В современном мире ИТ все постулаты и утверждения о защищенном ПО очень быстро уходят в небытие. Причиной тому - появление новых уязвимостей и не всегда корректно работающие хотфиксы к ним, хотя последние, наверное - единственная надежда администраторов и пользователей на ведение «здорового» образа жизни их «питомцев». В данной статье мы опишем утилиту Active Network Monitor, которая должна ответить на все вышепоставленные вопросы и помочь администраторам сэкономить свое время на мониторинге хостов в сети. Active Network Monitor предназначен для мониторинга всех хостов сети с установленными операционными системами Microsoft Windows (95/98/ME/NT/W2K/XP).
Программное обеспечение. Active Network Monitor
В современном мире ИТ все постулаты и утверждения о защищенном ПО очень быстро уходят в небытие. Причиной тому - появление новых уязвимостей и не всегда корректно работающие хотфиксы к ним, хотя последние, наверное - единственная надежда администраторов и пользователей на ведение «здорового» образа жизни их «питомцев». Если сеть состоит из 5-10 компьютеров, недалеко расположенных друг от друга, то не возникает особых проблем со слежением за ПО, запущенными сервисами и установленными хотфиксами. Проверить это можно с помощью mmc, телнета, или просто сев за каждую машину. Такой подход становится проблематичным и займет намного больше времени, если в сети присутствуют более 10 хостов, или эти компьютеры находятся в разных офисах или кабинетах. Для администратора сети всегда актуальными являются вопросы о запущенных сервисах на хостах, сетевых настройках, установленных заплатках, общих ресурсах, запущенных драйверах. В данной статье мы опишем утилиту Active Network Monitor, которая должна ответить на все вышепоставленные вопросы и помочь администраторам сэкономить свое время на мониторинге хостов в сети. Active Network Monitor предназначен для мониторинга всех хостов сети с установленными операционными системами Microsoft Windows (95/98/ME/NT/W2K/XP).
Описание
Эта утилита работает только на платформах NT/W2K/XP. Минимальные требования:
RAM: 64MB
Пространство на диске: 2 MB
Для нормальной работы требуется запустить сервис Remote Registry Service на всех хостах, так как половина плагинов зависят от этого сервиса, и, естественно, иметь права администратора, так как Active Network Monitor запускается по умолчанию с правами текущего пользователя.
Варианты сканирования:
Сканирование может осуществляться согласно типам компьютеров:
Чтобы сканировать компьютеры по типам, следует использовать один из двух вышеперечисленных варианта сканирования: Типы (сначала следует сделать выбор типа, а затем домена) или Домены(сперва домен, а затем выбор типа хостов). Вариант Компьютеры позволит выбрать отдельные хосты для сканирования, не зависимо от их типов (сервер, рабочая станция и т.д.). Вариант Из файла позволит подключить файл со списком хостов (имена хостов должны содержаться в текстовом файле (.txt), при чем каждое имя хоста пишется с новой строчки).
Плагины:
Дает информацию о типе компьютера, количестве процессоров, их частоте, типе, производителе и о количестве оперативной памяти.
Этот плагин дает информацию об установленных устройствах в системе, их внутреннем имени, состоянии, параметрах запуска, типе драйвера и зависимостях от сервисов.
Информация о носителях.
Показывает текущие настройки дисплея и видеокарты, количество цветов, разрешение, частоту монитора, память видеокарты, чипсет и вид DAC
Данные о глобальных группах и список членов домена (только на контролерах домена)
Данные о железе, и возможных конфликтах DMA, I/O, IRQs. Также отображается внутреннее имя устройства, данные об интерфейсе, ресурсе, используемом устройством, названием устройства и т.д.
Дает информацию об установленных хотфиксах и сервиспаках, их описание и дате установки.
Этот плагин позволяет получить информацию об установленном ПО, его производителе и дате установки
Просмотр информации о локальных группах и их членах.
Информация о продукте, версии ядра, дате установки, времени старта, времени последнего выключения, информация об организации, владельце, серийном номере, системном каталоге, разделе и версии Эксплорера
Данные о сетевых параметрах. Информация об имени хоста, членстве в домене, включенным/выключенным LMHOSTS, модели сетевого адаптера, IP адресе, маске подсети и используемом протоколе, информации о протоколе.
Плагин, пингующий сканируемые машины
Плагин, трассирующий маршрут к сканируемой машине
Информация об установленных принтерах
Этот плагин позволяет просматривать все процессы, запущенные на сканируемом хосте. Дается информация об имени процесса, его PID, суммарном времени работы процесса, количестве затраченных ресурсов процессора, привилегии, количестве системных ресурсов, затраченных на процесс, количестве памяти, количестве дескрипторов, приоритете и т.д.
Список установленных сервисов, и данные о них, включая их внутреннее имя, статус, путь, тип, зависимости.
Описание включает имя, комментарий, тип, путь, лимит пользователей и количество текущих коннектов к доступной папке.
Данные о пользователях. Если сканируемый хост является контролером домена, то будет показан список пользователей домена, а если сканируемый хост – обычная рабочая станция, то, Active Network Monitor выведет список локальных пользователей.
Сканирование
Процесс сканирования не занимает много времени и зависит от количества хостов в сети и скорости передачи данных. Напомним, что для полного сканирования хостов (используя все плагины) на каждом компьютере следует запустить службу Remote Registry Service, иначе Active Network Monitor не сможет получить полную информацию о хосте. Плагины, использующие эту службу: Hot Fixes and SP, Hardware Resources, Installed Applications, OS Information, Computer Information, Processes, Display Information, Network Settings.
Для начала проведем полное сканирование всех машин сети, чтобы собрать полную информацию о хостах. Это позволит нам позже сравнивать результаты и наблюдать за изменениями конфигураций.
После сканирования следует сохранить результаты. Active Network Monitor предоставляет несколько возможностей для хранения логов:
В этом случае логи хранятся в папке Projects каталога, в который был установлен Active Network Monitor. Этот вид записи удобен тем, что при открытии проекта вы получаете доступ ко всем ранее сохраненным проектам (File-> Open Project)
Следует использовать для сохранения логов в другое место (отличное от папки Projects) на винчестере или съемном носителе. Такие файлы можно открыть с помощью File->Open. Заметьте, что Active Network Monitor работает лишь с файлами *.anm
Текстовые файлы (*.txt(разделение табом), *.csv(разделение запятой)) используются для экспорта логов в другие приложения. Такие файлы не могут быть открыты с помощью Active Network Monitor.
Сравнение логов
После второго сканирования следует сравнить логи в поисках изменений. Для этого можно использовать встроенную возможность Active Network Monitor (File->Compare). Выберем сохраненный при первом сканировании файл и сравним его с файлом, созданным при повторном сканировании. В качестве примера воспользуемся плагином Services.
Для примера перед сканированием остановим SUS сервис. При сравнении получим следующий результат:
Красным цветом обозначены результаты первого сканирования, ярко-салатовым – второго. Подобное сравнение может помочь обнаружить неисправности в системах и быстро устранить их.
Фильтр данных (View->Filter)
Это еще одна возможность следить за работоспособностью систем и их безопасностью. Столбец Field содержит все поля доступные при сканировании и сравнении результатов. Столбец Condition(Условие) может иметь такие значения: Not defined – не указан, Is (exactly) – точно совпадает с, Includes - содержит, Is Not – не равен, Not Includes – не содержит, Empty - пуст, Not Empty – не пуст. Для числовых данных могут быть применены логические операции: Equal to - равен, Greater than – больше чем, Less than – меньше чем, Not equal to – не равен, Between в промежутке, Not between – за пределами.
Для примера используем фильтр контроля за общими ресурсами в сети. Нас прежде всего будут интересовать открытые пользователями общие папки. Для этого просканируем компьютеры в сети используя плагин Sharings. Затем запустим фильтр и укажем для Share Name в столбце Condition “Not includes” (Не содержит), а в столбце Value (значение) – знак “$”. Таким образом, мы увидим все папки, открытые пользователями для общего доступа.
Вот еще несколько примеров использования фильтра:
Цель |
Поле |
Условие |
Значение (пример) |
Плагин: Network Settings |
|||
Поиск неправильно указанного шлюза |
Name |
Is not |
Gateway: 192.168.0.1 |
Description |
Is (exactly) |
Default Gateway |
|
Поиск неправильно указанного DNS сервера |
Name |
Is not |
DNS: 192.168.0.1 |
Description |
Is (exactly) |
Primary DNS Server |
|
Проверка правильности указания маски подсети |
Name |
Not includes |
Mask: 255.255.255.0 |
Description |
Is (exactly) |
IP Address and Subnet Mask |
|
Плагин: Hot Fixes and Sp |
|||
Поиск машин, где неустановлен патч |
Name |
Is not |
KB823980 |
Плагин Computer Information |
|||
Количество RAM меньше 128 и частота процессора не превышает 700 MHz |
Physical Memory |
Less then |
128 |
Speed |
Less then |
700 |
Примечание: можно использовать в качестве значений типы данных:
string– abcABC0123;
decimal от 0 до 9 (123, -123);
hex (1EF2)
float (1,102; -0,123)
date в формате DD.MM.YY (30.02.03)
time в формате HH:MM:SS (12:12:03)
dateTime DD.MM.YY HH:MM:SS (30.02.03 12:12:03)
Результат фильтрования также может быть сохранен в текстовом формате, или формате .anm.
Заключение
Данный продукт в процессе написания статьи показал себя как с хорошей так и с плохой стороны. Эта утилита может действительно помочь собрать почти всю нужную информацию о компьютерах в сети, и будет полезна как опытным администраторам, так и новичкам в администрировании. Она очень полезна, если вы только начали работать в организации, так как Active Network Monitor может дать довольно таки полную информацию о компьютерах. К недостаткам можно отнести не совсем удобную возможность сравнения результатов, ярко-салатовый цвет выделения различий между сканированиями, не совсем полное описание запущенных процессов (хотелось бы так же видеть список .dll, загружаемых отдельным процессом). С нашей точки зрения это утилита может помочь в администрировании, и ее стоит испробовать.
И мы тоже не спим, чтобы держать вас в курсе всех угроз