Home | SecuLution Version 1.x Dokumentation | Zurück Vor |
|
DIESE DOKUMENTATION IST NICHT AKTUELL!!!Die aktuelle Dokumentation ist erhältlich unter: SecuLution 2.x Dokumentation als Google Docs Dokument (empfohlen) SecuLution 2.x Dokumentation als html Datei Die aktuelle FAQ zu SecuLution Application Whitelisting ist erhältlich unter: SecuLution 2.x FAQ als Google Docs Dokument (empfohlen) SecuLution 2.x FAQ als eine html Datei Die folgende Dokumentation beschreibt das nicht mehr aktuelle Produkt SecuLution Application Whitelisting in den Versionen 1.x. Seit April 2018 ist SecuLution Application Whitelisting in der Version 2.x erhältlich. Seit Oktober 2019 ist der Support für SecuLution 1.x eingestellt. Audit
Regel-Ansicht nach KlassifizierungWenn Sie der Schnellstart-Anleitung gefolgt sind, haben Sie Hashes in 2 Schritten zu Ihrer Positivliste hinzugefügt: 1. Import aus vertrauenswürdigen Datenquellen (Musterrechner) 2. Abweichungen im Lernmodus Zu diesem Zeitpunkt wissen wir, dass alle importierten Hashes aus Schritt 1 vertrauenswürdig sind. Es ist sehr wahrscheinlich, dass zusätzliche unerwünschte Software (z.B. Spiele, Schadsoftware) im Lernmodus (Schritt 2) der Whitelist hinzugefügt wurde. Aus diesem Grunde müssen wir die in Schritt 2 gelernte Software auditieren (prüfen). Um den Aufwand zu minimieren, prüfen wir nur die Hashes, die im Lernmodus hinzugefügt wurden, die also von der als vertrauenswürdig bekannten Software abweicht. Wählen Sie Menü "Ansicht / Regeln / nach Klassifizierung" (oder drücken Sie die Tasten STRG-4 oder den 4. Radio-Button über der Regeln Baumansicht):
Je nach verwendeter Klassifizierung sieht Ihr Regelsatz nun so aus:
Geräte klassifizierenZunächst sollten wir die Klassifizierung alle Geräte ändern, damit wir diese zu einem späteren Zeitpunkt gesondert auditieren können. Wählen Sie Menü "Ansicht / Regeln / nach Pfad" (oder drücken Sie die Tasten STRG-2 oder den 2. Radio über der Regeln Baumansicht):
Sie sehen die Ansicht nach "Pfad" gruppiert. Markieren Sie alle Geräte, indem Sie "devices" per Doppelklick öffnen, den obersten Eintrag anklicken, die Umschalt-Taste (Shift/Großschreibung) gedrückt halten und dann den untersten Eintrag anklicken: Rechtsklick "Klassifizierung ändern" und eingeben "Geräte". Führen Sie diesen Schritt auch mit den vorhandenen Unterordnern durch. Wählen Sie Menü "Ansicht / Regeln / nach Klassifizierung" (oder drücken Sie die Tasten STRG-4 oder den 4. Radio über der Regeln Baumansicht): Sie können Geräte auf die gleiche Weise klassifizieren wie Software. Verwenden Sie das Semikolon zur Trennung: Sie können Hashes, die USB-Geräte repräsentieren, ebenfalls jederzeit aus der Positivliste löschen. USB-Geräte, die nicht (mehr) in Ihrer Positivliste enthalten sind, werden nach Ab- und Anstecken des USB-Geräts oder Reboot des Computers nicht mehr nutzbar sein. Alternativ kann auch die Funktion „Geräte erneut überprüfen“ aus dem Menu des Agents verwendet werden. Software prüfen mit Feature Managed Whitelist - TrustlevelSecuLution bietet eine zentrale Online-Datenbank (Managed Whitelist) mit Informationen über die Vertrauenswürdigkeit (Trustlevel) von Software (identifiziert über ihren Hash). Durch Klicken auf "Programm prüfen" () wird der Hash an die SecuLution Managed Whitelist übertragen und die Vertrauenswürdigkeit ermittelt.
Dies ermöglicht die Prüfung der Vertrauenswürdigkeit von sämtlichen Hashes der Positivliste mit einem Mausklick: Wählen Sie Menü "Ansicht / Regeln / nach Trustlevel" (oder drücken Sie die Tasten STRG-8 oder den 8. Radio Button über der Regeln Baumansicht): Klicken Sie mit der rechten Maustaste auf "unbekannt" und wählen Sie "Trustlevel online prüfen": Die Hashe werden an die Managed Whitelist übertragen und die Trustlevel aller Einträge ermittelt: Prüfen und entfernen von nicht vertrauenswürdigen Hashen Nach Beendigung der Prüfung der Trustlevel sollten mindestens die Trustlevel 0 bis 3 geprüft und eine Entfernung der Hashe in Betracht gezogen werden. Wie wird der Trustlevel in der Managed Whitelist ermittelt? Unlimitierter Datenbank Zugang Die Managed Whitelist steht allen Kunden für 5 Abfragen pro Tag kostenfrei zur Verfügung. Eine unlimitierte Anzahl von Abfragen pro Tag kann als Service gebucht werden. Software prüfen ohne Managed Whitelist Als Nächstes müssen wir die Hashes, die Software repräsentieren und die im Lernmodus hinzugefügt wurden, prüfen. Ist ihr Netzwerk frei von Schadsoftware? Gehen wir Schritt für Schritt durch die Liste der Software, die in Ihrem Netzwerk verwendet wird und über das, was als vertrauenswürdig eingestuft wurde, hinausgeht. Um zu prüfen, ob ein Hash wirklich eine vertrauenswürdige Software repräsentiert, haben wir einige Indizien, die wir nutzen können: Pfad: In diesem Beispiel wurde das
Programm "1033dotnetfx.exe" von dem Pfad
"g:\alle-lesen\cad\install-agievision\" gestartet, was in diesem
Falle ein Netzlaufwerk (oder UNC-Pfad) eines Servers ist, auf dem
nur Administratoren Schreibzugriff haben. Dies ist ein Indiz, dass
es sich hierbei um erwünschte Software handelt, da auf diesen Pfad
nur ein Administrator Schreibzugriff hatte. Sie kennen Ihre Server
und Pfade. Sie erkennen, woher Software stammt.
Dateiname:Der Dateiname "1033dotnetfx.exe"
ist ein weiteres Indiz, aber da unerwünschte Software beliebige
Namen haben kann, ist dies kein Beweis dafür, dass
"1033dotnetfx.exe" wirklich ist, was es vorgibt zu sein.
Hash:Der Hash
"52456ac39bbb4640930d155c15160556" ist ein verlässlicher Schlüssel
zur Erkennung, ob es sich hierbei um gute oder schlechte Software
handelt. Klicken Sie mit der rechten Maustaste auf den Hash.
In diesem speziellen Fall handelt es sich wirklich Microsofts Installationsprogramm für DotNet Framework 1.1, das wir als vertrauenswürdig erachten. Also sollten wir die Klassifizierung dieses Programms ändern: "im Lernmodus hinzugefügt" ändern in "Software;MS;DotNet;Installer;1.1". Sie sollten nun damit fortfahren alle „im Lernmodus hinzugefügt“ klassifizierten Einträge neu zu klassifizieren oder zu löschen. Tipps: Ich kenne diese Software nicht. Ist das Schadsoftware? Keine Panik. Möglicherweise schädliche oder unerwünschte Software läuft möglicherweise bereits seit langer Zeit, ohne dass jemand es merkt. Ja, Sie sollten sich selbstverständlich schnell darum kümmern, das so bald wie möglich zu bereinigen, aber es gibt jetzt keinen Grund für überschnelle Reaktionen. Vergeben Sie zunächst eine spezielle Klassifizierung für die Programme, bei denen Sie sich im Moment noch nicht sicher sind, um was genau es sich handelt (z.B. „unklar“). Behandeln Sie diese Fälle sobald Sie die Zeit dazu haben. Wir möchten an dieser Stelle davor warnen, spontan alles aus der Positivliste zu entfernen, was Ihnen nicht auf den ersten Blick bekannt vorkommt. Damit würden Sie sich vermutlich mehr Probleme einhandeln als lösen, da durch ein Löschen möglicherweise beruflich benötigte Software geblockt wird. Sobald Sie die Zeit haben, schauen Sie sich die Einträge genauer an, die Sie als „unklar“ klassifiziert haben. Sobald Sie den Lernmodus verlassen haben, stellt SecuLution sicher, dass Ihre Netzwerksicherheit zunächst einmal nicht schlimmer werden kann, auch wenn Sie nicht sofort die Zeit haben, jegliche Software einer genauen Prüfung zu unterziehen. Ich habe etwas gefunden, das ich definitiv nicht haben will! Entfernen Sie offensichtlich unerwünschte Software durch einen Klick auf "Eintrag entfernen". Die Benutzer werden sich daran gewöhnen, zukünftig nicht mehr in der Lage zu sein, ihre Lieblingsspiele zu spielen. Daher ist es möglicherweise gar nicht mehr notwendig, sie anzurufen und sich über den Missbrauch des Arbeitsmittels Computer zu beschweren. Ich habe ein Dutzend Versionen der selben Software gefunden! Sie werden wahrscheinlich feststellen, dass Software in verschiedenen Versionen verwendet wird. Dies geschieht häufig, wenn nicht viel Aufwand in die Aktualisierung der installierten Software investiert wurde. Die verschiedenen Hashes repräsentieren in der Regel jeweils einzelne Versionen einer Software. Ausgehend davon, dass Sie auf Ihrem Musterrechner bereits die aktuellste Version der jeweiligen Software installiert hatten, bedeutet dies, dass alle anderen Hashes mit der Klassifizierung „im Lernmodus hinzugefügt“ wahrscheinlich veraltet (Sicherheitslücken) sind! Treten Sie einen Schritt zurück und führen Sie sich noch einmal vor Augen, was Sie hier gefunden haben: In Ihrem Netzwerk gibt es veraltete Software, die vermutlich Sicherheitslücken aufweist, deren Sie sich nicht bewusst waren! Das hat sich nun geändert! Sie sollten diese Software hier nicht einfach neu klassifizieren, sondern sicherstellen, dass Sie alle veralteten und unsicheren Versionen zunächst aktualisieren und dann die zugehörigen Einträge in der Positivliste entfernen! Auf diese Weise bietet SecuLution eine einfache Möglichkeit, den Überblick über alle Versionen aller Software zu halten. Es mag einiges an Arbeit bedeuten, sämtliche Aktualisierungen durchzuführen, aber das hat nichts mit SecuLution zu tun. SecuLution teil Ihnen lediglich mit, wo diese Aufgaben noch nicht komplett umgesetzt wurden. Aber wie finde ich heraus, auf welchen Computern eine Software verwendet wird? Sie können den LogLevel, der ausgelöst wird, wenn eine Software verwendet wird, individuell konfigurieren. Wenn Sie also wissen wollen, auf welchen Rechnern diese alte Version von Adobe Reader verwendet wird, setzen Sie einfach den LogLevel der "Erlauben"-Aktion des entsprechenden Hashs auf zum Beispiel "5": LogLevel 5 ist größer als der eingestellte Log-Schwellenwert, sodass von nun an Einträge in den Logs erzeugt werden, die Ihnen mitteilen, auf welchem Rechner das Programm gestartet wurde. Aktualisieren Sie die Versionen auf den Computern und löschen Sie dann dieses Programm aus Ihrer Positivliste. |