Программное обеспечение. Active Network Monitor

Программное обеспечение. Active Network Monitor

В современном мире ИТ все постулаты и утверждения о защищенном ПО очень быстро уходят в небытие. Причиной тому - появление новых уязвимостей и не всегда корректно работающие хотфиксы к ним, хотя последние, наверное - единственная надежда администраторов и пользователей на ведение «здорового» образа жизни их «питомцев». В данной статье мы опишем утилиту Active Network Monitor, которая должна ответить на все вышепоставленные вопросы и помочь администраторам сэкономить свое время на мониторинге хостов в сети. Active Network Monitor предназначен для мониторинга всех хостов сети с установленными операционными системами Microsoft Windows (95/98/ME/NT/W2K/XP).

Программное обеспечение. Active Network Monitor

В современном мире ИТ все постулаты и утверждения о защищенном ПО очень быстро уходят в небытие. Причиной тому - появление новых уязвимостей и не всегда корректно работающие хотфиксы к ним, хотя последние, наверное - единственная надежда администраторов и пользователей на ведение «здорового» образа жизни их «питомцев». Если сеть состоит из 5-10 компьютеров, недалеко расположенных друг от друга, то не возникает особых проблем со слежением за ПО, запущенными сервисами и установленными хотфиксами. Проверить это можно с помощью mmc, телнета, или просто сев за каждую машину. Такой подход становится проблематичным и займет намного больше времени, если в сети присутствуют более 10 хостов, или эти компьютеры находятся в разных офисах или кабинетах. Для администратора сети всегда актуальными являются вопросы о запущенных сервисах на хостах, сетевых настройках, установленных заплатках, общих ресурсах, запущенных драйверах. В данной статье мы опишем утилиту Active Network Monitor, которая должна ответить на все вышепоставленные вопросы и помочь администраторам сэкономить свое время на мониторинге хостов в сети. Active Network Monitor предназначен для мониторинга всех хостов сети с установленными операционными системами Microsoft Windows (95/98/ME/NT/W2K/XP).

Описание

Эта утилита работает только на платформах NT/W2K/XP. Минимальные требования:

RAM: 64MB

Пространство на диске: 2 MB

Для нормальной работы требуется запустить сервис Remote Registry Service на всех хостах, так как половина плагинов зависят от этого сервиса, и, естественно, иметь права администратора, так как Active Network Monitor запускается по умолчанию с правами текущего пользователя.

Варианты сканирования:

  1. Types (Типы)
  2. Domains (Домены)
  3. Computers (Компьютеры)
  4. From File (Из файла)

Сканирование может осуществляться согласно типам компьютеров:

  • Primary Domain Controller – первичный контролер домена
  • Backup Domain Controller -
  • Microsoft SQL Servers – SQL сервер
  • Terminal Servers – Терминал сервер
  • Stand Alone Servers – любой сервер, не являющийся контролером домена
  • Cluster Servers – сервер кластеров
  • Print Servers – сервер печати
  • NT Workstations – рабочие станции
  • Windows 9x/Me – рабочие станции

Чтобы сканировать компьютеры по типам, следует использовать один из двух вышеперечисленных варианта сканирования: Типы (сначала следует сделать выбор типа, а затем домена) или Домены(сперва домен, а затем выбор типа хостов). Вариант Компьютеры позволит выбрать отдельные хосты для сканирования, не зависимо от их типов (сервер, рабочая станция и т.д.). Вариант Из файла позволит подключить файл со списком хостов (имена хостов должны содержаться в текстовом файле (.txt), при чем каждое имя хоста пишется с новой строчки).

Плагины:

  1. Computer Information (Информация о компьютере)

Дает информацию о типе компьютера, количестве процессоров, их частоте, типе, производителе и о количестве оперативной памяти.

  1. Devices (Устройства)

Этот плагин дает информацию об установленных устройствах в системе, их внутреннем имени, состоянии, параметрах запуска, типе драйвера и зависимостях от сервисов.

  1. Disks (Диски)

Информация о носителях.

  1. Display Information (Информация о настройках дисплея)

Показывает текущие настройки дисплея и видеокарты, количество цветов, разрешение, частоту монитора, память видеокарты, чипсет и вид DAC

  1. Global Groups (Глобальные группы)

Данные о глобальных группах и список членов домена (только на контролерах домена)

  1. Hardware Resources (Железо)

Данные о железе, и возможных конфликтах DMA, I/O, IRQs. Также отображается внутреннее имя устройства, данные об интерфейсе, ресурсе, используемом устройством, названием устройства и т.д.

  1. Hot Fixes and SP (Хотфиксы и сервиспаки)

Дает информацию об установленных хотфиксах и сервиспаках, их описание и дате установки.

  1. Installed Applications (Установленные приложения)

Этот плагин позволяет получить информацию об установленном ПО, его производителе и дате установки

  1. Local Groups (Локальные группы)

Просмотр информации о локальных группах и их членах.

  1. OS Information (Информация об операционной системе)

Информация о продукте, версии ядра, дате установки, времени старта, времени последнего выключения, информация об организации, владельце, серийном номере, системном каталоге, разделе и версии Эксплорера

  1. Network Settings (Сетевые настройки)

Данные о сетевых параметрах. Информация об имени хоста, членстве в домене, включенным/выключенным LMHOSTS, модели сетевого адаптера, IP адресе, маске подсети и используемом протоколе, информации о протоколе.

  1. Ping

Плагин, пингующий сканируемые машины

  1. Trace Route

Плагин, трассирующий маршрут к сканируемой машине

  1. Printers (Принтеры)

Информация об установленных принтерах

  1. Processes (Процессы)

Этот плагин позволяет просматривать все процессы, запущенные на сканируемом хосте. Дается информация об имени процесса, его PID, суммарном времени работы процесса, количестве затраченных ресурсов процессора, привилегии, количестве системных ресурсов, затраченных на процесс, количестве памяти, количестве дескрипторов, приоритете и т.д.

  1. Services (Сервисы)

Список установленных сервисов, и данные о них, включая их внутреннее имя, статус, путь, тип, зависимости.

  1. Sharings (Общие ресурсы)

Описание включает имя, комментарий, тип, путь, лимит пользователей и количество текущих коннектов к доступной папке.

  1. Users (Пользователи)

Данные о пользователях. Если сканируемый хост является контролером домена, то будет показан список пользователей домена, а если сканируемый хост – обычная рабочая станция, то, Active Network Monitor выведет список локальных пользователей.

Сканирование

Процесс сканирования не занимает много времени и зависит от количества хостов в сети и скорости передачи данных. Напомним, что для полного сканирования хостов (используя все плагины) на каждом компьютере следует запустить службу Remote Registry Service, иначе Active Network Monitor не сможет получить полную информацию о хосте. Плагины, использующие эту службу: Hot Fixes and SP, Hardware Resources, Installed Applications, OS Information, Computer Information, Processes, Display Information, Network Settings.

Для начала проведем полное сканирование всех машин сети, чтобы собрать полную информацию о хостах. Это позволит нам позже сравнивать результаты и наблюдать за изменениями конфигураций.

После сканирования следует сохранить результаты. Active Network Monitor предоставляет несколько возможностей для хранения логов:

  1. В виде проекта (File->Save Project)

В этом случае логи хранятся в папке Projects каталога, в который был установлен Active Network Monitor. Этот вид записи удобен тем, что при открытии проекта вы получаете доступ ко всем ранее сохраненным проектам (File-> Open Project)

  1. В виде отдельного файла (File->Save As)

Следует использовать для сохранения логов в другое место (отличное от папки Projects) на винчестере или съемном носителе. Такие файлы можно открыть с помощью File->Open. Заметьте, что Active Network Monitor работает лишь с файлами *.anm

  1. В виде текстового файла (File->Save As)

Текстовые файлы (*.txt(разделение табом), *.csv(разделение запятой)) используются для экспорта логов в другие приложения. Такие файлы не могут быть открыты с помощью Active Network Monitor.

Сравнение логов

После второго сканирования следует сравнить логи в поисках изменений. Для этого можно использовать встроенную возможность Active Network Monitor (File->Compare). Выберем сохраненный при первом сканировании файл и сравним его с файлом, созданным при повторном сканировании. В качестве примера воспользуемся плагином Services.

Для примера перед сканированием остановим SUS сервис. При сравнении получим следующий результат:

Красным цветом обозначены результаты первого сканирования, ярко-салатовым – второго. Подобное сравнение может помочь обнаружить неисправности в системах и быстро устранить их.

Фильтр данных (View->Filter)

Это еще одна возможность следить за работоспособностью систем и их безопасностью. Столбец Field содержит все поля доступные при сканировании и сравнении результатов. Столбец Condition(Условие) может иметь такие значения: Not defined – не указан, Is (exactly) – точно совпадает с, Includes - содержит, Is Not – не равен, Not Includes – не содержит, Empty - пуст, Not Empty – не пуст. Для числовых данных могут быть применены логические операции: Equal to - равен, Greater than – больше чем, Less than – меньше чем, Not equal to – не равен, Between в промежутке, Not between – за пределами.

Для примера используем фильтр контроля за общими ресурсами в сети. Нас прежде всего будут интересовать открытые пользователями общие папки. Для этого просканируем компьютеры в сети используя плагин Sharings. Затем запустим фильтр и укажем для Share Name в столбце Condition “Not includes” (Не содержит), а в столбце Value (значение) – знак “$”. Таким образом, мы увидим все папки, открытые пользователями для общего доступа.

Вот еще несколько примеров использования фильтра:

Цель

Поле

Условие

Значение (пример)

Плагин: Network Settings

Поиск неправильно указанного шлюза

Name

Is not

Gateway: 192.168.0.1

Description

Is (exactly)

Default Gateway

Поиск неправильно указанного DNS сервера

Name

Is not

DNS: 192.168.0.1

Description

Is (exactly)

Primary DNS Server

Проверка правильности указания маски подсети

Name

Not includes

Mask: 255.255.255.0

Description

Is (exactly)

IP Address and Subnet Mask

Плагин: Hot Fixes and Sp

Поиск машин, где неустановлен патч

Name

Is not

KB823980

Плагин Computer Information

Количество RAM меньше 128 и частота процессора не превышает 700 MHz

Physical Memory

Less then

128

Speed

Less then

700

Примечание: можно использовать в качестве значений типы данных:

string– abcABC0123;

decimal от 0 до 9 (123, -123);

hex (1EF2)

float (1,102; -0,123)

date в формате DD.MM.YY (30.02.03)

time в формате HH:MM:SS (12:12:03)

dateTime DD.MM.YY HH:MM:SS (30.02.03 12:12:03)

Результат фильтрования также может быть сохранен в текстовом формате, или формате .anm.

Заключение

Данный продукт в процессе написания статьи показал себя как с хорошей так и с плохой стороны. Эта утилита может действительно помочь собрать почти всю нужную информацию о компьютерах в сети, и будет полезна как опытным администраторам, так и новичкам в администрировании. Она очень полезна, если вы только начали работать в организации, так как Active Network Monitor может дать довольно таки полную информацию о компьютерах. К недостаткам можно отнести не совсем удобную возможность сравнения результатов, ярко-салатовый цвет выделения различий между сканированиями, не совсем полное описание запущенных процессов (хотелось бы так же видеть список .dll, загружаемых отдельным процессом). С нашей точки зрения это утилита может помочь в администрировании, и ее стоит испробовать.

SOC как супергерой: не спит, не ест, следит за безопасностью!

И мы тоже не спим, чтобы держать вас в курсе всех угроз

Подключитесь к экспертному сообществу!