeführten Skripts enthalten sind. Die vom Modul verarbeiteten Stichwörter werden zur weiteren Ausgabe dann an GFI LANguard N.S.S. weitergeleitet. Folgende Stichwörter werden standardmäßig vom SSH-Modul erkannt: • TRUE: • FALSE: • AddListItem • SetDescription • !!SCRIPT_FINISHED!! Jedes dieser Stichwörter löst einen eigenen Prozess im SSH-Modul aus. Nachfolgend wird die Funktion jedes Stichworts näher erläutert: • TRUE: / FALSE: – Mit diesen Strings wird das Ergebnis eines ausgeführten Schwachstellen-Checks/Skripts angezeigt. Erkennt das SSH-Modul den Ausgabewert „TRUE:“, zeigt dies an, dass der Check erfolgreich durchgeführt werden konnte. Bei „FALSE:“ hingegen erkennt das Modul den Check als fehlgeschlagen. • AddListItem – Mit diesem String wird eine interne Funktion aufgerufen, die dem Schwachstellen-Bericht Scan-Ergebnisse hinzufügt. Die Ergebnisse werden nach Abschluss eines Scans über die Verwaltungskonsole von GFI LANguard N.S.S. angezeigt. Der String sieht wie folgt aus: AddListItem([[[[übergeordneter Knoten]]]],[[[[String]]]]) 172 • 17. Erstellen von Schwachstellen-Checks über selbstdefinierte Bedingungen/SkriptenGFI LANguard Network Security Scanner • [[[[übergeordneter Knoten]]]] – Enthält den Namen des Scan-Ergebnis-Knotens, dem das Ergebnis hinzugefügt werden soll. • [[[[String]]]] – Enthält den Wert, der dem Scan-ErgebnisKnoten, hinzugefügt werden soll. Hinweis: Jeder Schwachstellen-Check ist einem Scan-ErgebnisKnoten zugeordnet. Dies hat zur Folge, dass Ergebnisse von AddListItem standardmäßig unter einem zugewiesenen Schwachstellen-Knoten aufgeführt werden. Wird kein Parameter für den übergeordneten Knoten angegeben, fügt die Funktion den angegebenen String dem Standard-Knoten hinzu. • SetDescription – Mit diesem String wird eine interne Funktion aufgerufen, die die vorgegebene Beschreibung eines Schwachstellen-Checks ändert. Der String sieht wie folgt aus: SetDescription([neue Beschreibung]) • !!SCRIPT_FINISHED!! – Dieser String zeigt das Ende einer Skriptausführung an. Das SSH-Modul sucht nach diesem String, bis die Suche erfolgreich ist oder wegen Zeitüberschreitung abgebrochen wird. Sollte ein Timeout eintreten, bevor der String !!SCRIPT_FINISHED!! ausgegeben ist, wird der SchwachstellenCheck vom SSH-Modul als fehlgeschlagen gewertet. Wichtiger Hinweis: Jedes selbst definierte Skript muss den String !!SCRIPT_FINISHED!! am Ende des Kontrollvorgangs ausgeben. Hinzufügen von auf eigenen VBS-Skripten basierenden SicherheitsChecks Mit Hilfe des Skript-Editors von GFI LANguard N.S.S. lassen sich eigene Skripten erstellen, mit denen Sie Ziele im Netzwerk auf von Ihnen definierte Schwachstellen überprüfen können. So erstellen Sie neue Schwachstellen-Checks, die auf von Ihnen erstellten VBScripts basieren: • Schritt 1: Erstellen des Skripts • Schritt 2: Hinzufügen des neuen Schwachstellen-Checks: Folgende Beispiele erläutern die hierfür notwendigen Schritte. Schritt 1: Erstellen des Skripts 1. Starten Sie den Script-Debugger über Start ` Programme ` GFI LANguard Network Security Scanner 8.0 ` GFI LANguard N.S.S. Script Debugger. 2. Klicken Sie auf das Menü File ` New. 3. Erstellen Sie Ihr Skript. Folgender Skript-Code soll als Beispiel dienen: Function Main echo "Script has run successfully" Main = true End Function 4. Sichern Sie das Skript z. B. unter „C:\Program Files\GFI\LANguard Network Security Scanner 8.0\Data\Scripts\meinSkript.vbs“. GFI LANguard Network Security Scanner17. Erstellen von Schwachstellen-Checks über selbstdefinierte Bedingungen/Skripten • 173 Schritt 2: Hinzufügen des neuen Schwachstellen-Checks 1. Rufen Sie die Verwaltungskonsole von GFI LANguard N.S.S. auf. 2. Erweitern Sie den Knoten Configuration ` Scanning Profiles, und wählen Sie das Scan-Profil aus, dem der neue Check hinzugefügt werden soll. 3. Klicken Sie auf den Reiter Vulnerabilities. 4. Wählen Sie im mittleren Fenster die Kategorie aus, der der neue Schwachstellen-Check hinzugefügt werden soll (z. B. DNS Vulnerabilities). Screenshot 149 – Dialog zum Erstellen eines neuen Schwachstellen-Checks 5. Klicken Sie auf die Schaltfläche Add. Hierdurch wird das Dialogfenster zum Hinzufügen einer neuen Schwachstelle geöffnet. 6. Geben Sie über die Reiter General, Description und Reference grundlegende Informationen an, wie Name der Schwachstelle, Kurzbeschreibung, Sicherheitsebene und OVAL-ID (falls zutreffend). 7. Gehen Sie auf den Reiter Conditions, und klicken Sie auf die Schaltfläche Add. Hierdurch wird das Dialogfenster für die CheckEigenschaften geöffnet. 174 • 17. Erstellen von Schwachstellen-Checks über selbstdefinierte Bedingungen/SkriptenGFI LANguard Network Security Scanner Screenshot 150 – Dialog zur Angabe von Auslösebedingungen 8. Gehen Sie auf den Knoten Independent checks ` VBScript und klicken Sie auf die Schaltfläche Next, um mit den Einstellungen fortzufahren. 9. Klicken Sie auf die Schaltfläche Choose file („öffnen“), und wählen Sie die VBScript-Datei aus, die von diesem Check ausgeführt wird (in diesem Beispiel „meinSkript.vbs“). Klicken Sie auf die Schaltfläche Next, um fortzufahren. 10. Schließen Sie die Skriptauswahl ab, indem Sie weitere Bedingungseinstellungen vornehmen. Klicken Sie auf die Schaltfläche Finish, um den Assistenten zu beenden. 11. Klicken Sie auf die Schaltfläche OK, um den neuen Schwachstellen-Check zu speichern. Testen des beispielhaft erstellten Schwachstellen-Checks/ Skripts Scannen Sie Ihren lokalen Host mit dem Scan-Profil, dem der neue Check hinzugefügt wurde. Screenshot 151 – Anzeige kritischer Schwachstellen Unter dem Knoten Vulnerabilities ` Miscellaneous Alerts der ScanErgebnisse wird eine entsprechende Schwachstelle angezeigt. GFI LANguard Network Security Scanner17. Erstellen von Schwachstellen-Checks über selbstdefinierte Bedingungen/Skripten • 175 Hinzufügen von auf eigenen Shell-Skripten basierenden Schwachstellen-Checks GFI LANguard N.S.S. bietet die Möglichkeit, auf selbst erstellten Shell-Skripten basierende Schwachstellen-Checks zur Kontrolle von Linux- und UNIX-Rechnern hinzuzufügen. Diese Checks werden per SSH über das SSH-Modul remote ausgeführt. Skripten lassen sich in allen Skript-Sprachen erstellen, die eine Ausgabe von Ergebnissen im Textformat unterstützen. Im folgenden Beispiel wird ein Schwachstellen-Check für LinuxRechner erstellt, das ein in Bash geschriebenes Skript verwendet. Mit diesem Check soll überprüft werden, ob eine Testdatei namens „test.file“ auffindbar ist. Schritt 1: Erstellen des Skripts 1. Öffnen Sie einen Text-Editor. 2. Erstellen Sie ein neues Skript mit folgendem Code: #!/bin/bash if [ -e test.file ] then echo "TRUE:" else echo "FALSE:" if echo "!!SCRIPT_FINISHED!!" 3. Sichern Sie das Skript z. B. unter „C:\Program Files\GFI\LANguard Network Security Scanner 8,0\Data\Scripts\meinSkript.sh“. 176 • 17. Erstellen von Schwachstellen-Checks über selbstdefinierte Bedingungen/SkriptenGFI LANguard Network Security Scanner Schritt 2: Hinzufügen des neuen Schwachstellen-Checks Screenshot 152 – Hinzufügen eines neuen Schwachstellen-Checks 1. Klicken Sie auf die Schaltfläche Main und gehen Sie auf den Knoten Configuration ` Scanning Profiles. Wählen Sie das ScanProfil aus, dem der neue Check hinzugefügt werden soll. 2. Klicken Sie auf den Reiter Vulnerabilities. 3. Wählen Sie im mittleren Fenster die Kategorie aus, der der neue Schwachstellen-Check hinzugefügt werden soll (z. B. DNS Vulnerabilities). 4. Klicken Sie auf die Schaltfläche Add. Hierdurch wird das Dialogfenster zum Hinzufügen einer neuen Schwachstelle geöffnet. 5. Geben Sie über die Reiter General, Description und Reference grundlegende Informationen an, wie Name der Schwachstelle, Kurzbeschreibung, Sicherheitsebene und OVAL-ID (falls zutreffend). 6. Gehen Sie auf den Reiter Conditions, und klicken Sie auf die Schaltfläche Add. Hierdurch wird das Dialogfenster für die CheckEigenschaften geöffnet. GFI LANguard Network Security Scanner17. Erstellen von Schwachstellen-Checks über selbstdefinierte Bedingungen/Skripten • 177 Screenshot 153 – Dialog zur Angabe von Auslösebedingungen 7. Gehen Sie auf den Knoten Unix checks ` SSH Script Test, und klicken Sie auf die Schaltfläche Next um mit den Einstellungen fortzufahren. 8. Klicken Sie auf die Schaltfläche Choose file („öffnen“), und wählen Sie die Skriptdatei aus, die von diesem Check ausgeführt wird (in diesem Beispiel „meinSkript.sh“). Klicken Sie auf die Schaltfläche Next, um fortzufahren. 9. Schließen Sie die Skriptauswahl ab, indem Sie weitere Bedingungseinstellungen vornehmen. Klicken Sie auf die Schaltfläche Finish, um den Assistenten zu beenden. 10. Klicken Sie auf die Schaltfläche Schwachstellen-Check zu speichern. OK, um den neuen Testen des beispielhaft erstellten Schwachstellen-Checks/ Skripts Scannen Sie Ihren lokalen Host mit dem Scan-Profil, dem der neue Check hinzugefügt wurde. 1. Melden Sie sich an einem Linux-Rechner an, und erstellen Sie eine Datei mit dem Namen test.file. Der Check gibt eine SchwachstellenWarnung aus, wenn diese Datei gefunden wird. 2. Unterziehen Sie den Linux-Rechner, auf dem die Datei erstellt wurde, einem Sicherheits-Scan. 3. Kontrollieren Sie die Scan-Ergebnisse. Unter dem Knoten Vulnerabilities wird die Warnmeldung wie folgt angezeigt: Screenshot 154 – Testen des Schwachstellen-Checks/Skripts 178 • 17. Erstellen von Schwachstellen-Checks über selbstdefinierte Bedingungen/SkriptenGFI LANguard Network Security Scanner Hinzufügen eines Sicherheits-Checks für CGI-Schwachstellen Soll ein neuer Check für eine CGI-Schwachstelle eingerichtet werden, ist hierfür kein gesondertes VB- oder SSH-Skript zu erstellen. Die Scan-Funktionen für CGI-Checks sind über die verschiedenen Optionen der Check-Eigenschaften konfigurierbar. Screenshot 155 – Erstellen eines neuen Checks für CGI-Schwachstellen So erstellen Sie einen neuen Check für eine CGI-Sicherheitslücke: 1. Klicken Sie auf die Schaltfläche Configuration. Gehen Sie auf den Knoten Configuration ` Scanning Profiles ` Only Web. 2. Klicken Sie auf den Reiter Vulnerabilities. 3. Wählen Sie im mittleren Fenster den Knoten Web aus. 4. Klicken Sie auf die Schaltfläche Add. Hierdurch wird das Dialogfenster zum Hinzufügen einer neuen Schwachstelle geöffnet. 5. Geben Sie über die Reiter General, Description und Reference grundlegende Informationen an, wie Name der Schwachstelle, Kurzbeschreibung, Sicherheitsebene und OVAL-ID (falls zutreffend). 6. Gehen Sie auf den Reiter Conditions, und klicken Sie auf die Schaltfläche Add. Hierdurch wird das Dialogfenster für die CheckEigenschaften geöffnet. 7. Gehen Sie auf den Knoten Independent checks ` CGI Abuse Test, und klicken Sie auf die Schaltfläche Next um mit den Einstellungen fortzufahren. 8. Legen Sie folgende Einstellungen fest: • HTTP Method – Legen Sie die Art der HTTP-Anfrage fest, die der Check zum Informationsabruf verwenden soll. Checks für CGISchwachstellen unterstützen zwei HTTP-Methoden, GET und HEAD. GFI LANguard Network Security Scanner17. Erstellen von Schwachstellen-Checks über selbstdefinierte Bedingungen/Skripten • 179 • To check for the URL – Geben Sie den Namen des CGI-Skripts an, das während eines Zielrechner-Scans ausgeführt werden soll. • Directories – Geben Sie die Verzeichnisse an, in denen sich das CGI-Skript befindet. Klicken Sie auf die Schaltfläche Next, um fortzufahren. 9. Legen Sie die Bedingungen für den CGI-Schwachstellen-Check fest. Klicken Sie auf die Schaltfläche Finish, um die Bedingungen zu speichern. 10. Klicken Sie auf die Schaltfläche OK, um den neuen CGISchwachstellen-Check zu speichern. Hinweis: Um neue Checks automatisch bei kommenden Scans zu berücksichtigen, klicken Sie auf die Schaltfläche Advanced, und wählen Sie für New vulnerabilities are enabled by default die Option Yes. 180 • 17. Erstellen von Schwachstellen-Checks über selbstdefinierte Bedingungen/SkriptenGFI LANguard Network Security Scanner 18. Weiterführende Optionen Einführung In diesem Kapitel erfahren Sie, wie Sie • NetBIOS auf einem Netzwerk-Rechner aktivieren, • den Client für Microsoft-Netzwerke unter Windows 2000 oder höher installieren, • Passwort-Richtlinien einer Active Directory-basierten Domäne konfigurieren und • Passwort-Richtlinien einer Active Directory-basierten Domäne anzeigen. Aktivieren von NetBIOS auf einem Netzwerk-Rechner 1. Melden Sie sich am Zielrechner mit administrativen Rechten an. 2. Navigieren Sie zur Systemsteuerung über Start ` Systemsteuerung, und doppelklicken Sie auf das Symbol Netzwerkverbindungen. Symbol für LAN-Verbindung 3. Klicken Sie mit der rechten Maustaste auf das LAN-Symbol der Netzwerkkarte, die Sie konfigurieren möchten, und wählen Sie im Kontextmenü Properties. 4. Klicken Sie auf Internetprotokoll (TCP/IP), und klicken Sie auf die Schaltfläche Eigenschaften. 5. Klicken Sie auf die Schaltfläche Erweitert. 6. Klicken Sie auf den Reiter WINS. GFI LANguard Network Security Scanner 18. Weiterführende Optionen • 181 Screenshot 156 – LAN-Eigenschaften, Reiter „WINS“ 7. Wählen Sie im Bereich NetBIOS-Einstellung die Option Standard. Hinweis: Falls Sie eine statische IP-Adresse verwenden oder der DHCP-Server keine NetBIOS-Einstellung anbietet, wählen Sie stattdessen die Option NetBIOS über TCP/IP aktivieren. 8. Klicken Sie auf die Schaltfläche OK, und schließen Sie die einzelnen Dialogfenster. Installieren des Clients für Microsoft-Netzwerke unter Windows 2000 oder höher Der Client für Microsoft-Netzwerke ist eine wichtige SoftwareKomponente, die für den Netzwerkeinsatz der Microsoft WindowsBetriebssysteme benötigt wird. Der Client muss auf einem WindowsRechner laufen, damit dieser per Fernzugriff auf Dateien, Drucker und andere freigegebene Netzwerk-Ressourcen zugreifen kann. Folgende Schritt-für-Schritt-Anweisungen helfen bei der Überprüfung, ob der Client bereits installiert ist und unterstützen Sie andernfalls bei dessen Installierung. 1. Navigieren Sie Systemsteuerung. 182 • 18. Weiterführende Optionen zur Systemsteuerung über Start ` GFI LANguard Network Security Scanner 2. Klicken Sie mit der rechten Maustaste auf das Symbol LANVerbindung, und wählen Sie im Kontextmenü Eigenschaften. Hierdurch wird der Dialog „Eigenschaften von LAN-Verbindung“ geöffnet. Hinweis: Bei älteren Versionen von Windows wie Windows 95 oder Windows 98 klicken Sie mit der rechten Maustaste auf Netzwerkumgebung, und wählen Sie im Kontextmenü Eigenschaften. Alternativ können Sie zur Systemsteuerung navigieren und das Element Netzwerk öffnen. Screenshot 157 – LAN-Eigenschaften 3. Wählen Sie unter dem Reiter Allgemein das Kontrollkästchen zu Client für Microsoft-Netzwerke aus, und klicken Sie auf Installieren, um mit der Installation zu beginnen. Hinweis 1: Ist das Kontrollkästchen zu Client für MicrosoftNetzwerke schon ausgewählt, wurde die Komponente bereits installiert. Hinweis 2: Ist das Netzwerk gerade aktiv, sind unter Umständen keine Kontrollkästchen sichtbar. Klicken Sie in diesem Fall erneut auf die Schaltfläche Eigenschaften, um zum gesamten Reiter Allgemein zu gelangen. Hinweis 3: Wird eine ältere Version von Windows verwendet, rufen Sie den Reiter Konfiguration auf, und kontrollieren Sie, ob der Client für Microsoft-Netzwerke in der angezeigten Liste aufgeführt ist. Ist GFI LANguard Network Security Scanner 18. Weiterführende Optionen • 183 dies nicht der Fall, installieren Sie die Komponente, indem Sie auf die Schaltfläche Add klicken. 4. Wählen Sie im neu eingeblendeten Dialog Client aus, und klicken Sie auf die Schaltfläche Add. 5. Wählen Sie rechts in der Liste der Hersteller den Eintrag Microsoft aus. Wählen Sie dann Client für Microsoft-Netzwerke aus der Liste der Netzwerk-Clients auf der rechten Fensterseite aus. Klicken Sie auf die Schaltfläche OK. 6. Klicken Sie auf die Schaltfläche OK, um die Installation abzuschließen, und führen Sie einen Neustart des Rechners durch. Nach dem Neustart wird der Client für Microsoft-Netzwerke automatisch installiert. Konfigurieren von Passwort-Richtlinien einer Active Directorybasierten Domäne Hinweis: Zur Durchführung der folgenden Schritte müssen Sie als Mitglied der Gruppe Domänen-Admin angemeldet sein. So legen Sie Passwortrichtlinien für Netzwerkrechner fest, die zu einer Active Directory-Domäne gehören: 1. Navigieren Sie zur Systemsteuerung über Systemsteuerung, und klicken Sie auf Verwaltung. Start ` Screenshot 158 – Konfigurierung von Active Directory-Benutzern und -Computern 2. Klicken Sie auf das Snap-in Active Directory-Benutzer und Computer. Klicken Sie mit der rechten Maustaste auf den Stammcontainer der Domäne, und wählen Sie im Kontextmenü Eigenschaften. 184 • 18. Weiterführende Optionen GFI LANguard Network Security Scanner Screenshot 159 – Konfigurierung eines neuen Gruppenrichtlinienobjekts (GPO) 3. Klicken Sie im Eigenschaften-Dialog auf den Reiter Gruppenrichtlinie. Klicken Sie auf die Schaltfläche Neu, um im Stammcontainer ein neues Gruppenrichtlinienobjekt zu erstellen. 4. Geben Sie der neuen Richtlinie einen Namen (z. B. „Domänenrichtlinie“), und klicken Sie auf die Schaltfläche Schließen. Hinweis: Microsoft empfiehlt, keine Änderungen an der standardmäßigen Richtlinie („Standarddomänenrichtlinie“) vorzunehmen, sondern anstatt dessen ein neues Gruppenrichtlinienobjekt zu erstellen. Schwerwiegende Probleme bei Sicherheitseinstellungen lassen sich hierdurch leichter beheben. In einem solchen Fall braucht lediglich das neue Gruppenrichtlinienobjekt vorübergehend deaktiviert zu werden, bis die problematischen Einstellungen gefunden sind. 5. Klicken Sie mit der rechten Maustaste auf den Stammcontainer der Domäne, und wählen Sie im Kontextmenü Eigenschaften. Der Dialog zu den Eigenschaften der Domäne wird geöffnet. 6. Klicken Sie auf den Reiter Gruppenrichtlinie, und wählen Sie die gerade erstellte Gruppenrichtlinienobjekt-Verknüpfung (z. B. „Domänenrichtlinie“) aus. 7. Klicken Sie auf die Schaltfläche Nach oben, um das neue GPO an die oberste Stelle in der Liste zu verschieben. Klicken Sie dann auf die Schaltfläche Bearbeiten, um den Editor „GPEdit“ zu öffnen. GFI LANguard Network Security Scanner 18. Weiterführende Optionen • 185 Screenshot 160 – Group Policy Object Editor 8. Erweitern Sie den Knoten Computerkonfiguration, und navigieren Sie zum Verzeichnis Windows-Einstellungen ` Sicherheitseinstellungen ` Kontorichtlinien ` Kennwortrichtlinie. Screenshot 161 – Konfigurierung der Kennwortchronik 9. Doppelklicken Sie im rechten Fenster auf die Richtlinie Kennwortchronik erzwingen. Wählen Sie die Option Diese Richtlinieneinstellung definieren, und setzen Sie den Wert für Kennwortchronik behalten auf „24“. 10. Klicken Sie abschließend auf die Schaltfläche OK, um den Dialog zu schließen. 186 • 18. Weiterführende Optionen GFI LANguard Network Security Scanner Screenshot 162 – Konfigurierung des Kennwortablaufs 11. Doppelklicken Sie im rechten Fenster auf die Richtlinie Maximales Kennwortalter. Wählen Sie die Option Diese Richtlinieneinstellung definieren, und setzen Sie den Wert für Kennwort läuft ab in auf „42“ Tage. 12. Klicken Sie auf die Schaltfläche OK, um den Eigenschaftendialog zu schließen. Screenshot 163 – Konfigurierung des minimalen Kennwortalters 13. Doppelklicken Sie im rechten Fenster auf die Richtlinie Minimales Kennwortalter. Wählen Sie die Option Diese Richtlinieneinstellung definieren, und setzen Sie den Wert für Kennwort kann geändert werden nach auf „2“ Tage. 14. Klicken Sie abschließend auf die Schaltfläche OK, um den Dialog zu schließen. GFI LANguard Network Security Scanner 18. Weiterführende Optionen • 187 Screenshot 164 – Konfigurierung der Mindestanzahl an Zeichen eines Passworts 15. Doppelklicken Sie im rechten Fenster auf die Richtlinie Minimale Kennwortlänge. Wählen Sie die Option Diese Richtlinieneinstellung definieren, und setzen Sie den Wert für Minimale Kennwortlänge auf „8“ Zeichen. 16. Klicken Sie abschließend auf die Schaltfläche OK, um den Dialog zu schließen. Screenshot 165 – Erzwingen der Kennwortkomplexität 17. Doppelklicken Sie im rechten Fenster auf die Richtlinie Kennwörter müssen bestimmten Komplexitätsanforderungen entsprechen. Wählen Sie die Option Diese Richtlinieneinstellung definieren und Aktiviert. 18. Klicken Sie abschließend auf die Schaltfläche OK, um den Dialog zu schließen. 19. Die Einstellungen der Passwortrichtlinien des neuen GPO sind nun konfiguriert. Schließen Sie alle Dialogfenster inklusive des Dialogs „Active Directory-Benutzer und -Computer“. 188 • 18. Weiterführende Optionen GFI LANguard Network Security Scanner Anzeigen von Passwort-Richtlinien einer Active Directory-basierten Domäne Hinweis: Zur Durchführung der folgenden Schritte müssen Sie als Mitglied der Gruppe Domänen-Admin angemeldet sein. Gehen Sie wie nachfolgend beschrieben vor, um zu kontrollieren, ob alle notwendigen Einstellungen zu Passwortrichtlinien korrekt angewendet werden. Die Kontrolle der Einstellungen und ihrer Funktion stellt sicher, dass für sämtliche Benutzer der Domäne korrekte Passwortrichtlinien gelten. So kontrollieren Sie die Passwort-Richtlinien einer Active DirectoryDomäne: 1. Navigieren Sie zur Systemsteuerung über Systemsteuerung, und klicken Sie auf Verwaltung. Start ` 2. Klicken Sie auf das Snap-in Active Directory-Benutzer und Computer. Klicken Sie mit der rechten Maustaste auf den Stammcontainer der Domäne, und wählen Sie im Kontextmenü Eigenschaften. 3. Klicken Sie auf den Reiter Gruppenrichtlinie. Wählen Sie das zu kontrollierende GPO aus (z. B. Domain Policy GPO), und klicken Sie auf die Schaltfläche Bearbeiten, um den Editor „GPEdit“ zu öffnen. 4. Erweitern Sie den Knoten Computerkonfiguration, und navigieren Sie zum Verzeichnis Windows-Einstellungen ` Sicherheitseinstellungen ` Kontorichtlinien ` Kennwortrichtlinie. Screenshot 166 – Kontrolle der GPO-Einstellungen Die Einstellungen der Passwortrichtlinie werden im rechten Fenster des GPO-Editors angezeigt. Vorausgesetzt, Sie haben die GPOPasswortrichtlinie wie im obigen Screenshot dargestellt konfiguriert, sollten Sie sicherstellen, dass Benutzer keine Passwörter verwenden können, die weniger als acht Zeichen besitzen. Mit Hilfe dieser Richtlinieneinstellungen sollte es Benutzern zudem nicht möglich sein, zu einfache Passwörter zu erstellen. Ebenso wenig sollte die Änderung von Passwörtern erlaubt sein, die noch nicht zwei Tage aktiv sind. GFI LANguard Network Security Scanner 18. Weiterführende Optionen • 189 190 • 18. Weiterführende Optionen GFI LANguard Network Security Scanner 19. Troubleshooting Einführung In diesem Kapitel erfahren Sie, welche Hilfsmöglichkeiten es bei Problemen gibt. Folgende Informationsquellen stehen zur Verfügung: • Das Handbuch – die meisten Probleme lassen sich mit Hilfe des Handbuchs lösen. • Die GFI Knowledge-Base auf der Website von GFI. • Die Support-Site von GFI. • E-Mail-Anfrage an den maito:[email protected]. • Kontaktaufnahme mit dem GFI-Support über den englischsprachigen Live-Support unter http://support.gfi.com/ livesupport.asp. • Telefonische Kontaktaufnahme mit dem GFI-Support. GFI-Support an Knowledge-Base Die Knowledge-Base von GFI hält Antworten zu den am häufigsten gestellten Fragen bereit. Bei Problemen sollten Sie zunächst die Knowledge-Base konsultieren. Diese Wissensdatenbank bietet immer die neuesten Informationen zu Support-Fragen und Patches. Sie kann aufgerufen werden unter http://kbase.gfi.com. Support-Anfrage per E-Mail Wenn Sie Ihre Probleme mit Hilfe der Wissensdatenbank und dem Handbuch nicht lösen konnten, können Sie sich an den GFI-Support wenden. Sie sollten den Support per E-Mail kontaktieren, da Sie hierbei die Möglichkeit haben, Ihrer Nachricht wichtige Informationen beizufügen, die helfen, Ihre Fragen schneller zu beantworten. Das Programm Troubleshooter aus der Programmgruppe generiert automatisch eine Reihe von Dateien, die der technische Support zur Problemanalyse benötigt. Die Dateien beinhalten u. a. Angaben zur Konfiguration. Um diese Dateien zu erzeugen, starten Sie den Troubleshooter, und folgen Sie den Anweisungen des Programms. Neben dem Erfassen allgemeiner Informationen stellt Ihnen das Programm einige Fragen. Bitte nehmen Sie sich die Zeit, diese korrekt zu beantworten. Ohne die richtigen Informationen ist es dem Support nicht möglich, Ihr Problem genauer zu diagnostizieren. Öffnen Sie danach im Programmverzeichnis das Unterverzeichnis „Support" (unter „troubleshooter\support"), komprimieren Sie die darin GFI LANguard Network Security Scanner 19. Troubleshooting • 191 enthaltenen Dateien im ZIP-Format, und senden Sie komprimierte ZIP-Datei an mailto:[email protected]. diese Stellen Sie jedoch zuvor bitte sicher, dass Sie Ihr Produkt auf der GFIWebsite unter http://www.gfisoftware.de/de/pages/regfrm.htm registriert haben. Ihre Anfrage wird für gewöhnlich innerhalb von 24 Stunden beantwortet. Support-Anfrage per Web-Chat Sie erhalten weiteren Support über unseren Live-Chat „LiveSupport“ im Web. Die Kontaktaufnahme mit dem GFI-Support über „LiveSupport“ erfolgt unter http://support.gfi.com/livesupport.asp. Stellen Sie jedoch zuvor bitte sicher, dass Sie Ihr Produkt auf der GFIWebsite unter http://www.gfisoftware.de/de/pages/regfrm.htm registriert haben. Support-Anfrage per Telefon Für technische Hilfe können Sie auch telefonischen Kontakt mit dem Support-Team aufnehmen. Die entsprechenden Rufnummern für Ihr Land finden Sie auf der Supportsite von GFI. Support-Website: http://support.gfi.com/?lcode=de Stellen Sie jedoch zuvor bitte sicher, dass Sie Ihr Produkt auf der GFIWebsite unter http://www.gfisoftware.de/de/pages/regfrm.htm registriert haben. Web-Forum Über das Web-Forum steht Ihnen der User-to-User-Support zur Verfügung. Das Forum erreichen Sie unter http://forums.gfi.com/ Benachrichtigung bei neuen Builds Es wird empfohlen, für aktuelle Informationen zu den neuesten Produkt-Builds die entsprechende GFI-Benachrichtigungsliste zu abonnieren. Um stets über alle aktuellen Builds auf dem Laufenden zu sein, können Sie Benachrichtigungen abonnieren unter: http://support.gfi.com/?lcode=de 192 •Index GFI LANguard Network Security Scanner M Index Microsoft SQL Server-Audit 157, 164 N NetBIOS 49, 181 Netzwerkgerät 2, 47, 109, 113 Netzwerk-Tools 157 A angemeldeter Benutzer 43 Anwendung 46, 97, 116 Attendant 4, 5 Audit-Richtlinie 39 Automatischer PatchDownload 78, 79 O Offener Port 41, 60 OVAL 1, 2, 89, 90, 102 P Befehlszeile 3, 141 Befehlszeilen-Tools 3, 167 Benutzer 41 Benutzer und Gruppen 60 Benutzer-Skript 176 Benutzerskripten 5 Betriebssystem 3 Betriebssystemdaten 96,99 Parameter-Dateien 80 Passwortrichtlinie 37 Patch-Bereitstellung 4, 5, 129, 134, 144 Patch-Rollback 3 Patch-Status 49 Patch-Verwaltung 3, 129, 139 physisches Gerät 47 Programmaktualisierung 123, 125, 127 C R Computer auflisten 160 Computer-Profile 17, 75 Registrierdatenbank 33, 34, 38 Remote-Prozess 44 B D Datenbank-Backend 3, 11, 55, 67, 81, 86 Datenbankwartung 81 Dienst 34, 41, 84 Dienste 2, 11, 81 DNS-Lookup 157 drahtloses Gerät 47 E Ergebnisvergleich 148 F Freigabe 36, 60 G Gruppe 42 I Installation 12, 13, 14 L S Scan nach Zeitplan 68, 153 Scan- Profil 97, 98, 99, 100, 101, 106, 107, 112, 114, 117, 118, 120 Scan-Ergebnis 3, 4, 11, 28, 55, 59, 63, 67, 72, 81, 82, 101, 148, 167, 172, 175 Scan-Kategorie 52 Scan-Profil 34, 89. 41, 96, 105, 174, 177, 179 Scan-Threads 109 Schwachstelle 30, 32, 35, 96, 101, 174, 175, 177, 178, 179 Script-Debugger 4, 5 Sicherheitsanwendung 119 Skript-Editor 171 SNMP-Audit 157, 163 SNMP-Walk 157, 164 SSH 9, 172 SSH Private Key 17, 71, 75, 172 Status-Monitor 4, 6, 151 Systemanforderungen 9 Lizenzierung 7, 9 GFI LANguard Network Security Scanner Index• 193 T Traceroute 158 U USB-Gerät 2, 48, 60, 97, 109, 111, 114 Users 41 V virtuelles Gerät 47 W Whois 157, 159 194 •Index GFI LANguard Network Security Scanner