Home    SecuLution Dokumentation Zurück Vor
Willkommen
SecuLution Technik und Terminologie
Schnellstart
Testinstallation in 30 Minuten
Vorgehen im Alltag
Vollinstallation und Integration in 5 Stunden
Installation der Komponenten
Installation der Appliance
AdminWizard Installation
Agent Installation
Syslog Server Installation
Erstkonfiguration
Grundeinstellungen vornehmen
Agent Konfiguration
Aufgaben automatisieren
Verwaltung der Positivliste
Erste Erstellung einer Positivliste
Musterrechner importieren
Lernmodus
Ausrollen der Agents prüfen
Audit / Prüfung der gelernten Hashes
Zur Positivliste hinzufügen
Drag'n'drop
Individueller Lernmodus
Aus Verzeichnis importieren
Ständiger Lernbenutzer / PLU
Log Alarme
Positivliste bereinigen
Manuell ungenutzte Hashes entfernen
Hashes nach einem Muster entfernen
Klassifizierungen aufräumen
Managed Whitelist
Managed Whitelist
Aktionen
Aktionen
Regel auf Objekte beziehen
Offline Modus
Offline Modus
Geräte
USB Geräte Management
USB Geräte Verschlüsselung
Ausrollen der Agents (RCM)
Ausrollen der Agents (RemoteClientManagement)
ArpWatch
ArpWatch
Logs
Logs
FAQ
setup.ini

Audit


Regel-Ansicht nach Klassifizierung

Wenn Sie der Schnellstart-Anleitung gefolgt sind, haben Sie Hashes in 2 Schritten zu Ihrer Positivliste hinzugefügt:

1. Import aus vertrauenswürdigen Datenquellen (Musterrechner)

2. Abweichungen im Lernmodus

Zu diesem Zeitpunkt wissen wir, dass alle importierten Hashes aus Schritt 1 vertrauenswürdig sind. Es ist sehr wahrscheinlich, dass zusätzliche unerwünschte Software (z.B. Spiele, Schadsoftware) im Lernmodus (Schritt 2) der Whitelist hinzugefügt wurde. Aus diesem Grunde müssen wir die in Schritt 2 gelernte Software auditieren (prüfen). Um den Aufwand zu minimieren, prüfen wir nur die Hashes, die im Lernmodus hinzugefügt wurden, die also von der als vertrauenswürdig bekannten Software abweicht. Wählen Sie Menü "Ansicht / Regeln / nach Klassifizierung" (oder drücken Sie die Tasten STRG-4 oder den 4. Radio-Button über der Regeln Baumansicht):

menuView

Je nach verwendeter Klassifizierung sieht Ihr Regelsatz nun so aus:

Ruleset1

Doppelklick auf "Musterrechner":
open1
Sie finden nun alle Hashes, die von Musterrechnern importiert und damit von Ihnen als vertrauenswürdig klassifiziert wurden im Bereich „Musterrechner“. Alle darin enthaltenen Hashes sind vertrauenswürdig und müssen nicht weiter untersucht werden. Wir können diese Hashes komplett ignorieren.

Öffnen wir die Klassifizierung "im Lernmodus hinzugefügt":
lern1
Dies ist Software und Hardware, die wir untersuchen müssen. Fahren Sie mit der Geräteklassifizierung fort.



Geräte klassifizieren

Zunächst sollten wir die Klassifizierung alle Geräte ändern, damit wir diese zu einem späteren Zeitpunkt gesondert auditieren können.

Wählen Sie Menü "Ansicht / Regeln / nach Pfad" (oder drücken Sie die Tasten STRG-2 oder den 2. Radio über der Regeln Baumansicht):




Sie sehen die Ansicht nach "Pfad" gruppiert.


Markieren Sie alle Geräte, indem Sie "devices" per Doppelklick öffnen, den obersten Eintrag anklicken, die Umschalt-Taste (Shift/Großschreibung) gedrückt halten und dann den untersten Eintrag anklicken:



Rechtsklick "Klassifizierung ändern" und eingeben "Geräte".




Führen Sie diesen Schritt auch mit den vorhandenen Unterordnern durch.

Wählen Sie Menü "Ansicht / Regeln / nach Klassifizierung" (oder drücken Sie die Tasten STRG-4 oder den 4. Radio über der Regeln Baumansicht):

dev

Sie können Geräte auf die gleiche Weise klassifizieren wie Software. Verwenden Sie das Semikolon zur Trennung:
cl5

Sie können Hashes, die USB-Geräte repräsentieren, ebenfalls jederzeit aus der Positivliste löschen. USB-Geräte, die nicht (mehr) in Ihrer Positivliste enthalten sind, werden nach Ab- und Anstecken des USB-Geräts oder Reboot des Computers nicht mehr nutzbar sein. Alternativ kann auch die Funktion „Geräte erneut überprüfen“ aus dem Menu des Agents verwendet werden.



Software prüfen mit Feature Managed Whitelist - Trustlevel

SecuLution bietet eine zentrale Online-Datenbank (Managed Whitelist) mit Informationen über die Vertrauenswürdigkeit (Trustlevel) von Software (identifiziert über ihren Hash). Durch Klicken auf "Programm prüfen" () wird der Hash an die SecuLution Managed Whitelist übertragen und die Vertrauenswürdigkeit ermittelt. 




Dies ermöglicht die Prüfung der Vertrauenswürdigkeit von sämtlichen Hashes der Positivliste mit einem Mausklick:
Wählen Sie Menü "Ansicht / Regeln / nach Trustlevel" (oder drücken Sie die Tasten STRG-8 oder den 8. Radio Button über der Regeln Baumansicht):





Klicken Sie mit der rechten Maustaste auf "unbekannt" und wählen Sie "Trustlevel online prüfen":



Die Hashe werden an die Managed Whitelist übertragen und die Trustlevel aller Einträge ermittelt:


Prüfen und entfernen von nicht vertrauenswürdigen Hashen
Nach Beendigung der Prüfung der Trustlevel sollten mindestens die Trustlevel 0 bis 3 geprüft und eine Entfernung der Hashe in Betracht gezogen werden. Wie wird der Trustlevel in der Managed Whitelist ermittelt?

Unlimitierter Datenbank Zugang
Die Managed Whitelist steht allen Kunden für 5 Abfragen pro Tag kostenfrei zur Verfügung.
Eine unlimitierte Anzahl von Abfragen pro Tag kann als Service gebucht werden.



Software prüfen ohne Managed Whitelist

Als Nächstes müssen wir die Hashes, die Software repräsentieren und die im Lernmodus hinzugefügt wurden, prüfen. Ist ihr Netzwerk frei von Schadsoftware?

Gehen wir Schritt für Schritt durch die Liste der Software, die in Ihrem Netzwerk verwendet wird und über das, was als vertrauenswürdig eingestuft wurde, hinausgeht. Um zu prüfen, ob ein Hash wirklich eine vertrauenswürdige Software repräsentiert, haben wir einige Indizien, die wir nutzen können:



Pfad:
In diesem Beispiel wurde das Programm "1033dotnetfx.exe" von dem Pfad "g:\alle-lesen\cad\install-agievision\" gestartet, was in diesem Falle ein Netzlaufwerk (oder UNC-Pfad) eines Servers ist, auf dem nur Administratoren Schreibzugriff haben. Dies ist ein Indiz, dass es sich hierbei um erwünschte Software handelt, da auf diesen Pfad nur ein Administrator Schreibzugriff hatte. Sie kennen Ihre Server und Pfade. Sie erkennen, woher Software stammt.
Dateiname:
Der Dateiname "1033dotnetfx.exe" ist ein weiteres Indiz, aber da unerwünschte Software beliebige Namen haben kann, ist dies kein Beweis dafür, dass "1033dotnetfx.exe" wirklich ist, was es vorgibt zu sein.
Hash:
Der Hash "52456ac39bbb4640930d155c15160556" ist ein verlässlicher Schlüssel zur Erkennung, ob es sich hierbei um gute oder schlechte Software handelt. Klicken Sie mit der rechten Maustaste auf den Hash.
  • "Google Suche". In diesem Fall zeigt Google sofort über 1.000 Seiten, die diesen Hash enthalten. Die meisten dieser Seiten erwähnen explizit DotNet 1.1. Noch ist das kein 100% Beweis, aber es ist damit sehr unwahrscheinlich, dass das Programm jetzt wirklich etwas anders ist, als es vorgibt zu sein.
  • "Datei Eigenschaften öffnen" Sie können sich die Dateieigenschaften anzeigen lassen und ggf. vorhandene digitale Signaturen prüfen. Dies funktioniert durch den Zugriff auf die Admin-Freigabe auf den Computer, auf dem das Programm gestartet wurde. Falls der Admin-Share nicht erreichbar ist (z.B. Computer ist aus oder Admin-Share geblockt), sind die Dateieigenschaften nicht verfügbar.
  • "Programm prüfen." Dies ist der Online-Dienst namens „Managed Whitelist“, den wir (SecuLution) unseren Kunden anbieten.

In diesem speziellen Fall handelt es sich wirklich Microsofts Installationsprogramm für DotNet Framework 1.1, das wir als vertrauenswürdig erachten. Also sollten wir die Klassifizierung dieses Programms ändern: "im Lernmodus hinzugefügt" ändern in "Software;MS;DotNet;Installer;1.1".

dn

Sie sollten nun damit fortfahren alle „im Lernmodus hinzugefügt“ klassifizierten Einträge neu zu klassifizieren oder zu löschen.

Tipps:
Ich kenne diese Software nicht. Ist das Schadsoftware?
Keine Panik. Möglicherweise schädliche oder unerwünschte Software läuft möglicherweise bereits seit langer Zeit, ohne dass jemand es merkt. Ja, Sie sollten sich selbstverständlich schnell darum kümmern, das so bald wie möglich zu bereinigen, aber es gibt jetzt keinen Grund für überschnelle Reaktionen. Vergeben Sie zunächst eine spezielle Klassifizierung für die Programme, bei denen Sie sich im Moment noch nicht sicher sind, um was genau es sich handelt (z.B. „unklar“). Behandeln Sie diese Fälle sobald Sie die Zeit dazu haben. Wir möchten an dieser Stelle davor warnen, spontan alles aus der Positivliste zu entfernen, was Ihnen nicht auf den ersten Blick bekannt vorkommt. Damit würden Sie sich vermutlich mehr Probleme einhandeln als lösen, da durch ein Löschen möglicherweise beruflich benötigte Software geblockt wird. Sobald Sie die Zeit haben, schauen Sie sich die Einträge genauer an, die Sie als „unklar“ klassifiziert haben. Sobald Sie den Lernmodus verlassen haben, stellt SecuLution sicher, dass Ihre Netzwerksicherheit zunächst einmal nicht schlimmer werden kann, auch wenn Sie nicht sofort die Zeit haben, jegliche Software einer genauen Prüfung zu unterziehen.

Ich habe etwas gefunden, das ich definitiv nicht haben will!
Entfernen Sie offensichtlich unerwünschte Software durch einen Klick auf "Eintrag entfernen". Die Benutzer werden sich daran gewöhnen, zukünftig nicht mehr in der Lage zu sein, ihre Lieblingsspiele zu spielen. Daher ist es möglicherweise gar nicht mehr notwendig, sie anzurufen und sich über den Missbrauch des Arbeitsmittels Computer zu beschweren.

ab

Ich habe ein Dutzend Versionen der selben Software gefunden!
Sie werden wahrscheinlich feststellen, dass Software in verschiedenen Versionen verwendet wird. Dies geschieht häufig, wenn nicht viel Aufwand in die Aktualisierung der installierten Software investiert wurde. Die verschiedenen Hashes repräsentieren in der Regel jeweils einzelne Versionen einer Software. Ausgehend davon, dass Sie auf Ihrem Musterrechner bereits die aktuellste Version der jeweiligen Software installiert hatten, bedeutet dies, dass alle anderen Hashes mit der Klassifizierung „im Lernmodus hinzugefügt“ wahrscheinlich veraltet (Sicherheitslücken) sind!


Treten Sie einen Schritt zurück und führen Sie sich noch einmal vor Augen, was Sie hier gefunden haben: In Ihrem Netzwerk gibt es veraltete Software, die vermutlich Sicherheitslücken aufweist, deren Sie sich nicht bewusst waren! Das hat sich nun geändert! Sie sollten diese Software hier nicht einfach neu klassifizieren, sondern sicherstellen, dass Sie alle veralteten und unsicheren Versionen zunächst aktualisieren und dann die zugehörigen Einträge in der Positivliste entfernen! Auf diese Weise bietet SecuLution eine einfache Möglichkeit, den Überblick über alle Versionen aller Software zu halten. Es mag einiges an Arbeit bedeuten, sämtliche Aktualisierungen durchzuführen, aber das hat nichts mit SecuLution zu tun. SecuLution teil Ihnen lediglich mit, wo diese Aufgaben noch nicht komplett umgesetzt wurden.

Aber wie finde ich heraus, auf welchen Computern eine Software verwendet wird?
Sie können den LogLevel, der ausgelöst wird, wenn eine Software verwendet wird, individuell konfigurieren. Wenn Sie also wissen wollen, auf welchen Rechnern diese alte Version von Adobe Reader verwendet wird, setzen Sie einfach den LogLevel der "Erlauben"-Aktion des entsprechenden Hashs auf zum Beispiel "5":


LogLevel 5 ist größer als der eingestellte Log-Schwellenwert, sodass von nun an Einträge in den Logs erzeugt werden, die Ihnen mitteilen, auf welchem Rechner das Programm gestartet wurde. Aktualisieren Sie die Versionen auf den Computern und löschen Sie dann dieses Programm aus Ihrer Positivliste.