GFI LANguard Network Security Scanner

GFI LANguard Network Security Scanner 8
Handbuch
GFI Software
http://www.gfisoftware.de
E-Mail: [email protected]
Die Informationen in diesem Dokument können ohne vorherige
Ankündigung geändert werden. In den Beispielen verwendete Firmen,
Namen und Daten sind, wenn nicht anders angegeben, rein fiktiv.
Ohne vorherige ausdrückliche und schriftliche Zustimmung von GFI
SOFTWARE darf das Dokument weder ganz noch teilweise in
irgendeiner Form, sei es elektronisch oder mechanisch, oder zu
irgendeinem Zweck reproduziert bzw. übertragen werden.
LANguard ist urheberrechtlich geschützt durch GFI SOFTWARE.
© 2000-2007 GFI SOFTWARE. Alle Rechte vorbehalten.
Version 8.0 – Letzte Aktualisierung: 14. August 2007
Inhaltsverzeichnis
1. Einführung
1
Überblick über GFI LANguard Network Security Scanner............................................. 1
Aufbau dieses Handbuchs ................................................................................ 1
Hauptmerkmale von GFI LANguard N.S.S. ................................................................... 2
Komponenten von GFI LANguard N.S.S. ...................................................................... 4
Information zur Lizenzierung.......................................................................................... 7
Produktevaluierung ........................................................................................................ 7
2. Installieren von GFI LANguard N.S.S.
9
Systemanforderungen.................................................................................................... 9
Hinweise zum Einsatz von Firewalls................................................................. 9
Starten der Installation ................................................................................................... 9
Aktualisieren von Vorgängerversionen auf GFI LANguard N.S.S. 8 ........................... 13
Eingeben des Registrierschlüssels nach der Installation............................................. 14
3. Verwenden der Verwaltungskonsole
15
Einführung.................................................................................................................... 15
Aufbau der Verwaltungskonsole .................................................................................. 15
4. Erste Schritte: Durchführen eines Audits
17
Einführung.................................................................................................................... 17
Durchführen von Sicherheits-Scans mit Standardvorgaben........................................ 18
Konfigurieren zu scannender IP-Bereiche ................................................................... 22
Scan-Bereiche................................................................................................. 22
Scan-Ausnahmen in einem IP-Bereich........................................................... 22
Sofort-Scans mit Anmeldeinformationen des aktuellen Benutzers.............................. 23
Sofort-Scans mit Hilfe alternativer Anmeldeinformationen .......................................... 23
Sofort-Scans mit Hilfe eines SHH Private Key ............................................................ 24
Sofort-Scan mit Hilfe einer Null-Session...................................................................... 24
5. Erste Schritte: Analysieren der Scan-Ergebnisse
25
Einführung.................................................................................................................... 25
Scan-Ergebnisse.......................................................................................................... 25
Analysieren der zusammengefassten Scan-Ergebnisse von
Netzwerkrechnern ........................................................................................................ 26
Analysieren des Scan-Ergebnisses eines Einzelrechners .......................................... 27
Nach einem Scan durchzuführende Aktionen ............................................................. 28
Analysieren der detaillierten Scan-Ergebnisse ............................................................ 28
Scan-Ergebnisse im Detail: Analysieren der Schwachstellen ..................................... 30
Anzeigen unerlaubter USB-Geräte als kritische
Sicherheitslücken ............................................................................................ 34
Scan-Ergebnisse im Detail: Analysieren potenzieller Schwachstellen ........................ 35
Scan-Ergebnisse im Detail: Analysieren von Freigaben.............................................. 36
Umgang mit Freigaben ................................................................................... 36
Umgang mit administrativen Freigaben .......................................................... 37
Scan-Ergebnisse im Detail: Analysieren der Passwortrichtlinie .................................. 37
GFI LANguard Network Security Scanner
Inhaltsverzeichnis • i
Scan-Ergebnisse im Detail: Analysieren der RegistrierdatenbankEinstellungen................................................................................................................ 38
Scan-Ergebnisse im Detail: Analysieren der Überwachungsrichtlinien ....................... 39
Scan-Ergebnisse im Detail: Analysieren offener TCP-Ports........................................ 41
Wichtige Hinweise vor Scan-Beginn ............................................................... 41
Service-Fingerprinting..................................................................................... 42
Gefährliche Ports ............................................................................................ 42
Scan-Ergebnisse im Detail: Analysieren von Benutzer- und
Gruppenkonten ............................................................................................................ 42
Scan-Ergebnisse im Detail: Analysieren der angemeldeten Benutzer ........................ 43
Scan-Ergebnisse im Detail: Analysieren von Diensten................................................ 44
Scan-Ergebnisse im Detail: Analysieren von Prozessen............................................. 44
Scan-Ergebnisse im Detail: Analysieren installierter Anwendungen ........................... 46
Gruppen zu Anti-Virus- und Anti-Spyware-Programmen................................ 46
Gruppe zu allgemeinen Anwendungen........................................................... 47
Scan-Ergebnisse im Detail: Analysieren von Netzwerkgeräten .................................. 47
Scan-Ergebnisse im Detail: Analysieren der USB-Geräte........................................... 48
Scan-Ergebnisse im Detail: Analysieren des Installationsstatus von
Patches/Service Packs ................................................................................................ 49
Scan-Ergebnisse im Detail: Analysieren von NetBIOS-Namen................................... 49
Scan-Ergebnisse im Detail: Analysieren der Systeminformationen
von Zielrechnern .......................................................................................................... 50
Scan-Ergebnisse im Detail: Analysieren von Sessions ............................................... 51
Scan-Ergebnisse im Detail: Analysieren der Uhrzeit des Zielrechners ....................... 52
Scan-Ergebnisse im Detail: Analysieren lokaler Festplattenlaufwerke........................ 52
Anzeigen und Sortieren von Scan-Kategorien............................................................. 52
6. Speichern und Abrufen von Scan-Ergebnissen
55
Einführung.................................................................................................................... 55
Speichern von Scan-Ergebnissen in einer externen (XML-)Datei ............................... 55
Abrufen von Scan-Ergebnissen ................................................................................... 56
Abrufen gespeicherter Scan-Daten aus dem DatenbankBackend .......................................................................................................... 56
Abrufen gespeicherter Scan-Ergebnisse aus einer XML-Datei ...................... 57
7. Filtern von Scan-Ergebnissen
59
Einführung.................................................................................................................... 59
Anwenden von Filtern auf Scan-Ergebnisse................................................................ 61
Erstellen eigener Scan-Filter........................................................................................ 62
8. Konfigurieren von GFI LANguard N.S.S.
67
Einführung.................................................................................................................... 67
Erstellen und Konfigurieren von Scans nach Zeitplan ................................................. 67
Erstellen eines Scans nach Zeitplan............................................................................ 68
Scan nach Zeitplan: Konfigurieren von Scan-Zielen....................................... 70
Scan nach Zeitplan: Festlegen der Anmeldeinformationen............................ 70
Scan nach Zeitplan: Konfigurieren erweiterter Optionen................................ 71
Scan nach Zeitplan: Konfigurieren der Ergebnisspeicherung ..................................... 72
Scan nach Zeitplan: Festlegen der Ergebnisbenachrichtigung ................................... 73
Konfigurieren von Warnungen ..................................................................................... 74
Computer-Profile .......................................................................................................... 75
Informationen zur SSH-basierten Authentifizierung per
Private Key-Datei ............................................................................................ 75
Erstellen eines neuen Computer-Profils ......................................................... 76
Konfigurieren von Computer-Profilen ............................................................. 77
Aktivieren/Deaktivieren von Computer-Profilen ........................................................... 77
Verwenden von Computer-Profilen für einen Sicherheits-Scan .................................. 78
Konfigurieren des automatischen Patch-Downloads ................................................... 78
ii • Inhaltsverzeichnis
GFI LANguard Network Security Scanner
Parameter-Dateien....................................................................................................... 80
Datenbankwartung ....................................................................................................... 81
Auswählen des Datenbank-Backends ............................................................ 82
Speichern von Scan-Ergebnissen in einer Microsoft AccessDatenbank....................................................................................................... 82
Speichern von Scan-Ergebnissen in einer Microsoft SQL
Server-Datenbank ........................................................................................... 83
Datenbankwartung: Verwalten gespeicherter ScanErgebnisse ...................................................................................................... 84
Datenbankwartung: Anzeigen aller gescannten Computer ............................ 85
Datenbankwartung: erweiterte Optionen ........................................................ 86
9. Scan-Profile
89
Einführung.................................................................................................................... 89
Informationen zu OVAL................................................................................................ 89
Unterstützung von OVAL durch GFI LANguard N.S.S. ............................................... 90
Informationen zum OVAL Compatibility Program ........................................................ 90
Fehlerbericht bei OVAL-Problemen ............................................................................. 91
Erläuterung der Scan-Profile........................................................................................ 91
Hinweise zur Auswahl des Scan-Profils ......................................................... 94
Einsetzen von Scan-Profilen........................................................................................ 95
Erstellen eines neuen Scan-Profils .............................................................................. 96
Anpassen eines Scan-Profils ....................................................................................... 97
Konfigurieren der TCP/UDP-Port-Scans...................................................................... 97
Aktivieren der Scan-Option für TCP/UPD-Ports ............................................. 97
Auswählen der zu scannenden TCP/UDP-Ports ............................................ 98
Hinzufügen/Entfernen der zu scannenden TCP/UDP-Ports........................... 98
Konfigurieren des Abrufs von Betriebssystemdaten.................................................... 99
Konfigurieren der Optionen von Schwachstellen-Scans............................................100
Aktivieren/Deaktivieren des Schwachstellen-Scanning ................................100
Anpassen der Liste zu kontrollierender Schwachstellen ..............................101
Anpassen der Eigenschaften einzelner SchwachstellenChecks ..........................................................................................................101
Festlegen von Bedingungen für Schwachstellen-Checks ............................103
Schwachstellen-Checks – erweiterte Optionen ............................................105
Konfigurieren der Patch-Scan-Optionen ....................................................................106
Aktivieren/Deaktivieren von Patch-Checks...................................................106
Anpassen der Liste zu kontrollierender Patches ..........................................107
Suchen nach Informationen eines Sicherheitsbulletins ................................107
Konfigurieren der Scanner-Optionen .........................................................................108
Konfigurieren der Kontrolle extern angeschlossener Hardware ................................109
Aktivieren/Deaktivieren von Checks für installierte
Netzwerkgeräte .............................................................................................112
Erstellen einer Liste befugter/unbefugter Netzwerkgeräte ...........................112
Konfigurieren erweiterter Scan-Optionen für Netzwerkgeräte......................113
Aktivieren/Deaktivieren von Checks für angeschlossene
USB-Geräte...................................................................................................114
Erstellen einer Liste autorisierter/unbefugter USB-Geräte ...........................115
Konfigurieren der Optionen von Anwendungs-Scans................................................116
Scannen installierter Anwendungen ..........................................................................117
Aktivieren/Deaktivieren von Checks für installierte
Anwendungen ...............................................................................................117
Erstellen einer Liste befugter/unbefugter Anwendungen..............................118
Scannen von Sicherheitsanwendungen ....................................................................119
Aktivieren/Deaktivieren von Scans nach
Sicherheitsanwendungen..............................................................................120
Anpassen der Liste zu scannender Sicherheitsanwendungen.....................120
Konfigurieren von Sicherheitsanwendungen – erweiterte
Optionen........................................................................................................121
GFI LANguard Network Security Scanner
Inhaltsverzeichnis • iii
10. Abrufen von Software-Updates
123
Einführung..................................................................................................................123
Kontrollieren von aktuell installierten Programm-Updates.........................................123
Herunterladen von Microsoft Produkt-Updates für verschiedene
Sprachen....................................................................................................................124
Durchführen manueller Programmaktualisierungen ..................................................125
Suchen nach Software-Aktualisierungen beim Programmstart .................................126
Beim Programmstart zu kontrollierende Aktualisierungen.........................................127
11. Patch-Verwaltung: Bereitstellen von Microsoft-Updates
129
Einführung..................................................................................................................129
Auswählen von Zielrechnern für Patch-Bereitstellung ...............................................130
Bereitstellen fehlender Aktualisierungen auf einem Rechner.......................130
Bereitstellen fehlender Aktualisierungen auf ausgewählten
Rechnern.......................................................................................................130
Bereitstellen fehlender Aktualisierungen auf allen Rechnern .......................130
Auswählen bereitzustellender Patches ......................................................................131
Sortieren aller anstehenden Software-Aktualisierungen............................................131
Herunterladen von Patch- und Service Pack-Dateien ...............................................132
Überprüfen des Dateistatus in der Download-Warteschlange......................132
Abbrechen laufender Downloads..................................................................133
Konfigurieren alternativer Bereitstellungsparameter für Patch-Dateien
(optional) ....................................................................................................................134
Bereitstellen heruntergeladener Patches auf ausgewählten
Zielrechnern ...............................................................................................................135
Überwachen der Patch-Bereitstellung .......................................................................135
Patch-Rollback: Deinstallieren von bereits bereitgestellten
Sicherheitsaktualisierungen .......................................................................................136
Überwachen der Deinstallation von Sicherheitsaktualisierungen..............................137
12. Patch-Verwaltung: Bereitstellen eigener Software
139
Einführung..................................................................................................................139
Festlegen der bereitzustellenden Software ...............................................................140
Auswählen von Zielrechnern für Software-Bereitstellung ..........................................141
Bereitstellungsoptionen..............................................................................................142
Konfigurieren von Aktionen vor der Bereitstellung........................................142
Konfigurieren von Aktionen nach der Bereitstellung.....................................143
Konfigurieren von erweiterten Bereitstellungsaktionen.................................144
Beginnen der Software-Bereitstellung .......................................................................145
13. Vergleichen von Scan-Ergebnissen
147
Einführung..................................................................................................................147
Festlegen der bei Scan-Ergebnissen anzuzeigenden Änderungen ..........................147
Erstellen eines Vergleichsberichts .............................................................................148
Überprüfen des Vergleichsberichts............................................................................149
14. GFI LANguard N.S.S. Status-Monitor
151
Einführung..................................................................................................................151
Anzeigen des Gefährdungsgrads des gesamten Netzwerks.....................................152
Anzeigen des Verlaufs von Sicherheits-Scans nach Zeitplan ...................................153
Anzeigen des Verlaufs von Software-Bereitstellungen nach Zeitplan .......................153
Anzeigen der Warteschlange für automatische Downloads ......................................155
15. Werkzeuge
157
Einführung..................................................................................................................157
DNS-Lookup...............................................................................................................157
iv • Inhaltsverzeichnis
GFI LANguard Network Security Scanner
Traceroute..................................................................................................................158
Whois .........................................................................................................................159
Enumerate Computers (Auflistung von Rechnern) ....................................................160
Starten eines Sicherheits-Scans...................................................................160
Bereitstellen eigener Patches .......................................................................161
Aktivieren von Audit-Richtlinien ....................................................................161
Enumerate Users (Auflistung von Anwendern)..........................................................162
SNMP Audit................................................................................................................163
SNMP Walk................................................................................................................164
Microsoft SQL Server-Audit .......................................................................................164
16. Verwenden von GFI LANguard N.S.S. per Befehlszeile
167
Einführung..................................................................................................................167
Verwenden des Befehlszeilen-Tools lnsscmd.exe für NetzwerkScans .........................................................................................................................167
Verwenden des Befehlszeilen-Tools deploycmd.exe zur PatchBereitstellung .............................................................................................................169
17. Erstellen von Schwachstellen-Checks über selbstdefinierte
Bedingungen/Skripten
171
Einführung..................................................................................................................171
GFI LANguard N.S.S. VBScript .................................................................................171
GFI LANguard N.S.S. SSH-Modul .............................................................................172
Erkennen des Check-Status anhand von Stichwörtern ................................172
Hinzufügen von auf eigenen VBS-Skripten basierenden SicherheitsChecks .......................................................................................................................173
Schritt 1: Erstellen des Skripts ......................................................................173
Schritt 2: Hinzufügen des neuen Schwachstellen-Checks ...........................174
Hinzufügen von auf eigenen Shell-Skripten basierenden
Schwachstellen-Checks.............................................................................................176
Schritt 1: Erstellen des Skripts ......................................................................176
Schritt 2: Hinzufügen des neuen Schwachstellen-Checks ...........................177
Hinzufügen eines Sicherheits-Checks für CGI-Schwachstellen ................................179
18. Weiterführende Optionen
181
Einführung..................................................................................................................181
Aktivieren von NetBIOS auf einem Netzwerk-Rechner .............................................181
Installieren des Clients für Microsoft-Netzwerke unter Windows 2000
oder höher..................................................................................................................182
Konfigurieren von Passwort-Richtlinien einer Active Directorybasierten Domäne......................................................................................................184
Anzeigen von Passwort-Richtlinien einer Active Directory-basierten
Domäne......................................................................................................................189
19. Troubleshooting
191
Einführung..................................................................................................................191
Knowledge-Base ........................................................................................................191
Support-Anfrage per E-Mail .......................................................................................191
Support-Anfrage per Web-Chat .................................................................................192
Support-Anfrage per Telefon .....................................................................................192
Web-Forum ................................................................................................................192
Benachrichtigung bei neuen Builds............................................................................192
Index
GFI LANguard Network Security Scanner
193
Inhaltsverzeichnis • v
1. Einführung
Überblick über GFI LANguard Network Security Scanner
GFI LANguard Network Security Scanner (N.S.S.) ist eine integrierte
Lösung
für
Schwachstellen-Scans,
Patch-Management
und
Sicherheits-Audits, die folgende Funktionalitäten zum Scannen und
Absichern Ihres Netzwerks bietet:
•
Identifizierung von System- und Netzwerksicherheitslücken mit
einer leistungsfähigen, auf OVAL- und SANS Top 20Schwachstellen basierenden Schwachstellendatenbank.
•
Audits sämtlicher Hardware- und Software-Bereiche von im
Netzwerk installierten Systemen für eine detaillierte Bestandsaufnahme der IT-Infrastruktur. Sogar installierte Anwendungen
und mit dem Netzwerk verbundene USB-Geräte werden
angezeigt.
Darüber
erfolgt
eine
Überprüfung
der
Konfigurationseinstellungen von installierten Anti-Virus- und
Anti-Spyware-Lösungen um sicherzustellen, dass Schutzfunktionen aktiviert sind.
•
Automatischer Download und Remote-Installation von Service
Packs und Patches zu Microsoft-Betriebssystemen und
Lösungen von Drittherstellern.
Aufbau dieses Handbuchs
In diesem Handbuch werden alle aufeinander aufbauenden Schritte
erklärt, die für die schnelle Installation, Einrichtung und Verwendung
von GFI LANguard N.S.S. erforderlich sind.
•
Kapitel 1 und 2 führen Sie in die Funktionsweise von
GFI LANguard N.S.S. ein und erläutern die Installation.
•
Kapitel 3 informiert über die Funktionen der Verwaltungskonsole.
•
Kapitel 4 und 5 beschreiben die ersten Schritte zur
Durchführung von Audits und zur Analyse der ScanErgebnisse.
•
Kapitel 6 erklärt, wie Scan-Ergebnisse gespeichert und
gesicherte Scan-Daten aufgerufen werden können.
•
Kapitel 7 erläutert, wie Scan-Ergebnisse
angezeigt und eigene Filter erstellt werden.
gefiltert
und
Hinweis: Mit den Informationen dieser sieben Kapitel besitzen Sie
ausreichende Kenntnisse, GFI LANguard N.S.S. anhand der
standardmäßigen Einstellungen zu betreiben.
•
Kapitel 8 erläutert, wie Sie GFI LANguard N.S.S. an
besondere Gegebenheiten Ihres Netzwerks anpassen können.
GFI LANguard Network Security Scanner
1. Einführung • 1
•
Kapitel 9 beschreibt den Einsatz von Scan-Profilen und ihre
Modifizierung. Erfahren Sie, wie durch das Erstellen neuer
Profile gezielt nach Problemen gesucht werden kann.
•
Kapitel 10 befasst sich mit der Aktualisierung von
GFI LANguard N.S.S und dem Abruf von Sicherheits-Updates
für Microsoft-Produkte.
•
Kapitel 11 und 12 erläutern die eigentliche Bereitstellung von
Microsoft-Updates, Service Packs und DrittherstellerAnwendungen mit Hilfe von GFI LANguard N.S.S. Erfahren Sie
zudem, wie Microsoft-Updates per Rollback-Funktion
rückgängig gemacht werden können.
•
Kapitel 13 beschreibt die Erstellung von Vergleichsberichten,
mit denen Unterschiede zwischen den Ergebnissen zweier
Scans hervorgehoben werden.
•
Kapitel 14 informiert Sie über den Status-Monitor und dessen
Funktionen. Erfahren Sie, welche Kontrollmöglichkeiten die
unterschiedlichen Reiter des Status-Monitors bieten.
•
Kapitel 15 erläutert die verschiedenen Kontroll-Tools von
GFI LANguard N.S.S., wie DNS Lookup, Traceroute und die
Auflistung von Benutzern und Diensten.
•
Kapitel 16 und 17 behandeln die Verwendung von
GFI LANguard N.S.S. über die Befehlszeile und das Erstellen
eigener Schwachstellen-Checks mit Hilfe von Skripten.
•
Kapitel 18 greift zusätzliche weiterführende Themen auf.
•
Kapitel 19 liefert Informationen zur Fehlerbehebung.
Hauptmerkmale von GFI LANguard N.S.S.
•
Identifiziert schädliche Dienste und offene TCP- und UDP-Ports.
•
Erkennt bekannte Sicherheitsschwachstellen in den Bereichen
CGI, DNS, FTP, E-Mail, RPC u. v. m.
•
Identifiziert unbefugte und Backdoor-User.
•
Erkennt Freigaben und listet Anwender auf, die darauf Zugriff
haben (inklusive Berechtigungen).
•
Scannt nach allen in der jeweiligen OVAL-, CVE- und SANS Top
20-Datenbank verzeichneten Schwachstellen.
•
Listet folgende Elemente auf:
•
2 • 1. Einführung
o
Gruppen und deren Mitglieder zum Zeitpunkt des Scans.
o
An Zielrechner angeschlossene USB-Geräte.
o
Netzwerk-Geräte (kabelgebunden, drahtlos oder virtuell).
o
Dienste mit ihrem jeweiligen Status.
o
Aktive Remote-Prozesse.
o
Installierte Anwendungen.
Kontrolliert, ob die Signaturdateien der unterstützten Sicherheitsanwendungen (Anti-Virus- und Anti-Spyware-Programme) auf dem
neuesten Stand sind. Wo möglich, wird zudem eine
Konfigurationskontrolle einzelner Security-Produkte durchgeführt
(z. B. für die Anti-Virus-Lösung von BitDefender) um
GFI LANguard Network Security Scanner
sicherzustellen, dass wichtige Funktionen wie Echtzeit-Scans
aktiviert sind.
•
Führt Netzwerk-Scans nach einem festen Zeitplan durch und
liefert Scan-Ergebnisse per E-Mail-Bericht.
•
Initiiert Sicherheits-Scans für Windows-Betriebssysteme und
erfasst Betriebssystemdaten.
•
Führt Sicherheits-Scans für Linux-Betriebssysteme durch und
erfasst Betriebssystemdaten per SSH.
•
Meldet sich mit herkömmlichen Zugangsdaten oder Public-KeyAuthentifizierung (d. h. per SSH mit Public/Private Keys) an
entfernten Linux-Rechnern an.
•
Ruft beim Programmstart Definitionsdateien für die neuesten
Schwachstellen-Checks und Informationen zu fehlenden Patches
automatisch ab.
•
Unterstützt Patch-Verwaltung für Windows 2000/XP/2003/Vista,
Microsoft Office XP oder neuer sowie Microsoft Exchange
2000/2003 und Microsoft SQL Server 2000 oder neuer.
•
Erlaubt Patch-Verwaltung für verschiedene Sprachversionen von
Betriebssystemen, die Unicode-kompatibel sind.
•
Unterstützt das Entfernen installierter Patches dank RollbackFunktion.
•
Ermöglicht die Speicherung von Scan-Ergebnissen per Microsoft
Access oder Microsoft SQL Server Datenbank-Backend und in
XML-Dateien.
•
Liefert Administratoren nach Abschluss eines geplanten Scans
detaillierte
Scan-Ergebnisse
und/oder
Informationen
zu
Änderungen zwischen aufeinander folgenden Scans.
•
Unterstützt
die
Erkennung
von
aktiven
Hosts
Betriebssystemen sowie, SNMP- und Microsoft SQL-Audits.
•
Bietet Skript-Debugger zum Erstellen und Debuggen eigener
Schwachstellen-Checks (Checkerstellung erfolgt mit Hilfe einer
VBScript-kompatiblen Skriptsprache).
•
Liefert Multithreading-Unterstützung zum gleichzeitigen Scannen
von mehr als drei Computern.
•
Liefert
Befehlszeilen-Tools,
mit
denen
sich
SoftwareUpdates/Patches und Dritthersteller-Anwendungen ohne Aufruf
der GUI von GFI LANguard N.S.S. scannen und bereitstellen
lassen (Tool-Verwendung erfolgt direkt über die Eingabeaufforderung, aus Dritthersteller-Applikationen heraus oder über
selbst definierte Skripten und Batch-Dateien).
GFI LANguard Network Security Scanner
und
1. Einführung • 3
Komponenten von GFI LANguard N.S.S.
Die leistungsfähige, zuverlässige und skalierbare Architektur von
GFI LANguard N.S.S. unterstützt sowohl mittlere als auch größere
Netzwerke.
GFI LANguard N.S.S. besteht aus fünf Komponenten:
•
Verwaltungskonsole
•
Attendant
•
Status-Monitor
•
Patch-Agent
•
Script-Debugger
Verwaltungskonsole
Screenshot 1 - GFI LANguard N.S.S. Verwaltungskonsole
Starten Sie die Verwaltungskonsole von GFI LANguard N.S.S. über
Start ` Programme ` GFI LANguard Network Security Scanner 8.0
` GFI LANguard Network Security Scanner.
Mit der Verwaltungskonsole können Sie:
4 • 1. Einführung
•
Netzwerk-Sicherheits-Scans und die Patch-Bereitstellung starten.
•
Ergebnisse von gespeicherten und aktuellen Scans anzeigen
lassen.
•
Scan-Optionen und -profile sowie Berichtfilter konfigurieren.
•
Spezielle Administrations-Tools für Netzwerksicherheit aufrufen.
GFI LANguard Network Security Scanner
Attendant
Der im Hintergrund laufende Dienst ist für das Durchführen von
Aktionen nach Zeitplan verantwortlich, darunter Sicherheits-Scans und
die Bereitstellung von Patches.
Patch-Agent
Der im Hintergrund laufende Dienst sorgt für die korrekte Bereitstellung von Patches, Service Packs und Software-Updates auf den
Zielrechnern.
Script-Debugger
Screenshot 2 – GFI LANguard Script-Debugger
Das Modul ermöglicht das Erstellen und Debuggen benutzerdefinierter
Skripten mit Hilfe einer VBScript-kompatiblen Skriptsprache. Mit den
Skripten können einzelne Ziele im Netzwerk auf von Ihnen definierte
Schwachstellen überprüft werden.
Starten Sie den GFI LANguard N.S.S. Script-Debugger über Start `
Programme ` GFI LANguard Network Security Scanner 8.0 ` GFI
LANguard N.S.S. Script Debugger.
GFI LANguard Network Security Scanner
1. Einführung • 5
Status-Monitor
Screenshot 3 - GFI LANguard N.S.S. Status-Monitor
Mit dem Status-Monitor können Sie:
•
Den Gefährdungsgrad des gesamten Netzwerks überprüfen.
•
Den Status von geplanten Scans, Software-Updates und PatchBereitstellungen überwachen.
•
Nach Zeitplan ablaufende Vorgänge, deren Durchführung noch
aussteht, deaktivieren.
•
Den Status der Warteschlange für den automatischen PatchDownload überwachen.
Screenshot 4 – Starten des GFI LANguard N.S.S. Status-Monitor
Der Status-Monitor wird beim Hochfahren des Computers automatisch
gestartet und als Symbol in der Systemablage angezeigt. Um den
Status-Monitor zu öffnen, klicken Sie mit der rechten Maustaste auf
dessen Symbol , und wählen Sie Status.
6 • 1. Einführung
GFI LANguard Network Security Scanner
Information zur Lizenzierung
Die Lizenzierung von GFI LANguard N.S.S. erfolgt auf Grundlage der
Anzahl der Computer und Geräte, die gescannt werden sollen. Bei
einer Lizenz für 100 IPs können Sie zum Beispiel bis zu 100 Rechner
oder Geräte von einem einzigen Arbeitsplatzrechner/Server in Ihrem
Netzwerk aus scannen.
Hinweis: Die Lizenzierung von GFI LANguard N.S.S. erfolgt auf
Grundlage der
•
Anzahl der Computer, auf denen die Sicherheitslösung betrieben
wird.
•
Anzahl der Computer, die von der Sicherheitslösung gescannt
werden.
Beispiel: Wenn Sie GFI LANguard N.S.S. auf einem Server
installieren und ein Netzwerk mit 20 Rechnern scannen wollen, ist
eine Lizenz für 25 IPs erforderlich.
Weitere Informationen zur Lizenzierung von GFI LANguard N.S.S.
erhalten Sie unter:
http://www.gfi.com/pricing/pricelist.aspx?product=lanss&curr=eur&lan
g=de.
Hinweis 2: Hinweise zum Kauf von GFI LANguard N.S.S. erhalten
Sie, indem Sie auf die Schaltfläche Configuration klicken und den
Knoten General ` How to purchase auswählen.
Produktevaluierung
Eine nicht registrierte Testversion von GFI LANguard N.S.S. kann
standardmäßig maximal 10 Tage genutzt werden und weist folgende
Funktionseinschränkungen auf:
•
Es werden nicht alle ermittelten Schwachstellen und
Ergebnisse von
Netzwerk-Audits
angezeigt.
Weitere
Informationen erhalten Sie in folgendem Knowledge-BaseArtikel
von
GFI:
http://kbase.gfi.com/showarticle.asp?id=KBID003081.
•
Scan-Ergebnisse lassen sich nicht im Datenbank-Backend
speichern oder daraus abrufen.
•
Der Import und Export für XML-Dateien ist deaktiviert.
•
Die
Bereitstellung
fehlender
Microsoft-Patches/Aktualisierungen im Stapel ist deaktiviert. Es kann jeweils nur ein
Patch/Update bereitgestellt werden.
•
Die Bereitstellung von eigener/Dritthersteller-Software im
Stapel ist deaktiviert. Es kann jeweils nur eine Datei bereitgestellt werden.
•
Aktionen nach Zeitplan sind deaktiviert.
•
Scan-Ergebnisse lassen sich nicht vergleichen.
Mit der Angabe Ihrer persönlichen Daten auf der Website von GFI
können Sie ein Kundenkonto eröffnen und das Produkt mit
eingeschränktem Funktionsumfang für insgesamt 30 Tage nutzen.
Zudem erhalten Sie während dieses Zeitraums technischen Support
und wichtige Produktmitteilungen. Hier können Sie sich für die 30-
GFI LANguard Network Security Scanner
1. Einführung • 7
Tage-Testversion registrieren:
http://www.gfisoftware.de/de/pages/regfrm.htm
Hinweis: Für eine Testversion mit vollständigem Funktionsumfang
wenden Sie sich bitte per E-Mail an unseren Vertrieb:
[email protected].
8 • 1. Einführung
GFI LANguard Network Security Scanner
2. Installieren von GFI LANguard N.S.S.
Systemanforderungen
Für die Installation von GFI LANguard Network Security Scanner sind
erforderlich:
•
Windows 2000 (SP4), XP (SP2), 2003, Vista.
•
Internet Explorer 5.1 oder höher.
•
Client für Microsoft-Netzwerke – ist standardmäßig im Lieferumfang von Windows 95 und höher enthalten.
Hinweis: Nähere Informationen zur Installation des Client für
Microsoft-Netzwerke erhalten Sie im Kapitel „Weiterführende
Optionen“ unter „Installieren des Clients für Microsoft-Netzwerke unter
Windows 2000 oder höher“.
•
Secure Shell (SSH) – ist standardmäßig im Lieferumfang jeder
Linux-Distribution enthalten
Hinweise zum Einsatz von Firewalls
Auf dem Host-Rechner oder den zu überprüfenden Zielrechnern
installierte Firewalls beeinträchtigen die korrekte Funktionsweise von
GFI LANguard N.S.S.
Folgende Vorgehensweise ist erforderlich, um GFI LANguard N.S.S.
korrekt einsetzen zu können:
•
Deaktivieren Sie vor Durchführung eines Sicherheits-Audits die
Firewall-Software auf dem Host-/Zielrechner(n)
oder
•
Legen Sie über die Domänenrichtlinien der Internetverbindungsfirewall von Windows die Ports und Dienste fest, die von
GFI LANguard N.S.S. für eine korrekte Funktionsweise benötigt
werden. Weitere Informationen, wie die Active Directory-Richtlinien
zu konfigurieren sind, damit abgehende und eingehende Scans
von Rechnern mit aktivierter Internetverbindungsfirewall (Windows
XP SP2 oder 2003 SP1) unterstützt werden, erhalten Sie unter:
http://kbase.gfi.com/showarticle.asp?id=KBID002177.
Starten der Installation
So installieren Sie GFI LANguard N.S.S. 8:
1. Doppelklicken Sie auf die Installationsdatei languardnss8.exe, und
klicken Sie auf die Schaltfläche Next.
2. Lesen Sie die Lizenzvereinbarung. Wählen Sie die Option „Accept
the licensing agreement“ aus, damit die Installation fortgeführt werden
kann, und klicken Sie auf die Schaltfläche Next.
GFI LANguard Network Security Scanner
2. Installieren von GFI LANguard N.S.S. • 9
3. Geben Sie die erforderlichen Lizenzdaten an. Klicken Sie auf die
Schaltfläche Next.
Hinweis: Mit dem standardmäßigen Evaluierungsschlüssel kann das
Produkt 10 Tage getestet werden.
Screenshot 5 – Angabe der Zugangsdaten des Domänen-Administrators oder Verwendung eines
lokalen Systemkontos
4. Ist GFI LANguard N.S.S. bereits auf Ihrem Computer installiert,
werden Sie aufgefordert, auf eine neuere Version oder den aktuellen
Build zu upgraden.
Hinweis: Weitere Informationen erhalten Sie unter „Aktualisieren
älterer Versionen von GFI LANguard N.S.S.“ in diesem Kapitel.
5. Geben Sie das Dienstkonto an, unter dem GFI LANguard N.S.S
laufen soll. Klicken Sie auf die Schaltfläche Next.
Hinweis 1: Zum Scannen von Netzwerk-Computern mit
GFI LANguard N.S.S. sind administrative Zugriffsrechte erforderlich.
Hinweis 2: Weitere Informationen zur Festlegung unterschiedlicher
Administratorzugangsdaten je Computer erhalten sie im Kapitel
„Computer-Profile“.
10 • 2. Installieren von GFI LANguard N.S.S.
GFI LANguard Network Security Scanner
Screenshot 6 – Auswahl des Datenbank-Backend
6. Wählen Sie das für die Speicherung der Scan-Ergebnisse zu
verwendende Datenbank-Backend aus, und klicken Sie auf die
Schaltfläche Next.
Hinweis: Es wird empfohlen, Microsoft SQL Server Express oder
höher zu verwenden.
Screenshot 7 – Angabe der Datenbank-Informationen bei Einsatz von MS SQL Server
7. Geben Sie bei Auswahl von Microsoft SQL Server die Server-Daten
und die Authentifizierungsmethode an. Klicken Sie auf die Schaltfläche Next.
Hinweis: Die Dienste von GFI LANguard N.S.S. erfordern
administrative Zugriffsrechte auf das Microsoft SQL Server
Datenbank.
GFI LANguard Network Security Scanner
2. Installieren von GFI LANguard N.S.S. • 11
Screenshot 8 – Angabe von E-Mail-Adresse und -Server für Warnmeldungen
8. Geben Sie den SMTP-Mailserver an, und legen Sie die E-MailAdresse für Administratorwarnungen fest. Klicken Sie auf die
Schaltfläche Next.
Screenshot 9 – Angabe der Patch-Sprachen
9. Bestimmen Sie, welche Sprachen für das Patch-Management durch
GFI LANguard N.S.S. berücksichtigt werden sollen. Klicken Sie auf
die Schaltfläche Next.
10. Geben Sie das Installationsverzeichnis für GFI LANguard N.S.S.
an, und klicken Sie auf die Schaltfläche Next.
11. Klicken Sie auf die Schaltfläche Finish, um die Installation
abzuschließen.
12 • 2. Installieren von GFI LANguard N.S.S.
GFI LANguard Network Security Scanner
Aktualisieren von Vorgängerversionen auf GFI LANguard N.S.S. 8
Beim Aktualisieren von Version 5, 6 und 7 auf die aktuelle Version 8
von GFI LANguard N.S.S. können die zuvor definierten Scan-Profile,
Scan-Zeitpläne, Einstellungen des E-Mail-Servers und Scan-ErgebnisDatenbank beibehalten werden.
So aktualisieren Sie ältere Versionen von GFI LANguard N.S.S.:
1. Starten Sie das Installationsprogramm von GFI LANguard N.S.S.
Screenshot 10 – Auswahl von Import-Optionen
2. Wählen Sie die gewünschten Import-Optionen aus.
3. Fahren Sie mit der Installation fort, wie zuvor unter „Starten der
Installation“ beschrieben.
Hinweis: Testversionen und ältere Builds von GFI LANguard N.S.S. 8
können auf diese Weise ebenfalls auf den aktuellen Build aktualisiert
werden.
GFI LANguard Network Security Scanner
2. Installieren von GFI LANguard N.S.S. • 13
Eingeben des Registrierschlüssels nach der Installation
Nach Abschluss der Installation können Sie den Registrierschlüssel
über den Knoten Lizenzierung eingeben. Nach Kauf eines Schlüssels
für die Vollversion ist keine Neuinstallation oder Neukonfigurierung
des Produkts erforderlich.
So geben Sie den Registrierschlüssel ein:
1. Rufen Sie die Verwaltungskonsole von GFI LANguard N.S.S. auf.
2. Klicken Sie links im Tools Explorer auf die Schaltfläche
Configuration.
3. Gehen Sie auf den Knoten General ` Licensing.
14 • 2. Installieren von GFI LANguard N.S.S.
GFI LANguard Network Security Scanner
3. Verwenden der Verwaltungskonsole
Einführung
Die standardisierte Verwaltungskonsole von GFI LANguard N.S.S.
erlaubt neben der Konfigurierung des Produkts den Start von
Schwachstellen-Scans, die Verwaltung von Patches und die
Erfassung sicherheitsrelevanter Systeminformationen – alles über
eine zentrale, intuitive Benutzeroberfläche.
Aufbau der Verwaltungskonsole
Screenshot 11 – Verwaltungskonsole
Werkzeugleiste „Scan“– Dient der Durchführung Scan-bezogener
Aufgaben, darunter der Start von Schwachstellenkontrollen und die Angabe
alternativer Zugangsdaten für Scans.
Werkzeugleiste „Quick Scan“ – Ermöglicht die sofortige Sicherheitsüberprüfung einer bestimmten IP-Adresse mit Hilfe eines auswählbaren
Scan-Profils.
Werkzeugschaltflächen – Mit den drei Schaltflächen Main, Configuration
und Tools werden im linken Navigationsfenster unterschiedliche Optionen
aufrufbar.
Linkes Navigationsfenster – Zeigt die Optionen an, die jeweils über die
Schaltflächen Main, Configuration und Tools aufgerufen werden, und
bietet Zugriff darauf. Hierzu zählen Filter für Scan-Ergebnisse sowie Tools
zur Anpassung von Scan-Zeitplänen und zur Netzwerkadministration.
Mittleres
Fenster
–
Informiert
über
die
Ergebnisse
der
Sicherheitsüberprüfungen und bietet eine Unterteilung in Kategorien wie
„Schwachstellen“, „potenzielle Schwachstellen“ und „Systeminformationen“.
GFI LANguard Network Security Scanner
3. Verwenden der Verwaltungskonsole • 15
Rechtes Fenster – Bietet Detailinformationen zu Scan-Ergebnissen und
eine grafische Darstellung des Gefährdungsgrads pro Computer oder pro
Sicherheits-Scan.
Fenster zur Scan-Aktivität – Informiert über aktuell ablaufende ScanSchritte.
Screenshot 12 – Assistent zum Einrichten eines neuen Scans
Hinweis: Beim ersten Start von GFI LANguard N.S.S. wird der
Assistent für Sicherheits-Scans aufgerufen. Er unterstützt Sie bei den
ersten Überprüfungen Ihres Netzwerks. Weitere Informationen zum
Starten eines neuen Scans erhalten Sie im Kapitel „Erste Schritte:
Durchführen eines Sicherheits-Audits“ unter „Durchführen von
Sicherheits-Scans mit Standardvorgaben“.
16 • 3. Verwenden der Verwaltungskonsole
GFI LANguard Network Security Scanner
4. Erste Schritte: Durchführen eines
Audits
Einführung
Mit Hilfe von Sicherheits-Scans können Administratoren potenzielle
Risiken für ihr Netzwerk erkennen und bewerten. GFI LANguard
N.S.S. unterstützt Systemverantwortliche bei dieser Aufgabe und führt
Scans automatisch und effizient ohne unnötige Wiederholungen
durch.
In diesem Kapitel erfahren Sie, wie Sicherheits-Scans nach
standardmäßigen und benutzerdefinierten Vorgaben erfolgen können,
wie Kontrollen direkt über die Werkzeugleiste gestartet werden und
wie sich der Kontrollbereich von Scans festlegen lässt.
Vor der Durchführung eines Sicherheits-Audits müssen folgende drei
Hauptparameter der Scan-Engine definiert werden:
1. Der zu überprüfende Zielrechner,
2. das zu verwendende Scan-Profil (Art der für spezielle Ziele
durchzuführenden Schwachstellen-Checks/Tests) und
3. die für die Anmeldung an den Zielrechnern erforderlichen
Zugangsdaten.
Soll beispielsweise ein umfassender Tiefen-Scan
werden, ist die Option Full Scan zu wählen.
durchgeführt
Informationen zu Authentifizierungsdaten
Zur Durchführung eines Sicherheits-Scans muss GFI LANguard
N.S.S. sich an Zielrechnern anmelden, um Schwachstellen-Checks
starten und Systeminformationen abrufen zu können.
Diese „direkte“ Anmeldung ist über ein lokales Administrator- oder
Domänenadministrator-Konto oder ein ähnliches Konto mit
administrativen Zugriffsrechten für die zu kontrollierenden Computer
erforderlich. Je nach System sind oftmals unterschiedliche Authentifizierungsverfahren erforderlich. Für Linux-Systeme wird beispielsweise häufig die Angabe einer Private Key-Datei an Stelle eines
herkömmlichen Passworts benötigt.
Hinweis 1: Weitere Informationen zu Authentifizierungsmethoden
erhalten Sie im Kapitel „Konfigurieren von GFI LANguard N.S.S.“
unter „Computer-Profile“.
Hinweis 2: Weitere Informationen zur Authentifizierung per Private
Key erhalten Sie im Kapitel „Konfigurieren von GFI LANguard N.S.S.“
unter „Informationen zur Authentifizierung per SSH mit Private Key“.
GFI LANguard Network Security Scanner
4. Erste Schritte: Durchführen eines Audits • 17
Informationen zum Scan-Ablauf
Das Scannen von Computern läuft in drei Phasen ab:
Phase 1: Ermittlung der Verfügbarkeit des Computers
GFI LANguard N.S.S. kontrolliert, ob ein zu überprüfender Computer
für Sicherheits-Scans erreichbar ist. Hierfür werden Verbindungsanfragen in Form von NetBIOS- und SNMP-Requests und/oder ICMPPings gestartet.
Hinweis: Geräte, die nicht auf solche Verbindungsanfragen
antworten, werden standardmäßig nicht gescannt.
Phase 2: Verbindungsherstellung mit Ziel-Computer
GFI LANguard N.S.S. stellt per Remote-Anmeldung eine direkte
Verbindung mit dem zu kontrollierenden Computer her. Hierfür werden
die in Schritt 5 des Scan-Assistenten angegebenen Anmeldeinformationen verwendet.
Phase 3: Durchführung von Sicherheits-Checks
GFI LANguard N.S.S. führt die Sicherheits-Checks durch, die im
ausgewählten Scan-Profil definiert sind. Die ggf. ermittelten
Schwachstellen werden über die Verwaltungskonsole angezeigt.
Hinweis 1: Im Lieferumfang von GFI LANguard N.S.S. sind bereits
mehrere Scan-Profile mit vorkonfigurierten Sicherheits-Checks
enthalten. Sowohl die Scan-Profile als auch die zugehörigen Checks
lassen sich an Ihre Bedürfnisse anpassen. Weitere Informationen
hierzu erhalten Sie im Kapitel „Scan-Profile“.
Hinweis 2: Sollte während der von GFI LANguard N.S.S.
durchgeführten Scans Intrusion Detection Software (IDS) aktiv sein,
löst die IDS Warnmeldungen und Eindringlingsalarm aus. Sind Sie
nicht mit der Administration des IDS-Systems betraut, sollten Sie
daher den zuständigen Administrator über einen bevorstehenden
Scan informieren.
Hinweis 3: Neben den von den Scans verursachten IDS-Alarmen
sollten Sie auch beachten, dass viele der Scans zudem in den
Protokolldateien unterschiedlichster Systeme verzeichnet werden. So
wird der GFI LANguard N.S.S.-Computer in UNIX-Logs, von
Webservern u. Ä. als Angreifer registriert. Auch für diesen Fall sollten
ggf. andere zuständige Administratoren schon vor einem Scan
informiert werden.
Durchführen von Sicherheits-Scans mit Standardvorgaben
GFI LANguard N.S.S. ist bereits vorkonfiguriert, sodass Sie sofort
nach Abschluss der Produktinstallation Ihr System überprüfen können.
Für einen Standard-Scan müssen lediglich die zu kontrollierenden
Zielrechner angegeben werden. Danach werden folgende Schritte
automatisch durchgeführt:
•
Anmeldung an den Zielrechnern über die Zugangsdaten des
aktuell verwendeten Benutzerkontos (d. h. per Anmeldeinformationen, mit denen GFI LANguard N.S.S. gestartet wurde).
•
18 • 4. Erste Schritte: Durchführen eines Audits
GFI LANguard Network Security Scanner
Start einer umfassenden Zahl an Standard-Checks, die im ScanProfil Full Scan bereits vorkonfiguriert sind. Dieses Profil ist eines
von mehreren, die sich im Lieferumfang von GFI LANguard N.S.S.
befinden.
So führen Sie Ihren ersten Scan durch:
1. Klicken Sie auf die Schaltfläche New Scan….
Screenshot 13 – Auswahl der Scan-Aufgabe
2. Wählen Sie eine der folgenden Scan-Aufgaben aus, und klicken Sie
danach auf die Schaltfläche Next:
•
Vulnerability Scanning – Listet alle auf den Ziel-Computern
identifizierten Schwachstellen auf, darunter auch fehlende
Patches.
•
Patching status – Listet lediglich alle auf den Ziel-Computern
fehlenden Patches auf.
•
Network & Software Auditing – Ruft lediglich Systeminformationen ab. Schwachstellen und fehlende Patches werden
nicht berücksichtigt.
•
Complete/Combination Scans – Ruft Systeminformationen ab
und überprüft alle Schwachstellen, fehlende Patches eingeschlossen.
GFI LANguard Network Security Scanner
4. Erste Schritte: Durchführen eines Audits • 19
Screenshot 14 – Auswahl des Scan-Profils
3. Wählen Sie das gewünschte Scan-Profil aus, und klicken Sie auf
die Schaltfläche Next.
Hinweis: Eine umfassende Beschreibung der einzelnen Scan-Profile
finden Sie im Kapitel „Scan-Profile“ unter „Erläuterung der ScanProfile“.
Screenshot 15 – Auswahl des Scan-Umfangs
4. Wählen Sie einen der folgenden Scan-Typen zur Festlegung des
Scan-Bereichs aus, und klicken Sie auf die Schaltfläche Next.
•
Scan single computer… – Scannt einen einzelnen Computer.
20 • 4. Erste Schritte: Durchführen eines Audits
GFI LANguard Network Security Scanner
•
Scan range of Computers… – Scannt einen bestimmten IPBereich.
•
Scan list of Computers… – Scannt eine benutzerdefinierte Liste
mit Computern.
•
Scan a Domain… – Scannt eine komplette Windows-Domäne.
Screenshot 16 – Verschiedene Scan-Optionen
5. Geben Sie die erforderlichen Daten des zu kontrollierenden
Computers
ein (Host-Name, IP-Adresse, IP-Bereich oder
Domänenname). Klicken Sie auf die Schaltfläche Next.
Hinweis: Bei Angabe eines Bereich zu scannender IP-Adressen
können einzelne IPs von der Kontrolle ausgenommen werden.
Weitere Informationen hierzu erhalten Sie unter „Konfigurieren zu
scannender IP-Bereiche“.
GFI LANguard Network Security Scanner
4. Erste Schritte: Durchführen eines Audits • 21
Screenshot 17 – Angabe der Anmeldeinformationen für Scans
6.
Geben
Sie
die
für
Scans
zu
verwendenden
Authentifizierungsinformationen an. Klicken Sie auf die Schaltfläche
Scan, um die Kontrolle zu starten.
Konfigurieren zu scannender IP-Bereiche
GFI LANguard N.S.S. 8 ermöglicht es Ihnen, mehrere aufeinander
folgende IP-Adressen, die zu scannen sind, als IP-Bereich
anzugeben. Zudem können Sie auch Adressen festlegen, die in einem
zu kontrollierenden IP-Bereich nicht überprüft werden sollen. Die
Angabe von Scan-Bereichen erfolgt mit Hilfe des Assistenten für neue
Scans über das Feld Computer or range.
Scan-Bereiche
Ein Scan-Bereich wird durch Verwendung des Schrägstrichs (/)
definiert. Beispiel:
•
192.168.0.1/165
Mit dieser Eingabe werden alle verfügbaren IP-Adressen von
192.168.0.1 bis 192.168.0.165 gescannt.
Scan-Ausnahmen in einem IP-Bereich
Scan-Ausnahmen für einen IP-Bereich werden durch Angabe von „+“
und „-“ festgelegt. Beispiel:
•
+192.168.0.1/165
•
-192.168.0.13
In diesem Beispiel werden bis auf die IP-Adresse 192.168.0.13 alle
verfügbaren IP-Adressen des Bereichs 192.168.0.1 bis 192.168.0.165
gescannt.
22 • 4. Erste Schritte: Durchführen eines Audits
GFI LANguard Network Security Scanner
Sofort-Scans mit Anmeldeinformationen des aktuellen Benutzers
Sicherheits-Scans lassen sich ohne aufwendige Einstellungen oder
den Aufruf des Scan-Assistenten direkt über die Werkzeugleiste
starten. Gehen Sie hierfür wie folgt vor:
Screenshot 18 – Werkzeugleiste „New Scan“
1. Wählen Sie in der Werkzeugleiste aus der Drop-Down-Liste Using
die Option Currently Logged-On User aus.
Screenshot 19 – Angabe des Zielrechners und Scan-Profils in der Werkzeugleiste
2. Geben Sie in der Drop-Down-Liste Scan Target den/die zu
scannenden Zielrechner an.
3. Wählen Sie aus der Drop-Down-Liste Profile das für die
Überprüfung zu verwendende Scan-Profil aus.
4. Klicken Sie auf die Schaltfläche Scan, um den Scan-Vorgang zu
starten.
Sofort-Scans mit Hilfe alternativer Anmeldeinformationen
So starten Sie einen Sicherheits-Scan unter Verwendung alternativer
Zugangsdaten:
Screenshot 20 – Werkzeugleiste „New Scan“, Drop-Down-Liste für Authentifizierungsmethoden
1. Wählen Sie in der Werkzeugleiste aus der Drop-Down-Liste Using
die Option Alternative Credentials aus.
2. Geben Sie in den nebenstehenden Eingabefeldern den
Benutzernamen (Username) und das Passwort (Password) an, unter
denen der Scan gestartet werden soll.
3. Geben Sie alle weiteren Daten an, wie oben unter „Sofort-Scans mit
Hilfe der Anmeldeinformationen des aktuellen Benutzers“
beschrieben.
GFI LANguard Network Security Scanner
4. Erste Schritte: Durchführen eines Audits • 23
Sofort-Scans mit Hilfe eines SHH Private Key
So starten Sie ein Sicherheits-Audit unter Verwendung eines SSH
Private Key:
Screenshot 21 – Werkzeugleiste „New Scan“, Drop-Down-Liste für Authentifizierungsmethoden
1. Wählen Sie in der Werkzeugleiste aus der Drop-Down-Liste Using
die Option SSH Private Key aus.
2. Geben Sie in den nebenstehenden Eingabefeldern den
Benutzernamen und die Schlüsseldatei an, die für diesen Scan
verwendet werden sollen.
3. Geben Sie alle weiteren Daten an, wie oben unter „Sofort-Scans
mithilfe der Anmeldeinformationen des aktuellen Benutzers“
beschrieben.
Sofort-Scan mit Hilfe einer Null-Session
Die Sicherheit von Netzwerken ist vor allem durch Anmeldeinformationen gefährdet, für die unzureichende Passwörter verwendet
werden. Eine kritische Schwachstelle sind standardmäßige
Passwörter oder Passwörter, die einfach leer gelassen werden
(sogenannte Null-Passwörter). In diesen Fällen erhalten Angreifer
ohne großen Aufwand Zugang zum System. Mit GFI LANguard N.S.S.
können Sie per Option Null Session insbesondere nach Zielrechnern
suchen, für die kein Passwort festgelegt wurde. Während dieser NullSession versucht der Scanner, sich ohne Angabe von Anmeldeinformationen an den Zielrechnern anzumelden. Hat er dabei Erfolg,
bedeutet dies, dass jeder Benutzer ohne Bereitstellung dieser Daten
auf den jeweiligen Computer zugreifen kann.
So starten Sie eine Null-Session:
1. Wählen Sie in der Werkzeugleiste aus der Drop-Down-Liste Using
die Option Null Session aus.
2. Geben Sie in der Drop-Down-Liste Scan Target die im Rahmen
einer Null-Session zu scannenden Computer an.
3. Wählen Sie aus der Drop-Down-Liste Profile das für die Überprüfung zu verwendende Scan-Profil aus.
4. Klicken Sie auf die Schaltfläche Scan, um den Scan-Vorgang zu
starten.
24 • 4. Erste Schritte: Durchführen eines Audits
GFI LANguard Network Security Scanner
5. Erste Schritte: Analysieren der ScanErgebnisse
Einführung
Nach der Durchführung eines Sicherheits-Scans ist es erforderlich
herauszufinden, welche Netzwerkbereiche und Computer dringend zu
behebende Schwachstellen aufweisen. Hierfür müssen die von
GFI LANguard N.S.S. erfassten Daten und ausgegebenen Hinweise
überprüft und korrekt interpretiert werden.
In diesem Kapitel zur Analyse der Scan-Ergebnisse erfahren Sie
Schritt für Schritt, wie Sie:
1. Die Ergebnisse der Sicherheits-Scans aufrufen,
2. Scan-Daten/Ergebnisse analysieren und interpretieren und
3. ermitteln, welche weitergehenden Maßnahmen durchzuführen sind.
Hinweis: Die Testversion von GFI LANguard N.S.S. zeigt
standardmäßig nur einen Teilbereich der gesamten Scan-Ergebnisse
an. Weitere Informationen hierzu erhalten Sie im Kapitel
„Produktevaluierung“ in diesem Handbuch.
Scan-Ergebnisse
Detaillierte Scan-Ergebnisse werden im Fenster Scan Results
angezeigt. Klicken Sie auf die im Fenster Scanned Computers
angezeigten Knoten, um die unterschiedlichen Ergebnisse aufzurufen.
Die Ergebnisdaten ändern sich je nach gewähltem Computer und
werden in mehreren Detailanzeigen aufgelistet.
Screenshot 22 – Scan-Ergebnisse
GFI LANguard Network Security Scanner
5. Erste Schritte: Analysieren der Scan-Ergebnisse • 25
Informationen werden wie folgt angezeigt:
Knoten zu Scan-Zielen: Zeigt den Scan-Bereich der Scan-Ziele an und ob ScanErgebnisse aus der Datenbank abgerufen wurden.
Knoten zu einzelnen Computern: Zeigt Informationen zum gescannten Computer
an, ob der Scan erfolgreich war und welches Betriebssystem installiert ist.
Knoten zu Computer-spezifischen Scan-Details: Zeigt Computer-spezifische
Kontrollbereiche an, darunter Anzahl der identifizierten Schwachstellen, PatchStatus u. Ä.
Knoten zu einzelnen Scan-Ergebnissen: Listet Scan-Ergebnisse nach einzelnen
Kontrollbereichen eines Computers auf.
Detaillierte Scan-Ergebnisse: Schlüsselt die Scan-Ergebnisse im Detail auf.
Hierzu zählen der Name einer Schwachstelle oder eines fehlenden Patches, die
Schwachstellen-/Patch-Kategorie, Detailangaben zu Schwachstellen und fehlenden
Patches, Daten zu verbundenen Geräten u. Ä.
Analysieren der zusammengefassten Scan-Ergebnisse von
Netzwerkrechnern
Durch einen Mausklick auf den Knoten zu Scan-Zielen wird eine
grafische Darstellung des Gefährdungsgrads Ihres gesamten Netzwerks aufgerufen. Dabei handelt es sich um eine automatisierte und
kombinierte Interpretation der Scan-Ergebnisse eines oder mehrerer
Computer im Netzwerk.
Zusätzlich zur Anzeige des netzwerkweiten Gefährdungsgrads
werden Hinweise angegeben, wie sich die während der Scans
ermittelten Schwachstellen beheben
lassen.
Screenshot 23 – Ergebnisfenster
26 • 5. Erste Schritte: Analysieren der Scan-Ergebnisse
GFI LANguard Network Security Scanner
Informationen werden wie folgt angezeigt:
Eine Farbskala, anhand derer der Gefährdungsgrad auf Grundlage der gewichteten
Summe aller während des letzten Scans identifizierten Schwachstellen ablesbar ist.
Scan-Details und eine Beschreibung des aktuellen Gefährdungsgrads.
Die fünf am meisten gefährdeten Computer.
Links zu weiterführenden Aktionen, die bei der Behebung der identifizierten
Schwachstellen helfen.
Links zur Aktivierung/Konfigurierung von Überwachungsrichtlinien.
Analysieren des Scan-Ergebnisses eines Einzelrechners
Durch einen Mausklick auf den Knoten des Ziel-Computers wird eine
grafische Darstellung seines Gefährdungsgrads angezeigt. Auch
hierbei handelt es sich um eine automatisierte Interpretation der ScanErgebnisse dieses Computers.
Zusätzlich zur Anzeige des Gefährdungsgrads des Einzelrechners
werden Hinweise angegeben, wie sich die während der Scans
ermittelten Schwachstellen beheben lassen.
Screenshot 24 – Ergebnisfenster
Informationen werden wie folgt angezeigt:
Eine Farbskala, anhand derer der Gefährdungsgrad auf Grundlage der gewichteten
Summe aller während des letzten Scans identifizierten Schwachstellen ablesbar ist.
Die Top-5 der am dringlichsten zu behebenden Schwachstellen. Per Mausklick auf
ein aufgeführtes Problem wird das zugehörige Sicherheitsbulletin aufgerufen.
Weitere Informationen zu den angezeigten Scan-Ergebnissen.
Links zu weiterführenden Aktionen, die bei der Behebung der identifizierten
Schwachstellen helfen.
Zusätzliche Optionen, mit denen sich sicherheitsrelevante Richtlinien anzeigen und
aktivieren, Mitteilungen versenden und Computer herunterfahren lassen.
GFI LANguard Network Security Scanner
5. Erste Schritte: Analysieren der Scan-Ergebnisse • 27
Nach einem Scan durchzuführende Aktionen
Mit der Zusammenfassung der Scan-Ergebnisse werden Sie über
allgemeine/empfohlene Aktionen informiert, die bei der Behebung der
während der Scans gefundenen Schwachstellen helfen. Folgende
Aktionen werden abhängig vom Ergebnis angezeigt:
•
Deploy Microsoft Service Packs/Patches – Behebt
Schwachstellen aufgrund fehlender Microsoft Service Packs und
Sicherheits-Patches. Klicken Sie auf den jeweiligen Link, um
Verwaltungsoptionen aufzurufen, die Ihnen den Download und die
automatische netzwerkweite Bereitstellung der Patches und
Service Packs erlauben. Weitere Informationen zu diesen
Optionen erhalten Sie im Kapitel „Patch-Verwaltung: Bereitstellen
von Microsoft-Updates“.
•
Deploy custom software – Stellt Skripten, Dateien oder
Drittherstelleranwendungen im gesamten Netzwerk bereit. Weitere
Informationen zu diesen Optionen erhalten Sie im Kapitel „PatchVerwaltung: Bereitstellen eigener Software“.
•
Uninstall Microsoft Service Packs/Paches – Behebt Probleme,
zu deren Lösung eine Deinstallation von Service Packs oder
Sicherheits-Patches erforderlich ist.
•
Enable auditing policy – Behebt Schwachstellen, die auf die
fehlerhafte Konfiguration der Microsoft-Überwachungsrichtlinien
zurückzuführen sind. Klicken Sie auf diese Option, um den
Assistenten „GFI LANguard N.S.S. Auditing Policies Administrative
Support Wizard“ aufzurufen. Er ermöglicht es Ihnen, die Überwachungsrichtlinien der Zielrechner zu anzupassen.
Analysieren der detaillierten Scan-Ergebnisse
Screenshot 25 – Konfigurationsoberfläche: Analyse der Scan-Ergebnisse
Über die im Bereich Scanned Computers angezeigten Informationen
können Sie die Scan-Ergebnisse der überprüften Computer
28 • 5. Erste Schritte: Analysieren der Scan-Ergebnisse
GFI LANguard Network Security Scanner
kontrollieren. Ergebnisse sind in verschiedene Kategorien aufgeschlüsselt, für die jeweils ein eigener Unterknoten bereitsteht.
Hierdurch lassen sich Schwachstellen schnell und gezielt erkennen
und untersuchen.
Scan-Ergebnisse werden in folgende Sicherheitskategorien unterteilt:
•
Vulnerabilities (Sicherheitsschwachstellen)
•
Potential Vulnerabilities (potenzielle Schwachstellen)
•
System patching status (Patch-Status eines Computers)
•
Shares (Freigaben)
•
Applications (Anwendungen)
•
Network devices (Netzwerkgeräte)
•
USB devices (USB-Geräte)
•
Password policy (Passwort-Richtlinie)
•
Security audit policy (Richtlinie für Sicherheits-Audits)
•
Registry (Registrierdatenbank)
•
Open TCP Ports (Offene TCP-Ports)
•
Open UDP Ports (Offene UDP-Ports)
•
System patching status (Patch-Status eines Computers)
•
NetBIOS names (NetBIOS-Namen)
•
Computer
•
Groups (Gruppen)
•
Users (Benutzer)
•
Logged On Users (Angemeldete Benutzer)
•
Sessions (Sitzungen)
•
Services (Dienste)
•
Processes (Prozesse)
•
Local drives (Lokale Festplatten)
•
Remote time of day (TOD, Systemzeit des Zielrechners)
Durch Auswahl eines dieser Unterknoten werden im rechten Fenster
Scan Results die Ergebnisse der jeweiligen Kategorie aufgelistet.
GFI LANguard Network Security Scanner
5. Erste Schritte: Analysieren der Scan-Ergebnisse • 29
Scan-Ergebnisse im Detail: Analysieren der Schwachstellen
Screenshot 26 – Knoten „Vulnerabilities“
Klicken Sie auf den Unterknoten Vulnerabilities , um die auf dem
Zielrechner identifizierten Sicherheitsschwachstellen anzuzeigen.
Diese werden nach Typ und Gefährdungsgrad in fünf Kategorien
unterteilt:
•
Missing Service Packs (fehlende Service Packs)
•
Missing patches (fehlende Patches)
•
High security vulnerabilities (kritische Sicherheitslücken)
•
Medium security vulnerabilities (wichtige Sicherheitslücken)
•
Low security vulnerabilities (kleinere Sicherheitslücken)
Vulnerabilities ` Missing Service Packs
Bei einem Service Pack (SP) handelt es sich Software, mit der
bekannte Fehler von Betriebssystemen und Anwendungen behoben
oder neue Funktionen hinzugefügt werden. GFI LANguard N.S.S.
sucht nach fehlenden Service Packs für Microsoft-Produkte, indem die
auf den Zielrechnern installierten Service Packs mit den aktuell von
Microsoft bereitgestellten Versionen verglichen werden.
Screenshot 27 – Baumansicht zu fehlenden Service Packs
Hinweis: Die Suche nach fehlenden Patches und Service Packs kann
für mehrere Produkte von Microsoft erfolgen. Eine vollständige Liste
der unterstützten Produkte steht zum Abruf bereit unter:
http://kbase.gfi.com/showarticle.asp?id=KBID001820.
30 • 5. Erste Schritte: Analysieren der Scan-Ergebnisse
GFI LANguard Network Security Scanner
Folgende Informationen werden für die Kategorie Missing Service
Packs angezeigt:
•
Produktname und Service Pack-Nummer.
•
URL: Link zu Support-Hinweisen zum fehlenden Service
Pack.
•
Release Date (Veröffentlichungsdatum): Datum, an dem das
als fehlend festgestellte Service Pack veröffentlicht wurde.
Aufrufen von Sicherheitsbulletins
Klicken Sie mit der rechten Maustaste auf ein Service Pack, und
wählen Sie im Kontextmenü More details ` Bulletin Info, um die
Informationen des zugehörigen Sicherheitsbulletins aufzurufen.
Screenshot 28 – Fehlendes Service Pack – Sicherheits-Bulletin
Der Dialog Bulletin Info mit Hinweisen zum Service Pack wird
geöffnet. Hierzu zählen:
•
Die „QNumber“. Sie wird von Microsoft jedem Software-Update als
eindeutige Kennung zugewiesen.
•
Das Veröffentlichungsdatum
Packs.
•
Eine ausführlichere Beschreibung des Service Packs und seiner
Inhalte.
•
Alle Betriebssysteme/Anwendungen, für die das Service Pack
gedacht ist.
•
Eine URL, unter der weitergehende Informationen zum Service
Pack abrufbar sind.
•
Der Name der Service Pack-Datei und die Dateigröße.
•
Die URL, unter der das Service Pack manuell heruntergeladen
werden kann.
GFI LANguard Network Security Scanner
des
Sicherheitsbulletins/Service
5. Erste Schritte: Analysieren der Scan-Ergebnisse • 31
Vulnerabilities ` Missing Patches
Ein Patch ist ein Update, das von Software-Unternehmen veröffentlicht wird, um als Reparatursoftware ein technisches oder sicherheitsrelevantes Problem zu beheben. Bekannte Sicherheitsschwachstellen,
die nicht gepatcht werden, können von Angreifern missbraucht
werden, um sich z. B. Zugang zum Netzwerk zu verschaffen. Neu
verfügbare Patches sollten daher so schnell wie möglich installiert
werden, damit ein Schutz von Unternehmenssystemen und -daten
sichergestellt ist. GFI LANguard N.S.S. überprüft beim Scannen von
Zielrechnern, ob alle von Microsoft veröffentlichten SicherheitsUpdates installiert sind.
Screenshot 29 – Ergebnis eines Sicherheits-Scans: Fehlende Patches
Patches, deren Fehlen während des Rechner-Scans festgestellt
wurde, werden in der Kategorie Missing Patches gruppiert. Der
Ergebnisbaum dieser Kategorie zeigt folgende Informationen an:
•
Patch-ID und Produktname.
•
ID/URL: Die ID und URL des zugehörigen Artikels aus der
Microsoft Knowledge-Base.
•
Severity (Schwere der Sicherheitslücke): Beschreibt den Grad
der Sicherheitsgefährdung, die mit diesem Patch behoben wird.
•
Date Posted (Veröffentlichungsdatum): Veröffentlichungsdatum
fehlender Patches.
Klicken Sie mit der rechten Maustaste auf einen Patch, und wählen
Sie im Kontextmenü More details ` Bulletin Info, um Informationen
zum zugehörigen Sicherheitsbulletin aufzurufen.
32 • 5. Erste Schritte: Analysieren der Scan-Ergebnisse
GFI LANguard Network Security Scanner
Vulnerabilities ` High/Medium/Low security vulnerabilities
Screenshot – Kritische, wichtige und kleinere Sicherheitslücken
Die Unterknoten High, Medium und Low security vulnerabilities
bieten Informationen zu Sicherheitsschwachstellen, die bei der
Kontrolle eines Zielrechners festgestellt wurden. Schwachstellen
werden in 10 Gruppen unterteilt:
•
E-Mail
•
FTP
•
Web
•
Registry (Registrierdatenbank)
•
Services (Dienste)
•
RPC
•
DNS
•
Software
•
Rootkits
•
Miscellaneous (sonstige Schwachstellen)
Nachfolgend werden die Inhalte jeder Gruppe näher erläutert:
E-Mail, FTP, RPC, DNS und Miscellaneous – In diesen Gruppen
sind Schwachstellen aufgeführt, die auf FTP-Servern, DNS-Servern
und SMTP/POP3/IMAP-Mailservern identifiziert wurden. Die
Informationen bieten Links zu Artikeln der Microsoft Knowledge-Base
oder anderer Support-Dokumentation.
Web – Führt die auf Webservern identifizierten Schwachstellen auf
(darunter fehlerhafte Konfigurationseinstellungen). Webserver, die
unterstützt werden, sind Apache, Netscape und Microsoft IIS. Es
werden Informationen bereitgestellt zu:
o
Vulnerability check name (Name des SicherheitslückenChecks, z. B. Imported_IIS: FrontPage Check)
GFI LANguard Network Security Scanner
5. Erste Schritte: Analysieren der Scan-Ergebnisse • 33
o
Description (Beschreibung) – Liefert eine kurze Beschreibung der
Sicherheitslücke.
o
ID/URL – Kennung des zugehörigen Artikels aus der
Knowledge-Base von Microsoft und eine URL, unter der
detailliertere Informationen zur Sicherheitslücke abgerufen werden
können.
Services – Führt Schwachstellen in aktiven Diensten auf und zeigt
alle nicht genutzten Konten an, die aktiv und zugänglich sind.
Registry – Zeigt Schwachstellen in den Einstellungen der
Registrierdatenbank eines gescannten Netzwerkgeräts an. Die
Informationen bieten Links zu unterstützender Dokumentation und
eine kurze Beschreibung der Sicherheitslücke.
Software – Informiert über Schwachstellen in Software, die auf
den Netzwerkgeräten installiert ist. Die Informationen bieten Links zu
unterstützender Dokumentation und eine kurze Beschreibung der
Sicherheitslücke.
Rootkit – Zeigt Informationen zu Schwachstellen an, die auf ein
installiertes Rootkit zurückzuführen sind. Die Informationen bieten
Links zu unterstützender Dokumentation und eine kurze Beschreibung
der Sicherheitslücke.
Anzeigen unerlaubter USB-Geräte als kritische Sicherheitslücken
Screenshot 30 – Als kritische Sicherheitslücke klassifiziertes USB-Gerät
Legen Sie über GFI LANguard N.S.S. fest, welche USB-Geräte
erwünscht/unerwünscht sein sollen und entsprechend anzuzeigen
sind. Weitere Informationen hierzu erhalten Sie im Kapitel „ScanProfile“ unter „Erstellen einer Liste mit unerlaubten Netzwerkgeräten“.
34 • 5. Erste Schritte: Analysieren der Scan-Ergebnisse
GFI LANguard Network Security Scanner
Scan-Ergebnisse im Detail: Analysieren potenzieller Schwachstellen
Screenshot 31 – Knoten “Potential Vulnerabilities”
Klicken Sie auf den Unterknoten
Potential Vulnerabilities, um
Scan-Ergebnisse anzeigen zu lassen, die auf potenzielle Netzwerkschwachstellen hinweisen. Obwohl die in dieser Kategorie
aufgeführten Scan-Ergebnisse nicht als Gefahr klassifiziert sind,
müssen die entsprechenden Schwachstellen von Ihnen
kontrolliert werden, da sie ein Eindringen in Ihr System ermöglichen.
Beispiel: Während eines Sicherheits-Scans listet GFI LANguard
N.S.S. alle für Zielrechner installierten und konfigurierten Modems auf.
Sollten diese nicht ans Telefonnetz angeschlossen sein, besteht keine
Gefahr. Andernfalls können sie jedoch von Netzwerkbenutzern
verwendet werden, um unbefugt und von Netzwerkschutzlösungen
unüberwacht auf das Internet zuzugreifen. Abwehrmaßnahmen zur
Perimeter-Sicherheit
wie
Firewalls,
Anti-Virus-Software
und
Programme für Website-Bewertungen und -Zugriffsschutz könnten
umgangen werden, und die IT-Infrastruktur ist in mehrfacher Hinsicht
gefährdet.
GFI LANguard N.S.S. stuft installierte Modems daher als potenzielle
Gefahren ein und führt sie unter dem Unterknoten Potential
Vulnerability auf, damit Sie entsprechende Maßnahmen ergreifen
können.
GFI LANguard Network Security Scanner
5. Erste Schritte: Analysieren der Scan-Ergebnisse • 35
Scan-Ergebnisse im Detail: Analysieren von Freigaben
Viele böswillige Software-Schädlinge wie Würmer und Viren (z. B.
Klez, Bugbear, Elkern und Lovgate) verbreiten sich über Freigaben
von Netzwerkcomputern.
Umgang mit Freigaben
Freigaben werden ebenfalls in den Scan-Ergebnissen angezeigt, und
können somit gezielt kontrolliert werden. Klicken Sie auf den Unterknoten
Shares, um alle auf Zielrechnern gefundenen Freigaben
anzeigen zu lassen .
Screenshot 32 – Knoten "Shares"
Über den Unterknoten
Bereichen bereit:
Shares stehen Informationen zu folgenden
1. Benutzer mit Freigaben für komplette Festplatten.
2. Freigaben mit schwachen oder fehlerhaft festgelegten Zugriffsberechtigungen, die einen Zugang ohne vorherige Anmeldung möglich
machen.
3. Startordner und ähnliche Systemdateien, auf die unbefugte
Benutzer zugreifen können oder die über Benutzerkonten zugänglich
sind, die zwar keine Administratorrechte besitzen, jedoch Code auf
dem Zielrechner ausführen dürfen.
4. Nicht benötigte oder verwendete Freigaben.
Für jede gefundene Freigabe werden im Einzelnen folgende Daten
angezeigt:
•
Name der Freigabe
•
Anmerkungen zur Freigabe (Zusatzinformationen)
•
Genaue Ordnerangabe auf dem Zielrechner
•
Freigabeberechtigungen und Zugriffsrechte
•
NTFS-Berechtigungen und Zugriffsrechte
36 • 5. Erste Schritte: Analysieren der Scan-Ergebnisse
GFI LANguard Network Security Scanner
Umgang mit administrativen Freigaben
Jeder Windows-Rechner besitzt administrative Freigaben (C$, D$, E$
usw.), die standardmäßig beim Scannen des Zielrechners aufgelistet
werden.
Sollte diese Überprüfung im Rahmen eines Sicherheits-Audits nicht
länger notwendig sein, können Sie festlegen, dass administrative
Freigaben beim Scannen unberücksichtigt bleiben sollen. Weitere
Informationen hierzu erhalten Sie im Kapitel „Scan-Profile“ unter
„Anpassen der Abfrageparameter für Betriebssystemdaten“.
Scan-Ergebnisse im Detail: Analysieren der Passwortrichtlinie
Unter Windows 2000/XP/2003 können für alle Benutzerkonten
Sicherheitsrichtlinien festgelegt werden, die Schutz vor PasswortAngriffen und anderen „Brute-Force-Attacken“ bieten. Sind
beispielsweise Richtlinien für Kontosperrungen oder solche, die die
Nutzung sicherer Passwörter erfordern, korrekt eingerichtet, sind
gültige Anmeldeinformationen nur sehr schwer herauszubekommen.
So lassen sich beispielsweise typische Fehler vermeiden, die
Schwachstellen verursachen, wie die Beibehaltung vom Hersteller
vorgegebener Passwörter, Passwörter mit wenigen Zeichen oder auch
die Verwendung des Benutzernamens als Passwort.
Screenshot 33 – Knoten „Password policy“
Da GFI LANguard N.S.S. die Einstellungen der auf Zielrechnern
definierten Passwortrichtlinien abruft und anzeigt, lässt sich eine
fehlerhafte Konfigurierung schnell feststellen. Eine manuelle
Überprüfung auf einzelnen Computern ist somit nicht notwendig.
Klicken Sie auf den Unterknoten
Password Policy, um die
Richtlinieneinstellungen anzeigen zu lassen.
GFI LANguard Network Security Scanner
5. Erste Schritte: Analysieren der Scan-Ergebnisse • 37
Scan-Ergebnisse im Detail: Analysieren der RegistrierdatenbankEinstellungen
Die Registrierdatenbank (Registry) ist einer der sensibelsten
Bestandteile eines Windows-Betriebssystems, da sie als zentrale
Konfigurationsdatenbank für die Koordination der einzelnen Hardware- und Software-Komponenten eines Systems zuständig ist. Sie
enthält wichtige Einstellungen für Betriebssystem und installierte
Anwendungen, unter anderem, welche Treiber und Programme beim
Systemstart automatisch aufgerufen werden sollen.
Somit ist die Registrierdatenbank als neuralgischer Punkt ein
beliebtes Angriffsziel von Hackern und Anwendern mit unlauteren
Absichten. Hacker, die Zugang auf die Registrierdatenbank erhalten,
können Einstellungen so manipulieren, dass bei jedem Rechner- oder
Programmstart automatisch böswillige Software wie Trojaner geladen
wird. Auf diese Weise erhalten Angreifer, vom Anwender unbemerkt,
per Hintertür Zugriff auf das System.
Screenshot 34 – Knoten „Registry“
GFI LANguard N.S.S. erlaubt die zentrale Erfassung von
Einstellungen der Registrierdatenbank aller überprüften Computer,
sodass sich Manipulationen leichter erkennen lassen. Klicken Sie auf
den Unterknoten
Registry, um die erfassten Einstellungen der
Registrierdatenbank abzurufen.
Öffnen Sie im Fenster Scan Results beispielsweise den
Standardordner Run, um festzustellen, welche Programme beim
Systemstart automatisch mit aufgerufen werden. Unerwünschte
Software lässt sich hierdurch schnell erkennen.
38 • 5. Erste Schritte: Analysieren der Scan-Ergebnisse
GFI LANguard Network Security Scanner
Scan-Ergebnisse im Detail: Analysieren der Überwachungsrichtlinien
Bestandteil eines jeden Sicherheitskonzepts sollte die Überwachung
und Kontrolle von Ereignissen sein, die in Ihrem Netzwerk eintreten.
Ereignisse werden in Ereignisprotokollen aufgezeichnet, deren
Analyse bei der Identifizierung von Sicherheitslücken oder verletzungen hilft. Versuche, in Ihr Netzwerk einzudringen, sollten
schnell erkannt und abgewehrt werden, bevor ein Schaden entstehen
kann. Anhand der „Gruppenrichtlinien“ von Microsoft Windows können
Sie
Überwachungsrichtlinien
festlegen,
mit
denen
sich
Benutzeraktivitäten oder Systemereignisse in bestimmten Protokollen
nachverfolgen lassen.
GFI LANguard N.S.S. erfasst Einstellungen zu Überwachungsrichtlinien der kontrollierten Computer, die Sie im Detail in den Scan
Results (Scan-Ergebnisse) überprüfen können. Klicken Sie auf den
Unterknoten
Security Audit Policy, um die Richtlinieneinstellungen zu kontrollieren.
Hinweis: GFI empfiehlt, Sicherheitsrichtlinien-Einstellungen
Netzwerkrechnern wie folgt zu konfigurieren:
Überwachungsrichtlinie
Erfolg
Fehler
Anmeldeversuche
Ja
Ja
Kontenverwaltung
Ja
Ja
Active Directory-Zugriff
Ja
Ja
Anmeldeereignisse
Ja
Ja
Objektzugriffsversuch
Ja
Ja
Richtlinienänderungen
Ja
Ja
Rechteverwendung
Nein
Nein
Vorgangsprotokollierung
Nein
Nein
Ja
Ja
Systemereignisse
auf
Einstellungen der Richtlinien können nicht nur überprüft, sondern über
GFI LANguard N.S.S. auch auf Zielrechnern aufgerufen und geändert
werden. Gehen Sie hierfür wie folgt vor:
1. Klicken Sie im mittleren Fenster Scanned Computers mit der
rechten Maustaste auf den gewünschten Zielrechner, und wählen Sie
eine der folgenden Optionen:
•
Enable auditing on ` This computer – Erlaubt die
Konfigurierung der Richtlinieneinstellungen auf dem gewählten
Computer.
•
Enable auditing on ` Selected computers – Erlaubt die
Konfigurierung der Richtlinieneinstellungen auf mehreren
ausgewählten Computern.
•
Enable auditing on ` All computers – Erlaubt die Konfigurierung
der Richtlinieneinstellungen auf allen gescannten Computern.
GFI LANguard Network Security Scanner
5. Erste Schritte: Analysieren der Scan-Ergebnisse • 39
Screenshot 35 – Administrationsassistent für Überwachungsrichtlinien
2. Wählen Sie die Überwachungsrichtlinien aus, die auf den
ausgewählten Zielrechnern eingerichtet werden sollen. Um
beispielsweise erfolgreiche Ereignisse zu protokollieren, markieren
Sie für die entsprechende Überwachungsrichtlinie das Kontrollkästchen Success. Klicken Sie auf die Schaltfläche Next, die
Einstellungen der Überwachungsrichtlinien für die Zielrechner zu übernehmen.
Screenshot 36 – Ergebnisdialog des Assistenten für Sicherheitsrichtlinien
3. Ein Dialog informiert Sie, ob die Richtlinien erfolgreich eingerichtet
werden konnten. Traten bei der Einrichtung Probleme auf, klicken Sie
40 • 5. Erste Schritte: Analysieren der Scan-Ergebnisse
GFI LANguard Network Security Scanner
auf die Schaltfläche Back, um den Vorgang erneut durchzuführen.
Klicken Sie auf die Schaltfläche Next, wenn alle Richtlinien erfolgreich
aktiviert werden konnten.
4. Klicken Sie auf die Schaltfläche Finish, um die Einstellungen zu
speichern und den Assistenten zu schließen.
Scan-Ergebnisse im Detail: Analysieren offener TCP-Ports
Offene Ports stehen für aktive Dienste und Anwendungen, über die
Anwender missbräuchlich Zugriff auf einen Computer nehmen
können. Es sollten nur solche Ports geöffnet bleiben, die eindeutig für
die zentralen bzw. Hauptfunktionen Ihrer Netzwerkdienste benötigt
werden. Alle anderen Ports sollten aus Sicherheitsgründen
geschlossen sein.
Screenshot 37 – Knoten „Open TCP Ports“
Im Rahmen eines Scans werden alle auf den Zielrechnern
gefundenen offenen TCP-Ports erkannt und aufgeführt. Klicken Sie
auf den Unterknoten
Open TCP Ports, um die Liste der offenen
Ports anzeigen zu lassen.
Wichtige Hinweise vor Scan-Beginn
GFI LANguard N.S.S. nutzt standardmäßig das Scan-Profil Full Scan.
Mit Hilfe dieses Scan-Profils werden jedoch nicht alle 65535 TCP- und
UDP-Ports kontrolliert, da eine vollständige Überprüfung auf
sämtlichen Zielrechnern sehr zeitintensiv ist. Per Full Scan werden
nur solche Ports kontrolliert, die ein beliebtes Angriffsziel/Schlupfloch
von Hackern, Trojanern, Viren, Spyware und sonstiger Malware sind.
Um für alle Zielrechner einen umfassenden Port-Scan mit Überprüfung aller offenen Ports zu starten, wählen Sie das Scan-Profil Full
TCP & UDP Port Scan.
Weitere Informationen zur Durchführung von Sicherheits-Audits mit
Hilfe unterschiedlicher Scan-Profile erhalten Sie im Kapitel „ScanProfile“ unter „Einsetzen von Scan-Profilen“.
GFI LANguard Network Security Scanner
5. Erste Schritte: Analysieren der Scan-Ergebnisse • 41
Weitere Informationen zur Anpassung von Scan-Profilen erhalten Sie
im Kapitel „Scan-Profile“ unter „Erstellen eines neuen Scan-Profils“.
Service-Fingerprinting
Neben der Überprüfung auf offene oder geschlossene Ports analysiert
GFI LANguard N.S.S. mit Hilfe des Service-Fingerprinting alle
Dienste, die hinter den identifizierten offenen Ports laufen. So kann
ausgeschlossen werden, dass ein offener Port per Port-Hijacking
unbefugt übernommen worden ist und missbräuchlich verwendet wird.
Beispielsweise können Sie überprüfen, ob hinter Port 21 eines
Zielrechners auch wirklich ein FTP-Server aktiv ist und nicht etwa ein
HTTP-Server.
Gefährliche Ports
Screenshot 38 – Suchergebnisse: Markierung gefährlicher Ports in Rot
GFI LANguard N.S.S. zeigt offene Ports, die häufig missbräuchlich
verwendet werden, mit einem roten Warnpunkt an. Dieser Hinweis
bedeutet jedoch nicht zwangsläufig, dass dort ein BackdoorProgramm aktiv ist. Einige gültige Programme greifen auf dieselben
Ports zurück wie einige bekannte Trojaner – daher sollte eine weitere
Kontrolle erfolgen, bevor der Port geschlossen wird.
Scan-Ergebnisse im Detail: Analysieren von Benutzer- und
Gruppenkonten
Missbräuchlich angelegte, veraltete oder standardmäßige Benutzerkonten können von böswilligen oder unbefugten Benutzern
ausgenutzt werden, um auf geschützte Bereiche der IT-Infrastruktur
zuzugreifen. Das Gäste-Konto ist nur ein Beispiel hierfür. Es bleibt in
den meisten Fällen standardmäßig aktiviert und ist vielfach nur mit
einem standardmäßigen Passwortschutz versehen. Zudem sind
Anwendungen im Umlauf, mit denen das Gäste-Konto automatisch
42 • 5. Erste Schritte: Analysieren der Scan-Ergebnisse
GFI LANguard Network Security Scanner
reaktiviert und mit Administratorrechten versehen werden kann. So
wird selbst ein Zugriff auf sensible Infrastrukturbereiche möglich.
GFI LANguard N.S.S. erfasst Informationen zu allen Benutzer- und
Gruppenkonten, die auf den überprüften Rechnern aktiviert sind. Die
Ergebnisse werden im Bereich Scan Results unter zwei Knoten
angezeigt. Klicken Sie auf den Unterknoten
Users, um alle auf
einem Zielrechner identifizierten Benutzerkonten anzeigen zu lassen.
Hierdurch können Sie die Zugriffsrechte kontrollieren, die den
einzelnen Konten zugewiesen wurden. Klicken Sie auf den Unterknoten
Groups, um alle auf einen Zielrechner identifizierten
Benutzergruppen anzeigen zu lassen.
Hinweis: Benutzer sollten sich nicht über ein lokales Konto an einem
Netzwerkrechner anmelden. Aus Gründen der erhöhten Sicherheit ist
ein Login über ein Domänen- oder Active Directory-Konto zu
empfehlen.
Scan-Ergebnisse im Detail: Analysieren der angemeldeten Benutzer
Klicken Sie auf den Unterknoten
Logged on Users, um die Liste
der Benutzer aufzurufen, die am Zielrechner lokal (per interaktiver
Anmeldung) oder entfernt (per Remote-Netzwerkverbindung)
angemeldet sind.
Screenshot 39 – Angemeldete Benutzer
GFI LANguard Network Security Scanner
5. Erste Schritte: Analysieren der Scan-Ergebnisse • 43
Folgende Daten angemeldeter Benutzer werden aufgeführt:
•
Logged on username – Aktueller Benutzername.
•
Logon date and time – Uhrzeit und Datum der Anmeldung am
Zielrechner.
•
Elapsed Time – Dauer der Verbindung seit Anmeldung des
Benutzers.
•
Number of programs running – Anzahl der Programme, die
der interaktiv angemeldete Benutzer zum Zeitpunkt des Scans
geöffnet hatte.
•
Idle time – Leerlaufzeit der Verbindung eines RemoteBenutzers (bei vollständiger Inaktivität).
•
Open Files – Gibt an, wie viele Dateien der angemeldete
Benutzer geöffnet hat.
•
Client type – Plattform/Betriebssystem, über die/das der
Benutzer eine Verbindung mit dem Zielrechner hergestellt hat.
•
Transport – Name des Diensts, über den die Verbindung
zwischen dem Remote-Rechner und dem Zielrechner hergestellt
wurde (z. B. NetBIOS/SMB, Terminal Service, Remote Desktop).
Scan-Ergebnisse im Detail: Analysieren von Diensten
Aktive Dienste stellen ein potenzielles Sicherheitsrisiko für ein Netzwerk dar. Hinter Diensten können sich Trojaner, Viren oder andere
Malware verbergen. Zudem beanspruchen nicht benötigte, jedoch
aktive Anwendungen und Dienste wertvolle Systemressourcen und
können die Computerleistung beinträchtigen.
Während eines Scans werden alle auf Zielrechnern laufenden Dienste
aufgeführt. So können Sie leicht feststellen, welche Dienste
unerwünscht sind und beendet werden müssen. Neben der Freigabe
von Ressourcen verringern Sie hierdurch auch die Anzahl der
Schlupflöcher, durch die Hacker unerlaubten Zugriff auf Ihr System
nehmen können. Klicken Sie auf den Unterknoten
Services, um
die ermittelten Dienste anzuzeigen.
Scan-Ergebnisse im Detail: Analysieren von Prozessen
Klicken Sie auf den Unterknoten
Processes, um eine Übersicht
aller Prozesse anzeigen zu lassen, die während des SicherheitsScans auf den Zielrechnern aktiv waren.
44 • 5. Erste Schritte: Analysieren der Scan-Ergebnisse
GFI LANguard Network Security Scanner
Screenshot 40 – Liste aller auf Zielrechnern aktiven Prozesse
Während eines Scans werden folgende Informationen zu aktiven
Prozessen erfasst:
•
Name des Prozesses
•
PID (Prozess-ID)
•
Path (Pfad)
•
User (Benutzer)
•
PPID (Parent Process Identifier)
•
Domain (Domäne)
•
Command Line (Befehlszeile)
•
Handle Count (Anzahl der Handles)
•
Thread Count (Anzahl der Threads)
•
Priority (Priorität)
GFI LANguard Network Security Scanner
5. Erste Schritte: Analysieren der Scan-Ergebnisse • 45
Scan-Ergebnisse im Detail: Analysieren installierter Anwendungen
Screenshot 41 – Liste aller auf Zielrechnern installierten Anwendungen
Klicken Sie auf den Unterknoten
Applications, um eine Übersicht
aller Anwendungen anzeigen zu lassen, die auf einem gescannten
Zielrechner installiert sind. Die identifizierten Anwendungen werden in
drei Gruppen unterteilt angezeigt:
•
Anti-Virus-Programme
•
Anti-Spyware-Programme
•
Allgemeine Anwendungen
Gruppen zu Anti-Virus- und Anti-Spyware-Programmen
Unter Anti-Virus Applications und Anti-Spyware Applications
werden alle Sicherheitsanwendungen gruppiert, die auf den
gescannten Zielrechnern installiert sind. Folgende Informationen
werden unter der jeweiligen Gruppe aufgeführt:
•
Application name (Anwendungsname)
•
Real time protection – Zeigt den Status des Echtzeit-Schutzes
einer Anti-Virus-Anwendung an (aktiviert/deaktiviert).
•
Up to date – Informiert, ob die Anti-Virus/SpywareSignaturdateien einer Sicherheitsanwendung auf dem neuesten
Stand sind. Hierfür wird die Statuskennzeichnung für Signaturdateien kontrolliert (falls möglich).
•
Last update – Zeigt Datum und Uhrzeit des letzten Updates
der Anti-Virus/Spyware-Signaturen an.
•
Version – Informiert
Sicherheitsanwendung.
•
über
die
Versionsnummer
der
Publisher – Zeigt Herstellerinformationen an.
46 • 5. Erste Schritte: Analysieren der Scan-Ergebnisse
GFI LANguard Network Security Scanner
Gruppe zu allgemeinen Anwendungen
Unter der Gruppe General Applications werden alle allgemeinen
Anwendungen aufgeführt, die auf dem gescannten Zielrechner
installiert sind. Hierzu zählen sämtliche Programme, die nicht als AntiVirus/Spyware-Produkte klassifiziert sind, z. B. der Adobe Reader
oder auch GFI LANguard N.S.S.
Folgende Informationen werden in der Gruppe General Applications
aufgeführt:
•
Application name (Anwendungsname)
•
Version – Informiert über die Versionsnummer der Anwendung.
•
Publisher – Zeigt Herstellerinformationen an.
Scan-Ergebnisse im Detail: Analysieren von Netzwerkgeräten
Nicht überwachte Netzwerkgeräte, vor allem kabellose Hardware,
können Sicherheitslöcher öffnen, die eine Gefahr für die Unternehmenssicherheit darstellen. Aus diesem Grund sollten nur von
Ihnen zugelassene Geräte dieser Art mit Ihrem Netzwerk verbunden
werden.
Screenshot 42 – Identifizierte Netzwerkgeräte
Im Rahmen eines Sicherheits-Scans werden sämtliche installierte
Software- und Hardware-Netzwerkgeräte (kabelgebunden und drahtlos) angezeigt. Klicken Sie auf den Unterknoten
Network Devices,
um die ermittelten Netzwerkgeräte anzuzeigen. Die erfassten
Informationen werden in folgenden Gruppen angezeigt:
•
Physical devices (Wired) (kabelgebundene physische Geräte)
•
Wireless devices (drahtlose Geräte)
•
Virtual devices (virtuelle Geräte)
•
Software enumerated devices (von Software spezifizierte
Geräte)
GFI LANguard Network Security Scanner
5. Erste Schritte: Analysieren der Scan-Ergebnisse • 47
In jeder Gruppe werden verschiedene Informationen zu den erkannten
Geräten aufgeführt, darunter:
•
MAC-Adresse
•
IP-Adresse(n)
•
Device Type (Gerätetyp)
•
Host-Name
•
Domain (Domäne)
•
DHCP details (DHCP-Informationen)
•
WEP (falls verfügbar)
•
SSID (falls verfügbar)
•
Gateway
•
Status
Scan-Ergebnisse im Detail: Analysieren der USB-Geräte
Screenshot 43 – Liste identifizierter USB-Geräte
Klicken Sie auf den Unterknoten
USB devices, um eine Übersicht
über alle USB-Geräte anzeigen zu lassen, die mit den Zielrechnern
verbunden sind. Mit Hilfe dieser Informationen können Sie unerwünschte USB-Geräte, darunter auch Bluetooth-Dongles, identifizieren, die zum Zeitpunkt des Scans mit den kontrollierten
Zielrechnern verbunden waren. Viele portable Geräte wie der Apple
iPod oder Creative Zen MP3-Player, die sich als Massenspeicher
einsetzen lassen, werden per USB verbunden und können zum
Diebstahl vertraulicher Daten oder zur Übertragung von Schadsoftware verwendet werden.
48 • 5. Erste Schritte: Analysieren der Scan-Ergebnisse
GFI LANguard Network Security Scanner
Scan-Ergebnisse im Detail: Analysieren des Installationsstatus von
Patches/Service Packs
Screenshot 44 – Liste fehlender und installierter Patches/Service Packs
Klicken Sie auf den Knoten
System patching status, um eine
Übersicht über den Patch/Service Pack-Status eines Zielrechners zu
erhalten.
Scan-Ergebnisse im Detail: Analysieren von NetBIOS-Namen
Jeder Rechner eines Netzwerks besitzt einen eindeutigen NetBIOSComputernamen. Dieser Name besteht aus 16 Zeichen, mit denen
sich NetBIOS-Ressourcen im Netzwerk identifizieren lassen.
NetBIOS-Namen werden mit Hilfe der NetBIOS-Namensauflösung
einer IP-Adresse zugewiesen.
Während der Kontrolle fragt GFI LANguard N.S.S. die Identität und
Verfügbarkeit eines Zielrechners ab. Falls der Zielrechner verfügbar
ist, antwortet er durch Übersendung des entsprechenden NetBIOSNamens auf die Anfrage. Klicken Sie auf den Unterknoten
NETBIOS names, um die erfassten NetBIOS-Einstellungen
aufzurufen.
GFI LANguard Network Security Scanner
5. Erste Schritte: Analysieren der Scan-Ergebnisse • 49
Scan-Ergebnisse im Detail: Analysieren der Systeminformationen
von Zielrechnern
Screenshot 45 – Systeminformationen des Zielrechners
Klicken Sie auf den Unterknoten
Computer, um folgende
Systemdaten zu einem gescannten Rechner abzurufen:
•
MAC – Zeigt die MAC-Adresse der Netzwerkkarte an, über die
der Zielrechner mit dem Netzwerk verbunden ist.
•
Time To Live (TTL) – Informiert über die maximal erlaubte
Anzahl von Netzwerk-Hops, bevor ein Datenpaket verworfen und
nicht weitergeleitet wird. Über diese Angabe können Sie die
Distanz (d. h. die Anzahl der Router-Hops) zwischen dem
GFI LANguard N.S.S.-Rechner und dem gescannten Zielrechner
feststellen. Typische TTL-Werte sind 32, 64, 128 und 255.
•
Network Role – Zeigt an, ob es sich bei einem gescannten
Zielrechner um eine Workstation oder einen Server handelt.
•
Domain – Zeigt den Namen der Domäne/Arbeitsgruppe an.
Gehört ein gescanntes Ziel zu einer Domäne, werden in diesem
Feld die vertrauenswürdigen Domänen angezeigt. Andernfalls
steht in diesem Feld der Name der Arbeitsgruppe, zu der der
Rechner gehört.
•
LAN-Manager – Bietet Angaben zum verwendeten
Betriebssystem und LAN-Manager (z. B. Windows 2000 LAN
Manager).
•
Language – Informiert über die Spracheinstellungen des
Zielrechners (z. B. Englisch).
50 • 5. Erste Schritte: Analysieren der Scan-Ergebnisse
GFI LANguard Network Security Scanner
Scan-Ergebnisse im Detail: Analysieren von Sessions
Screenshot 46 – Sitzungsinformationen
Klicken Sie auf den Unterknoten
Sessions, um eine Übersicht aller
Hosts anzeigen zu lassen, die während des Sicherheits-Scans per
Fernzugriff mit dem Zielrechner verbunden waren. Folgende
Informationen werden unter diesem Knoten aufgeführt:
•
•
Computer – IP-Adresse des Hosts, der mit dem gescannten
Zielrechner zum Zeitpunkt des Scans remote verbunden war.
Username – Aktueller Benutzername
•
Open files – Anzahl der Dateien, auf die bislang während der
Sitzung zugegriffen worden ist.
•
Connection time – Die Verbindungsdauer (in Sekunden), d. h.
wie lange ein Benutzer zum Zeitpunkt des Scans bereits mit dem
Zielrechner remote verbunden ist.
•
Idle time – Gesamtdauer (in Sekunden) für die die Verbindung
bislang inaktiv gewesen ist.
•
Client type – Plattform/Betriebssystem, mit dem der remote
angemeldete Rechner (d. h. der Client-Computer) läuft.
•
Transport – Name des Diensts, über den die RemoteVerbindung zwischen dem Client-Rechner und dem Zielrechner
hergestellt wurde (z. B. NetBIOS/SMB).
Hinweis: Zu den unter diesem Knoten aufgeführten Informationen
zählen auch Angaben zur Remote-Verbindung, die durch den von
GFI LANguard N.S.S. durchgeführten Scan aufgebaut wurde. Die IPAdresse des Rechners, auf dem GFI LANguard N.S.S. läuft, seine
Anmeldeinformationen u. Ä. werden somit ebenfalls angezeigt.
GFI LANguard Network Security Scanner
5. Erste Schritte: Analysieren der Scan-Ergebnisse • 51
Scan-Ergebnisse im Detail: Analysieren der Uhrzeit des
Zielrechners
Klicken Sie auf den Unterknoten
Remote TOD, um die
Netzwerkzeit anzuzeigen, die während des Scans vom Zielrechner
abgerufen wurde. Diese Uhrzeit wird bei Netzwerkrechnern im
Allgemeinen vom zuständigen Domänen-Controller bestimmt.
Scan-Ergebnisse im Detail: Analysieren lokaler Festplattenlaufwerke
Klicken Sie auf den Unterknoten
Local Drives, um eine Übersicht
zu allen physischen Festplatten auf dem Zielrechner aufzurufen. Die
über diesen Unterknoten abrufbaren Informationen umfassen den
Laufwerksbuchstaben, die Gesamtgröße des Laufwerks sowie den
freien Festplattenspeicher.
Anzeigen und Sortieren von Scan-Kategorien
Legen Sie fest, welche Scan-Ergebniskategorien im Fenster Scan
Results angezeigt werden sollen. Bestimmen Sie zudem, in welcher
Reihenfolge die Kategorien aufzuführen sind. Nicht erforderliche und
unter Umständen ablenkende Elemente können ausgeblendet
werden.
Screenshot 47 – Anpassung des Anzeige-Fensters
52 • 5. Erste Schritte: Analysieren der Scan-Ergebnisse
GFI LANguard Network Security Scanner
So wählen Sie die anzuzeigenden Scan-Kategorien und deren
Reihenfolge aus:
1. Klicken Sie auf die Schaltfläche
Anzeige anzupassen.
Customize view, um die
2. Markieren Sie über den Reiter View die Scan-Kategorien, die
angezeigt werden sollen. Klicken Sie auf die Schaltfläche Apply, um
die Einstellungen zu übernehmen.
3. Über den Reiter Sorting können Sie die Reihenfolge der
angezeigten Kategorien festlegen. Klicken Sie auf die Schaltfläche
OK, um die Einstellungen zu speichern.
GFI LANguard Network Security Scanner
5. Erste Schritte: Analysieren der Scan-Ergebnisse • 53
54 • 5. Erste Schritte: Analysieren der Scan-Ergebnisse
GFI LANguard Network Security Scanner
6. Speichern und Abrufen von ScanErgebnissen
Einführung
Scan-Ergebnisse liefern Systemadministratoren wertvolle Informationen, ob für weitergehende oder auch vergleichende Analysen. Mit
GFI LANguard N.S.S. werden Scan-Daten per Microsoft SQL Server
oder Microsoft Access gesichert und lassen sich im XML-Format
exportieren.
In diesem Kapitel erhalten Sie Informationen zu den Themen:
1. Speicherung der Scan-Ergebnisse durch GFI LANguard N.S.S.
2. Abruf gespeicherter Scan-Ergebnisse per Verwaltungskonsole von
GFI LANguard N.S.S.
Hinweis: Wenn Sie die Testversion von GFI LANguard N.S.S.
verwenden, können Scan-Ergebnisse nicht im Datenbank-Backend
oder in einer XML-Datei gesichert oder daraus abgerufen werden.
Weitere Informationen hierzu erhalten Sie im Kapitel „Produktevaluierung“ in diesem Handbuch.
Speichern von Scan-Ergebnissen in einer externen (XML-)Datei
Nach Abschluss eines Sicherheits-Scans werden alle Ergebnisse
automatisch im Datenbank-Backend gesichert. Die Ergebnisse
können zudem in einer externen XML-Datei gespeichert werden.
Gehen Sie hierfür wie folgt vor:
1. Gehen Sie auf File ` Save scan results.
2. Geben Sie den Namen der XML-Datei an, in der die Ergebnisse
gespeichert werden sollen (z. B. ScanErgebnis_11052006.xml).
3. Klicken Sie auf die Schaltfläche Save.
GFI LANguard Network Security Scanner
6. Speichern und Abrufen von Scan-Ergebnissen • 55
Abrufen von Scan-Ergebnissen
Abrufen gespeicherter Scan-Daten aus dem DatenbankBackend
Screenshot 48 – Abruf gespeicherter Scan-Ergebnisse
GFI LANguard N.S.S. kann Scan-Ergebnisse per Microsoft Access
oder Microsoft SQL Server Datenbank-Backend oder in einer XMLDatei speichern. In der Datenbank werden standardmäßig die
Ergebnisse der letzten 10 Scans pro Scan-Profil gespeichert.
Hinweis: Die Anzahl der in der Datenbank gespeicherten ScanErgebnisse lässt sich individuell anpassen. Weitere Informationen
hierzu erhalten Sie im Kapitel „Datenbank-Wartung – Optionen“ unter
„Verwalten gespeicherter Scan-Ergebnisse“.
In einer XML-Datei gespeicherte Scan-Ergebnisse lassen sich
ebenfalls zur weiteren Verarbeitung und Analyse abrufen. So rufen
Sie gespeicherte Scan-Ergebnisse aus dem Datenbank-Backend ab:
1. Klicken Sie im linken Navigationsfenster auf die Schaltfläche Main.
2. Klicken Sie mit der rechten Maustaste auf den Knoten Security
Scanner (Default), und wählen Sie Load saved scan results from `
Database.
56 • 6. Speichern und Abrufen von Scan-Ergebnissen
GFI LANguard Network Security Scanner
Screenshot 49 – Gespeicherte Scan-Ergebnisse
3. Wählen Sie die abzurufenden Scan-Ergebnisse aus, und klicken
Sie auf die Schaltfläche OK.
Abrufen gespeicherter Scan-Ergebnisse aus einer XMLDatei
Der Abruf von Scan-Ergebnissen aus einer XML-Datei erfolgt ähnlich
wie bei der Datenbank:
1. Klicken Sie im linken Navigationsfenster auf die Schaltfläche Main.
2. Klicken Sie mit der rechten Maustaste auf den Knoten Security
Scanner (Default), und wählen Sie Load saved scan results from `
XML.
3. Wählen Sie die XML-Datei mit den Scan-Ergebnissen aus, und
klicken Sie auf die Schaltfläche OK.
GFI LANguard Network Security Scanner
6. Speichern und Abrufen von Scan-Ergebnissen • 57
58 • 6. Speichern und Abrufen von Scan-Ergebnissen
GFI LANguard Network Security Scanner
7. Filtern von Scan-Ergebnissen
Einführung
Scan-Ergebnisse umfassen eine große Auswahl an Daten aus den
unterschiedlichsten
Bereichen.
Obwohl
alle
gesammelten
Informationen sicherheitsrelevant sind, kann es mitunter erforderlich
sein, Ergebnisse zu filtern, um sich bei Kontrollen nur auf einzelne
Sicherheitsaspekte zu konzentrieren, beispielsweise auf fehlende
Patches.
Screenshot 50 – Knoten „Results Filtering“
GFI LANguard N.S.S. bietet eine Auswahl an Standard-Filtern, mit
denen nur speziell erforderliche Daten angezeigt werden.
In diesem Kapitel erfahren Sie, wie Filter auf Scan-Ergebnisse
angewendet werden, um spezifische Informationen zur Analyse zu
isolieren.
GFI LANguard Network Security Scanner
7. Filtern von Scan-Ergebnissen • 59
Informationen zu standardmäßigen Filtern
Scan-Ergebnisse können mit folgenden bereits standardmäßig verfügbaren Filtern bearbeitet werden:
•
Full Report – Zeigt sämtliche während eines Scans erfassten
sicherheitsbezogenen Daten an, darunter Systeminformationen,
veraltete Virensignaturen und fehlende Sicherheitsaktualisierungen.
•
Vulnerabilities [High security] – Informiert nur über schwere
Sicherheitslücken wie fehlende Sicherheits-Patches und Service
Packs, die als „kritisch“ gekennzeichnet sind.
•
Vulnerabilities [Medium security] – Führt nur mittelschwere
Sicherheitslücken durch fehlende Sicherheits-Patches und Service
Packs auf, die vom Administrator überprüft werden sollten.
•
Vulnerabilities [All] – Informiert über kritische und
mittelschwere Sicherheitslücken wie fehlende Patches und Service
Packs.
•
High vulnerability level computers – Führt gefährdete
Computer mit Sicherheitslücken der Kategorie „hoch“ auf.
•
Missing Patches and Service Packs – Informiert nur über
Patches und Service Packs, die auf den gescannten Rechnern
fehlen.
•
Missing Critical Patches – Informiert über alle fehlenden
Patches, die als „kritisch“ eingestuft sind.
•
Missing Service Packs – Führt alle Computer auf, auf denen
Service Packs fehlen.
•
Important Devices – USB – Führt sämtliche USB-Geräte auf,
die mit den gescannten Computern zum Zeitpunkt der Kontrolle
verbunden waren.
•
Important Devices – Wireless – Führt sämtliche WirelessNetzwerkkarten (PCI und USB) auf, die zum Zeitpunkt des Scans
mit den gescannten Zielrechnern verbunden waren.
•
Open Ports – Zeigt alle offenen TCP- und UDP-Ports auf den
gescannten Zielrechnern an.
•
Open Shares – Informiert über alle Freigaben und zugehörige
Zugriffsrechte.
•
Auditing Policies – Listet die Einstellungen der Überwachungsrichtlinien der gescannten Zielrechner auf.
•
Password Policies – Listet die Einstellungen der aktiven
Passwort-Richtlinien auf, die für die gescannten Zielrechner
definiert wurden.
•
Groups and Users – Zeigt die auf den gescannten
Zielrechnern erkannten Benutzer und Gruppen an.
•
Computer Properties – Zeigt die Eigenschaften jedes
Zielrechners an.
•
Installed Applications – Informiert über alle installierten
Anwendungen (inklusive Sicherheitssoftware), die während eines
Sicherheits-Scans auf Zielrechnern identifiziert wurden.
60 • 7. Filtern von Scan-Ergebnissen
GFI LANguard Network Security Scanner
•
Non-Updated Security Software – Listet nur solche
installierten Sicherheitsanwendungen (d. h. Anti-Virus/SpywareSoftware) auf, bei denen Updates fehlen und deren
Signaturdateien veraltet sind.
Hinweis: Alle standardmäßigen Scan-Filter lassen sich individuell
anpassen. Ein Erstellen neuer Filter ist ebenfalls möglich.
Anwenden von Filtern auf Scan-Ergebnisse
So filtern Sie vorhandene Scan-Daten mit Hilfe eines Scan-Filters:
1. Starten und beenden Sie einen Sicherheits-Scan Ihres Netzwerks,
oder rufen Sie Ergebnisse vorheriger Scans aus Ihrer Datenbank oder
XML-Datei ab.
Screenshot 51 – Scan-Filter: Vollständiger Bericht
2. Erweitern Sie den Knoten Security Scanner ` Results Filtering.
3. Wählen Sie den gewünschten Scan-Filter aus (z. B. Vulnerabilities
[All]).
GFI LANguard Network Security Scanner
7. Filtern von Scan-Ergebnissen • 61
Erstellen eigener Scan-Filter
So erstellen Sie einen eigenen Scan-Filter:
1. Klicken Sie im Tools Explorer auf die Schaltfläche Main. Gehen
Sie auf den Knoten Security Scanner ` Results Filtering, klicken Sie
mit der rechten Maustaste auf Results Filtering, und wählen Sie im
Kontextmenü New ` Filter.
Screenshot 52 – Eigenschaften eines neuen Scan-Filters: Reiter „General“
2. Geben Sie unter dem Reiter General in Eingabefeld Filter name
den Namen des neuen Scan-Filters an.
Screenshot 53 – Eigenschaften eines Filters
62 • 7. Filtern von Scan-Ergebnissen
GFI LANguard Network Security Scanner
3. Klicken Sie auf die Schaltfläche Add, und wählen Sie aus der angezeigten Liste die gewünschte Filtereigenschaft aus (z. B. „Operating
system“). Hierdurch legen Sie fest, welche Art von Information aus
den Scan-Ergebnissen herausgefiltert werden soll, d. h. Sie
bestimmen den Anwendungsbereich.
4. Klicken Sie auf die Schaltfläche Next.
Screenshot 54 – Eigenschaften einer Filterbedingung
5. Wählen Sie aus der Drop-Down-Liste zu Conditions die benötigte
Filterbedingung aus, und legen Sie den zu ermittelnden Filterwert im
Eingabefeld Value fest. Der Filterwert gibt die Zeichenfolge an, nach
der der Filter unter Berücksichtigung der Bedingung die ScanErgebnisse durchsucht.
6. Klicken Sie auf die Schaltfläche Add um fortzufahren.
Hinweis: Es ist möglich, für jeden Scan-Filter mehrere Filterbedingungen festzulegen. Hierdurch können Sie leistungsfähige Filter
erstellen, mit deren Hilfe sich zu analysierende Daten noch gezielter
isolieren lassen.
GFI LANguard Network Security Scanner
7. Filtern von Scan-Ergebnissen • 63
Screenshot 55 – Eigenschaften eines neuen Scan-Filters: Reiter „Report Items“
7. Klicken Sie auf den Reiter Report Items, und wählen Sie alle
Informationskategorien/Unterknoten aus, die in der Konfiguration
angezeigt werden sollen. Klicken Sie auf die Schaltfläche OK, um den
neuen Filter zu erstellen und zu speichern.
Der neue Filter wird dauerhaft als Unterknoten unter Security
Scanner ` Results Filtering aufgeführt.
Hinweis: Um einen Scan-Filter zu löschen oder zu bearbeiten, klicken
Sie mit der rechten Maustaste darauf, und wählen Sie im Kontextmenü Delete zum Löschen oder Properties zum Bearbeiten der
Eigenschaften.
Beispiel 1 – Erstellen eines Filters zur Suche nach Rechnern, auf
denen ein bestimmter Patch fehlt
Anhand des folgenden Beispiels wird gezeigt, wie ein Filter erstellt
werden kann, der alle Windows XP-Rechner auflistet, auf denen der
Microsoft-Patch MS03-026 (zur Abwehr des Blaster-Virus) fehlt.
1. Klicken Sie im Tools Explorer auf die Schaltfläche Main. Gehen
Sie auf den Knoten Security Scanner ` Results Filtering. Klicken
Sie mit der rechten Maustaste auf Results Filtering, und wählen Sie
im Kontextmenü New ` Filter.
2. Geben Sie im Eingabefeld Filter name den Namen „Fehlender
Blaster-Patch“ ein, und klicken Sie auf die Schaltfläche Add.
3. Wählen Sie aus der Liste der Filtereigenschaften die Option
Operating system aus, und klicken Sie auf die Schaltfläche Next.
64 • 7. Filtern von Scan-Ergebnissen
GFI LANguard Network Security Scanner
Screenshot 56 – Filterbedingungen
4. Wählen Sie aus der Drop-Down-Liste zu Conditions den Eintrag
Equal to (gleich) aus. Geben Sie im Eingabefeld Value den Wert
„Windows XP“ ein.
5. Klicken Sie auf die Schaltfläche Add, um die Bedingung dem Filter
hinzuzufügen.
Screenshot 57 – Eigenschaften eines neuen Scan-Filters: Reiter „General“
GFI LANguard Network Security Scanner
7. Filtern von Scan-Ergebnissen • 65
6. Klicken Sie auf die Schaltfläche Add, um eine weitere
Filterbedingung für den Patch-Namen (d. h. MS03-026) zu erstellen.
7. Wählen Sie aus der Liste der Filtereigenschaften den Eintrag Patch
aus, und klicken Sie auf die Schaltfläche Next.
8. Wählen Sie aus der Drop-Down-Liste zu Conditions den Eintrag is
not installed aus. Geben Sie im Eingabefeld Value den Wert „MS03026” ein. Klicken Sie auf die Schaltfläche Add, um die Bedingung dem
Filter hinzuzufügen.
9. Klicken Sie auf die Schaltfläche OK, um die Konfigurierung
abzuschließen und den Filter zu erstellen. Der Filter steht jetzt über
einen neuen Unterknoten zur Verfügung (über Security Scanner `
Results Filtering ` Fehlender Blaster-Patch).
Beispiel 2 – Erstellen eines Filters zur Auflistung aller SunWorkstations mit Webserver
So erstellen Sie einen Filter, der alle Sun-Workstations anzeigt, auf
denen einen Webserver auf Port 80 läuft:
1. Klicken Sie im Tools Explorer auf die Schaltfläche Main. Gehen
Sie auf den Knoten Security Scanner ` Results Filtering. Klicken
Sie mit der rechten Maustaste auf Results Filtering, und wählen Sie
im Kontextmenü New ` Filter.
2. Geben Sie im Eingabefeld für den Filternamen „Sun WS,
Webserver auf Port 80“ ein. Klicken Sie auf die Schaltfläche Add.
3. Wählen Sie aus der Liste der Filtereigenschaften den Eintrag
Operating system aus, und klicken Sie auf die Schaltfläche Next.
4. Wählen Sie aus der Drop-Down-Liste zu Conditions den Eintrag
Includes (enthält) aus. Geben Sie im Eingabefeld Value den Wert
„Sun OS“ ein.
5. Klicken Sie auf die Schaltfläche Add.
6. Klicken Sie im Dialog zu den Filtereigenschaften auf die
Schaltfläche Add, um eine weitere Filterbedingung hinzuzufügen.
7. Wählen Sie TCP Port, und klicken Sie auf die Schaltfläche Next.
8. Wählen Sie aus der Drop-Down-Liste zu Conditions den Eintrag is
open (ist offen) aus. Geben Sie im Eingabefeld Value den Wert „80“
ein.
9. Klicken Sie auf die Schaltfläche Add, um die Bedingung dem Filter
hinzuzufügen.
10. Klicken Sie auf die Schaltfläche OK, um die Einstellungen zu
speichern. Der Filter steht jetzt über einen neuen Unterknoten zur
Verfügung (über Security Scanner ` Results Filtering ` Sun WS,
Webserver auf Port 80).
66 • 7. Filtern von Scan-Ergebnissen
GFI LANguard Network Security Scanner
8. Konfigurieren von GFI LANguard
N.S.S.
Einführung
Dank vorkonfigurierter Einstellungen können bereits unmittelbar nach
der Installation von GFI LANguard N.S.S. Sicherheits-Scans durchgeführt werden. Je nach Unternehmensanforderung lassen sich
Konfigurationsvorgaben auch individuell anpassen. Anpassbar sind
Scan-Zeitpläne, Schwachstellen-Checks, Scan-Filter und ScanProfile.
Hinweis: Mit der Testversion von GFI LANguard N.S.S. können ScanErgebnisse nicht miteinander verglichen werden. Die Einrichtung von
Scans nach Zeitplan ist ebenfalls nicht möglich. Weitere Informationen
hierzu erhalten Sie im Kapitel „Produktevaluierung“ in diesem
Handbuch.
In diesem Kapitel erhalten Sie Informationen zu den Themen:
•
Erstellen und Konfigurieren von Scans nach Zeitplan
•
Konfigurieren von E-Mail-Warnungen
•
Konfigurieren von Computer-Profilen
•
Konfigurieren automatischer Patch-Download
•
Konfigurieren des Datenbank-Backendes
Erstellen und Konfigurieren von Scans nach Zeitplan
Überprüfungen des Netzwerks auf Sicherheitslücken lassen sich automatisch starten: zu einem bestimmten Zeitpunkt und in täglichen,
wöchentlichen oder monatlichen Intervallen.
Ergebnisse aus per Zeitplan durchgeführten Scans werden standardmäßig in einem Microsoft Access- oder Microsoft SQL DatenbankBackend gesichert. Zudem können Sie Ergebnisdaten speichern
lassen per:
•
XML- oder HTML-Datei, die für einen Berichtvergleich verwendet
werden kann.
•
Automatisch angefertigten Ergebnisbericht, der per E-Mail an den
Administrator verschickt wird.
Hinweis: Weitere Informationen zur Festlegung der Einstellungen des
E-Mail-Servers oder der E-Mail-Adresse des Administrators erhalten
Sie in diesem Kapitel unter „Konfigurieren von Warnungen“.
Nach Abschluss eines Scans nach Zeitplan haben Sie die Möglichkeit,
zwei Arten von Berichten automatisch erstellen und per E-Mail
versenden zu lassen: einen umfassenden Bericht mit sämtlichen
Scan-Ergebnissen und einen Vergleichsbericht.
GFI LANguard Network Security Scanner
8. Konfigurieren von GFI LANguard N.S.S. • 67
•
Der Bericht mit sämtlichen Scan-Ergebnissen enthält alle während
eines Scans erfassten oder erstellten Daten.
•
Der Vergleichsbericht informiert nur über Unterschiede, die
zwischen dem aktuellen und dem davor durchgeführten Scan
festgestellt werden konnten.
Hinweis: Wurden bei Auswahl des Vergleichsberichts keine Unterschiede zwischen zwei Scann-Durchläufen festgestellt, oder ist ein
Scan nach Zeitplan zum ersten Mal durchgeführt worden, wird kein
Bericht verschickt.
Erstellen eines Scans nach Zeitplan
Screenshot 58 – Übersicht über Scans nach Zeitplan
So erstellen Sie einen nach einem Zeitplan durchzuführenden Scan:
1. Klicken Sie auf die Schaltfläche Configuration, und gehen Sie auf
den Unterknoten Configuration ` Settings.
2. Klicken Sie mit der rechten Maustaste auf Scheduled Scans.
Gehen Sie im Kontextmenü auf New ` Scheduled scan. Der
Konfigurationsdialog für einen neuen Scan nach Zeitplan wird
geöffnet.
68 • 8. Konfigurieren von GFI LANguard N.S.S.
GFI LANguard Network Security Scanner
Screenshot 59 – Neuer Scan nach Zeitplan
3. Geben Sie im standardmäßig angezeigten Reiter General die
gewünschten Zielrechner an (mit Host-Name, IP-Adresse oder IPBereich).
Hinweis: Weitere Informationen zum Festlegen zu scannender
Computer erhalten Sie nachfolgend unter „Scan nach Zeitplan:
Konfigurieren von Scan-Zielen“.
4. Wählen Sie das Scan-Profil aus, das für den Scan nach Zeitplan
verwendet werden soll, und geben Sie eine Beschreibung des Scans
an.
5. Soll der Scan regelmäßig erfolgen, geben Sie das Scan-Intervall
an.
6. Legen Sie Datum und Uhrzeit des Scan-Starts fest.
7. Sind für diesen Scan alternative Zugangsdaten erforderlich, können
diese über den Reiter Logon Credentials angegeben werden.
Weitere Informationen hierzu erhalten Sie nachfolgend unter „Scan
nach Zeitplan: Festlegen der Anmeldeinformationen“.
8. Sollten die zu scannenden Zielrechner nicht ständig mit dem
Netzwerk verbunden sein (z. B. Laptops), klicken Sie auf den Reiter
Advanced. Weitere Informationen zu den erforderlichen Einstellungen
erhalten Sie nachfolgend unter „Scan nach Zeitplan: Konfigurieren
erweiterter Optionen“.
9. Klicken Sie auf die Schaltfläche OK, um die Einstellungen zu
speichern.
GFI LANguard Network Security Scanner
8. Konfigurieren von GFI LANguard N.S.S. • 69
Scan nach Zeitplan: Konfigurieren von Scan-Zielen
Zu scannende Computer lassen sich mit folgenden Angaben
festlegen:
•
Vollständiger Name einer Domäne (FQDN), um alle Computer
einer bestimmten Domäne zu scannen.
•
Einzelne Computernamen
•
URL (z. B. computer.unternehmen.com)
•
IP-Adresse des zu scannenden Computers (z. B. 192.168.100.5)
•
IP-Bereich (z. B. 192.168.100.5 – 192.168.100.50)
•
Subnetze in CIDR-Notation (z. B.168.100.0/24)
•
Name und vollständiger Pfad zu einer Textdatei mit Daten der zu
scannenden Computer:
file:<Dateiname>
Hinweis: In der Textdatei darf nur ein Computer pro Zeile
aufgeführt sein.
Scan nach Zeitplan: Festlegen der Anmeldeinformationen
Wie bei regulären Sicherheits-Scans muss auch bei Scans nach
Zeitplan die Anmeldung am Zielrechner über ein Konto mit
Administratorrechten erfolgen, um Kontrollen durchführen zu können.
Bei Scans nach Zeitplan werden zur Anmeldung standardmäßig die
Anmeldeinformationen des aktuellen Benutzerkontos verwendet. Falls
erforderlich, lassen sich auch andere Zugangsdaten nutzen.
Screenshot 60 – Festlegen von Zugangsdaten
70 • 8. Konfigurieren von GFI LANguard N.S.S.
GFI LANguard Network Security Scanner
Als Anmeldeinformation für einen Scan nach Zeitplan können über die
Drop-Down-Liste Logon using folgende Optionen ausgewählt
werden:
•
Alternative Credentials – Wählen Sie diese Option, um sich an
Zielrechnern mit einem gesonderten Benutzernamen und
Passwort anzumelden, falls erforderlich.
•
SSH Private Key – Wählen Sie diese Option, um sich an LinuxRechnern per Private-Key-Authentifizierung anzumelden. Geben
Sie den Benutzernamen und die Private-Key-Datei an.
Scan nach Zeitplan: Konfigurieren erweiterter Optionen
Screenshot 61 – Konfigurierung erweiterter Optionen
GFI LANguard N.S.S. kann sich Scan-Ziele merken, die während
eines Sicherheits-Scans nicht verfügbar (z. B. ausgeschaltet) waren.
Sobald diese wieder mit dem Netzwerk verbunden sind, wird ein
neuer Scan-Versuch gestartet.
Klicken Sie hierfür auf den Reiter Advanced, und wählen Sie die
Option Wait for offline machines to connect to the network.
GFI LANguard Network Security Scanner
8. Konfigurieren von GFI LANguard N.S.S. • 71
Scan nach Zeitplan: Konfigurieren der Ergebnisspeicherung
Screenshot 62 – Eigenschaften von Scans nach Zeitplan
So speichern Sie Scan-Ergebnisse in einer XML/HTML-Datei:
1. Klicken Sie auf die Schaltfläche Configuration, und gehen Sie auf
den Unterknoten Configuration ` Settings.
2. Klicken Sie mit der rechten Maustaste auf den Unterknoten
Scheduled Scans, und wählen Sie im Kontextmenü Properties. Der
Eigenschaften-Dialog für Scans nach Zeitplan wird geöffnet.
3. Legen Sie fest, in welchem Format die Scan-Ergebnisse
gespeichert werden sollen:
Save scheduled scan results to XML file – Speichert ScanErgebnisse in einer XML-Datei.
Generate and save scan result HTML reports to – Speichert ScanErgebnisse in einer HTML-Datei.
4. Klicken Sie auf die Schaltfläche OK, um die Einstellungen zu
sichern.
72 • 8. Konfigurieren von GFI LANguard N.S.S.
GFI LANguard Network Security Scanner
Scan nach Zeitplan: Festlegen der Ergebnisbenachrichtigung
Screenshot 63 – Eigenschaften von Scans nach festem Zeitplan: Reiter „Results Notification“
So legen Sie fest, welche Art von Bericht nach Durchführung eines
Scans per E-Mail zugestellt wird:
1. Klicken Sie auf die Schaltfläche Configuration, und gehen Sie auf
den Unterknoten Configuration ` Settings.
2. Klicken Sie mit der rechten Maustaste auf den Unterknoten
Scheduled Scans, und wählen Sie im Kontextmenü Properties. Der
Eigenschaften-Dialog für Scans nach Zeitplan wird geöffnet.
3. Klicken Sie auf den Reiter Results Notifications, und wählen Sie
die Berichte aus, die per E-Mail zugestellt werden sollen.
4. Klicken Sie auf die Schaltfläche OK, um die Einstellungen zu
speichern.
Hinweis: Weitere Informationen zur Festlegung der Einstellungen des
E-Mail-Servers oder der E-Mail-Adresse des Administrators erhalten
Sie in diesem Kapitel unter „Konfigurieren von Warnungen“.
GFI LANguard Network Security Scanner
8. Konfigurieren von GFI LANguard N.S.S. • 73
Konfigurieren von Warnungen
So legen Sie die Einstellungen des E-Mail-Servers oder die E-MailAdresse des Administrators fest:
1. Klicken Sie auf die Schaltfläche Configuration, und gehen Sie auf
den Unterknoten Configuration ` Settings.
2. Klicken Sie mit der rechten Maustaste auf den Unterknoten
Alerting Options, und wählen Sie im Kontextmenü Properties. Der
Eigenschaften-Dialog für Scans nach Zeitplan wird geöffnet.
Screenshot 64 – Konfigurierung von Warnungen
3. Nehmen Sie folgende Einstellungen vor:
•
To – Adresse des Empfängers der E-Mail-Warnungen an.
•
CC – Weiterer Empfänger einer Kopie der E-Mail
•
From – Anzeigename des Absenders der verschickten E-Mail
•
Server – Daten des SMTP-Servers
•
Port – Port des SMTP-Servers
•
User name – Benutzername für den SMTP-Server (optional)
•
Password – Passwort für den SMTP-Server (optional)
4. Klicken Sie auf die Schaltfläche Verify Settings, um die E-MailEinstellungen zu kontrollieren.
5. Klicken Sie auf die Schaltfläche OK, um die Einstellungen zu
speichern.
74 • 8. Konfigurieren von GFI LANguard N.S.S.
GFI LANguard Network Security Scanner
Computer-Profile
Sowohl in kleineren als auch größeren Netzwerken sind für die
Anmeldung an den einzelnen Netzwerkrechnern unterschiedliche
Zugangsdaten erforderlich. Einige Systeme, z. B. Linux-basierte,
setzen mitunter auf eine spezielle Authentifizierung per Public Key. Im
Allgemeinen ist hierbei die Angabe eigens definierte Zugangsdaten
per Private Key-Datei an Stelle herkömmlicher Passwort-Strings
erforderlich.
Mit den Computer-Profilen von GFI LANguard N.S.S. können Sie die
unterschiedlichen Zugangsdaten jedes zu scannenden Zielrechners
angeben und speichern. Die Scan-Engine greift dann für die
Authentifizierung an den Zielrechnern auf die in den Profilen
angegebenen Anmeldeinformationen zu, sodass vor dem Start eines
Netzwerk-Scans die erforderlichen Standarddaten nicht von Ihnen
bereitgestellt werden müssen. Zudem können im Rahmen eines
einzelnen Scan-Durchlaufs Zielrechner überprüft werden, die
unterschiedliche Anmeldeinformationen und Authentifizierungsverfahren erfordern. Beispiel: Während eines Scan-Durchlaufs können
Schwachstellen-Checks sowohl für Windows-Rechner (unter
Verwendung von Benutzername/Passwort) als auch Linux-Rechner
(unter Verwendung von Benutzername/SSH Private Key-Dateien)
durchgeführt werden.
Informationen zur SSH-basierten Authentifizierung per
Private Key-Datei
GFI LANguard N.S.S. stellt die Verbindung mit Linux-Zielrechnern per
SSH her. Bei der Public Key-Verschlüsselung werden zur
Überprüfung der Authentizität einer SSH-Verbindungsanfrage zwei
Schlüssel (in Form von Textdateien) verwendet. Diese Schlüssel sind
der „SSH Private Key“ und der „SSH Public Key“.
Die SSH-Schlüssel werden mit Hilfe eines Dritthersteller-Tools wie
SSH-KeyGen, das standardmäßig im SSH-Paket für Linux enthalten
ist, manuell erstellt.
Der SSH Private Key wird von der Scan-Engine für die Authentifizierung an einem entfernten Linux-Rechner verwendet. Dieser Teil
des Schlüsselpaares wird somit an Stelle eines herkömmlichen
Passwort-Strings verwendet und muss auf dem Rechner mit
GFI LANguard N.S.S. gespeichert sein.
Der SSH Public Key als anderer Teil des Schlüsselpaares wird auf
dem entfernten Zielrechner gespeichert und von diesem für die
korrekte Authentifizierung durch GFI LANguard N.S.S. verwendet.
GFI LANguard Network Security Scanner
8. Konfigurieren von GFI LANguard N.S.S. • 75
Erstellen eines neuen Computer-Profils
Screenshot 65 – Eigenschaften eines Computer-Profils
So erstellen Sie ein neues Computer-Profil:
1. Klicken Sie auf die Schaltfläche Configuration, und gehen Sie auf
den Unterknoten Configuration ` Settings.
2. Klicken Sie mit der rechten Maustaste auf den Unterknoten
Computer Profiles, und wählen Sie im Kontextmenü New `
Computer(s) Profile. Der Eigenschaften-Dialog zu Computer-Profilen
wird geöffnet.
3. Der Reiter General wird standardmäßig aufgerufen. Geben Sie den
Namen des Zielcomputers ein.
3. Klicken Sie auf den Reiter Logon Credentials, wählen Sie das
erforderliche Authentifizierungsverfahren aus, und geben Sie die
benötigten Zugangsdaten ein.
4. Klicken Sie auf die Schaltfläche OK, um die Einstellungen zu
speichern.
Hinweis: Neu erstellte Computer-Profile sind standardmäßig
deaktiviert. Weitere Informationen zur Aktivierung erhalten Sie in
diesem Kapitel unter „Aktivieren/Deaktivieren von Computer-Profilen“.
76 • 8. Konfigurieren von GFI LANguard N.S.S.
GFI LANguard Network Security Scanner
Konfigurieren von Computer-Profilen
Screenshot 66 – Anzeige bereits vorhandener Computer-Profile
So ändern Sie die Eigenschaften eines bereits vorhandenen
Computer-Profils:
1. Klicken Sie auf die Schaltfläche Configuration, und gehen Sie auf
den Unterknoten Configuration ` Settings ` Computer Profiles.
2. Klicken Sie mit der rechten Maustaste auf das zu bearbeitende
Profil, und wählen Sie im Kontextmenü Properties.
3. Führen Sie die gewünschten Änderungen durch, und klicken Sie
auf die Schaltfläche OK, um die Einstellungen zu speichern.
Aktivieren/Deaktivieren von Computer-Profilen
Neu erstellte Computer-Profile sind standardmäßig deaktiviert. Sie
stehen somit nicht automatisch für Sicherheits-Scans zur Verfügung.
So aktivieren oder deaktivieren Sie Computer-Profile:
1. Klicken Sie auf die Schaltfläche Configuration, und gehen Sie auf
den Unterknoten Configuration ` Settings ` Computer Profiles.
2. Wählen Sie alle zu aktivierenden/deaktivierenden Computer-Profile
aus.
3. Klicken Sie hierfür mit der rechten Maustaste auf das gewünschte
Profile und wählen Sie enable (aktivieren)
bzw. disable
(deaktivieren)
.
GFI LANguard Network Security Scanner
8. Konfigurieren von GFI LANguard N.S.S. • 77
Verwenden von Computer-Profilen für einen Sicherheits-Scan
Screenshot 67 – Schaltfläche für Scans mit Hilfe eines Computer-Profils
Um Computer mit Hilfe von Computer-Profilen zu scannen, klicken Sie
in der
auf die Schaltfläche Use data from computer profiles
Werkzeugleiste rechts oben in der Verwaltungskonsole.
Konfigurieren des automatischen Patch-Downloads
Die Funktion Patch Autodownload ermöglicht den automatischen
Abruf fehlender Sicherheits-Updates und Service Packs von Microsoft
in allen 38 von Microsoft unterstützten Sprachen. Der Download lässt
sich darüber hinaus zu einem festen Zeitpunkt durchführen.
So konfigurieren Sie den automatischen Patch-Download:
1. Klicken Sie auf die Schaltfläche Configuration, und gehen Sie auf
den Unterknoten Configuration ` Settings.
2. Klicken Sie mit der rechten Maustaste auf den Unterknoten Patch
Autodownload, und wählen Sie im Kontextmenü Properties.
78 • 8. Konfigurieren von GFI LANguard N.S.S.
GFI LANguard Network Security Scanner
Screenshot 68 – Konfigurierung des automatischen Patch-Downloads
3. Wählen Sie über den Reiter General eine der folgenden Optionen
aus:
•
All patches – Lädt alle verfügbaren Patches herunter.
•
Only needed patches – Lädt nur solche Patches herunter, die
während eines Sicherheits-Scans als fehlend erkannt wurden.
4. Über den Reiter Patch Repository können Sie den Speicherort der
heruntergeladenen Patches ändern, sofern erforderlich.
5. Über den Reiter Timeframe können Sie Zeitangaben des PatchDownloads festlegen.
Hinweis: GFI LANguard N.S.S. kann bei der Bereitstellung fehlender
Patches und Service Packs auch auf Patch-Dateien zugreifen, die
bereits von den Microsoft WSUS (Windows Server Update Services)
abgerufen worden sind. Wählen Sie hierfür die Option Use files
downloaded by Microsoft WSUS when available aus. Geben Sie
zudem den Speicherort an, von dem die per Microsoft WSUS
heruntergeladenen Patches abgerufen werden sollen.
6. Klicken Sie auf die Schaltfläche OK, um die Einstellungen zu
speichern.
GFI LANguard Network Security Scanner
8. Konfigurieren von GFI LANguard N.S.S. • 79
Parameter-Dateien
Screenshot 69 – Übersicht über Parameter-Dateien
Während der Sicherheits-Scans ruft GFI LANguard N.S.S.
unterschiedliche Scan-Vorgaben aus einer Reihe von Textdateien ab,
den Parameter-Dateien. Diese Dateien lassen sich zur PerformanceSteigerung von GFI LANguard N.S.S. modifizieren.
Hinweis: Diese Dateien sollten nur von erfahrenen Anwendern
verändert werden. Werden fehlerhafte Änderungen vorgenommen,
wirkt sich dies auf die Funktionsfähigkeit und Zuverlässigkeit der
Erkennung von Zielrechnern durch GFI LANguard N.S.S. aus.
Nachfolgend erhalten Sie eine Übersicht über die Parameter-Dateien,
die über den Knoten Configuration ` Settings ` Parameter Files
aufgerufen und verändert werden können.
•
Enterprise_numbers.txt – Liste mit OIDs (Object Identifiers) und
den zugehörigen Unternehmenscodes (Hersteller/Universität).
Während eines Scans versucht GFI LANguard N.S.S. zuerst, über
die Datei object_ids.txt Informationen zu einem ermittelten
Netzwerkgerät zu erhalten. Gelingt dies nicht, greift GFI LANguard
N.S.S. auf die Datei Enterprise_numbers.txt zu, und versucht,
den Produkthersteller über die herstellerspezifischen Informationen, die vom Zielgerät abgerufen werden konnten, zu
identifizieren. Diese Herstellerinformationen basieren auf den SMI
Network Management Private Enterprise Codes, die eingesehen
werden können unter: http://www.iana.org/assignments/enterprisenumbers.
•
Ethercodes.txt – Liste mit MAC-Adressen und den zugehörigen
Herstellern.
•
Ftp.txt – Liste mit FTP-Server-Bannern, über die GFI LANguard
N.S.S. das Betriebssystem eines Zielrechners identifizieren kann
(durch Analyse des installierten FTP-Servers).
•
Identd.txt – Enthält spezifische Banner, über die GFI LANguard
N.S.S. das Betriebssystem eines Zielrechners identifizieren kann
(über die Banner-Informationen).
80 • 8. Konfigurieren von GFI LANguard N.S.S.
GFI LANguard Network Security Scanner
•
Object_ids.txt – Enthält SNMP Object-IDs und zugehörige
Hersteller und Produkte. Reagiert ein Gerät auf eine SNMPAnfrage, vergleicht GFI LANguard N.S.S. die vom Zielrechner
ausgegebenen OID-Informationen mit den Daten dieser Datei.
•
Passwords.txt – Enthält eine Liste mit Passwörtern, die im
Rahmen eines Scans für Wörterbuch-Angriffe auf Zielrechner
verwendet wird, um schwache Passwörter zu ermitteln.
•
Rpc.txt – Liste mit RPC-Protokollnummern und den zugehörigen
Dienstnamenkennungen. Werden auf UNIX/Linux-Rechnern aktive
RPC-Dienste gefunden, vergleicht GFI LANguard N.S.S. die
empfangenen RPC-Informationen mit den Daten dieser Datei.
Hierdurch lässt sich die zugehörige Dienstnamenkennung
herausfinden und verifizieren.
•
Smtp.txt – Liste mit SMTP-Bannern und den zugehörigen
Betriebssystemen. Wie bei den Dateien FTP.txt und identd.txt
werden diese Banner zur Identifizierung des Betriebssystems
verwendet, das auf dem Zielrechner läuft.
•
Snmp-pass.txt – Liste mit gängigen Community-Strings. Mit Hilfe
dieser Strings erkennt GFI LANguard N.S.S. SNMPSchwachstellen auf einem Zielrechner. Während des Scans wird
überprüft, ob in der Datei enthaltene Community-Strings vom
kontrollierten SNMP-Server verwendet werden. Ist dies der Fall,
werden die entsprechenden Strings in den Scan-Ergebnissen
angezeigt.
•
Telnet.txt – Liste verschiedener Telnet-Server-Banner. Diese
Telnet-Banner werden von GFI LANguard N.S.S. zur
Identifizierung des Betriebssystems eines Zielrechners verwendet.
•
Www.txt – Liste verschiedener Webserver-Banner. Diese
Webserver-Banner werden von GFI LANguard N.S.S. zur
Identifizierung des Betriebssystems eines Zielrechners verwendet.
•
Port_services_fingerprint.xml – Enthält eine Kopie der Daten,
die zum Erkennen der Server-Typen hinter offenen Ports
verschickt wurden (HTTP, FTP, SMTP, POP3, SSH, TELNET
usw.)
•
Snmpoids.och – Enthält eine Zuordnung der SNMP-OIDs zu
ihren Anzeigenamen und wird zur Anzeige der SNMPInformationen des Tools „SNMP Walk“ verwendet.
Datenbankwartung
Die Leistungsfähigkeit des zur Sicherung der Scan-Ergebnisse
verwendeten Datenbank-Backends lässt sich mit Hilfe verschiedener
Wartungsoptionen erhalten und optimieren. Beispielsweise können
Scan-Ergebnisse, die ein in Monaten festgelegtes Alter überschreiten,
automatisch gelöscht werden, damit die Datenbank weiterhin kompakt
bleibt und keine Leistungseinbußen entstehen.
Bei Verwendung von Microsoft Access als Datenbank-Backend
können Sie zudem die Komprimierung der Datenbank nach einem
festen Zeitplan ablaufen lassen. Dabei werden alle fehlerhaften Daten
repariert und zu löschende Einträge entfernt.
GFI LANguard Network Security Scanner
8. Konfigurieren von GFI LANguard N.S.S. • 81
Auswählen des Datenbank-Backends
Screenshot 70 – Eigenschaften der Datenbank-Wartung
GFI LANguard N.S.S. unterstützt sowohl Microsoft Access als auch
Microsoft SQL Server (2000 und später) als Datenbank-Backend.
Speichern von Scan-Ergebnissen in einer Microsoft AccessDatenbank
So speichern Sie Scan-Ergebnisse in einer Microsoft AccessDatenbank:
1. Klicken Sie auf die Schaltfläche Configuration, und gehen Sie auf
den Unterknoten Configuration ` Settings.
2. Klicken Sie mit der rechten Maustaste auf den Unterknoten
Database Maintenance Options, und wählen Sie im Kontextmenü
Properties.
3. Wählen Sie die Option MS Access, und geben Sie den vollständigen Pfad zum Speicherort Ihres Access Datenbank-Backends
an (inklusive Dateiname).
Hinweis 1: Sollte die Datenbank noch nicht existieren, wird sie bei
diesem Schritt erstellt.
Hinweis 2: Ist die angegebene Datenbankdatei bereits vorhanden
und wurde sie von einer früheren Version von GFI LANguard N.S.S.
verwendet, werden Sie gefragt, ob bestehende Daten überschrieben
werden sollen.
82 • 8. Konfigurieren von GFI LANguard N.S.S.
GFI LANguard Network Security Scanner
4. Klicken Sie auf die Schaltfläche OK, um die Einstellungen zu
speichern.
Speichern von Scan-Ergebnissen in einer Microsoft SQL
Server-Datenbank
Screenshot 71 – Optionen der Microsoft SQL Server-Datenbank
So speichern Sie Scan-Ergebnisse in einer Microsoft SQL ServerDatenbank:
1. Klicken Sie auf die Schaltfläche Configuration, und gehen Sie auf
den Unterknoten Configuration ` Settings.
2. Klicken Sie mit der rechten Maustaste auf den Unterknoten
Database Maintenance Options, und wählen Sie im Kontextmenü
Properties.
3. Wählen Sie die Option MS SQL Server, und bestimmen Sie dann
über die Liste der in Ihrem Netzwerk gefundenen Server den SQLServer, der die Datenbank hosten soll.
4. Geben Sie die Anmeldeinformationen für den SQL-Server an, oder
wählen Sie die Option Use NT authority credentials, um sich mit
Daten des Windows-Kontos am SQL-Server zu authentifizieren.
5. Klicken Sie auf die Schaltfläche OK, um die Einstellungen zu
speichern.
Hinweis 1: Sind die Angaben zum Server und die Anmeldedaten
korrekt, meldet sich GFI LANguard N.S.S. automatisch am SQL-
GFI LANguard Network Security Scanner
8. Konfigurieren von GFI LANguard N.S.S. • 83
Server an und erstellt die erforderlichen Datenbanktabellen. Bereits
bestehende Datenbanktabellen werden weiterverwendet.
Hinweis 2: Bei Auswahl der Windows NT-Authentifizierung (Option
Use NT authority credentials) müssen die Dienste von
GFI LANguard N.S.S. unter einem Benutzerkonto mit administrativen
Zugriffsrechten für die SQL Server-Datenbanken laufen.
Datenbankwartung: Verwalten gespeicherter ScanErgebnisse
Über den Reiter Saved Scan Results lassen sich die in der
Datenbank gespeicherten Scan-Ergebnisse verwalten und ggf. auch
löschen. Das Löschen kann manuell oder automatisch über einen
festgelegten Zeitplan zur Datenbank-Wartung erfolgen.
Während der geplanten Datenbankwartung löscht GFI LANguard
N.S.S. gespeicherte Scan-Ergebnisse, die eine in Tagen, Wochen
oder Monaten festgelegte Archivierungsdauer überschreiten,
automatisch. Die automatische Datenbankwartung kann zudem so
konfiguriert werden, dass nur eine festgelegte Anzahl von ScanErgebnissen pro kontrollierten Zielrechner und Scan-Profil gespeichert
wird.
Screenshot 72 – Eigenschaften der Datenbank-Wartung, Gespeicherte Scan-Ergebnisse
So verwalten Sie gespeicherte Scan-Ergebnisse:
1. Klicken Sie auf die Schaltfläche Configuration, und gehen Sie auf
den Unterknoten Configuration ` Settings.
84 • 8. Konfigurieren von GFI LANguard N.S.S.
GFI LANguard Network Security Scanner
2. Klicken Sie mit der rechten Maustaste auf den Unterknoten
Database Maintenance Options, und wählen Sie im Kontextmenü
Properties.
3. Klicken Sie auf den Reiter Saved Scan Results.
4. Wählen Sie manuell zu löschende Scan-Ergebnisse aus, und
klicken Sie auf die Schaltfläche Delete Scan(s).
5. Folgende Optionen sind zur automatischen Verwaltung der
Datenbankwartung verfügbar:
•
Scans which are less than – Löscht automatisch alle ScanErgebnisse, die eine in Tagen, Wochen oder Monaten festgelegte
Archivierungsdauer überschreiten.
•
Only last – Begrenzt die Speicherung von Scan-Ergebnissen auf
die letzten X Scans.
Datenbankwartung: Anzeigen aller gescannten Computer
Zur Lizenzkontrolle führt GFI LANguard N.S.S. eine übergreifende
Liste mit allen gescannten Computern. Hierdurch wird sichergestellt,
dass nicht mehr Computer überprüft werden können, als von der
erworbenen Produktlizenz abgedeckt.
Systemadministratoren haben die Möglichkeit, zuvor gescannte
Computer (Knoten) zu löschen, sodass die entsprechenden Lizenzen
wieder zur Verfügung stehen, sofern diese Computer nicht länger zum
Netzwerk gehören oder von Scans ausgenommen werden sollen.
Screenshot 73 – Eigenschaften der Datenbank-Wartung, Reiter „Scanned Computers“
GFI LANguard Network Security Scanner
8. Konfigurieren von GFI LANguard N.S.S. • 85
So löschen Sie zuvor gescannte Computer aus der Datenbank:
1. Klicken Sie auf die Schaltfläche Configuration, und gehen Sie auf
den Unterknoten Configuration ` Settings.
2. Klicken Sie mit der rechten Maustaste auf den Unterknoten
Database Maintenance Options, und wählen Sie im Kontextmenü
Properties.
3. Klicken Sie auf den Reiter Scanned Computers.
4. Wählen Sie bei gedrückter Steuerungstaste alle zu löschenden
Computer aus.
5. Klicken Sie auf die Schaltfläche Delete selected computer(s), um
die Computer aus der angezeigten Liste zu löschen.
Hinweis 1: Mit dem Löschen eines Computers aus der Datenbank
werden auch alle damit verbundenen Daten entfernt. Gelöschte
Daten können nicht wiederhergestellt werden.
Hinweis 2: Mit Hilfe dieser Funktion lassen sich Lizenzen für nicht
länger genutzte Knoten schnell freigeben. Beachten Sie jedoch, dass
hierdurch die auf lange Sicht angelegte Berichterstellung mit
GFI LANguard N.S.S. beeinträchtigt wird. Soll die Sicherheit eines
Netzwerks über einen längeren Zeitraum im Ganzen betrachtet
werden und dürfen Datenbanken mit Scan-Ergebnissen nicht
verändert werden, sollten Sie keine Löschung veranlassen.
Stattdessen ist zu empfehlen, zusätzliche Lizenzen zu erwerben, auch
um bei einer Erweiterung des Netzwerks weiterhin Scans aller
Netzwerkcomputer durchführen zu können.
Datenbankwartung: erweiterte Optionen
GFI LANguard N.S.S. bietet zwei Funktionen zum regelmäßigen
automatischen Reparieren und Komprimieren des Microsoft Access
Datenbank-Backends, um dessen Leistung zu optimieren.
Während der Komprimierung werden Datenbank-Dateien neu
organisiert und zu löschende Einträge werden entfernt. Hierdurch
lässt sich wertvoller Speicherplatz zurückgewinnen. Zudem repariert
GFI LANguard N.S.S. fehlerhafte Dateien des Datenbank-Backends.
Datenkorruption kann verschiedene Ursachen haben. Bei einer
Microsoft Access-Datenbank können Probleme auftreten, wenn die
Datenbank unerwartet geschlossen wird, bevor Einträge gesichert
wurden (z. B. bei Stromausfall, aufgehängten Prozessen,
erzwungenen Neustarts usw.).
86 • 8. Konfigurieren von GFI LANguard N.S.S.
GFI LANguard Network Security Scanner
Screenshot 74 – Eigenschaften der Datenbank-Wartung, Reiter „Erweitert“
So komprimieren und reparieren Sie ein Microsoft Access DatenbankBackend:
1. Klicken Sie auf die Schaltfläche Configuration, und gehen Sie auf
den Unterknoten Configuration ` Settings.
2. Klicken Sie mit der rechten Maustaste auf den Unterknoten
Database Maintenance Options, und wählen Sie im Kontextmenü
Properties.
3. Gehen Sie auf den Reiter Advanced.
4. Klicken Sie auf die Schaltfläche Compact Now, um den Komprimierungs- und Reparaturvorgang der Datenbank sofort zu starten.
5. Um die Komprimierung und Reparatur der Microsoft AccessDatenbank automatisch nach Zeitplan ablaufen zu lassen, wählen Sie
eine der folgenden Optionen:
•
One time only – Führt eine einmalige Reparatur und
Komprimierung zum festgelegten Zeitpunkt durch.
•
Every – Führt die Reparatur und Komprimierung regelmäßig nach Zeitplan durch. Legen Sie Beginn und zeitlichen Abstand zwischen den einzelnen Komprimierungs-/
Reparaturvorgängen in Tagen, Wochen oder Monaten fest.
GFI LANguard Network Security Scanner
8. Konfigurieren von GFI LANguard N.S.S. • 87
88 • 8. Konfigurieren von GFI LANguard N.S.S.
GFI LANguard Network Security Scanner
9. Scan-Profile
Einführung
IT-Umgebungen sind kontinuierlich einer Vielzahl unterschiedlicher
Angriffe ausgesetzt, die Schwachstellen finden und ausnutzen sollen.
GFI LANguard N.S.S. ermöglicht es Ihnen, Ihre IT-Infrastruktur unter
Verwendung einer Auswahl vorkonfigurierter Schwachstellen-Checks,
den Scan-Profilen, zielgerichtet auf bestimmte Sicherheitslücken zu
untersuchen. Mit einem Scan-Profil werden einzelne sicherheitsrelevante Bereiche im Netzwerk untersucht. So lässt sich beispielsweise ein Scan-Profil erstellen, das nur zur Kontrolle von Rechnern in
Ihrer DMZ verwendet wird und nicht für das interne Netzwerk.
Ebenso können Sie Profile einrichten, mit denen nur nach fehlenden
Sicherheits-Updates im Netzwerk gesucht wird. Der Vorteil von ScanProfilen besteht in einem geringeren Aufkommen an Ergebnisdaten,
die schneller auf relevante Informationen überprüft werden können.
Durch den Einsatz mehrerer Scan-Profile können Sie unterschiedlichste Sicherheits-Audits durchführen, ohne für die einzelnen Arten
von Sicherheitskontrollen eine Neukonfigurierung vornehmen zu
müssen.
In diesem Kapitel erhalten Sie Informationen zu den Themen:
•
Einsatz der standardmäßigen Scan-Profile von GFI LANguard
N.S.S.
•
Anpassung der standardmäßigen Scan-Profile
•
Erstellung neuer Scan-Profile
Informationen zu OVAL
Die Open Vulnerability and Assessment Language (OVAL™) fördert
als internationaler Standard zur Informationssicherheit den Austausch
öffentlich zugänglicher, sicherheitsrelevanter Informationen. Mit OVAL
soll die Verbreitung von für die Informationssicherheit bedeutsamen
Erkenntnissen für das gesamte Spektrum an Security-Tools und
-Diensten standardisiert werden. Zu OVAL zählt neben der eigentlichen Sprache zur Systemdaten-Kodierung für OVAL-Definitionen
auch eine Reihe von Content-Repositories, die von der SicherheitsCommunity verwaltet werden. Die Sprache standardisiert die drei
Hauptschritte der Schwachstellenbewertung:
•
Erfassung und Beschreibung der Systemkonfiguration zwecks
Überprüfung
•
Analyse des Systemstatus (Schwachstellenstatus, Konfiguration,
Patch-Status u. Ä.)
•
Berichterstellung zur Schwachstellenbewertung
GFI LANguard Network Security Scanner
9. Scan-Profile • 89
Die Repositories enthalten frei zugängliche, offene Inhalte, die per
OVAL erstellt wurden.
Die OVAL-Community hat als Grundlage und Vokabular für OVAL drei
XML-Schemata entwickelt, die den drei Schritten der Schwachstellenbewertung entsprechen:
•
„OVAL System Characteristics“ zur Angabe von Systemdaten
•
„OVAL Definition“ zur Beschreibung des Systemstatus
•
„OVAL Results“ zum Erstellen von Berichten zur Schwachstellenbewertung
In OVAL geschriebene Inhalte werden von der Sicherheits-Community
über zahlreiche Content-Repositories zur Verfügung gestellt. Zu
diesen Sammlungen zählt auch das von der MITRE Corporation
betreute OVAL Repository. OVAL-Definitionen werde dabei über eine
zentrale Plattform diskutiert, analysiert, gespeichert und verbreitet. Mit
Hilfe der Definitionen des OVAL Repository lässt sich herausfinden,
ob bestimmte Software-Schwachstellen, Konfigurationsprobleme,
Programme oder Patches auf einem System vorhanden sind.
Die Entwicklung von OVAL ist ein von der Sicherheits-Community
gemeinschaftlich getragenes Projekt, das über das OVAL Developers’
Forum (zur Weiterentwicklung der OVAL Language) und das OVAL
Community Forum (zur Erstellung neuer Definitionen) vorangetrieben
wird. OVAL und die auf der OVAL-Website veröffentlichten Sicherheitsdefinitionen werden vom OVAL Board als Aufsichtsgremium, das
aus
weltweiten
Sicherheitsexperten
der
unterschiedlichsten
wirtschaftlichen, akademischen und öffentlichen Bereiche besteht,
überwacht. OVAL wird vom US-CERT (Computer Emergency
Response Team) des US-Ministeriums für Heimatschutz gefördert.
Unterstützung von OVAL durch GFI LANguard N.S.S.
GFI LANguard N.S.S. unterstützt sämtliche
kontrollen, mit Ausnahme von HP-UX-Checks.
OVAL-Sicherheits-
Unter dem Betriebssystem HP-UX laufende Rechner werden nicht
unterstützt, und es sind keine entsprechenden Checks in der
Schwachstellen-Datenbank von GFI LANguard N.S.S. enthalten.
Informationen zum OVAL Compatibility Program
Das OVAL Compatibility Program hat die konsistente Verwendung
und Umsetzung von OVAL durch die Sicherheits-Community zum Ziel.
Mehrere Richtlinien sollen sicherstellen, dass die jeweilige OVALImplementierung in Sicherheitslösungen nach einheitlichen Vorgaben
erfolgt. Anwender haben bei Produkten, die OVAL-zertifiziert sind, die
Gewissheit, dass bei der Implementierung alle offiziellen
Anforderungen („Requirements and Recommendations for OVAL
Compatibility”) und Kompatibilitätskontrollen eingehalten wurden.
GFI LANguard N.S.S. ist als OVAL-kompatibel ausgewiesen, d. h.,
OVAL wird wie vorgegeben eingesetzt und für die Übermittlung von
Angaben zu Schwachstellen, Patches, Sicherheitseinstellungen und
anderen Statusmeldungen verwendet.
90 • 9. Scan-Profile
GFI LANguard Network Security Scanner
Fehlerbericht bei OVAL-Problemen
Sollten Fehler im Zusammenhang mit den über GFI LANguard N.S.S.
bereitgestellten OVAL-Checks auftreten, wenden Sie sich an den
technischen Support von GFI. Weitere Informationen zur Kontaktaufnahme per E-Mail, Web-Chat, Telefon oder Online-Forum erhalten
Sie im Kapitel „Troubleshooting“ in diesem Handbuch.
Sämtliche von GFI verifizierten Abweichungen oder Fehler werden
schnellstmöglich per Update behoben. Aktualisierte SchwachstellenChecks werden im Allgemeinen monatlich zur Verfügung gestellt.
Erläuterung der Scan-Profile
Folgende Scan-Profile stehen über GFI LANguard N.S.S. zum
sofortigen Einsatz bereit:
•
Vulnerabilities, Patches and Service Packs – Informiert über
bestimmte Netzwerkschwachstellen wie offene und somit
Trojaner-anfällige TCP/UPD-Ports sowie über fehlende Patches
und Service Packs. Der Umfang der mit diesem Profil aufgeführten
Schwachstellen kann über den Reiter Vulnerabilities angepasst
werden.
Hinweis 1: Mit diesem Profil werden keine installierten USBGeräte und Anwendungen ermittelt.
Hinweis 2: Es wird nach allen Schwachstellen gesucht, auch
solchen, für die ein Microsoft-Patch verfügbar ist und die durch
fehlende Patches entstehen.
•
Vulnerabilities – Informiert über alle Netzwerk-Schwachstellen.
Davon ausgenommen sind jedoch fehlende Patches und Service
Packs. Zu Schwachstellen zählen auch Trojaner-anfällige
TCP/UDP-Ports. Der Umfang der mit diesem Profil aufgeführten
Schwachstellen kann über den Reiter Vulnerabilities angepasst
werden.
Hinweis 1: Mit diesem Profil werden keine Netzwerk-Audits
durchgeführt.
Hinweis 2: Es werden keine Schwachstellen (OVAL-Schwachstellen eingeschlossen) überprüft, für die ein Microsoft-Patch
verfügbar ist. Diese Art von Schwachstellen fallen in die Kategorie
„fehlende Patches“, die mit anderen Scan-Profilen ermittelt werden
können.
•
SANS Top 20 Vulnerabilities – Listet alle Schwachstellen auf, die
in der SANS Top 20-Liste verzeichnet sind.
Hinweis: Mit diesem Profil werden keine fehlenden Patches
gesucht oder Netzwerk-Audits durchgeführt.
•
High Security Vulnerabilities – Führt alle offenen TCP/UDPPorts und kritische Schwachstellen auf. Der Umfang der mit
diesem Profil aufgeführten TCP/UDP-Ports und kritischen
Schwachstellen kann über die Reiter TCP Ports, UPD Ports bzw.
Vulnerabilities angepasst werden.
Hinweis: Mit diesem Profil werden keine fehlenden Patches
gesucht oder Netzwerk-Audits durchgeführt.
•
Last Year's Vulnerabilities – Führt Netzwerkschwachstellen auf,
die während der vergangenen 12 Monate aufgetreten sind.
GFI LANguard Network Security Scanner
9. Scan-Profile • 91
Hinweis: Mit diesem Profil werden keine fehlenden Patches
gesucht oder Netzwerk-Audits durchgeführt.
•
Only Web – Erkennt Webserver-spezifische Schwachstellen. Dies
betrifft die Überprüfung und Anzeige offener TCP-Ports, die
üblicherweise von Webservern verwendet werden, beispielsweise
Port 80.
Hinweis: Mit Hilfe dieses Profils werden nur solche TCP-Ports
gescannt, die überwiegend von Webservern genutzt werden. Es
werden keine Netzwerk-Audits durchgeführt, fehlende Patches
gesucht oder Schwachstellen angezeigt.
•
Trojan Ports – Führt gängige offene TCP/UDP-Ports auf, die
überwiegend von bekannten Trojanern ausgenutzt werden. Der
Umfang der mit diesem Profil aufgeführten TCP/UDP-Ports kann
über die Reiter TCP Ports bzw. UDP Ports angepasst werden.
Hinweis: Mit diesem Profil werden keine Netzwerk-Audits durchgeführt, andere offene TCP/UDP-Ports angezeigt oder fehlende
Patches gesucht.
•
Only SNMP – Führt eine Netzwerkerkennung durch und ruft
Informationen zu Hardware ab, die SNMP aktiviert haben (Router,
Switches, Drucker u. Ä.). Hierdurch lassen sich mit dem Netzwerk
verbundene Geräte auf Auffälligkeiten kontrollieren, die näher
überprüft werden müssen.
Hinweis: Mit diesem Profil werden nur speziell für SNMP-Scans
konzipierte
Netzwerk-Audits
und
Schwachstellen-Checks
durchgeführt.
•
Protection from Portable Storage – Kontrolliert, ob
GFI EndPointSecurity installiert ist oder ob der Agent zur Zugriffskontrolle von GFI EndPointSecurity auf kontrollierten Zielrechnern
installiert ist.
Hinweis 1: Mit diesem Profil werden nur speziell für
GFI EndPointSecurity konzipierte Schwachstellen-Checks, PatchScans oder Netzwerk-Audits durchgeführt.
Hinweis 2: Das Profil lässt sich anpassen, sodass nur
unbefugte/unerwünschte oder erwünschte Software angezeigt
wird.
•
Missing Patches – Listet alle fehlenden Microsoft-Patches auf.
Der Umfang der mit diesem Profil aufgeführten fehlenden Patches
kann über den Reiter Patches angepasst werden.
Hinweis: Mit diesem Profil werden lediglich speziell für fehlende
Microsoft Patches konzipierte Netzwerk-Audits und Schwachstellen-Checks durchgeführt.
•
Critical Patches – Listet nur solche fehlenden Microsoft-Patches
auf, die als „kritisch“ eingestuft sind. Der Umfang der mit diesem
Profil aufgeführten kritischen Patches kann über den Reiter
Patches angepasst werden.
Hinweis: Mit diesem Profil werden lediglich speziell für fehlende
kritische Microsoft Patches konzipierte Netzwerk-Audits und
Schwachstellen-Checks durchgeführt.
•
92 • 9. Scan-Profile
Last Month's Patches – Listet nur solche fehlenden MicrosoftPatches auf, die im vergangenen Monat veröffentlicht wurden. Der
GFI LANguard Network Security Scanner
Umfang der mit diesem Profil aufgeführten fehlenden Patches
kann über den Reiter Patches angepasst werden.
Hinweis: Mit diesem Profil werden lediglich Netzwerk-Audits und
Schwachstellen-Checks für fehlende Microsoft-Patches durchgeführt, die im vergangenen Monat veröffentlicht wurden.
•
Only Service Packs – Listet alle fehlenden Microsoft Service
Packs auf. Der Umfang der mit diesem Profil aufgeführten Service
Packs kann über den Reiter Patches angepasst werden.
Hinweis: Mit diesem Profil werden lediglich speziell für fehlende
Microsoft Service Packs konzipierte Netzwerk-Audits und
Schwachstellen-Checks durchgeführt.
•
Port Scanner – Führt offene TCP/UDP-Ports auf, darunter auch
solche, die überwiegend von Trojanern ausgenutzt werden. Der
Umfang der mit diesem Profil aufgeführten Ports kann über den
Reiter TCP Ports bzw. UDP Ports angepasst werden.
Hinweis: Mit diesem Profil werden nur speziell für offene Ports
konzipierte Netzwerk-Audits und Schwachstellen-Checks durchgeführt.
•
USB Devices – Listet alle USB-Geräte auf, die zum Zeitpunkt des
Scans mit den überprüften Netzwerkrechnern verbunden waren.
Hinweis 1: Mit diesem Profil werden keine SchwachstellenChecks durchgeführt. Das Profil lässt sich anpassen, sodass nur
unbefugte/unerwünschte oder erwünschte USB-Geräte angezeigt
werden.
•
Software Audit – Zeigt alle auf den Zielrechnern installierten
Anwendungen an. Hierzu zählen Sicherheits-Software wie AntiVirus- und Anti-Spyware-Lösungen.
Hinweis 1: Mit diesem Profil werden keine SchwachstellenChecks durchgeführt oder fehlende Service Packs angezeigt. Das
Profil lässt sich anpassen, sodass nur unbefugte/unerwünschte
oder erwünschte Software angezeigt wird.
•
Full TCP & UDP Scan – Führt ein Netzwerk-Audit durch und listet
alle offenen TCP- und UDP-Ports auf
Hinweis: Mit diesem Profil werden keine Schwachstellen-Checks
durchgeführt.
•
Päng Thema All – Listet alle Computer auf, die zum Zeitpunkt des
Scans mit dem Netzwerk verbunden waren.
Hinweis: Mit diesem Profil werden keine Schwachstellen-Checks
durchgeführt.
•
Share Finder – Gibt alle Freigaben an, ob sichtbar oder versteckt.
Hinweis: Mit diesem Profil werden keine Schwachstellen-Checks
durchgeführt.
•
Uptimes – Stellt die Laufzeit jedes überprüften Computers seit
dem letzten Neustart fest.
Hinweis: Mit diesem Profil werden keine Schwachstellen-Checks
durchgeführt.
•
Disks Space Usage – Ruft Systeminformationen zum freien
Speicherplatz ab.
GFI LANguard Network Security Scanner
9. Scan-Profile • 93
•
System Information – Ruft Systeminformationen wie Angaben
zum Betriebssystem, zu kabellosen/virtuellen/physischen Netzwerkgeräten, USB-Geräten, installierten Anwendungen u. Ä. ab.
Hinweis: Mit diesem Profil werden keine Schwachstellen-Checks
durchgeführt oder fehlende Patches angezeigt.
•
Full Scan – Ruft Systeminformationen ab und scannt das Netzwerk nach allen auffindbaren Schwachstellen, darunter: offene
TCP/UDP-Ports, fehlende Patches und Service Packs, USBGeräte u. Ä. Die mit diesem Profil für Schwachstellen-Checks
vordefinierten Zeitüberschreitungen berücksichtigen die in LANUmgebungen üblichen Verzögerungen bei der Datenübertragung.
•
Full Scan (Slow Networks) – Ruft Systeminformationen ab und
scannt das Netzwerk nach allen auffindbaren Schwachstellen,
darunter: offene TCP/UDP-Ports, fehlende Patches und Service
Packs, USB-Geräte u. Ä. Die mit diesem Profil für SchwachstellenChecks vordefinierten Zeitüberschreitungen berücksichtigen die in
WAN-Umgebungen üblichen Verzögerungen bei der Datenübertragung.
Hinweise zur Auswahl des Scan-Profils
Die Auswahl eines Scan-Profils sollte unter folgenden Gesichtspunkten erfolgen:
1. Umfang der Schwachstellenanalyse, d. h. die genaue Festlegung
der zu kontrollierenden Sicherheitsbereiche.
2. Der für Sicherheits-Scans insgesamt zur Verfügung stehende
Zeitrahmen, an dem die Anzahl der Checks ausgerichtet sein sollte.
Screenshot 75 – Knoten „Scanning Profiles“
94 • 9. Scan-Profile
GFI LANguard Network Security Scanner
Einsetzen von Scan-Profilen
Beispiel 1: Scannen des
„Vulnerabilities and Patches“
lokalen
Computers
per
Profil
1. Klicken Sie auf die Schaltfläche New Scan….
2. Wählen Sie die Option Complete/Combination Scans aus, und
klicken Sie auf die Schaltfläche Next.
3. Wählen Sie auf der Seite Scanning Profiles die Option
Vulnerabilities and Patches. Klicken Sie auf die Schaltfläche Next.
4. Wählen Sie die Option Scan single computer. Klicken Sie auf die
Schaltfläche Next.
5. Wählen Sie die Option Scan this computer. Klicken Sie auf die
Schaltfläche Next.
6. Geben Sie die Anmeldeinformationen an, mit denen der Scan
erfolgen soll. Klicken Sie auf die Schaltfläche Scan, um mit der
Überprüfung zu beginnen.
Tipp: Behalten Sie im Auge, wie viel Zeit ein vollständiger Scan
benötigt und wie umfangreich die gesammelten Daten sind.
Beispiel 2: Scannen
„Vulnerabilities“
des
lokalen
Computers
per
Profil
1. Klicken Sie auf die Schaltfläche New Scan….
2. Wählen Sie die Option Vulnerability Scanning, und klicken Sie auf
die Schaltfläche Next.
3. Wählen Sie die Option Vulnerabilities, und klicken Sie auf die
Schaltfläche Next.
4. Wählen Sie die Option Scan single computer. Klicken Sie auf die
Schaltfläche Weiter.
5. Wählen Sie die Option Scan this computer. Klicken Sie auf die
Schaltfläche Weiter.
6. Geben Sie die Anmeldeinformationen an, mit denen der Scan
erfolgen soll. Klicken Sie auf die Schaltfläche Scan, um mit der
Überprüfung zu beginnen.
Zeitaufwand für eingesetzte Scan-Profile
Wie Sie anhand der Scan-Beispiele sehen, nimmt eine Überprüfung
mit dem Profil Vulnerabilities weniger Zeit in Anspruch als die
Kontrolle per Profil Vulnerabilities and Patches. Grund hierfür ist der
geringere Scan-Umfang bei Vulnerabilities, da nur spezielle Checks
zur Analyse der auf den Zielrechnern vorhandenen Schwachstellen
durchgeführt werden. Andere Daten werden nicht ermittelt.
Beim Profil Vulnerabilities and Patches hingegen werden Checks zu
sämtlichen sicherheitsanfälligen Netzwerkbereichen und zu fehlenden
Patches durchgeführt. Aus diesem Grund wird für den Scan und die
Ausgabe der Kontrollergebnisse weitaus mehr Zeit benötigt.
GFI LANguard Network Security Scanner
9. Scan-Profile • 95
Erstellen eines neuen Scan-Profils
So erstellen Sie ein neues Scan-Profil:
1. Klicken Sie auf die Schaltfläche Configuration, und gehen Sie auf
den Unterknoten Configuration ` Settings.
2. Klicken Sie mit der rechten Maustaste auf den Unterknoten
Scanning Profiles. Wählen Sie im Kontextmenü New ` Profile…
aus.
3. Benennen Sie das neue Profil, und klicken Sie auf die Schaltfläche
OK.
Screenshot 76 – Konfigurierung der Scan-Profile
4. Die funktionalen Parameter des neuen Scan-Profils werden über
die im rechten Fenster der Verwaltungskonsole angezeigten Reiter
konfiguriert. Folgende Parameter können über die Reiter definiert
werden:
•
TCP Ports – Erlaubt die Auswahl der zu kontrollierenden TCPPorts und die Bearbeitung ihrer Parameter.
•
UDP Ports – Erlaubt die Auswahl der zu kontrollierenden UDPPorts und die Bearbeitung ihrer Parameter.
•
OS Data – Erlaubt die Festlegung, welche Betriebssystemdaten
von gescannten Zielen abgerufen werden sollen (hierzu zählen
beispielsweise Freigaben, Benutzerkonten, Daten angemeldeter
Benutzer u. Ä.).
•
Vulnerabilities – Erlaubt die Festlegung, welche SchwachstellenChecks auf Zielrechner angewendet werden sollen (z. B. spezielle
Webserver-Checks).
•
Patches – Erlaubt die Festlegung, nach welchen fehlenden
Sicherheits-Updates auf Zielrechnern gesucht werden soll.
96 • 9. Scan-Profile
GFI LANguard Network Security Scanner
•
Scanner Options – Erlaubt die Konfigurierung der funktionalen
Parameter
der
Scan-Engine
(z. B.
Einstellungen
zu
Zeitüberschreitungen und Abfrageverfahren).
•
Devices – Erlaubt die Konfigurierung und Aktivierung von Scans
nach installierten Netzwerk-Geräten und mit Zielrechnern
verbundener USB-Hardware.
•
Applications – Erlaubt die Konfigurierung der Scan-Parameter für
auf Zielrechnern installierte Anwendungen.
Anpassen eines Scan-Profils
So passen Sie ein Scan-Profil an Ihre Anforderungen an:
1. Klicken Sie auf die Schaltfläche Configuration, und gehen Sie auf
den Unterknoten Configuration ` Settings.
2. Wählen Sie das zu bearbeitende Scan-Profil aus.
3. Wählen Sie im rechten Fenster der Verwaltungskonsole über die
Reiter am oberen Rand die Scan-Spezifikationen aus, die geändert
werden sollen.
Hinweis: Änderungen werden beim nächsten neuen Scan-Durchlauf
berücksichtigt.
Konfigurieren der TCP/UDP-Port-Scans
Screenshot 77 – Eigenschaften der Scan-Profile, Profil „Default“, Reiter „TCP Ports“
Aktivieren der Scan-Option für TCP/UPD-Ports
So aktivieren Sie die Scan-Option für TCP/UDP-Ports eines ScanProfils:
1. Klicken Sie auf die Schaltfläche Configuration, und gehen Sie auf
den Unterknoten Configuration ` Scanning Profiles.
GFI LANguard Network Security Scanner
9. Scan-Profile • 97
2. Wählen Sie das zu bearbeitende Profil aus, und klicken Sie im
rechten Fenster auf den Reiter TCP Ports bzw. UDP Ports.
3. Markieren Sie das Kontrollkästchen der Option Enable TCP Port
Scanning und/oder Enable UDP Port Scanning, um die ScanFunktion jeweils zu aktivieren.
Hinweis: Die Einstellungen für TCP- und UDP-Port-Scans sind für
jedes Scan-Profil einzeln zu konfigurieren. Nehmen Sie die
Aktivierung oder Deaktivierung wie erforderlich für jedes einzelne
Scan-Profil vor.
Auswählen der zu scannenden TCP/UDP-Ports
So legen Sie für ein Scan-Profil fest, welche TCP/UDP-Ports im
Einzelnen kontrolliert werden sollen:
1. Klicken Sie auf die Schaltfläche Configuration, und gehen Sie auf
den Unterknoten Configuration ` Scanning Profiles.
2. Wählen Sie das zu bearbeitende Profil aus, und gehen Sie im
rechten Fenster der Verwaltungsoberfläche auf den Reiter TCP Ports
bzw. UDP Ports.
3. Markieren Sie alle Ports, die mit Hilfe des Scan-Profils kontrolliert
werden sollen.
Hinzufügen/Entfernen der zu scannenden TCP/UDP-Ports
1. Klicken Sie auf die Schaltfläche Configuration, und gehen Sie auf
den Unterknoten Configuration ` Scanning Profiles.
2. Wählen Sie das zu bearbeitende Profil aus, und gehen Sie im
rechten Fenster der Verwaltungsoberfläche auf den Reiter TCP Ports
bzw. UDP Ports.
3. So ergänzen/entfernen Sie neue TCP/UDP-Ports:
•
Klicken Sie auf die Schaltfläche Add, um der Liste einen neuen
Port hinzuzufügen. Geben Sie die Port-Nummer oder den PortBereich und eine Beschreibung an. Wählen Sie die Option This is
a Trojan port aus, wenn der Port üblicherweise von Trojanern
missbraucht wird.
•
Klicken Sie auf die Schaltfläche Edit, um einzelne Einstellungen
zu ändern.
•
Um Ports zu entfernen, wählen Sie die entsprechenden Ports aus,
und klicken Sie auf die Schaltfläche Remove.
Hinweis: Beachten Sie, dass in allen Scan-Profilen dieselben
TCP/UDP-Ports zur Auswahl stehen. Beim Entfernen eines Ports aus
der angezeigten Liste wird dieser aus allen Scan-Profilen gelöscht.
Einzelne Ports, die von Scans ausgenommen werden sollen, lassen
sich je Profil deaktivieren. Hinweise hierzu erhalten Sie in diesem
Kapitel unter „Auswählen der zu scannenden TCP/UDP-Ports“.
98 • 9. Scan-Profile
GFI LANguard Network Security Scanner
Konfigurieren des Abrufs von Betriebssystemdaten
Screenshot – Eigenschaften eines Scan-Profils, Reiter „OS Data“
So legen Sie fest, welche Betriebssystemdaten mit Hilfe eines ScanProfils angezeigt werden:
1. Klicken Sie auf die Schaltfläche Configuration, und gehen Sie auf
den Unterknoten Configuration ` Scanning Profiles.
2. Wählen Sie das zu bearbeitende Profil aus, und gehen Sie im
rechten Fenster der Verwaltungsoberfläche auf den Reiter OS Data.
3. Erweitern Sie im rechten Fenster den Knoten zur Gruppe Windows
OS Data oder Linux OS Data.
4. Wählen Sie aus, welche Windows/Linux-spezifischen Informationen
von den gescannten Computern abgerufen werden sollen. Sollen
beispielsweise administrative Freigaben von einem Scan berücksichtigt werden, erweitern Sie die Option Enumerate shares, und
wählen Sie für Display admin shares die Option Yes.
GFI LANguard Network Security Scanner
9. Scan-Profile • 99
Konfigurieren der Optionen von Schwachstellen-Scans
Screenshot 78 – Eigenschaften der Scan-Profile, Reiter „Vulnerabilities“
Die im Lieferumfang von GFI LANguard N.S.S. enthaltenen ScanProfile sind bereits zur Ausführung mehrerer Schwachstellen-Checks
vorkonfiguriert. Die Option zur Kontrolle von Schwachstellen kann
jedoch je Profil deaktiviert werden. Zudem lässt sich die Liste der
durchzuführenden Checks anpassen.
Aktivieren/Deaktivieren des Schwachstellen-Scanning
So aktivieren/deaktivieren Sie die Option für Schwachstellen-Scans in
einem Scan-Profil:
1. Klicken Sie auf die Schaltfläche Configuration, und gehen Sie auf
den Unterknoten Configuration ` Scanning Profiles.
2. Wählen Sie das zu bearbeitende Profil aus, und gehen Sie im
rechten Fenster der Verwaltungsoberfläche auf den Reiter
Vulnerabilities.
3. Aktivieren Sie Option für Schwachstellen-Scans, indem Sie das
Kontrollkästchen zu Enable Vulnerability Scanning markieren.
Entfernen Sie die Markierung, um Schwachstellen-Scans für das
gewählte Profil zu deaktivieren.
Hinweis: Schwachstellen-Scans sind für jedes Scan-Profil einzeln zu
konfigurieren. Ist die Option in einem Scan-Profil nicht ausgewählt,
wird bei Sicherheits-Audits mit diesem Profil somit nicht nach
Schwachstellen gesucht.
100 • 9. Scan-Profile
GFI LANguard Network Security Scanner
Anpassen der Liste zu kontrollierender Schwachstellen
So legen Sie fest, welche Schwachstellen mit Hilfe eines Scan-Profils
geprüft werden sollen:
1. Klicken Sie auf die Schaltfläche Configuration, und gehen Sie auf
den Unterknoten Configuration ` Scanning Profiles.
2. Wählen Sie das zu bearbeitende Profil aus, und gehen Sie im
rechten Fenster der Verwaltungsoberfläche auf den Reiter
Vulnerabilities.
Screenshot 79 – Auswahl der Schwachstellen-Checks
3. Wählen Sie alle Schwachstellen-Checks aus, die mit Hilfe des
jeweiligen Scan-Profils durchgeführt werden sollen.
Anpassen der Eigenschaften einzelner SchwachstellenChecks
Alle unter dem Reiter Vulnerabilities aufgeführten Checks besitzen
unterschiedliche Eigenschaften, die festlegen, wann der jeweilige
Check die Schwachstelle signalisieren soll und welche Informationen
während eines Scans angezeigt werden.
GFI LANguard Network Security Scanner
9. Scan-Profile • 101
Screenshot 80 – Eigenschaften einer Schwachstelle: Reiter „General“
So ändern Sie die Eigenschaften eines Schwachstellen-Checks:
1. Klicken Sie mit der rechten Maustaste auf die zu bearbeitende
Schwachstelle, und wählen Sie im Kontextmenü Properties.
2. Die Einstellungen eines Schwachstellen-Checks können mit Hilfe
der folgenden Reiter geändert werden:
•
General – Erlaubt die Anpassung allgemeiner Einstellungen wie
Name des Checks, Art der Schwachstelle (z. B. Web-Schwachstelle), Betriebssystem-Familie, Version des Betriebssystems,
betroffenes Produkt, Zeitangabe und Schwere der Schwachstelle.
•
Conditions – Erlaubt die Festlegung der funktionalen Parameter
des Schwachstellen-Checks. Diese Bedingungen legen fest, wann
der Check als positiv und die Schwachstelle als vorliegend
gewertet wird. Weitere Informationen zur Festlegung von
Bedingungen erhalten Sie unter „Festlegen von Bedingungen für
Schwachstellen-Checks“ in diesem Kapitel.
•
Description – Erlaubt eine Änderung der Check-Beschreibung.
•
References – Erlaubt die Anpassung von Verweisen und
Verknüpfungen zu Sicherheitsberichten von Quellen wie OVAL,
CVE, MS Security, Security Focus und SANS TOP 20.
3. Klicken Sie auf die Schaltfläche OK, um die Einstellungen zu
speichern.
102 • 9. Scan-Profile
GFI LANguard Network Security Scanner
Festlegen von Bedingungen für Schwachstellen-Checks
Über den Reiter Conditions können Sie Bedingungen bearbeiten
oder neue hinzufügen, die festlegen, wann die Schwachstelle als
vorliegend angezeigt wird. Die Einrichtung benutzerdefinierter Checks
muss durch erfahrene Anwender erfolgen, die über die Auswirkungen
der Einstellungen informiert sind.
Screenshot 81 – Festlegung von Schwachstellenbedingungen
So fügen Sie eine neue Check-Bedingung hinzu:
1. Klicken Sie auf die Schaltfläche Add.
GFI LANguard Network Security Scanner
9. Scan-Profile • 103
Screenshot 82 – Assistent für Schwachstellen-Checks
2. Wählen Sie den zu konfigurierenden Check-Typ aus, und klicken
Sie auf die Schaltfläche Next.
3. Bestimmen Sie das zu untersuchende Element, und klicken Sie auf
die Schaltfläche Next.
4. Legen Sie die gewünschten Attribute/Parameter fest, und klicken
Sie auf die Schaltfläche Finish, um die Einstellungen zu speichern.
Screenshot 83 – Bearbeitung einer Schwachstelle
104 • 9. Scan-Profile
GFI LANguard Network Security Scanner
5. Bestimmen Sie bei Angabe von mehreren Bedingungen
verknüpfende Operatoren. Klicken Sie auf die Schaltfläche OK, um
die Einstellungen zu speichern.
Schwachstellen-Checks – erweiterte Optionen
Screenshot 84 – Eigenschaften der Scan-Profile
Per Mausklick auf die Schaltfläche Advanced auf dem Reiter
Vulnerabilities werden Optionen zu erweiterten Einstellungen für
Schwachstellen aufgerufen.
Screenshot 85 – Erweiterte Scan-Optionen für Schwachstellen
GFI LANguard Network Security Scanner
9. Scan-Profile • 105
Diese Optionen bieten folgende Möglichkeiten:
•
Schwachstellen-Scans lassen sich zusätzlich so konfigurieren, dass
Zielrechner auf unsichere Passwörter, anonymen FTP-Zugriff und
ungenutzte Anwenderkonten überprüft werden.
•
Sie können festlegen, wie GFI LANguard N.S.S. mit der Aktivierung
neu erstellter Schwachstellen-Checks verfahren soll.
•
Lassen Sie GFI LANguard N.S.S. CGI-Anfragen über einen
festgelegten Proxy-Server verschicken. Dies ist erforderlich, wenn
CGI-Anfragen von einem hinter einer Firewall betriebenen Rechner an
einen Webserver geschickt werden, der sich außerhalb der Firewall
befindet (z. B. Webserver in einer DMZ). Andernfalls würde die
Firewall alle direkten CGI-Anfragen, die GFI LANguard N.S.S. an den
davor liegenden Server schickt, blockieren. Um dies zu verhindern,
wählen Sie für Send CGI requests through proxy die Option Yes,
und geben Sie den Namen/die IP-Adresse des Proxy-Servers sowie
des COM-Ports an, über den die CGI-Anfrage erfolgen soll.
Konfigurieren der Patch-Scan-Optionen
Screenshot 86 – Eigenschaften der Scan-Profile, Reiter „Patches“
Über den Reiter Patches können Sie festlegen, nach welchen
Sicherheits-Updates während eines Scans gesucht werden soll. Es
werden standardmäßig alle unterstützten Patches und Service Packs
angezeigt, die sich einzeln zur Kontrolle auswählen lassen. Die Liste
wird von GFI LANguard N.S.S. automatisch aktualisiert, wenn GFI
Updates zu neu verfügbaren Patches veröffentlicht.
Aktivieren/Deaktivieren von Patch-Checks
So aktivieren/deaktivieren Sie die Patch-Checks eines Scan-Profils:
1. Klicken Sie auf die Schaltfläche Configuration, und gehen Sie auf
den Unterknoten Configuration ` Scanning Profiles.
2. Wählen Sie das zu bearbeitende Profil aus, und gehen Sie im
rechten Fenster der Verwaltungsoberfläche auf den Reiter Patches.
106 • 9. Scan-Profile
GFI LANguard Network Security Scanner
3. Wählen Sie die Option Detect installed and missing service
packs/patches aus.
Hinweis: Parameter zur Suche nach fehlenden Patches und Service
Packs sind für jedes Scan-Profil einzeln zu konfigurieren. Aktivieren
Sie die Suche nach fehlenden Sicherheits-Updates für alle Profile, im
Rahmen derer eine solche Kontrolle erforderlich ist.
Anpassen der Liste zu kontrollierender Patches
So legen Sie fest, nach welchen Sicherheits-Updates im Rahmen
eines Scan-Profils gesucht werden soll:
1. Klicken Sie auf die Schaltfläche Configuration, und gehen Sie auf
den Unterknoten Configuration ` Scanning Profiles.
2. Wählen Sie das zu bearbeitende Profil aus, und gehen Sie im
rechten Fenster der Verwaltungsoberfläche auf den Reiter Patches.
Screenshot 87 – Auswahl der zu suchenden Patches
3. Wählen Sie aus, welche fehlenden Patches vom jeweiligen ScanProfil angezeigt werden sollen.
Suchen nach Informationen eines Sicherheitsbulletins
Screenshot 88 – Suche nach Informationen eines Sicherheitsbulletins
GFI LANguard Network Security Scanner
9. Scan-Profile • 107
So starten Sie die Suche nach einem bestimmten Sicherheitsbulletin:
1. Geben Sie im rechten Fenster im unteren Eingabefeld zu Find
bulletin den Namen des Bulletins (z. B. „MS02-017“) oder die
QNumber (z. B. „Q311987“) an.
2. Klicken Sie auf die Schaltfläche Find, um nach dem Eintrag zu
suchen.
Screenshot 89 – Umfangreichere Informationen des Sicherheitsbulletins
Konfigurieren der Scanner-Optionen
Über den Reiter Scanner Options können Sie die funktionalen
Parameter der Scan-Engine festlegen. Diese Parameter lassen sich
für jedes Scan-Profil einzeln festlegen und bestimmen, wie die ScanEngine Kontrollen durchführt und Betriebssystemdaten abruft.
Screenshot 90 – Eigenschaften der Scan-Profile, Reiter „Scanner Options“
108 • 9. Scan-Profile
GFI LANguard Network Security Scanner
Zu den konfigurierbaren Optionen zählen Timeouts, Anfragetypen zur
Zielerkennung, Anzahl der Scan-Threads, SNMP-Abfragebereiche
u. v. m.
Hinweis: Diese Parameter sollten mit größter Vorsicht konfiguriert
werden. Fehlerhafte Einstellungen können die Scan-Leistung von
GFI LANguard N.S.S. beeinträchtigen.
Konfigurieren der Kontrolle extern angeschlossener Hardware
Screenshot 91 – Konfigurieren zu kontrollierender Geräte, Reiter „Devices“
Über den Reiter Devices lässt sich festlegen, ob auf den Zielrechnern
nach Netzwerk- und USB-Geräten gescannt werden soll.
Screenshot 92 – Als kritische Sicherheitslücke klassifizierte Netzwerk-Geräte
GFI LANguard Network Security Scanner
9. Scan-Profile • 109
GFI LANguard N.S.S. kann so konfiguriert werden, dass beim
Auffinden eines bestimmten unerwünschten USB- oder NetzwerkGeräts eine Warnmeldung zur einer kritischen Sicherheitslücke
ausgegeben wird. Hierfür müssen Sie eine Liste unautorisierter
Geräte erstellen (Blacklist), für die ein Sicherheitsalarm erfolgen soll.
Zudem können Sie festlegen, welche USB-Hardware als „sicher“ gilt
und somit von der Überprüfung ausgenommen werden soll, z. B.
USB-Tastaturen. Erstellen Sie hierfür eine separate Liste (Whitelist)
der autorisierten Geräte, die bei Scans unbeachtet bleiben sollen.
Screenshot 93 – Liste erwünschter Netzwerkgeräte
Richten Sie beispielsweise ein Scan-Profil zur Kontrolle und Auflistung
aller mit den Zielrechnern verbundenen USB- und Netzwerk-Geräte
ein. In diesem Fall braucht die Negativ-Liste/Blacklist zu
unerwünschten Geräten im Scan-Profil nicht weiter definiert zu
werden.
Screenshot 94 – Liste unerwünschter Netzwerkgeräte
Ebenso kann ein gesondertes Scan-Profil erstellt werden, das nur an
Zielrechner angeschlossene Bluetooth-Dongles und WLAN-Karten
auflistet. Hierbei muss in der Liste der unbefugten Netzwerk- und
USB-Geräte eine im Gerätenamen enthaltene Zeichenfolge,
beispielsweise mit „Bluetooth“ und „Wireless“ oder „WLAN“,
angegeben werden.
110 • 9. Scan-Profile
GFI LANguard Network Security Scanner
Screenshot 95 – Reiter zu Netzwerk- und USB-Geräten
Über die Konfigurationsseite zu Devices stehen zwei Reiter zum
Konfigurieren der Geräte-Scans zur Verfügung. Diese lauten Network
Devices und USB Devices.
•
Der Unterreiter Network Devices dient der Konfigurierung der
Scan-Optionen für angeschlossene Netzwerkgeräte und der
Positiv/Negativ-Listen für erwünschte/unerwünschte Geräte dieser
Art.
•
Der Unterreiter USB Devices dient der Konfigurierung der ScanOptionen für angeschlossene USB-Hardware und der
Positiv/Negativ-Listen für erwünschte/unerwünschte Geräte dieser
Art.
Scannen nach angeschlossenen Netzwerkgeräten
Screenshot 96 – Konfiguration der Hardware-Kontrolle, Reiter „Devices“
GFI LANguard Network Security Scanner
9. Scan-Profile • 111
Aktivieren/Deaktivieren von Checks für installierte Netzwerkgeräte
So aktivieren/deaktivieren Sie Scans von Netzwerkgeräten in einem
Scan-Profil:
1. Klicken Sie auf die Schaltfläche Configuration, und gehen Sie auf
den Unterknoten Configuration ` Scanning Profiles.
2. Wählen Sie das zu bearbeitende Profil aus, und gehen Sie im
rechten Fenster der Verwaltungsoberfläche auf den Reiter Devices.
3. Wählen Sie die Option Enable Scanning for installed Network
Devices on the target computer(s) aus.
Hinweis: Scans nach Netzwerkgeräten sind für jedes Scan-Profil
einzeln zu konfigurieren. Wählen Sie diese Option über alle ScanProfile aus, im Rahmen derer eine solche Kontrolle erforderlich ist.
Screenshot 97 – Konfiguration der Hardware-Kontrolle, Listen zu unautorisierten und zu
ignorierenden Geräten
Erstellen einer Liste befugter/unbefugter Netzwerkgeräte
So erstellen Sie eine Liste autorisierter/unbefugter Netzwerkgeräte:
1. Klicken Sie auf die Schaltfläche Configuration, und gehen Sie auf
den Unterknoten Configuration ` Scanning Profiles.
2. Wählen Sie das zu bearbeitende Profil aus, und gehen Sie im
rechten Fenster der Verwaltungsoberfläche auf den Reiter Devices.
Screenshot 98 – Liste unerwünschter Netzwerkgeräte
112 • 9. Scan-Profile
GFI LANguard Network Security Scanner
3. Klicken Sie auf den Unterreiter Network Devices. Sie haben
folgende Optionen:
•
Zum Erstellen einer Negativ-Liste für Netzwerkgeräte: Legen Sie
unter Create a high security vulnerability for network devices
whose name contains fest, welche Geräte als kritische Sicherheitslücke klassifiziert werden sollen. Geben Sie hierfür eine im
Gerätenamen enthaltene Zeichenfolge an. Wenn Sie z. B.
„wireless“ wählen, wird bei allen Gerätenamen, die dieses Wort
enthalten, eine Warnmeldung zu einer kritischen Sicherheitslücke
ausgegeben.
•
Zum Erstellen einer Positiv-Liste für Netzwerkgeräte: Legen Sie
unter Ignore devices (Do not list/save to db) whose name
contains fest, welche Geräte während der Sicherheits-Scans
unbeachtet bleiben sollen. Geben Sie hierfür eine im Gerätenamen enthaltene Zeichenfolge an.
Hinweis: Geben Sie nur ein Netzwerk-Gerät pro Zeile an.
Konfigurieren erweiterter Scan-Optionen für Netzwerkgeräte
Screenshot 99 – Konfigurieren der erweiterten Scan-Optionen für Netzwerk-Geräte
Über den Reiter Devices können Sie zudem den Typ der
Netzwerkgeräte angeben, die mit diesem Scan-Profil kontrolliert und
in den Scan-Ergebnissen angezeigt werden soll. Hierzu zählen: „wired
network devices” (kabelgebundene Netzwerkgeräte), „wireless
network devices” (drahtlose Netzwerkgeräte), „software enumerated
network devices” (von Software spezifizierte Geräte) und „virtual
network devices” (virtuelle Netzwerkgeräte).
GFI LANguard Network Security Scanner
9. Scan-Profile • 113
So legen Sie fest, welche Netzwerkgeräte in den Scan-Ergebnissen
aufgeführt werden soll:
1. Klicken Sie auf die Schaltfläche Configuration, und gehen Sie auf
den Unterknoten Configuration ` Scanning Profiles.
2. Wählen Sie das zu bearbeitende Profil aus, und gehen Sie im
rechten Fenster der Verwaltungsoberfläche auf den Reiter Devices.
3. Der Reiter Network Devices wird automatisch geöffnet. Klicken Sie
auf die Schaltfläche Advanced im unteren Bereich des Fensters.
4. Wählen Sie für alle gewünschten Optionen Yes aus, und klicken
Sie auf die Schaltfläche OK, um die Einstellungen zu übernehmen.
Scannen nach USB-Geräten
Screenshot 100 – Als kritische Sicherheitslücke klassifizierte USB-Geräte
Aktivieren/Deaktivieren von Checks für angeschlossene
USB-Geräte
So aktivieren Sie in einem Scan-Profil Scans nach angeschlossener
USB-Hardware:
1. Klicken Sie auf die Schaltfläche Configuration, und gehen Sie auf
den Unterknoten Configuration ` Scanning Profiles.
2. Wählen Sie das zu bearbeitende Profil aus, und gehen Sie im
rechten Fenster der Verwaltungsoberfläche auf den Reiter Devices.
3. Wählen Sie die Option Enable Scanning for USB Devices
installed on the target computer(s) aus.
Hinweis: Scans nach USB-Hardware sind für jedes Scan-Profil
einzeln zu konfigurieren. Wählen Sie diese Option über alle ScanProfile aus, im Rahmen derer eine solche Kontrolle erforderlich ist.
114 • 9. Scan-Profile
GFI LANguard Network Security Scanner
Erstellen einer Liste autorisierter/unbefugter USB-Geräte
So legen Sie eine Liste unautorisierter USB-Hardware an:
1. Klicken Sie auf die Schaltfläche Configuration. Erweitern Sie den
Knoten Configuration ` Scanning Profiles, und wählen Sie das zu
bearbeitende Scan-Profil aus.
2. Klicken Sie im rechten Fenster auf den Reiter Devices.
Screenshot 101 – Liste unerwünschter USB-Geräte
3. Klicken Sie auf den Unterreiter USB Devices. Sie haben folgende
Optionen:
•
Zum Erstellen einer Negativ-Liste für USB-Geräte: Legen Sie unter
Create a high security vulnerability for USB devices whose
name contains fest, welche Geräte als kritische Sicherheitslücke
klassifiziert werden sollen. Geben Sie hierfür eine im Gerätenamen enthaltene Zeichenfolge an. Wenn Sie z. B. „iPod“
eingeben, wird bei allen Namen von USB-Geräten, die diese
Zeichenfolge aufweisen, eine Warnmeldung zu einer kritischen
Sicherheitslücke ausgegeben.
•
Zum Erstellen einer Positiv-Liste für USB-Geräte: Legen Sie unter
Ignore devices (Do not list/save to db) whose name contains
fest, welche USB-Geräte während der Sicherheits-Scans
unbeachtet bleiben sollen. Geben Sie hierfür eine im Gerätenamen enthaltene Zeichenfolge an.
Hinweis: Geben Sie nur ein USB-Gerät pro Zeile an.
GFI LANguard Network Security Scanner
9. Scan-Profile • 115
Konfigurieren der Optionen von Anwendungs-Scans
Über den Reiter Applications können Sie festlegen, welche
installierten Anwendungen von diesem Scan-Profil während eines
Scans überprüft werden sollen.
Screenshot 102 – Liste zu (un)autorisierten/zu ignorierenden Anwendungen
Über diesen Reiter können Sie angeben, ob GFI LANguard N.S.S.
Zielrechner auf nicht erwünschte oder produktivitätshemmende
Software überprüfen soll. Bei Auffinden solche Programme kann eine
Warnmeldung zu einer kritischen Sicherheitslücke ausgegeben
werden.
116 • 9. Scan-Profile
GFI LANguard Network Security Scanner
Scannen installierter Anwendungen
Screenshot 103 – Liste unterstützter Anti-Viren- und Anti-Spyware-Anwendungen
GFI LANguard N.S.S. unterstützt standardmäßig die Kontrolle
bestimmter Sicherheitsanwendungen. Hierzu zählen gängige AntiVirus- und Anti-Spyware-Lösungen. Bei Sicherheits-Scans wird
kontrolliert, ob unterstützte Sicherheitsprogramme mit den aktuellsten
Signaturdateien arbeiten und korrekt konfiguriert sind.
Anwendungs-Scans sind für jedes Scan-Profil einzeln zu
konfigurieren. Die Konfigurationsoptionen werden über zwei
Unterreiter des Reiters Applications
festgelegt, Installed
Applications und Security Applications.
Aktivieren/Deaktivieren von Checks für installierte
Anwendungen
So aktivieren/deaktivieren Sie Scans von installierten Anwendungen in
einem Scan-Profil:
1. Klicken Sie auf die Schaltfläche Configuration, und gehen Sie auf
den Unterknoten Configuration ` Scanning Profiles.
2. Wählen Sie das zu bearbeitende Profil aus, und gehen Sie im
rechten Fenster der Verwaltungsoberfläche auf den Reiter
Applications.
3. Wählen Sie die Option Enable
applications on target computers aus.
scanning
for
installed
Hinweis: Scans nach installierten Anwendungen sind für jedes ScanProfil einzeln zu konfigurieren. Wählen Sie diese Option über alle
Scan-Profile aus, im Rahmen derer eine solche Kontrolle erforderlich
ist.
GFI LANguard Network Security Scanner
9. Scan-Profile • 117
Screenshot 104 – Eigenschaften eines Scan-Profils, Reiter zu installierten Anwendungen
Erstellen einer Liste befugter/unbefugter Anwendungen
So erstellen Sie eine Liste zu befugten/unbefugten Anwendungen:
1. Klicken Sie auf die Schaltfläche Configuration, und gehen Sie auf
den Unterknoten Configuration ` Scanning Profiles.
2. Wählen Sie das zu bearbeitende Profil aus, und gehen Sie im
rechten Fenster der Verwaltungsoberfläche auf den Reiter
Applications.
3. Klicken Sie auf den Reiter Installed Applications, und wählen Sie
eine der folgenden Optionen aus:
•
Only applications whose name contains – Erlaubt die
Aufstellung einer Blacklist/Whitelist zu unerwünschten bzw.
erwünschten Anwendungen, in deren Name die angegebene
Zeichenfolge enthalten ist.
•
All applications except the ones whose name contains –
Erlaubt die Aufstellung einer Blacklist/Whitelist zu unerwünschten
bzw. erwünschten Anwendungen, in deren Name die angegebene
Zeichenfolge nicht enthalten ist.
118 • 9. Scan-Profile
GFI LANguard Network Security Scanner
4. So erstellen Sie eine Whitelist/Blacklist zu Anwendungen:
Screenshot 105 – Liste unbefugter Anwendungen
•
Zum Erstellen einer Negativ-Liste für Anwendungen: Legen Sie
unter Only applications whose name contains fest, welche
Anwendungen als kritische Sicherheitslücke klassifiziert werden
sollen. Geben Sie hierfür eine im Anwendungsnamen enthaltene
Zeichenfolge an. Wenn Sie z. B. „Kazaa“ wählen, wird bei allen
Anwendungen, die dieses Wort enthalten, eine Warnmeldung zu
einer kritischen Sicherheitslücke ausgegeben.
•
Zum Erstellen einer Positiv-Liste für Anwendungen: Legen Sie
unter Ignore (Do not list/save to db) applications whose name
contains fest, welche Anwendungen während der SicherheitsScans unbeachtet bleiben sollen. Geben Sie hierfür einen
Bestandteil des Anwendungsnamens an.
Hinweis: Geben Sie nur einen Anwendungsnamen pro Zeile an.
Scannen von Sicherheitsanwendungen
Screenshot 106 – Eigenschaften eines Scan-Profils, Reiter zu Sicherheitsanwendungen
GFI LANguard N.S.S. erlaubt standardmäßig die Kontrolle mehrerer
Anti-Virus- und Anti-Spyware-Anwendungen.
GFI LANguard Network Security Scanner
9. Scan-Profile • 119
Aktivieren/Deaktivieren von Scans nach Sicherheitsanwendungen
So aktivieren Sie in einem Scan-Profil Scans von installierten
Sicherheitsanwendungen:
1. Klicken Sie auf die Schaltfläche Configuration, und gehen Sie auf
den Unterknoten Configuration ` Scanning Profiles.
2. Wählen Sie das zu bearbeitende Profil aus, und gehen Sie im
rechten Fenster der Verwaltungsoberfläche auf den Reiter
Applications.
3. Gehen Sie auf den Reiter Security Applications, und wählen Sie
die Option Detect and process installed anti-virus/anti-spyware
software on target computers aus.
Hinweis: Scans nach installierten Sicherheitsanwendungen sind für
jedes Scan-Profil einzeln zu konfigurieren. Wählen Sie diese Option
über alle Scan-Profile aus, im Rahmen derer eine solche Kontrolle
erforderlich ist.
Anpassen der Liste zu scannender Sicherheitsanwendungen
So legen Sie fest, welche Sicherheitsanwendungen während eines
Sicherheits-Audits gescannt werden sollen:
1. Klicken Sie auf die Schaltfläche Configuration, und gehen Sie auf
den Unterknoten Configuration ` Scanning Profiles.
2. Wählen Sie das zu bearbeitende Profil aus, und gehen Sie im
rechten Fenster der Verwaltungsoberfläche auf den Reiter
Applications.
Screenshot 107 – Auswahl der zu kontrollierenden Sicherheitsanwendungen
120 • 9. Scan-Profile
GFI LANguard Network Security Scanner
3. Geben Sie auf den Reiter Security Applications, und wählen Sie
alle Sicherheitsanwendungen aus, die kontrolliert werden sollen.
4. Klicken Sie auf die Schaltfläche OK, um die Einstellungen zu
speichern.
Konfigurieren von Sicherheitsanwendungen – erweiterte
Optionen
Screenshot 108 – Erweiterte Konfigurationsoptionen
Klicken Sie auf der Konfigurationsseite des Unterreiters Security
Applications auf die Schaltfläche Advanced, um die Scans von
Sicherheitsanwendungen zu erweitern. So können Sie festlegen, ob
bei folgenden Ereignissen eine Warnmeldung zu einer kritischen
Sicherheitslücke ausgegeben werden soll:
•
Definitionsdateien von Anti-Virus- oder Anti-Spyware-Lösungen
sind veraltet.
•
Der von einigen Anti-Virus- oder Anti-Spyware-Lösungen angebotene Echtzeit-Schutz ist deaktiviert.
•
Keine der ausgewählten Anti-Virus- oder Anti-Spyware-Lösungen
ist zum Zeitpunkt des Scans auf dem Zielrechner installiert.
GFI LANguard Network Security Scanner
9. Scan-Profile • 121
122 •
GFI LANguard Network Security Scanner
10. Abrufen von Software-Updates
Einführung
GFI veröffentlicht regelmäßige Programmaktualisierungen, mit der die
Leistung und Funktionalität von GFI LANguard N.S.S. optimiert wird,
beispielsweise durch neue Schwachstellen-Checks.
Neben Updates für den Scanner lassen sich auch Aktualisierungen für
Produkte von Microsoft abrufen, darunter fehlende Patches und
Service Packs für Betriebssysteme und Anwendungen, wie Microsoft
Office XP/2007.
In diesem Kapitel erfahren Sie, wie diese Aktualisierungen abgerufen
werden.
Ebenso
erhalten
Sie
Informationen,
wie
beim
Anwendungsstart automatisch nach einem neueren Build von
GFI LANguard N.S.S. gesucht werden kann.
Kontrollieren von aktuell installierten Programm-Updates
Screenshot 109 – Details zur aktuellen Version von Build und Datenbanken
Um den Status von Produkt-Updates zu kontrollieren, klicken Sie auf
die Schaltfläche Configuration. Gehen Sie auf den Knoten General `
Program Updates.
Die Informationen sind in unterschiedliche Kategorien unterteilt und
werden im rechten Fenster der Verwaltungsoberfläche angezeigt. In
jeder Update-Kategorie werden Datum und Uhrzeit der letzten Suche
GFI LANguard Network Security Scanner
10. Abrufen von Software-Updates • 123
nach Aktualisierungen, der letzte Update-Download und die Version
der aktuellen Datenbank-Updates angezeigt.
Herunterladen von Microsoft Produkt-Updates für verschiedene
Sprachen
Screenshot 110 – Auswahl der Microsoft Update-Dateien
GFI LANguard N.S.S. unterstützt standardmäßig die Verwaltung von
Patches in mehreren Unicode-kompatiblen Sprachen. Wird während
eines Sicherheits-Scans festgestellt, dass Produkt-Updates zu
Microsoft-Lösungen fehlen, lassen sie sich mit N.S.S. für die verfügbaren/gewünschten Sprachen herunterladen und installieren.
Fehlende Microsoft-Patches und Service Packs werden vom Scanner
durch Überprüfung der „Microsoft Software Update Files“ ermittelt.
Diese Dateien enthalten die aktuellen (vollständigen) Listen zu
Produkt-Updates, die zum Zeitpunkt der Überprüfung über Microsoft
verfügbar sind. Sie liegen in allen Sprachen vor, in denen MicrosoftProdukte erhältlich sind.
Mit Hilfe des Tools Program Update von GFI LANguard N.S.S.
können Sie die für Ihr Netzwerk relevanten, aktuellen „Microsoft
Software Updates Files“ downloaden. Die Scan-Engine kann dadurch
fehlende Patches und Service Packs für verschiedene Sprachen
ermitteln und eine Warnmeldung ausgeben. Zudem kann die Engine
zur Patch-Verteilung die fehlenden Update-Dateien herunterladen und
im gesamten Netzwerk installieren.
Folgende Sprachen werden unterstützt: Arabisch, Chinesisch,
Chinesisch (Taiwan), Dänisch, Deutsch, Englisch, Finnisch,
Französisch,
Griechisch,
Hebräisch,
Italienisch,
Japanisch,
Koreanisch, Niederländisch, Norwegisch, Polnisch, Portugiesisch,
Portugiesisch
(Brasilien),
Russisch,
Schwedisch,
Spanisch,
Tschechisch, Türkisch und Ungarisch.
124 • 10. Abrufen von Software-Updates
GFI LANguard Network Security Scanner
Informationen zum Download der in verschiedenen Sprachen
verfügbaren „Microsoft Update Files“ erhalten Sie weiter unten in
diesem Kapitel.
Durchführen manueller Programmaktualisierungen
So führen Sie einen manuellen Start von Programmaktualisierungen
durch:
1. Klicken Sie auf die Schaltfläche Configuration, und erweitern Sie
den Knoten General.
Klicken Sie mit der rechten Maustaste auf den Unterknoten Program
Updates, und wählen Sie im Kontextmenü Check for Updates aus.
Der Assistent zur Update-Suche wird aufgerufen.
Screenshot 111 – Assistent zur Update-Suche: Stufe 1
3. Geben Sie an, von wo die erforderlichen Update-Dateien heruntergeladen werden sollen.
4. Falls Sie den standardmäßigen Speicherpfad für die DownloadDateien ändern möchten, wählen Sie die Option Download all
update files from GFI web site to this path, und geben Sie den
neuen Pfad an.
5. Klicken Sie auf die Schaltfläche Next, um mit der Aktualisierung
fortzufahren.
GFI LANguard Network Security Scanner
10. Abrufen von Software-Updates • 125
Screenshot 112 – Assistent zur Update-Suche: Stufe 2
6. Wählen Sie die herunterzuladenden Updates aus, und klicken Sie
auf die Schaltfläche Next. Folgende Auswahlmöglichkeiten stehen zur
Verfügung:
•
GFI LANguard N.S.S. Vulnerabilities Update – Lädt neue
Schwachstellen-Checks und -Fixes herunter.
•
GFI LANguard N.S.S. Dictionaries Update – Lädt
Aktualisierungen der Wörterbuch-Datei herunter (z. B. zu
unsicheren Community-Strings und Passwörtern).
•
Microsoft Software Updates – Erlaubt die Auswahl von
Software-Updates für alle im Netzwerk verwendeten Sprachversionen von Microsoft-Produkten. Weitere Informationen hierzu
erhalten Sie am Anfang dieses Kapitels unter „Herunterladen von
Microsoft Produkt-Updates für verschiedene Sprachen“.
Hinweis: Wählen Sie die Option Update ALL files (including the
ones already updated), um alle Dateien zu aktualisieren. Somit
werden auch bereits durchgeführte Aktualisierungen erneut durchgeführt.
7. Klicken Sie auf die Schaltfläche Start, um den Aktualisierungsvorgang zu starten.
Suchen nach Software-Aktualisierungen beim Programmstart
GFI LANguard N.S.S. sucht standardmäßig bei jedem Programmstart
automatisch nach neuen Software-Aktualisierungen. So deaktivieren
Sie diese Funktion:
1. Klicken Sie auf die Schaltfläche Configuration, und erweitern Sie
den Knoten General.
Klicken Sie mit der rechten Maustaste auf den Unterknoten Program
Updates, und wählen Sie im Kontextmenü Properties aus. Der
Eigenschaften-Dialog für Programm-Updates wird aufgerufen.
126 • 10. Abrufen von Software-Updates
GFI LANguard Network Security Scanner
Screenshot 113 – Option zur Suche nach Updates bei Programmstart
3. Heben Sie die Auswahl von Check for newer builds at startup im
unteren Bereich des Dialogfensters auf.
Beim Programmstart zu kontrollierende Aktualisierungen
So legen Sie fest, nach welchen Aktualisierungen beim Start von
GFI LANguard N.S.S. gesucht werden soll:
Screenshot 114 – Eigenschaften von Programm-Updates
1. Klicken Sie auf die Schaltfläche Configuration, und erweitern Sie
den Knoten General.
Klicken Sie mit der rechten Maustaste auf den Unterknoten Program
Updates, und wählen Sie im Kontextmenü Properties aus. Der
Eigenschaften-Dialog für Programm-Updates wird aufgerufen.
3. Wählen Sie die herunterzuladenden Updates und deren Quelle aus.
4. Klicken Sie auf die Schaltfläche OK, um die Einstellungen zu
speichern.
GFI LANguard Network Security Scanner
10. Abrufen von Software-Updates • 127
128 •
GFI LANguard Network Security Scanner
11. Patch-Verwaltung: Bereitstellen von
Microsoft-Updates
Einführung
Zusätzlich zum automatischen Download von Patches und Service
Packs von Microsoft kann GFI LANguard N.S.S. diese Sicherheitsaktualisierungen im gesamten Netzwerk bereitstellen und, falls
erforderlich, die Bereitstellung zudem rückgängig machen („PatchRollback“). Patches werden für gewöhnlich aufgrund neu entdeckter
Schwachstellen oder Probleme zurückgezogen, die bei der Installation
der Updates aufgetreten sind (etwa in Form von Anwendungskonflikten mit vorhandener Software oder Hardware). Beispielsweise
wurden von Microsoft die Patches MS03-045 und MS03-047 für
Exchange zurückgerufen.
Sowohl die Patch-Bereitstellung als auch der Patch-Rollback werden
von einem speziellen Agenten verwaltet, der die Dateiübertragung
zwischen GFI LANguard N.S.S. und den entfernten Zielrechnern
steuert. Der Agent wird während der Patch-Bereitstellung automatisch
im Hintergrund auf den Remote-Rechnern installiert.
Hinweis 1: Zum erfolgreichen Installieren fehlender Patches muss
GFI LANguard N.S.S. unter einem Konto mit administrativen Zugriffsrechten laufen.
Hinweis 2: Stellen Sie sicher, dass auf den entfernten Zielrechnern
NetBIOS aktiviert ist. Weitere Informationen zur Aktivierung von
NetBIOS erhalten Sie im Kapitel „Weiterführende Informationen“ unter
„Aktivieren von NetBIOS auf einem Zielrechner“.
Hinweis 3: Eine vollständige Liste der Microsoft-Produkte, für die
GFI LANguard N.S.S. Patches herunterladen und bereitstellen kann,
steht zum Abruf bereit unter:
http://kbase.gfi.com/showarticle.asp?id=KBID001820.
Hinweis 4: Mit der Testversion von GFI LANguard N.S.S. können
Microsoft-Patches nicht per Stapelverarbeitung bereitgestellt werden.
Weitere
Informationen
hierzu
erhalten
Sie
im
Kapitel
„Produktevaluierung“ in diesem Handbuch.
In diesem Kapitel erfahren Sie, wie Sie:
•
Zielrechner angeben, auf denen Patches bereitzustellen sind,
•
festlegen, welche Microsoft-Aktualisierungen bereitzustellen sind,
•
Patches sortieren und ihre Download-Priorität ändern,
•
Patches und Service Packs herunterladen,
•
die Bereitstellung von Updates starten und überwachen und
•
die Installation von bereits eingerichteten Patches rückgängig
machen.
GFI LANguard Network Security Scanner
11. Patch-Verwaltung: Bereitstellen von Microsoft-Updates • 129
Auswählen von Zielrechnern für Patch-Bereitstellung
Nachdem ein Netzwerk-Scan beendet ist, können auf Computern, für
die Patches und Service Packs fehlen, aller erforderlichen Sicherheitsaktualisierungen bereitgestellt werden.
Screenshot 115 – Bereitstellung fehlender Service Packs und Patches
So legen Sie fest, auf welchen Zielrechnern Patches und Service
Packs bereitgestellt werden sollen:
Bereitstellen fehlender Aktualisierungen auf einem Rechner
Klicken Sie in der Verwaltungskonsole im mittleren Fensterbereich
Scanned Computers mit der rechten Maustaste auf den Rechner, für
den eine Aktualisierung durchgeführt werden soll. Wählen Sie im
Kontextmenü Deploy Microsoft updates ` Service packs on [bzw.
Patches on] ` This computer.
Bereitstellen fehlender Aktualisierungen auf ausgewählten
Rechnern
1. Markieren
Fensterbereich
Rechner.
Sie in der Verwaltungskonsole im mittleren
Scanned Computers alle zu aktualisierenden
2. Klicken Sie mit der rechten Maustaste auf einen der markierten
Rechner. Wählen Sie im Kontextmenü Deploy Microsoft updates `
Service packs on [bzw. Patches on] ` Selected computers.
Bereitstellen fehlender Aktualisierungen auf allen Rechnern
Klicken Sie im mittleren Fensterbereich Scanned Computers mit der
rechten Maustaste auf einen der aufgeführten Rechner. Wählen Sie
im Kontextmenü Deploy Microsoft updates ` Service packs on
[bzw. Patches on] ` All computers.
130 • 11. Patch-Verwaltung: Bereitstellen von Microsoft-Updates
GFI LANguard Network Security Scanner
Auswählen bereitzustellender Patches
Screenshot 116 – Optionen für die Patch-Bereitstellung
Nachdem Sie die zu aktualisierenden Zielrechner angegeben haben,
ruft GFI LANguard N.S.S. automatisch die Bereitstellungsoptionen für
Patches auf. Diese Optionen werden in der Verwaltungskonsole
angezeigt, darunter die Liste der ausgewählten Zielrechner und die
Updates, die heruntergeladen und bereitgestellt werden sollen.
Screenshot 117 – Herunterzuladende und bereitzustellende Patches
Hinweis: Sie können GFI LANguard N.S.S. so konfigurieren, dass
nach einem Sicherheits-Scan fehlende Patches und Service Packs
automatisch heruntergeladen und bereitgestellt werden. Weitere
Informationen hierzu erhalten Sie unter „Konfigurieren des
automatischen Patch-Downloads“ im Kapitel „Konfigurieren von GFI
LANguard N.S.S.“.
Sortieren aller anstehenden Software-Aktualisierungen
Über die Optionen-Seite zur Patch-Bereitstellung können Service
Packs und Patches auf zwei Arten sortiert werden:
•
Sort by computers – Fehlende
Zielrechnern gruppiert angezeigt.
•
Sort by patches – Fehlende Patches werden nach dem Namen
der Update-Datei sortiert.
GFI LANguard Network Security Scanner
Patches
werden
nach
11. Patch-Verwaltung: Bereitstellen von Microsoft-Updates • 131
Herunterladen von Patch- und Service Pack-Dateien
Screenshot 118 – Liste herunterzuladender Patches
So starten Sie den Download ausgewählter Patches und Service
Packs:
•
Um einzelne Patches oder Service Packs herunterzuladen, klicken
Sie mit der rechten Maustaste auf die gewünschte Datei, und
wählen Sie im Kontextmenü Download File.
•
Um alle ausgewählten Patches oder Service Packs herunterzuladen, klicken Sie mit der rechten Maustaste auf eine der
Dateien, und wählen Sie im Kontextmenü Download all checked
files.
Überprüfen des Dateistatus in der Download-Warteschlange
Screenshot 119 – Überprüfen des Status der Download-Warteschlange
132 • 11. Patch-Verwaltung: Bereitstellen von Microsoft-Updates
GFI LANguard Network Security Scanner
Die Symbole neben jeder Update-Datei zeigen den aktuellen
Download-Status an. Folgende Statusmeldungen werden angezeigt:
•
Heruntergeladen
•
Noch aktiver Download
•
Update nicht heruntergeladen
Abbrechen laufender Downloads
Screenshot 120 – Abbrechen aktiver Downloads
Um einen laufenden Patch-Download abzubrechen, klicken Sie mit
der rechten Maustaste auf den entsprechenden Patch, und wählen
Sie Cancel Download.
GFI LANguard Network Security Scanner
11. Patch-Verwaltung: Bereitstellen von Microsoft-Updates • 133
Konfigurieren alternativer Bereitstellungsparameter für PatchDateien (optional)
Screenshot 121 – Eigenschaften einer Patch-Datei
Optional können Sie für jeden einzelnen Patch eigene
Bereitstellungsparameter festlegen. Zu diesen Parametern zählen die
Download-URL und der Speicherort der heruntergeladenen Datei. So
ändern Sie die Bereitstellungs- und Download-Einstellungen fehlender
Patches:
1. Klicken Sie mit der rechten Maustaste auf die gewünschte PatchDatei, und wählen Sie im Kontextmenü Properties. Der Eigenschaften-Dialog für die Patch-Datei wird geöffnet.
2. Führen Sie die gewünschten Änderungen durch, und klicken Sie
auf die Schaltfläche OK, um die Einstellungen zu speichern.
134 • 11. Patch-Verwaltung: Bereitstellen von Microsoft-Updates
GFI LANguard Network Security Scanner
Bereitstellen heruntergeladener Patches auf ausgewählten Zielrechnern
Screenshot 122 – Optionen für die Patch-Bereitstellung
Nachdem der Download der benötigten Patch-Dateien abgeschlossen
ist, kann die Bereitstellung auf den Zielrechnern erfolgen. Klicken Sie
hierfür auf die Schaltfläche Start unten rechts auf der Seite zur PatchBereitstellung.
Überwachen der Patch-Bereitstellung
Screenshot 123 – Überwachung der Patch-Bereitstellung
Um die Bereitstellung der Sicherheitsaktualisierungen zu überwachen,
klicken Sie auf den Reiter Deployment Status neben dem Reiter Sort
by patches im oberen Bereich des Fensters.
GFI LANguard Network Security Scanner
11. Patch-Verwaltung: Bereitstellen von Microsoft-Updates • 135
Patch-Rollback: Deinstallieren von bereits bereitgestellten Sicherheitsaktualisierungen
So deinstallieren Sie bereits eingerichtete Patches oder Service Packs
(„Patch-Rollback“):
1. Führen Sie einen Scan aller Computer durch, von denen zuvor
eingerichtete Sicherheitsaktualisierungen entfernt werden sollen.
2. Klicken Sie in der Übersicht der Scan-Ergebnisse mit der rechten
Maustaste auf einen der aufgeführten Computer, und wählen Sie
Uninstall Microsoft updates ` Service packs from [oder Patches
from] ` This computer (diesem Computer) [oder Selected
computers (ausgewählten Computern) oder All computers (allen
Computern)].
Screenshot 124 – Deinstallation eines Patches
3. Wählen Sie alle Patches oder Service Packs aus, die von den
ausgewählten Zielrechnern deinstalliert werden sollen.
Hinweis 1: Für einige Patches oder Service Packs ist ein PatchRollback nicht möglich, da eine Deinstallation die Funktionalität/Stabilität des Systems beeinträchtigen könnte. Sicherheitsaktualisierungen, die sich nicht deinstallieren lassen, stehen nicht zur
Auswahl bereit.
Hinweis 2: Sortieren Sie die aktuell angezeigten Sicherheitsaktualisierungen nach Computern oder Patches, indem Sie auf den
Reiter Sort by computers bzw. Sort by patches klicken.
4. Klicken Sie auf die Schaltfläche Start, um mit der Deinstallation zu
beginnen.
136 • 11. Patch-Verwaltung: Bereitstellen von Microsoft-Updates
GFI LANguard Network Security Scanner
Überwachen der Deinstallation von Sicherheitsaktualisierungen
Um die Deinstallation der Sicherheitsaktualisierungen zu überwachen,
klicken Sie auf den Reiter Uninstallation Status neben dem Reiter
Sort by patches im oberen Bereich des Fensters.
Screenshot 125 – Überwachung der Patch-Deinstallation (Patch-Rollback)
GFI LANguard Network Security Scanner
11. Patch-Verwaltung: Bereitstellen von Microsoft-Updates • 137
138 • 11. Patch-Verwaltung: Bereitstellen von Microsoft-Updates
GFI LANguard Network Security Scanner
12. Patch-Verwaltung: Bereitstellen
eigener Software
Einführung
Zusätzlich zu den von Microsoft verfügbar gemachten Sicherheitsaktualisierungen lassen sich mit GFI LANguard N.S.S. auch eigene
und Drittanbieter-Software per Fernzugriff im gesamten Netzwerk
installieren. Folgende Software kann per Fernzugriff bereitgestellt
werden:
•
Sicherheitslösungen wie komplette Anti-Virus- und Anti-SpywareProdukte, Software-Firewalls u. Ä.
•
Updates und Patches von Drittanbietern (beispielsweise AntiVirus- und Anti-Spyware-Signaturen)
•
Eigener Code wie Skripten und Batch-Dateien
•
Desktop-Anwendungen wie Microsoft Office 2007 u. Ä.
Hinweis: Mit der Testversion von GFI LANguard N.S.S. kann
benutzerdefinierte Software nicht per Stapelverarbeitung bereitgestellt
werden. Weitere Informationen hierzu erhalten Sie im Kapitel
„Produktevaluierung“ in diesem Handbuch.
In diesem Kapitel erfahren Sie, wie Sie:
•
Software angeben, die bereitgestellt werden soll,
•
Zielrechner angeben, auf denen die Software zu installieren ist,
•
Vorgaben zur Bereitstellung definieren und
•
die Bereitstellung von Sicherheitsaktualisierungen starten und
überwachen.
GFI LANguard Network Security Scanner
12. Patch-Verwaltung: Bereitstellen eigener Software • 139
Festlegen der bereitzustellenden Software
Screenshot 126 – Auswahl bereitzustellender Software
So legen Sie fest, welche Software bereitgestellt werden soll:
1. Klicken Sie im linken Fenster der Verwaltungskonsole auf die
Schaltfläche Main, und erweitern die den Knoten Patch Deployment.
2. Klicken Sie auf den Knoten Deploy Custom Software, und klicken
Sie im rechten Fensterbereich im Bereich Software auf die Schaltfläche Add (siehe Screenshot oben).
Screenshot 127 – Angabe bereitzustellender Software
3. Geben Sie den kompletten Pfad der bereitzustellenden Datei/
Software an.
140 • 12. Patch-Verwaltung: Bereitstellen eigener Software
GFI LANguard Network Security Scanner
4. Wählen Sie eine der folgenden Optionen aus, falls die
Bereitstellung mit festgelegten Befehlszeilenparameter erfolgen soll:
•
Parameters normally used for Windows patches – Verwendet
für die Installation von Windows-Patches übliche Parameter.
•
Parameters normally used for Internet Explorer patches –
Verwendet für die Installation von Internet Explorer-Patches
übliche Parameter.
•
Custom – Erlaubt die Festlegung eigener Parameter. Geben Sie
die erforderlichen Parameter im zugehörigen Eingabefeld des
Dialogfelds an.
5. Klicken Sie auf die Schaltfläche Add, um die Einstellungen zu
speichern.
Wiederholen Sie diesen Vorgang für jede Datei/Software, die Sie
bereitstellen möchten. Abschließend sind alle Zielrechner anzugeben,
auf denen die ausgewählten Dateien bereitgestellt werden sollen.
Hinweise hierzu erhalten Sie im nachfolgenden Abschnitt.
Auswählen von Zielrechnern für Software-Bereitstellung
Screenshot 128 – Auswahl der Zielrechner
Geben Sie unter Computer(s) to deploy software on (siehe Screenshot oben) mit Hilfe einer der folgenden Optionen die Zielrechner an,
auf denen die benutzerdefinierte Software bereitgestellt werden soll:
•
Klicken Sie auf die Schaltfläche Add, um die IP-Adresse/den
Namen des/der Zielrechner einzugeben.
•
Klicken Sie auf die Schaltfläche Select, um den/die Zielrechner
aus allen Computern auszuwählen, die aktuell mit Ihrer Domäne
verbunden sind.
•
Klicken Sie auf die Schaltfläche Import, um eine Liste mit Zielrechnern aus einer Textdatei zu importieren.
GFI LANguard Network Security Scanner
12. Patch-Verwaltung: Bereitstellen eigener Software • 141
Bereitstellungsoptionen
Allgemeine Bereitstellungsoptionen
Über die allgemeinen Bereitstellungsoptionen im Bereich Options
unter dem Reiter General können Sie Aktionen und Abläufe
konfigurieren, die vor und nach der Bereitstellung der ausgewählten
Software gestartet werden sollen. Unterstützt werden Aktionen wie die
Benachrichtigung des Benutzers, der am zu aktualisierenden
Computer angemeldet ist, dass neue Software installiert werden soll.
Ebenso kann ein Rechner-Neustart nach der erfolgreichen Bereitstellung veranlasst werden.
Screenshot 129 – Allgemeine Optionen für die Patch-Bereitstellung
Konfigurieren von Aktionen vor der Bereitstellung
Folgende Optionen veranlassen Aktionen unmittelbar vor der
Software-Bereitstellung:
•
Warn users before deployment – Schickt eine Warnmeldung an
den Benutzer des Zielrechners, um auf eine bevorstehende PatchBereitstellung hinzuweisen.
Screenshot 130 – Warnhinweis an Benutzer zu einer bevorstehenden Patch-Installation
Durch einen solchen Warnhinweis haben Anwender die
Möglichkeit, geöffnete Dateien zu sichern und aktive Programme
zu schließen, bevor die Sicherheitsaktualisierungen auf ihrem
Rechner installiert werden.
142 • 12. Patch-Verwaltung: Bereitstellen eigener Software
GFI LANguard Network Security Scanner
•
Wait for user’s approval – Fordert Benutzer des Zielrechners vor
der Bereitstellung einer Patch-Datei zur Freigabe der Installation
auf. Hierdurch kann die Installation so lange verzögert werden, bis
andere ggf. noch aktive Prozesse (z. B. Systemsicherungen)
beendet sind. Dies ist vor allem von Bedeutung, wenn nach der
Installation der Patch-Datei ein Neustart des Rechners erforderlich
ist.
•
Stop services before deployment – Hält einzelne Dienste an,
bevor mit der Installation begonnen wird. Klicken Sie auf die
Schaltfläche Services, um die anzuhaltenden Dienste anzugeben.
Konfigurieren von Aktionen nach der Bereitstellung
Folgende Optionen veranlassen Aktionen unmittelbar nach der
Software-Bereitstellung:
•
Do not reboot/shut down the computer(s) – Legt fest, dass
nach der Installation KEIN per Fernzugriff angewiesener Neustart
der/des Zielrechner(s) durchgeführt werden soll.
•
Reboot the target computers – Führt nach Abschluss der
Installation automatisch einen Neustart des Zielrechners durch.
•
Let the user decide when to reboot – Erlaubt es Benutzern von
Zielrechnern, auf denen Software/Patches installiert wurden, zu
entscheiden, wann ein Rechner-Neustart durchgeführt werden
soll.
Bei dieser Option wird nach Abschluss der Installation dem
Benutzer des Zielrechners automatisch ein Dialog angezeigt, über
den er den Zeitpunkt des Neustarts festlegen kann:
Screenshot 131 – Optionen für Aktionen nach Patch-Bereitstellung: Festlegung des RechnerNeustarts durch Benutzer
Über diesen Dialog müssen Anwender eine der folgenden
Neustart-Optionen auswählen:
1. Restart Now – Führt einen sofortigen Neustart durch.
2. Remind me in [X] Minutes – Erinnert Anwender in regelmäßigen
Abständen (in Minuten), einen Neustart durchzuführen.
3. Restart on [date] at [time] – Führt einen Neustart des
Zielrechners zu einem vom Anwender festgelegten Zeitpunkt
durch.
4. Don’t bother me again – Fordert nicht weiter zum Neustart auf.
GFI LANguard Network Security Scanner
12. Patch-Verwaltung: Bereitstellen eigener Software • 143
5. Shutdown the target computer(s) – Fährt Zielrechner nach der
Installation herunter.
•
Delete copied files on the remote computers after deployment
– Löscht nach einer erfolgreichen Installation die Quell/Installationsdatei vom Zielrechner.
•
Computer filters – Klicken Sie auf die Schaltfläche Computer
filters, um einzelne Filterbedingungen für Zielrechner zu konfigurieren. Beispielsweise kann die Installation auf Computer mit
Windows XP beschränkt werden.
Konfigurieren von erweiterten Bereitstellungsaktionen
Screenshot 132 – Erweiterte Optionen für die Patch-Bereitstellung
Über den Reiter Advanced können folgende erweiterte Bereitstellungsoptionen konfiguriert werden:
•
Anzahl der zu verwendenden Bereitstellungs-Threads
•
Installations-Timeout
•
Authentifizierungsdaten
Bereitstellung
für
144 • 12. Patch-Verwaltung: Bereitstellen eigener Software
den
Agenten
zur
Software-
GFI LANguard Network Security Scanner
Beginnen der Software-Bereitstellung
Screenshot 133 – Einstellungsoptionen zur Software-Bereitstellung
Nachdem alle erforderlichen Parameter angegeben wurden, kann die
Bereitstellung der Software wie folgt durchgeführt werden:
1. Starten Sie die Bereitstellung per Mausklick auf die Schaltfläche
Start.
2. Lassen Sie die Software zu einem bestimmten Zeitpunkt
bereitstellen. Wählen Sie hierfür auf die Option Deploy on, und
legen Sie Datum und Uhrzeit der Bereitstellung fest. Klicken Sie
abschließend auf die Schaltfläche Start.
GFI LANguard Network Security Scanner
12. Patch-Verwaltung: Bereitstellen eigener Software • 145
146 • 12. Patch-Verwaltung: Bereitstellen eigener Software
GFI LANguard Network Security Scanner
13. Vergleichen von Scan-Ergebnissen
Einführung
Das im Lieferumfang von GFI LANguard N.S.S. enthaltene Tool zum
Ergebnisvergleich erlaubt neben dem Erstellen einer Liste aller im
Netzwerk gefundenen Änderungen auch die Gegenüberstellung
gespeicherter Scan-Ergebnisse.
In diesem Kapitel erhalten Sie Informationen, wie Sie:
•
festlegen, welche Änderungen bei Scan-Ergebnissen angezeigt
werden,
•
einen Bericht zum Ergebnisvergleich manuell erstellen,
•
einen Bericht zum Ergebnisvergleich automatisch erstellen und
•
Ergebnisse eines Vergleichsberichts analysieren.
Festlegen der bei Scan-Ergebnissen anzuzeigenden Änderungen
Das Tool zum Ergebnisvergleich kann Daten unterschiedlichster Art in
einem Vergleichsbericht zu zwei Scans ausgeben. So bestimmen Sie,
welche Änderungen in einem Vergleichsbereicht angezeigt werden
sollen:
1. Klicken Sie auf die Schaltfläche Main und dann auf den Knoten
Security Scanner ` Result comparison.
Screenshot 134 – Optionen für Daten eines Vergleichsberichts
2. Klicken Sie im rechten Fenster auf die Schaltfläche Options, und
wählen Sie aus, welche der folgenden Elemente anzuzeigen sind:
GFI LANguard Network Security Scanner
13. Vergleichen von Scan-Ergebnissen • 147
•
New items – Führt alle seit dem letzten Scan neu identifizierten
Sicherheitsgefahren auf.
•
Removed items – Führt entfernte Elemente auf, d. h. im Vergleich
zum vorherigen/vergangenen Scan-Ergebnis nicht länger
identifizierbare Elemente (z. B. installierte Anwendungen) und
Komponenten/Geräte (z. B. Netzwerk-Karten, USB-Hardware,
WLAN-Hardware u. v. m.).
•
Changed items – Führt alle geänderten Elemente auf. Elemente,
bei denen zwischen zwei Scans Änderungen vorgenommen
wurden, z. B. Dienst-Aktivierung/Deaktivierung, werden angezeigt.
•
Show vulnerability changes – Führt alle Änderungen bei
Schwachstellen auf.
•
Show only hot-fix changes – Zeigt alle seit dem vorherigen Scan
installierten und fehlenden Patches an.
Erstellen eines Vergleichsberichts
Screenshot 135 – Vergleich von Scan-Ergebnissen
So erstellen Sie einen Vergleichsbericht zu Scan-Ergebnissen:
1. Klicken Sie auf die Schaltfläche Main und dann auf den Knoten
Security Scanner ` Result comparison.
2. Klicken Sie auf die Schaltflächen zur Dateisuche , um die Dateien
mit Scan-Ergebnissen auszuwählen, die miteinander verglichen
werden sollen.
Hinweis: Ergebnisse lassen sich nur vergleichen, wenn sie dasselbe
Dateiformat besitzen, d. h. ein direkter Vergleich einer XML-Datei mit
einer Datenbank-Datei ist nicht möglich.
3. Klicken Sie auf die Schaltfläche Compare, um den Ergebnisvergleich zu starten.
148 • 13. Vergleichen von Scan-Ergebnissen
GFI LANguard Network Security Scanner
Überprüfen des Vergleichsberichts
Screenshot 136 – Vergleichsbericht
Nach Abschluss des Vergleichs wird der Vergleichsbericht im rechten
Fenster der Verwaltungskonsole angezeigt.
GFI LANguard Network Security Scanner
13. Vergleichen von Scan-Ergebnissen • 149
150 • 13. Vergleichen von Scan-Ergebnissen
GFI LANguard Network Security Scanner
14. GFI LANguard N.S.S. StatusMonitor
Einführung
Mit Hilfe des Status-Monitors wird der Zustand unterschiedlicher
Prozesse, ob aktiv oder anstehend, grafisch angezeigt (beispielsweise
der Patch-Download).
Screenshot 137 – Status-Monitor-Symbol in der Systemablage von Windows
Der Status-Monitor wird automatisch in der Systemablage von
Windows gestartet, wenn die
Verwaltungsoberfläche
von
GFI LANguard N.S.S. aufgerufen wird.
Hinweis: Der Status-Monitor kann auch ohne Aufruf der
Verwaltungsoberfläche von GFI LANguard N.S.S. geöffnet werden.
Gehen Sie hierfür auf Start ` Programme ` GFI LANguard Network
Security Scanner 8.0 ` LNSS Status Monitor.
In diesem Kapitel erfahren Sie, welche verschiedenen Anzeigemöglichkeiten der Status-Monitor bietet:
• Gefährdungsgrad des gesamten Netzwerks
• Status aktiver Scans nach Zeitplan
• Bereitstellung von Sicherheitsaktualisierungen nach Zeitplan
• Warteschlange für den automatischen Patch-Download
GFI LANguard Network Security Scanner
14. GFI LANguard N.S.S. Status-Monitor • 151
Anzeigen des Gefährdungsgrads des gesamten Netzwerks
Screenshot 138 – Status-Monitor: Reiter zum Gefährdungsgrad des gesamten Netzwerks
Der Reiter Global security threat level liefert eine übersichtliche
Zusammenfassung der während eines Scans gesammelten Sicherheitsdaten. In kompakter Form können Sie den aktuellen
Gefährdungsgrad des Netzwerks, die fünf sicherheitsanfälligsten
Computer und die Anzahl der Computer in der Datenbank überprüfen.
Zudem werden alle Computer, auf denen Sicherheitslücken festgestellt werden konnten, in unterschiedliche Gefahrenkategorien
aufgeschlüsselt.
Hinweis 1: Die über den Reiter Global security threat level
angezeigten Daten werden von GFI LANguard N.S.S. auf Grundlage
vorheriger Scans dynamisch angepasst.
So zeigen Sie den Gefährdungsgrad des gesamten Netzwerks an:
1. Öffnen Sie den Status-Monitor mit einem rechten Mausklick auf das
Symbol
in der Windows-Systemablage, und wählen Sie im
Kontextmenü Status.
2. Klicken Sie auf den Reiter Global security threat level.
152 • 14. GFI LANguard N.S.S. Status-Monitor
GFI LANguard Network Security Scanner
Anzeigen des Verlaufs von Sicherheits-Scans nach Zeitplan
Scans nach Zeitplan werden zu einem bestimmten Zeitpunkt durchgeführt, den Sie festlegen können. Über den Reiter Active scheduled
scans im Status-Monitor lassen sich geplante Scans überwachen,
aktive Scans beenden oder Informationen zu abgeschlossenen Scans
löschen.
Screenshot 139 – Status-Monitor: Reiter zu aktiven Scans nach Zeitplan
So rufen Sie auf, welche Scans nach Zeitplan aktuell durchgeführt
werden:
1. Öffnen Sie den Status-Monitor mit einem rechten Mausklick auf das
Symbol
in der Windows-Systemablage, und wählen Sie im
Kontextmenü Status.
2. Klicken Sie auf den Reiter Active scheduled scans.
3. Falls erforderlich, starten Sie einen der folgenden Vorgänge:
1. Um einen aktuell durchgeführten Scan abzubrechen, klicken Sie
auf die Schaltfläche Stop Selected Scans.
2. Um Informationen zu beendeten Scans zu entfernen, klicken Sie
auf die Schaltfläche Remove finished scans.
Hinweis: Über den Reiter Active scheduled scans können nur
aktuell aktive geplante Scans angezeigt und abgebrochen werden.
Um zu kontrollieren, welche weiteren Scans nach Zeitplan noch nicht
gestartet wurden und um diese zu löschen, öffnen Sie die
Verwaltungskonsole, und gehen Sie auf Configuration ` Scheduled
Scans.
Anzeigen des Verlaufs von Software-Bereitstellungen nach Zeitplan
Bereitstellungen von Patches oder Service Packs nach Zeitplan
werden zu einem von Ihnen festlegbaren Zeitpunkt durchgeführt.
Dank dieser Funktion können Sicherheitsaktualisierungen dann
erfolgen, wenn Benutzer nicht unmittelbar während ihrer Arbeitszeit
davon betroffen sind.
GFI LANguard Network Security Scanner
14. GFI LANguard N.S.S. Status-Monitor • 153
Über den Reiter Scheduled deployments im Status-Monitor lassen
sich Patch- und Service-Pack-Bereitstellungen nach Zeitplan
kontrollieren, abbrechen oder Informationen zu abgeschlossenen
Bereitstellungen löschen.
Screenshot 140 – Status-Monitor: Software-Bereitstellungen nach Zeitplan
So rufen Sie auf, welche geplanten Software-Bereitstellungen aktuell
durchgeführt werden:
1. Öffnen Sie den Status-Monitor mit einem rechten Mausklick auf das
Symbol
in der Windows-Systemablage, und wählen Sie im
Kontextmenü Status.
2. Klicken Sie auf den Reiter Scheduled deployments.
3. Falls erforderlich, starten Sie einen der folgenden Vorgänge:
•
Um einen aktuell durchgeführten Scan abzubrechen, klicken
Sie auf die Schaltfläche Stop selected deployment.
•
Um Angaben zu beendeten Bereitstellungen zu entfernen,
klicken Sie auf die Schaltfläche Remove finished
deployments.
154 • 14. GFI LANguard N.S.S. Status-Monitor
GFI LANguard Network Security Scanner
Anzeigen der Warteschlange für automatische Downloads
Screenshot 141 – Status-Monitor: Reiter zur Kontrolle automatischer Downloads
So zeigen Sie die Warteschlange für automatische Downloads an:
1. Öffnen Sie den Status-Monitor mit einem rechten Mausklick auf das
Symbol
in der Windows-Systemablage, und wählen Sie im
Kontextmenü Status.
2. Klicken Sie auf den Reiter Autodownload queue.
3. Falls erforderlich, starten Sie einen der folgenden Vorgänge:
• Um alle laufenden Downloads anzuhalten, klicken Sie auf die
Schaltfläche Pause All.
• Um einen laufenden Download abzubrechen, klicken Sie auf die
Schaltfläche Cancel Selected Downloads.
• Ändern Sie die Priorität eines Downloads über das Drop-DownFeld Set Priority.
GFI LANguard Network Security Scanner
14. GFI LANguard N.S.S. Status-Monitor • 155
156 • 14. GFI LANguard N.S.S. Status-Monitor
GFI LANguard Network Security Scanner
15. Werkzeuge
Einführung
In diesem Kapitel erfahren Sie, wie Sie mit den über GFI LANguard
N.S.S.
aufrufbaren
Netzwerk-Tools
häufig
auftretende
Netzwerkprobleme beheben und Ihr Netzwerk leichter administrieren
können.
Klicken Sie auf die Schaltfläche Tools, um Zugriff auf die folgenden
standardmäßigen Netzwerk-Tools zu erhalten:
•
DNS-Lookup
•
Traceroute
•
Whois
•
Enumerate Computers (Auflistung von Rechnern)
•
Enumerate Users (Auflistung von Usern).
•
SNMP-Audit
•
SNMP-Walk
•
SQL Server-Audit
DNS-Lookup
Klicken Sie auf die Schaltfläche Tools, und gehen Sie auf den Knoten
Tools ` DNS Lookup. Hierüber lassen sich Domänennamen in ihre
IP-Adresse auflösen und einzelne Informationen zur Zieldomäne
abrufen (z. B. MX-Eintrag u. ä.).
Screenshot 142 – DNS Lookup
GFI LANguard Network Security Scanner
15. Werkzeuge • 157
So führen Sie die Auflösung eines Domänen-/Host-Namens durch:
1. Klicken Sie auf die Schaltfläche Tools, und gehen Sie auf den
Knoten Tools ` DNS lookup.
2. Geben Sie den Host-Namen an, der aufgelöst werden soll.
3. Geben Sie an, welche Informationen abgerufen werden sollen:
•
Basic Information – Ruft den Host-Namen und die zugehörige IPAdresse ab.
•
Host Information – Ruft HINFO-Angaben (Host-Informationen)
ab. Hierzu zählen üblicherweise Daten zum Zielrechner wie
Hardware-Spezifikationen und Betriebssystemdetails.
Hinweis: Bei den meisten DNS-Einträgen sind
Informationen aus Sicherheitsgründen nicht enthalten.
diese
•
Aliases – Ruft Informationen zu den „A-Einträgen“ der Zieldomäne
ab.
•
MX Records – Listet alle E-Mail-Server auf und die Reihenfolge
(d. h. Priorität), in der sie E-Mails für die Zieldomäne empfangen
und verarbeiten.
•
NS Records – Listet alle für eine Domäne oder Unterdomäne
zuständigen Nameserver auf.
4. Falls erforderlich, geben Sie einen alternativen DNS-Server für den
DNS-Lookup ein, oder lassen Sie den standardmäßigen DNS-Server
unverändert.
5. Klicken Sie auf die Schaltfläche Retrieve, um den Abruf zu starten.
Traceroute
Screenshot 143 - Traceroute
Klicken Sie auf die Schaltfläche Tools, und gehen Sie auf den Knoten
Tools ` Traceroute. Hierüber lässt sich der Pfad verfolgen, über den
GFI LANguard N.S.S. einen Zielrechner erreicht hat. So setzen Sie
dieses Tool ein:
•
158 • 15. Werkzeuge
Geben Sie in der Drop-Down-Liste Trace (domain/IP/name) den
zu kontrollierenden Namen, die IP-Adresse oder Domäne an.
GFI LANguard Network Security Scanner
•
Klicken Sie auf die Schaltfläche Traceroute, um die Kontrolle zu
starten.
Traceroute ermittelt, auf welchem Weg ein Zielrechner erreicht wird,
und zeigt die hierfür passierten Hops an. Ein Hop ist eine Zwischenstation bei der Übermittlung und steht für einen Computer/Router,
über den die Anfrage weitergeleitet wird. Bei diesem Tool wird für
jeden Hop die IP-Adresse des passierten Computers angegeben, die
Häufigkeit der Weiterleitung über einen Computer und die
verstrichene Zeit, bis der jeweilige Computer erreicht wurde. Neben
jedem Hop ist zudem ein Symbol abgebildet. Es informiert über den
Status des Hops. Folgende Symbole werden verwendet:
•
Zeigt an, dass ein Hop innerhalb normaler Parameter
erfolgreich war.
•
Zeigt einen erfolgreichen Hop mit relativ langer Antwortzeit an.
•
Zeigt einen erfolgreichen Hop mit zu langer Antwortzeit an.
•
Zeigt einen Hop an, bei dem eine Zeitüberschreitung
aufgetreten ist (> 1000 ms).
Whois
Screenshot 144 – Whois-Tool
Klicken Sie auf die Schaltfläche Tools, und gehen Sie auf den Knoten
Tools ` Whois Client. Hierüber lassen sich Informationen zu einer
Domäne oder IP-Adresse abrufen.
Wählen Sie im rechten Bereich der Verwaltungskonsole den für die
Abfrage bevorzugten Whois-Server aus, oder behalten Sie die
Standardeinstellung bei, damit der Server automatisch für Sie
ausgewählt wird.
Um Informationen zu einer bestimmten Domäne oder IP-Adresse
abzurufen, geben Sie die Domäne/IP-Adresse oder den Host-Namen
in der Drop-Down-Liste Query (domain/IP/name) an. Klicken Sie
dann auf die Schaltfläche Retrieve.
GFI LANguard Network Security Scanner
15. Werkzeuge • 159
Enumerate Computers (Auflistung von Rechnern)
Screenshot 145 – Tool zum Auflisten von Computern
Klicken Sie auf die Schaltfläche Tools, und gehen Sie auf den Knoten
Tools ` Enumerate Computers. Hierüber lassen sich Domänen und
Arbeitsgruppen in einem Netzwerk identifizieren. Während der
Kontrolle werden die jeder Domäne/Arbeitsgruppe zugehörigen
Computer aufgeführt. Folgende Daten werden über dieses Tool
abgerufen: Name der Domäne/Arbeitsgruppe, Liste der zur jeweiligen
Domäne/Arbeitsgruppe gehörenden Computer, das auf den identifizierten Computern installierte Betriebssystem sowie sonstige Daten,
die sich über NetBIOS abrufen lassen.
Computer lassen sich mit Hilfe folgender Methoden auflisten:
•
Über Active Directory – Diese Methode ist schneller und führt
Rechner auf, die zum Zeitpunkt des Scans ausgeschaltet sind.
•
Über den Windows Explorer – Bei dieser Methode werden
Rechner im Rahmen eines Echtzeit-Scans des Netzwerks
ermittelt. Sie ist zeitaufwendiger und erfasst keine Computer, die
zum Zeitpunkt des Scans ausgeschaltet sind.
Über den Reiter Information Source des Tools lässt sich die
bevorzugte Identifizierungsmethode auswählen.
Hinweis: Für einen Active Directory-Scan muss das Tool und somit
GFI LANguard N.S.S. unter einem Konto mit AD-Zugriffsrechten
laufen.
Starten eines Sicherheits-Scans
Das Tool zur Auflistung von Computern scannt das gesamte Netzwerk
und erkennt Domänen/Arbeitsgruppen samt der darin verzeichneten
Computer. Nachdem alle Rechner einer Domäne oder Arbeitsgruppe
ermittelt wurden, können sie direkt mit diesem Tool einem SicherheitsScan unterzogen werden. Klicken Sie hierfür mit der rechten
Maustaste auf einen der gelisteten Computer, und wählen Sie im
Kontextmenü den Befehl Scan aus.
Sie haben auch die Möglichkeit, einen Sicherheits-Scan zu starten
und gleichzeitig das Tool zum Auflisten von Computern einzusetzen.
160 • 15. Werkzeuge
GFI LANguard Network Security Scanner
Klicken Sie hierfür mit der rechten Maustaste auf einen der gelisteten
Rechner, und wählen Sie im Kontextmenü den Befehl Scan in
background aus.
Bereitstellen eigener Patches
Das Tool zum Auflisten von Computern kann verwendet werden, um
benutzerdefinierte Patches und Dritthersteller-Software auf den
aufgeführten Computern bereitzustellen. So starten Sie die Bereitstellung direkt über dieses Tool:
1. Wählen Sie alle Computer aus, für die Patches oder andere
Software bereitgestellt werden sollen.
2. Klicken Sie mit der rechten Maustaste auf einen der ausgewählten
Computer, und wählen Sie im Kontextmenü den Befehl Deploy
Custom Patches.
Aktivieren von Audit-Richtlinien
Mit dem Tool zum Auflisten von Computern lassen sich Audit-Richtlinien auf einzelnen Rechnern konfigurieren. So führen Sie die
Konfiguration durch:
1. Wählen Sie die Computer aus, auf denen Audit-Richtlinien aktiviert
werden sollen.
2. Klicken Sie mit der rechten Maustaste auf einen der ausgewählten
Computer, und wählen Sie im Kontextmenü den Befehl Enable
Auditing Policies. Der Konfigurations-Assistent für Audit-Richtlinien
wird gestartet und hilft Ihnen bei der Konfigurierung. Weitere
Informationen zur Fern-Konfigurierung von Audit-Richtlinien auf
einzelnen Zielrechnern erhalten Sie im Kapitel „Erste Schritte:
Durchführen eines Sicherheits-Audits“.
GFI LANguard Network Security Scanner
15. Werkzeuge • 161
Enumerate Users (Auflistung von Anwendern)
Screenshot 146 – Auflistung von Anwendern
Klicken Sie auf die Schaltfläche Tools, und gehen Sie auf den Knoten
Tools ` Enumerate Users. Hierüber lässt sich ein Scan des Active
Directory einer Domäne durchführen, um eine Liste aller darin
verzeichneten Benutzer und Kontakte abzurufen.
Wählen Sie aus der Liste der Domänen Ihres Netzwerks den
gewünschten Domänennamen aus, und klicken Sie auf die Schaltfläche Retrieve. Die abzurufenden Informationen können gefiltert
werden, damit nur Anwender oder Kontaktdaten angezeigt werden.
Zudem können mit Hilfe dieses Tools deaktivierte („Disabled
accounts“) oder gesperrte Konten („Locked accounts“) optional
hervorgehoben werden. Die Einstellungen sind auf der rechten Seite
im Bereich Options unter dem Reiter General vorzunehmen.
Jedes aufgeführte Benutzerkonto kann mit Hilfe dieses Tools aktiviert
oder deaktiviert werden. Klicken Sie hierfür mit der rechten Maustaste
auf das gewünschte Konto, und wählen Sie Enable account bzw.
Disable account.
162 • 15. Werkzeuge
GFI LANguard Network Security Scanner
SNMP Audit
Screenshot 147 – SNMP-Audit
Klicken Sie auf die Schaltfläche Tools, und gehen Sie auf den Knoten
Tools ` SNMP Audit . Hierüber können Sie SNMP-Audits für Ziele im
Netzwerk durchführen und unsichere Community-Strings ermitteln.
Das Tool identifiziert unsichere SNMP Community-Strings, indem mit
der Wörterbuch-Datei snmp-pass.txt ein Angriff gestartet wird. Mit
Hilfe eines Text-Editors wie Notepad kann die standardmäßige
Wörterbuch-Datei auch um neue Community-Strings erweitert werden.
Das Tool für SNMP-Audits kann zur Kontrolle zudem auf andere
Wörterbuch-Dateien als die vorgegebene zugreifen. Geben Sie hierfür
über den Bereich Options rechts in der Verwaltungskonsole den Pfad
zur gewünschten Datei an.
So führen Sie ein SNMP-Audit durch:
1. Klicken Sie auf die Schaltfläche Tools, und gehen Sie auf den
Knoten Tools ` SNMP Audit.
2. Geben Sie die IP-Adresse des Rechners ein, der überprüft werden
soll.
3. Klicken Sie auf die Schaltfläche Retrieve, um den Abruf zu starten.
GFI LANguard Network Security Scanner
15. Werkzeuge • 163
SNMP Walk
Screenshot 148 – SNMP-Walk
Klicken Sie auf die Schaltfläche Tools, und gehen Sie auf den Knoten
Tools ` SNMP Walk. Hierüber können Sie Netzwerk-Knoten
kontrollieren und SNMP-Informationen abrufen (z. B. Object Identifier,
OIDs). So starten Sie den SNMP-Walk, um einen Zielrechner zu
kontrollieren:
1. Klicken Sie auf die Schaltfläche Tools, und gehen Sie auf den
Knoten Tools ` SNMP Walk.
2. Geben Sie die IP-Adresse des Computers an, den Sie auf SNMPInformationen überprüfen wollen.
3. Klicken Sie auf die Schaltfläche Retrieve, um den Abruf zu starten.
Hinweis 1: SNMP-Prozesse werden oftmals bereits vom Router/der
Firewall blockiert, sodass Internet-Benutzer keinen SNMP-Scan Ihres
Netzwerks durchführen können.
Hinweis 2: Sie haben die Möglichkeit, alternative Community-Strings
bereitzustellen.
Hinweis 3: Die über SNMP abrufbaren Informationen können von
böswilligen Anwendern für einen Angriff auf Ihr System verwendet
werden. SNMP sollte stets deaktiviert sein, es sei denn, dieser Dienst
wird unbedingt benötigt.
Microsoft SQL Server-Audit
Klicken Sie auf die Schaltfläche Tools, und gehen Sie auf den Knoten
Tools ` Microsoft SQL Server Audit. Hierüber können Sie ein
Sicherheits-Audit für eine Microsoft SQL Server-Installation
durchführen. Eine Kontrolle der Passwortsicherheit ist sowohl für das
SA-Konto (d. h. den Root-Administrator) als auch alle anderen auf
dem SQL-Server konfigurierten Benutzerkonten möglich. Standardmäßig werden bei dem Kontrollangriff auf die Konten des SQLServers die in der Wörterbuch-Datei passwords.txt enthaltenen
Zugangsdaten eingesetzt. Das Tool für SQL Server-Audits kann zur
Kontrolle zudem auf andere Wörterbuch-Dateien als die vorgegebene
164 • 15. Werkzeuge
GFI LANguard Network Security Scanner
zugreifen. Die standardmäßige Wörterbuch-Datei lässt sich durch
Hinzufügen neuer Passwörter erweitern.
So führen Sie ein SQL Server-Audit durch:
1. Klicken Sie auf die Schaltfläche Tools, und gehen Sie auf den
Knoten Tools ` SQL Server Audit.
2. Geben Sie die IP-Adresse des SQL-Servers ein, der überprüft
werden soll.
Hinweis: Standardmäßig wird die Sicherheit des Administrator/SAKontos getestet. Sollen auch alle anderen SQL-Benutzerkonten
überprüft werden, wählen Sie die Option Audit all SQL user
accounts, und geben Sie die jeweiligen SQL-Zugangsdaten ein.
Diese Daten sind für die Authentifizierung am Server erforderlich,
wenn die Liste der Benutzerkonten abgerufen wird.
3. Klicken Sie auf die Schaltfläche Retrieve, um den Abruf zu starten.
GFI LANguard Network Security Scanner
15. Werkzeuge • 165
166 • 15. Werkzeuge
GFI LANguard Network Security Scanner
16. Verwenden von GFI LANguard
N.S.S. per Befehlszeile
Einführung
In diesem Kapitel erfahren Sie, wie die beiden Befehlszeilen-Tools
lnsscmd.exe und deploycmd.exe von GFI LANguard N.S.S.
eingesetzt werden können. Mit diesen Tools können SicherheitsScans und Patch-Bereitstellung ohne Aufruf der Verwaltungskonsole
direkt per Befehlszeile starten.
Nachfolgend erhalten Sie eine Übersicht über alle unterstützten
Befehlszeilen-Switches und entsprechende Funktionsbeschreibungen.
Verwenden des Befehlszeilen-Tools lnsscmd.exe für NetzwerkScans
Mit dem Tool lnsscmd.exe können Sicherheits-Scans von
Zielrechnern im Netzwerk direkt über die Befehlszeile, aus
Dritthersteller-Anwendungen heraus oder über Batch-Dateien und
Skripten gestartet werden. Folgende Switches werden von diesem
Befehlszeilen-Tool unterstützt:
lnsscmd [Target] [/profile=profileName] [/report=reportPath]
[/output=pathToXmlFile] [/user=usrname /password=password]
[/UseComputerProfiles] [/email=emailAddress]
[/DontShowStatus] [/?]
Switches:
•
Target – Geben Sie die IP/den IP-Bereich oder die Namen der zu
scannenden Hosts an.
•
/Profile – (Optional) Geben Sie das für einen Sicherheits-Scan zu
verwendende Scan-Profil an. Bei Nichtangabe dieses Parameters
wird das in GFI LANguard N.S.S. aktuell aktive Scan-Profil
eingesetzt.
Hinweis: Das standardmäßige (d. h. aktive) Scan-Profil wird in der
Verwaltungskonsole über den Hinweis „(Active)“ neben dem
Profilnamen angezeigt. Klicken Sie zur Kontrolle des aktiven ScanProfils auf den Knoten Configuration ` Scanning Profiles.
•
/Output – (Optional) Geben Sie den vollständigen Pfad zur XMLDatei (mit Dateiname) an, in der die Scan-Ergebnisse gespeichert
werden sollen.
•
/Report – (Optional) Geben Sie den vollständigen Pfad zur HTMLDatei (mit Dateiname) an, in der die Scan-Ergebnisse des HTMLBerichts ausgegeben/gespeichert werden sollen.
•
/User und /Password – (Optional) Geben Sie alternative
Zugangsdaten an, die während eines Sicherheits-Scans von der
GFI LANguard Network Security Scanner
16. Verwenden von GFI LANguard N.S.S. per Befehlszeile • 167
Scan-Engine zur Authentifizierung am Zielrechner verwendet
werden
sollen.
Alternativ
können
Sie
den
Switch
/UseComputerProfiles nutzen, um die bereits in den ComputerProfilen (über den Knoten Configuration ` Computer Profiles)
konfigurierten Zugangsdaten zu verwenden.
•
/Email – (Optional) Geben Sie die E-Mail-Adresse an, an die nach
Beendigung des Scans die Scan-Berichte geschickt werden
sollen. Die Berichte werden mit Hilfe des in der Verwaltungskonsole über den Knoten Configuration ` Alerting Options
festgelegten E-Mail-Servers verschickt.
•
/DontShowStatus – (Optional) Verwenden Sie diesen Switch, um
Scans im Hintergrund durchführen zu lassen. Der Scan-Fortschritt
wird hierbei nicht angezeigt.
•
/? – (Optional) Mit diesem Switch lassen Sie die Benutzerhilfe des
Befehlszeilen-Tools anzeigen.
Hinweis: Vollständige Profilnamen und Pfade müssen immer in
doppelten Anführungsstrichen stehen, z. B. "Default" oder
"c:\temp\test.xml".
Beim Befehlszeilen-Tool können mit Hilfe einzelner Variablen
bestimmte Parameter festgelegt werden. Diese Variablen werden bei
der Ausführung automatisch durch den entsprechenden Wert ersetzt.
Folgende Variablen werden unterstützt:
•
%INSTALLDIR% – Wird während des Scan-Vorgangs durch den
Pfad zum Installationsverzeichnis von GFI LANguard N.S.S.
ersetzt.
•
%TARGET% – Wird während des Scan-Vorgangs durch den
Namen des Zielrechners ersetzt.
•
%SCANDATE% – Wird während des Scan-Vorgangs durch das
Scan-Datum ersetzt.
•
%SCANTIME% – Wird während des Scan-Vorgangs durch die
Scan-Uhrzeit ersetzt.
Beispiel: Starten eines Zielrechner-Scans per Befehlszeilen-Tool
Für folgendes Beispiel wird ein Scan mit folgenden Parametern
angenommen:
1. Der Sicherheits-Scan ist für einen Zielrechner mit der IP-Adresse
130.16.130.1 durchzuführen.
2. Die Scan-Ergebnisse sind in der XML-Datei c:\out.xml zu
protokollieren.
3. Es soll ein HTML-Bericht erstellt und in der Datei c:\result.html
gespeichert werden.
4. Der HTML-Bericht ist per E-Mail an [email protected] zu schicken.
Die über das Befehlszeilen-Tool zu erteilende Anweisung lautet somit:
lnsscmd.exe 130.16.130.1 /Profile="Default" /Output="c:\out.xml"
/Report="c:\result.html" /email="[email protected]"
168 • 16. Verwenden von GFI LANguard N.S.S. per Befehlszeile
GFI LANguard Network Security Scanner
Verwenden des Befehlszeilen-Tools deploycmd.exe zur PatchBereitstellung
Mit dem Tool deploycmd.exe kann die Bereitstellung von MicrosoftPatches und Dritthersteller-Software auf Remote-Rechnern direkt über
die Befehlszeile, Dritthersteller-Anwendungen, Batch-Dateien oder
Skripten erfolgen. Folgende Switches werden von diesem Befehlszeilen-Tool unterstützt:
deploycmd [target] [/file=FileName] [/username=UserName
/password=Password]
[/UseComputerProfiles]
[/warnuser]
[/useraproval] [/stopservices] [/customshare=CustomShareName]
[/reboot]
[/rebootuserdecides]
[/shutdown]
[/deletefiles]
[/timeout=Timeout(sec)] [/?]
Switches:
•
Target – Geben Sie die Namen, IP-Adressen oder den IP-Bereich
der Zielrechner an, auf denen Patches bereitgestellt werden
sollen.
•
/File – Geben Sie die Datei an, die auf den angegebenen
Zielrechnern installiert werden soll.
•
/User und /Password – (Optional) Geben Sie alternative
Zugangsdaten an, die während der Patch-Bereitstellung von der
Scan-Engine zur Authentifizierung am Zielrechner verwendet
werden
sollen.
Alternativ
können
Sie
den
Switch
/UseComputerProfiles nutzen, um die bereits in den ComputerProfilen (über den Knoten Configuration ` Computer Profiles)
konfigurierten Zugangsdaten zu verwenden.
•
/warnuser – (Optional) Verwenden Sie diesen Switch, wenn
Benutzer des Zielrechners informiert werden sollen, dass die
Installation einer Datei/eines Patches bevorsteht. Die Benachrichtigung erfolgt über die Einblendung eines Dialogfensters
unmittelbar vor der Installation.
•
/useraproval – (Optional) Verwenden Sie diesen Switch, wenn die
Installation einer Datei/eines Patches erst nach erfolgreicher
Zustimmung durch den Benutzer des Zielrechners erfolgen soll.
Die hierdurch mögliche zeitliche Verschiebung erlaubt es, dass auf
dem Zielrechner aktive Prozesse zunächst beendet werden
können.
•
/stopservice – (Optional) Verwenden Sie diesen Switch, wenn vor
der Installation der Datei/des Switches bestimmte Dienste auf dem
Zielrechner angehalten werden sollen.
Hinweis: Alle Dienste, die über das Befehlszeilen-Tool angehalten
werden können, müssen zuvor über die Verwaltungskonsole
festgelegt worden sein. Weitere Informationen zur Angabe von zu
beendenden Diensten erhalten Sie im Kapitel „Patch-Verwaltung:
Bereitstellen eigener Software“ unter „Bereitstellungsoptionen“.
•
/customshare – (Optional) Verwenden Sie diesen Switch, um das
Zielverzeichnis anzugeben, in das die Datei vor der Installation
verschoben werden soll.
•
/reboot – (Optional) Verwenden Sie diesen Switch, wenn der
Zielrechner nach der Installation einer Datei/eines Patches neu
gestartet werden soll.
GFI LANguard Network Security Scanner
16. Verwenden von GFI LANguard N.S.S. per Befehlszeile • 169
•
/rebootuserdecides – (Optional) Verwenden Sie diesen Switch,
wenn der Benutzer des Zielrechners festlegen können soll, wann
sein Rechner nach der Patch-Installation neu zu starten ist.
•
/shutdown – (Optional) Verwenden Sie diesen Switch, wenn der
Zielrechner nach der Installation einer Datei/eines Patches
heruntergefahren werden soll.
•
/deletefiles – (Optional) Verwenden Sie diesen Switch, wenn die
Quelldatei nach der erfolgreichen Installation gelöscht werden soll.
•
/timeout – (Optional) Verwenden Sie diesen Switch, um ein
Timeout für den Installationsprozess festzulegen. Dieser Wert legt
fest, wie viel Zeit der Installationsprozess in Anspruch nehmen
darf, bevor er wegen Zeitüberschreitung abgebrochen wird.
•
/? – (Optional) Mit diesem Switch lassen Sie die Benutzerhilfe des
Befehlszeilen-Tools anzeigen.
Beispiel: Starten der Patch-Bereitstellung per Befehlszeilen-Tool
Für folgendes Beispiel wird eine Patch-Bereitstellung mit folgenden
Parametern angenommen:
1. Es soll eine Datei mit dem Namen „patchA001002.XXX“
bereitgestellt werden.
2. Die Bereitstellung soll auf dem Zielrechner „TMjason“ erfolgen.
3. Der Zielrechner ist nach einer erfolgreichen Installation neu zu
starten.
Die über das Befehlszeilen-Tool zu erteilende Anweisung lautet somit:
deploycmd TMjason /file=”patchA001002.XXX” /reboot
170 • 16. Verwenden von GFI LANguard N.S.S. per Befehlszeile
GFI LANguard Network Security Scanner
17. Erstellen von SchwachstellenChecks über selbstdefinierte
Bedingungen/Skripten
Einführung
In diesem Kapitel erfahren Sie, wie Sie eigene, mit Skripten oder
durch Festlegung eigener Schwachstellen erstellte SchwachstellenChecks den vorgegebenen Checks hinzufügen können.
Für Skripten lässt sich mit jede VBScript-kompatible Skriptsprache
verwenden. Weitere Unterstützung leistet der standardmäßig
mitgelieferte Skript-Editor von GFI LANguard N.S.S.
Neu erstellte Schwachstellen-Checks müssen in die Liste der von
GFI LANguard N.S.S. unterstützten Checks aufgenommen werden.
Hierfür steht der Reiter Vulnerabilities zur Verfügung, über den die
bereits vorhandenen Checks für jedes einzelne Scan-Profil ergänzt
werden können.
Hinweis: Neue Schwachstellen-Checks sollten nur von erfahrenen
Anwendern erstellt werden. Fehler bei der Skript-Erstellung und
fehlerhafte Konfigurationseinstellungen eines Schwachstellen-Checks
können Fehlalarme zur Folge haben oder dazu führen, dass
vorhandene Schwachstellen nicht erkannt werden.
GFI LANguard N.S.S. VBScript
GFI LANguard N.S.S. unterstützt Skripten, die in VBScriptkompatiblen Sprachen geschrieben sind. Hierdurch lassen sich eigene
Skripten erstellen, mit denen Sie Ziele im Netzwerk auf von Ihnen
definierte Sicherheitslücken überprüfen können.
Beim Erstellen von Skripten für Sicherheits-Audits hilft der
mitgelieferte Skript-Editor von GFI LANguard N.S.S. Er unterstützt Sie
bei der Skript-Entwicklung, indem er Syntax hervorhebt und DebugFunktionen zur Fehlerbeseitigung bietet. Starten Sie den Skript-Editor
über Start ` Programme ` GFI LANguard Network Security
Scanner 8.0 ` LNSS Script Debugger.
Hinweis: Weitere Informationen zum Erstellen von Skripten mit Hilfe
des integrierten Skript-Editors erhalten Sie in der Hilfe-Datei „Scripting
documentation“, die Sie unter Start ` Programme ` GFI LANguard
Network Security Scanner 8.0 ` GFI LANguard N.S.S. Scripting
documentation finden.
Wichtiger Hinweis: GFI bietet keinen Support zu Anfragen bezüglich
selbst erstellter Skripten. Bei Fragen zum Scripting von GFI LANguard
N.S.S. wenden Sie sich bitte an das GFI-Forum zu den
GFI LANguard-Produkten unter http://forums.gfi.com/. Über die GFIGFI LANguard Network Security Scanner17. Erstellen von Schwachstellen-Checks über selbstdefinierte Bedingungen/Skripten • 171
Foren können Sie Skripten austauschen und Probleme mit anderen
Anwendern von GFI LANguard N.S.S. diskutieren.
GFI LANguard N.S.S. SSH-Modul
Im Lieferumfang von GFI LANguard N.S.S. ist ein SSH-Modul
enthalten, das es Ihnen erlaubt, Skripten zur Überprüfung von
Sicherheitslücken auch auf Linux/UNIX-Systemen ausführen zu
lassen.
Das SSH-Modul bestimmt das Ergebnis von SicherheitslückenChecks, indem die von einem ausgeführten Skript generierten
Konsolendaten analysiert werden. Dies hat den Vorteil, dass sich jede
vom Linux/UNIX-System unterstützte Skriptsprache verwenden lässt,
die Ergebnisse im Textformat an die Konsole ausgeben kann.
Erkennen des Check-Status anhand von Stichwörtern
Das SSH-Modul kann Skripten über sein Terminal-Fenster laufen
lassen. Wird ein Sicherheits-Scan für Linux-/UNIX-basierte Zielrechner gestartet, werden die Skripten zur Schwachstellen-Kontrolle
per SSH-Verbindung an den Zielrechner übermittelt und laufen darauf
lokal.
Der Aufbau der SSH-Verbindung erfolgt über die Zugangsdaten (d. h.
Benutzername und Passwort/SSH Private Key-Datei), die vor dem
Beginn des Sicherheits-Scans angegeben worden sind.
Das SSH-Modul erkennt den Status eines Schwachstellen-Checks
über bestimmte Stichwörter, die in der Textausgabe des ausgeführten
Skripts enthalten sind. Die vom Modul verarbeiteten Stichwörter
werden zur weiteren Ausgabe dann an GFI LANguard N.S.S.
weitergeleitet. Folgende Stichwörter werden standardmäßig vom
SSH-Modul erkannt:
•
TRUE:
•
FALSE:
•
AddListItem
•
SetDescription
•
!!SCRIPT_FINISHED!!
Jedes dieser Stichwörter löst einen eigenen Prozess im SSH-Modul
aus. Nachfolgend wird die Funktion jedes Stichworts näher erläutert:
•
TRUE: / FALSE: – Mit diesen Strings wird das Ergebnis eines
ausgeführten Schwachstellen-Checks/Skripts angezeigt. Erkennt
das SSH-Modul den Ausgabewert „TRUE:“, zeigt dies an, dass der
Check erfolgreich durchgeführt werden konnte. Bei „FALSE:“
hingegen erkennt das Modul den Check als fehlgeschlagen.
•
AddListItem – Mit diesem String wird eine interne Funktion
aufgerufen, die dem Schwachstellen-Bericht Scan-Ergebnisse
hinzufügt. Die Ergebnisse werden nach Abschluss eines Scans
über die Verwaltungskonsole von GFI LANguard N.S.S. angezeigt.
Der String sieht wie folgt aus:
AddListItem([[[[übergeordneter Knoten]]]],[[[[String]]]])
172 • 17. Erstellen von Schwachstellen-Checks über selbstdefinierte Bedingungen/SkriptenGFI LANguard Network Security Scanner
•
[[[[übergeordneter Knoten]]]] – Enthält den Namen des
Scan-Ergebnis-Knotens, dem das Ergebnis hinzugefügt
werden soll.
•
[[[[String]]]] – Enthält den Wert, der dem Scan-ErgebnisKnoten, hinzugefügt werden soll.
Hinweis: Jeder Schwachstellen-Check ist einem Scan-ErgebnisKnoten zugeordnet. Dies hat zur Folge, dass Ergebnisse von
AddListItem standardmäßig unter einem zugewiesenen
Schwachstellen-Knoten aufgeführt werden. Wird kein Parameter
für den übergeordneten Knoten angegeben, fügt die Funktion den
angegebenen String dem Standard-Knoten hinzu.
•
SetDescription – Mit diesem String wird eine interne Funktion
aufgerufen, die die vorgegebene Beschreibung eines Schwachstellen-Checks ändert. Der String sieht wie folgt aus:
SetDescription([neue Beschreibung])
•
!!SCRIPT_FINISHED!! – Dieser String zeigt das Ende einer
Skriptausführung an. Das SSH-Modul sucht nach diesem String,
bis die Suche erfolgreich ist oder wegen Zeitüberschreitung
abgebrochen wird. Sollte ein Timeout eintreten, bevor der String
!!SCRIPT_FINISHED!! ausgegeben ist, wird der SchwachstellenCheck vom SSH-Modul als fehlgeschlagen gewertet.
Wichtiger Hinweis: Jedes selbst definierte Skript muss den String
!!SCRIPT_FINISHED!! am Ende des Kontrollvorgangs ausgeben.
Hinzufügen von auf eigenen VBS-Skripten basierenden SicherheitsChecks
Mit Hilfe des Skript-Editors von GFI LANguard N.S.S. lassen sich
eigene Skripten erstellen, mit denen Sie Ziele im Netzwerk auf von
Ihnen definierte Schwachstellen überprüfen können. So erstellen Sie
neue Schwachstellen-Checks, die auf von Ihnen erstellten VBScripts
basieren:
•
Schritt 1: Erstellen des Skripts
•
Schritt 2: Hinzufügen des neuen Schwachstellen-Checks:
Folgende Beispiele erläutern die hierfür notwendigen Schritte.
Schritt 1: Erstellen des Skripts
1. Starten Sie den Script-Debugger über Start ` Programme ` GFI
LANguard Network Security Scanner 8.0 ` GFI LANguard N.S.S.
Script Debugger.
2. Klicken Sie auf das Menü File ` New.
3. Erstellen Sie Ihr Skript. Folgender Skript-Code soll als Beispiel
dienen:
Function Main
echo "Script has run successfully"
Main = true
End Function
4. Sichern Sie das Skript z. B. unter „C:\Program Files\GFI\LANguard
Network Security Scanner 8.0\Data\Scripts\meinSkript.vbs“.
GFI LANguard Network Security Scanner17. Erstellen von Schwachstellen-Checks über selbstdefinierte Bedingungen/Skripten • 173
Schritt 2: Hinzufügen des neuen Schwachstellen-Checks
1. Rufen Sie die Verwaltungskonsole von GFI LANguard N.S.S. auf.
2. Erweitern Sie den Knoten Configuration ` Scanning Profiles, und
wählen Sie das Scan-Profil aus, dem der neue Check hinzugefügt
werden soll.
3. Klicken Sie auf den Reiter Vulnerabilities.
4. Wählen Sie im mittleren Fenster die Kategorie aus, der der neue
Schwachstellen-Check hinzugefügt werden soll (z. B. DNS
Vulnerabilities).
Screenshot 149 – Dialog zum Erstellen eines neuen Schwachstellen-Checks
5. Klicken Sie auf die Schaltfläche Add. Hierdurch wird das
Dialogfenster zum Hinzufügen einer neuen Schwachstelle geöffnet.
6. Geben Sie über die Reiter General, Description und Reference
grundlegende Informationen an, wie Name der Schwachstelle,
Kurzbeschreibung, Sicherheitsebene und OVAL-ID (falls zutreffend).
7. Gehen Sie auf den Reiter Conditions, und klicken Sie auf die
Schaltfläche Add. Hierdurch wird das Dialogfenster für die CheckEigenschaften geöffnet.
174 • 17. Erstellen von Schwachstellen-Checks über selbstdefinierte Bedingungen/SkriptenGFI LANguard Network Security Scanner
Screenshot 150 – Dialog zur Angabe von Auslösebedingungen
8. Gehen Sie auf den Knoten Independent checks ` VBScript und
klicken Sie auf die Schaltfläche Next, um mit den Einstellungen
fortzufahren.
9. Klicken Sie auf die Schaltfläche Choose file
(„öffnen“), und
wählen Sie die VBScript-Datei aus, die von diesem Check ausgeführt
wird (in diesem Beispiel „meinSkript.vbs“). Klicken Sie auf die
Schaltfläche Next, um fortzufahren.
10. Schließen Sie die Skriptauswahl ab, indem Sie weitere
Bedingungseinstellungen vornehmen. Klicken Sie auf die Schaltfläche
Finish, um den Assistenten zu beenden.
11. Klicken Sie auf die Schaltfläche OK, um den neuen Schwachstellen-Check zu speichern.
Testen des beispielhaft erstellten Schwachstellen-Checks/
Skripts
Scannen Sie Ihren lokalen Host mit dem Scan-Profil, dem der neue
Check hinzugefügt wurde.
Screenshot 151 – Anzeige kritischer Schwachstellen
Unter dem Knoten Vulnerabilities ` Miscellaneous Alerts der ScanErgebnisse wird eine entsprechende Schwachstelle angezeigt.
GFI LANguard Network Security Scanner17. Erstellen von Schwachstellen-Checks über selbstdefinierte Bedingungen/Skripten • 175
Hinzufügen von auf eigenen Shell-Skripten basierenden Schwachstellen-Checks
GFI LANguard N.S.S. bietet die Möglichkeit, auf selbst erstellten
Shell-Skripten basierende Schwachstellen-Checks zur Kontrolle von
Linux- und UNIX-Rechnern hinzuzufügen. Diese Checks werden per
SSH über das SSH-Modul remote ausgeführt. Skripten lassen sich in
allen Skript-Sprachen erstellen, die eine Ausgabe von Ergebnissen im
Textformat unterstützen.
Im folgenden Beispiel wird ein Schwachstellen-Check für LinuxRechner erstellt, das ein in Bash geschriebenes Skript verwendet. Mit
diesem Check soll überprüft werden, ob eine Testdatei namens
„test.file“ auffindbar ist.
Schritt 1: Erstellen des Skripts
1. Öffnen Sie einen Text-Editor.
2. Erstellen Sie ein neues Skript mit folgendem Code:
#!/bin/bash
if [ -e test.file ]
then
echo "TRUE:"
else
echo "FALSE:"
if
echo "!!SCRIPT_FINISHED!!"
3. Sichern Sie das Skript z. B. unter „C:\Program Files\GFI\LANguard
Network Security Scanner 8,0\Data\Scripts\meinSkript.sh“.
176 • 17. Erstellen von Schwachstellen-Checks über selbstdefinierte Bedingungen/SkriptenGFI LANguard Network Security Scanner
Schritt 2: Hinzufügen des neuen Schwachstellen-Checks
Screenshot 152 – Hinzufügen eines neuen Schwachstellen-Checks
1. Klicken Sie auf die Schaltfläche Main und gehen Sie auf den
Knoten Configuration ` Scanning Profiles. Wählen Sie das ScanProfil aus, dem der neue Check hinzugefügt werden soll.
2. Klicken Sie auf den Reiter Vulnerabilities.
3. Wählen Sie im mittleren Fenster die Kategorie aus, der der neue
Schwachstellen-Check hinzugefügt werden soll (z. B. DNS
Vulnerabilities).
4. Klicken Sie auf die Schaltfläche Add. Hierdurch wird das
Dialogfenster zum Hinzufügen einer neuen Schwachstelle geöffnet.
5. Geben Sie über die Reiter General, Description und Reference
grundlegende Informationen an, wie Name der Schwachstelle,
Kurzbeschreibung, Sicherheitsebene und OVAL-ID (falls zutreffend).
6. Gehen Sie auf den Reiter Conditions, und klicken Sie auf die
Schaltfläche Add. Hierdurch wird das Dialogfenster für die CheckEigenschaften geöffnet.
GFI LANguard Network Security Scanner17. Erstellen von Schwachstellen-Checks über selbstdefinierte Bedingungen/Skripten • 177
Screenshot 153 – Dialog zur Angabe von Auslösebedingungen
7. Gehen Sie auf den Knoten Unix checks ` SSH Script Test, und
klicken Sie auf die Schaltfläche Next um mit den Einstellungen
fortzufahren.
8. Klicken Sie auf die Schaltfläche Choose file
(„öffnen“), und
wählen Sie die Skriptdatei aus, die von diesem Check ausgeführt wird
(in diesem Beispiel „meinSkript.sh“). Klicken Sie auf die Schaltfläche
Next, um fortzufahren.
9. Schließen Sie die Skriptauswahl ab, indem Sie weitere
Bedingungseinstellungen vornehmen. Klicken Sie auf die Schaltfläche
Finish, um den Assistenten zu beenden.
10. Klicken Sie auf die Schaltfläche
Schwachstellen-Check zu speichern.
OK,
um
den
neuen
Testen des beispielhaft erstellten Schwachstellen-Checks/
Skripts
Scannen Sie Ihren lokalen Host mit dem Scan-Profil, dem der neue
Check hinzugefügt wurde.
1. Melden Sie sich an einem Linux-Rechner an, und erstellen Sie eine
Datei mit dem Namen test.file. Der Check gibt eine SchwachstellenWarnung aus, wenn diese Datei gefunden wird.
2. Unterziehen Sie den Linux-Rechner, auf dem die Datei erstellt
wurde, einem Sicherheits-Scan.
3. Kontrollieren Sie die Scan-Ergebnisse. Unter dem Knoten
Vulnerabilities wird die Warnmeldung wie folgt angezeigt:
Screenshot 154 – Testen des Schwachstellen-Checks/Skripts
178 • 17. Erstellen von Schwachstellen-Checks über selbstdefinierte Bedingungen/SkriptenGFI LANguard Network Security Scanner
Hinzufügen eines Sicherheits-Checks für CGI-Schwachstellen
Soll ein neuer Check für eine CGI-Schwachstelle eingerichtet werden,
ist hierfür kein gesondertes VB- oder SSH-Skript zu erstellen. Die
Scan-Funktionen für CGI-Checks sind über die verschiedenen
Optionen der Check-Eigenschaften konfigurierbar.
Screenshot 155 – Erstellen eines neuen Checks für CGI-Schwachstellen
So erstellen Sie einen neuen Check für eine CGI-Sicherheitslücke:
1. Klicken Sie auf die Schaltfläche Configuration. Gehen Sie auf den
Knoten Configuration ` Scanning Profiles ` Only Web.
2. Klicken Sie auf den Reiter Vulnerabilities.
3. Wählen Sie im mittleren Fenster den Knoten Web aus.
4. Klicken Sie auf die Schaltfläche Add. Hierdurch wird das
Dialogfenster zum Hinzufügen einer neuen Schwachstelle geöffnet.
5. Geben Sie über die Reiter General, Description und Reference
grundlegende Informationen an, wie Name der Schwachstelle, Kurzbeschreibung, Sicherheitsebene und OVAL-ID (falls zutreffend).
6. Gehen Sie auf den Reiter Conditions, und klicken Sie auf die
Schaltfläche Add. Hierdurch wird das Dialogfenster für die CheckEigenschaften geöffnet.
7. Gehen Sie auf den Knoten Independent checks ` CGI Abuse
Test, und klicken Sie auf die Schaltfläche Next um mit den
Einstellungen fortzufahren.
8. Legen Sie folgende Einstellungen fest:
•
HTTP Method – Legen Sie die Art der HTTP-Anfrage fest, die der
Check zum Informationsabruf verwenden soll. Checks für CGISchwachstellen unterstützen zwei HTTP-Methoden, GET und
HEAD.
GFI LANguard Network Security Scanner17. Erstellen von Schwachstellen-Checks über selbstdefinierte Bedingungen/Skripten • 179
•
To check for the URL – Geben Sie den Namen des CGI-Skripts
an, das während eines Zielrechner-Scans ausgeführt werden soll.
•
Directories – Geben Sie die Verzeichnisse an, in denen sich das
CGI-Skript befindet.
Klicken Sie auf die Schaltfläche Next, um fortzufahren.
9. Legen Sie die Bedingungen für den CGI-Schwachstellen-Check
fest. Klicken Sie auf die Schaltfläche Finish, um die Bedingungen zu
speichern.
10. Klicken Sie auf die Schaltfläche OK, um den neuen CGISchwachstellen-Check zu speichern.
Hinweis: Um neue Checks automatisch bei kommenden Scans zu
berücksichtigen, klicken Sie auf die Schaltfläche Advanced, und
wählen Sie für New vulnerabilities are enabled by default die
Option Yes.
180 • 17. Erstellen von Schwachstellen-Checks über selbstdefinierte Bedingungen/SkriptenGFI LANguard Network Security Scanner
18. Weiterführende Optionen
Einführung
In diesem Kapitel erfahren Sie, wie Sie
•
NetBIOS auf einem Netzwerk-Rechner aktivieren,
•
den Client für Microsoft-Netzwerke unter Windows 2000 oder
höher installieren,
•
Passwort-Richtlinien einer Active Directory-basierten Domäne
konfigurieren und
•
Passwort-Richtlinien einer Active Directory-basierten Domäne
anzeigen.
Aktivieren von NetBIOS auf einem Netzwerk-Rechner
1. Melden Sie sich am Zielrechner mit administrativen Rechten an.
2. Navigieren Sie zur Systemsteuerung über Start `
Systemsteuerung, und doppelklicken Sie auf das Symbol
Netzwerkverbindungen.
Symbol für LAN-Verbindung
3. Klicken Sie mit der rechten Maustaste auf das LAN-Symbol der
Netzwerkkarte, die Sie konfigurieren möchten, und wählen Sie im
Kontextmenü Properties.
4. Klicken Sie auf Internetprotokoll (TCP/IP), und klicken Sie auf die
Schaltfläche Eigenschaften.
5. Klicken Sie auf die Schaltfläche Erweitert.
6. Klicken Sie auf den Reiter WINS.
GFI LANguard Network Security Scanner
18. Weiterführende Optionen • 181
Screenshot 156 – LAN-Eigenschaften, Reiter „WINS“
7. Wählen Sie im Bereich NetBIOS-Einstellung die Option Standard.
Hinweis: Falls Sie eine statische IP-Adresse verwenden oder der
DHCP-Server keine NetBIOS-Einstellung anbietet, wählen Sie
stattdessen die Option NetBIOS über TCP/IP aktivieren.
8. Klicken Sie auf die Schaltfläche OK, und schließen Sie die
einzelnen Dialogfenster.
Installieren des Clients für Microsoft-Netzwerke unter Windows
2000 oder höher
Der Client für Microsoft-Netzwerke ist eine wichtige SoftwareKomponente, die für den Netzwerkeinsatz der Microsoft WindowsBetriebssysteme benötigt wird. Der Client muss auf einem WindowsRechner laufen, damit dieser per Fernzugriff auf Dateien, Drucker und
andere freigegebene Netzwerk-Ressourcen zugreifen kann. Folgende
Schritt-für-Schritt-Anweisungen helfen bei der Überprüfung, ob der
Client bereits installiert ist und unterstützen Sie andernfalls bei dessen
Installierung.
1. Navigieren Sie
Systemsteuerung.
182 • 18. Weiterführende Optionen
zur
Systemsteuerung
über
Start
`
GFI LANguard Network Security Scanner
2. Klicken Sie mit der rechten Maustaste auf das Symbol LANVerbindung, und wählen Sie im Kontextmenü Eigenschaften.
Hierdurch wird der Dialog „Eigenschaften von LAN-Verbindung“
geöffnet.
Hinweis: Bei älteren Versionen von Windows wie Windows 95 oder
Windows 98 klicken Sie mit der rechten Maustaste auf
Netzwerkumgebung,
und
wählen
Sie
im
Kontextmenü
Eigenschaften. Alternativ können Sie zur Systemsteuerung
navigieren und das Element Netzwerk öffnen.
Screenshot 157 – LAN-Eigenschaften
3. Wählen Sie unter dem Reiter Allgemein das Kontrollkästchen zu
Client für Microsoft-Netzwerke aus, und klicken Sie auf Installieren,
um mit der Installation zu beginnen.
Hinweis 1: Ist das Kontrollkästchen zu Client für MicrosoftNetzwerke schon ausgewählt, wurde die Komponente bereits
installiert.
Hinweis 2: Ist das Netzwerk gerade aktiv, sind unter Umständen
keine Kontrollkästchen sichtbar. Klicken Sie in diesem Fall erneut auf
die Schaltfläche Eigenschaften, um zum gesamten Reiter Allgemein
zu gelangen.
Hinweis 3: Wird eine ältere Version von Windows verwendet, rufen
Sie den Reiter Konfiguration auf, und kontrollieren Sie, ob der Client
für Microsoft-Netzwerke in der angezeigten Liste aufgeführt ist. Ist
GFI LANguard Network Security Scanner
18. Weiterführende Optionen • 183
dies nicht der Fall, installieren Sie die Komponente, indem Sie auf die
Schaltfläche Add klicken.
4. Wählen Sie im neu eingeblendeten Dialog Client aus, und klicken
Sie auf die Schaltfläche Add.
5. Wählen Sie rechts in der Liste der Hersteller den Eintrag Microsoft
aus. Wählen Sie dann Client für Microsoft-Netzwerke aus der Liste
der Netzwerk-Clients auf der rechten Fensterseite aus. Klicken Sie auf
die Schaltfläche OK.
6. Klicken Sie auf die Schaltfläche OK, um die Installation
abzuschließen, und führen Sie einen Neustart des Rechners durch.
Nach dem Neustart wird der Client für Microsoft-Netzwerke
automatisch installiert.
Konfigurieren von Passwort-Richtlinien einer Active Directorybasierten Domäne
Hinweis: Zur Durchführung der folgenden Schritte müssen Sie als
Mitglied der Gruppe Domänen-Admin angemeldet sein.
So legen Sie Passwortrichtlinien für Netzwerkrechner fest, die zu einer
Active Directory-Domäne gehören:
1. Navigieren Sie zur Systemsteuerung über
Systemsteuerung, und klicken Sie auf Verwaltung.
Start
`
Screenshot 158 – Konfigurierung von Active Directory-Benutzern und -Computern
2. Klicken Sie auf das Snap-in Active Directory-Benutzer und Computer. Klicken Sie mit der rechten Maustaste auf den Stammcontainer der Domäne, und wählen Sie im Kontextmenü
Eigenschaften.
184 • 18. Weiterführende Optionen
GFI LANguard Network Security Scanner
Screenshot 159 – Konfigurierung eines neuen Gruppenrichtlinienobjekts (GPO)
3. Klicken Sie im Eigenschaften-Dialog auf den Reiter
Gruppenrichtlinie. Klicken Sie auf die Schaltfläche Neu, um im
Stammcontainer ein neues Gruppenrichtlinienobjekt zu erstellen.
4. Geben Sie der neuen Richtlinie einen Namen (z. B.
„Domänenrichtlinie“), und klicken Sie auf die Schaltfläche Schließen.
Hinweis: Microsoft empfiehlt, keine Änderungen an der
standardmäßigen
Richtlinie
(„Standarddomänenrichtlinie“)
vorzunehmen, sondern anstatt dessen ein neues Gruppenrichtlinienobjekt zu erstellen. Schwerwiegende Probleme bei Sicherheitseinstellungen lassen sich hierdurch leichter beheben. In einem
solchen Fall braucht lediglich das neue Gruppenrichtlinienobjekt
vorübergehend deaktiviert zu werden, bis die problematischen
Einstellungen gefunden sind.
5. Klicken Sie mit der rechten Maustaste auf den Stammcontainer der
Domäne, und wählen Sie im Kontextmenü Eigenschaften. Der Dialog
zu den Eigenschaften der Domäne wird geöffnet.
6. Klicken Sie auf den Reiter Gruppenrichtlinie, und wählen Sie die
gerade
erstellte
Gruppenrichtlinienobjekt-Verknüpfung
(z. B.
„Domänenrichtlinie“) aus.
7. Klicken Sie auf die Schaltfläche Nach oben, um das neue GPO an
die oberste Stelle in der Liste zu verschieben. Klicken Sie dann auf die
Schaltfläche Bearbeiten, um den Editor „GPEdit“ zu öffnen.
GFI LANguard Network Security Scanner
18. Weiterführende Optionen • 185
Screenshot 160 – Group Policy Object Editor
8. Erweitern Sie den Knoten Computerkonfiguration, und navigieren
Sie zum Verzeichnis Windows-Einstellungen ` Sicherheitseinstellungen ` Kontorichtlinien ` Kennwortrichtlinie.
Screenshot 161 – Konfigurierung der Kennwortchronik
9. Doppelklicken Sie im rechten Fenster auf die Richtlinie
Kennwortchronik erzwingen. Wählen Sie die Option Diese
Richtlinieneinstellung definieren, und setzen Sie den Wert für
Kennwortchronik behalten auf „24“.
10. Klicken Sie abschließend auf die Schaltfläche OK, um den Dialog
zu schließen.
186 • 18. Weiterführende Optionen
GFI LANguard Network Security Scanner
Screenshot 162 – Konfigurierung des Kennwortablaufs
11. Doppelklicken Sie im rechten Fenster auf die Richtlinie Maximales
Kennwortalter. Wählen Sie die Option Diese Richtlinieneinstellung
definieren, und setzen Sie den Wert für Kennwort läuft ab in auf
„42“ Tage.
12. Klicken Sie auf die Schaltfläche OK, um den Eigenschaftendialog
zu schließen.
Screenshot 163 – Konfigurierung des minimalen Kennwortalters
13. Doppelklicken Sie im rechten Fenster auf die Richtlinie Minimales
Kennwortalter. Wählen Sie die Option Diese Richtlinieneinstellung
definieren, und setzen Sie den Wert für Kennwort kann geändert
werden nach auf „2“ Tage.
14. Klicken Sie abschließend auf die Schaltfläche OK, um den Dialog
zu schließen.
GFI LANguard Network Security Scanner
18. Weiterführende Optionen • 187
Screenshot 164 – Konfigurierung der Mindestanzahl an Zeichen eines Passworts
15. Doppelklicken Sie im rechten Fenster auf die Richtlinie Minimale
Kennwortlänge. Wählen Sie die Option Diese Richtlinieneinstellung definieren, und setzen Sie den Wert für Minimale
Kennwortlänge auf „8“ Zeichen.
16. Klicken Sie abschließend auf die Schaltfläche OK, um den Dialog
zu schließen.
Screenshot 165 – Erzwingen der Kennwortkomplexität
17. Doppelklicken Sie im rechten Fenster auf die Richtlinie
Kennwörter müssen bestimmten Komplexitätsanforderungen
entsprechen. Wählen Sie die Option Diese Richtlinieneinstellung
definieren und Aktiviert.
18. Klicken Sie abschließend auf die Schaltfläche OK, um den Dialog
zu schließen.
19. Die Einstellungen der Passwortrichtlinien des neuen GPO sind
nun konfiguriert. Schließen Sie alle Dialogfenster inklusive des
Dialogs „Active Directory-Benutzer und -Computer“.
188 • 18. Weiterführende Optionen
GFI LANguard Network Security Scanner
Anzeigen von Passwort-Richtlinien einer Active Directory-basierten
Domäne
Hinweis: Zur Durchführung der folgenden Schritte müssen Sie als
Mitglied der Gruppe Domänen-Admin angemeldet sein.
Gehen Sie wie nachfolgend beschrieben vor, um zu kontrollieren, ob
alle notwendigen Einstellungen zu Passwortrichtlinien korrekt
angewendet werden. Die Kontrolle der Einstellungen und ihrer
Funktion stellt sicher, dass für sämtliche Benutzer der Domäne
korrekte Passwortrichtlinien gelten.
So kontrollieren Sie die Passwort-Richtlinien einer Active DirectoryDomäne:
1. Navigieren Sie zur Systemsteuerung über
Systemsteuerung, und klicken Sie auf Verwaltung.
Start
`
2. Klicken Sie auf das Snap-in Active Directory-Benutzer und Computer. Klicken Sie mit der rechten Maustaste auf den
Stammcontainer der Domäne, und wählen Sie im Kontextmenü
Eigenschaften.
3. Klicken Sie auf den Reiter Gruppenrichtlinie. Wählen Sie das zu
kontrollierende GPO aus (z. B. Domain Policy GPO), und klicken Sie
auf die Schaltfläche Bearbeiten, um den Editor „GPEdit“ zu öffnen.
4. Erweitern Sie den Knoten Computerkonfiguration, und navigieren
Sie zum Verzeichnis Windows-Einstellungen ` Sicherheitseinstellungen ` Kontorichtlinien ` Kennwortrichtlinie.
Screenshot 166 – Kontrolle der GPO-Einstellungen
Die Einstellungen der Passwortrichtlinie werden im rechten Fenster
des GPO-Editors angezeigt. Vorausgesetzt, Sie haben die GPOPasswortrichtlinie wie im obigen Screenshot dargestellt konfiguriert,
sollten Sie sicherstellen, dass Benutzer keine Passwörter verwenden
können, die weniger als acht Zeichen besitzen. Mit Hilfe dieser
Richtlinieneinstellungen sollte es Benutzern zudem nicht möglich sein,
zu einfache Passwörter zu erstellen. Ebenso wenig sollte die
Änderung von Passwörtern erlaubt sein, die noch nicht zwei Tage
aktiv sind.
GFI LANguard Network Security Scanner
18. Weiterführende Optionen • 189
190 • 18. Weiterführende Optionen
GFI LANguard Network Security Scanner
19. Troubleshooting
Einführung
In diesem Kapitel erfahren Sie, welche Hilfsmöglichkeiten es bei
Problemen gibt. Folgende Informationsquellen stehen zur Verfügung:
•
Das Handbuch – die meisten Probleme lassen sich mit Hilfe des
Handbuchs lösen.
•
Die GFI Knowledge-Base auf der Website von GFI.
•
Die Support-Site von GFI.
•
E-Mail-Anfrage
an
den
maito:[email protected].
•
Kontaktaufnahme mit dem GFI-Support über den englischsprachigen
Live-Support
unter
http://support.gfi.com/
livesupport.asp.
•
Telefonische Kontaktaufnahme mit dem GFI-Support.
GFI-Support
an
Knowledge-Base
Die Knowledge-Base von GFI hält Antworten zu den am häufigsten
gestellten Fragen bereit. Bei Problemen sollten Sie zunächst die
Knowledge-Base konsultieren. Diese Wissensdatenbank bietet immer
die neuesten Informationen zu Support-Fragen und Patches.
Sie kann aufgerufen werden unter http://kbase.gfi.com.
Support-Anfrage per E-Mail
Wenn Sie Ihre Probleme mit Hilfe der Wissensdatenbank und dem
Handbuch nicht lösen konnten, können Sie sich an den GFI-Support
wenden. Sie sollten den Support per E-Mail kontaktieren, da Sie
hierbei die Möglichkeit haben, Ihrer Nachricht wichtige Informationen
beizufügen, die helfen, Ihre Fragen schneller zu beantworten.
Das Programm Troubleshooter aus der Programmgruppe generiert
automatisch eine Reihe von Dateien, die der technische Support zur
Problemanalyse benötigt. Die Dateien beinhalten u. a. Angaben zur
Konfiguration. Um diese Dateien zu erzeugen, starten Sie den
Troubleshooter, und folgen Sie den Anweisungen des Programms.
Neben dem Erfassen allgemeiner Informationen stellt Ihnen das
Programm einige Fragen. Bitte nehmen Sie sich die Zeit, diese korrekt
zu beantworten. Ohne die richtigen Informationen ist es dem Support
nicht möglich, Ihr Problem genauer zu diagnostizieren.
Öffnen Sie danach im Programmverzeichnis das Unterverzeichnis
„Support" (unter „troubleshooter\support"), komprimieren Sie die darin
GFI LANguard Network Security Scanner
19. Troubleshooting • 191
enthaltenen Dateien im ZIP-Format, und senden Sie
komprimierte ZIP-Datei an mailto:[email protected].
diese
Stellen Sie jedoch zuvor bitte sicher, dass Sie Ihr Produkt auf der GFIWebsite
unter
http://www.gfisoftware.de/de/pages/regfrm.htm
registriert haben.
Ihre Anfrage wird für gewöhnlich innerhalb von 24 Stunden
beantwortet.
Support-Anfrage per Web-Chat
Sie erhalten weiteren Support über unseren Live-Chat „LiveSupport“
im Web. Die Kontaktaufnahme mit dem GFI-Support über
„LiveSupport“ erfolgt unter http://support.gfi.com/livesupport.asp.
Stellen Sie jedoch zuvor bitte sicher, dass Sie Ihr Produkt auf der GFIWebsite
unter
http://www.gfisoftware.de/de/pages/regfrm.htm
registriert haben.
Support-Anfrage per Telefon
Für technische Hilfe können Sie auch telefonischen Kontakt mit dem
Support-Team aufnehmen. Die entsprechenden Rufnummern für Ihr
Land finden Sie auf der Supportsite von GFI.
Support-Website:
http://support.gfi.com/?lcode=de
Stellen Sie jedoch zuvor bitte sicher, dass Sie Ihr Produkt auf der GFIWebsite
unter
http://www.gfisoftware.de/de/pages/regfrm.htm
registriert haben.
Web-Forum
Über das Web-Forum steht Ihnen der User-to-User-Support zur
Verfügung. Das Forum erreichen Sie unter
http://forums.gfi.com/
Benachrichtigung bei neuen Builds
Es wird empfohlen, für aktuelle Informationen zu den neuesten
Produkt-Builds die entsprechende GFI-Benachrichtigungsliste zu
abonnieren. Um stets über alle aktuellen Builds auf dem Laufenden zu
sein, können Sie Benachrichtigungen abonnieren unter:
http://support.gfi.com/?lcode=de
192 •Index
GFI LANguard Network Security Scanner
M
Index
Microsoft SQL Server-Audit
157, 164
N
NetBIOS 49, 181
Netzwerkgerät 2, 47, 109,
113
Netzwerk-Tools 157
A
angemeldeter Benutzer 43
Anwendung 46, 97, 116
Attendant 4, 5
Audit-Richtlinie 39
Automatischer PatchDownload 78, 79
O
Offener Port 41, 60
OVAL 1, 2, 89, 90, 102
P
Befehlszeile 3, 141
Befehlszeilen-Tools 3, 167
Benutzer 41
Benutzer und Gruppen 60
Benutzer-Skript 176
Benutzerskripten 5
Betriebssystem 3
Betriebssystemdaten 96,99
Parameter-Dateien 80
Passwortrichtlinie 37
Patch-Bereitstellung 4, 5,
129, 134, 144
Patch-Rollback 3
Patch-Status 49
Patch-Verwaltung 3, 129,
139
physisches Gerät 47
Programmaktualisierung 123,
125, 127
C
R
Computer auflisten 160
Computer-Profile 17, 75
Registrierdatenbank 33, 34,
38
Remote-Prozess 44
B
D
Datenbank-Backend 3, 11,
55, 67, 81, 86
Datenbankwartung 81
Dienst 34, 41, 84
Dienste 2, 11, 81
DNS-Lookup 157
drahtloses Gerät 47
E
Ergebnisvergleich 148
F
Freigabe 36, 60
G
Gruppe 42
I
Installation 12, 13, 14
L
S
Scan nach Zeitplan 68, 153
Scan- Profil 97, 98, 99, 100,
101, 106, 107, 112,
114, 117, 118, 120
Scan-Ergebnis 3, 4, 11, 28,
55, 59, 63, 67, 72, 81,
82, 101, 148, 167, 172,
175
Scan-Kategorie 52
Scan-Profil 34, 89. 41, 96,
105, 174, 177, 179
Scan-Threads 109
Schwachstelle 30, 32, 35, 96,
101, 174, 175, 177,
178, 179
Script-Debugger 4, 5
Sicherheitsanwendung 119
Skript-Editor 171
SNMP-Audit 157, 163
SNMP-Walk 157, 164
SSH 9, 172
SSH Private Key 17, 71, 75,
172
Status-Monitor 4, 6, 151
Systemanforderungen 9
Lizenzierung 7, 9
GFI LANguard Network Security Scanner
Index• 193
T
Traceroute 158
U
USB-Gerät 2, 48, 60, 97,
109, 111, 114
Users 41
V
virtuelles Gerät 47
W
Whois 157, 159
194 •Index
GFI LANguard Network Security Scanner