Typischerweise beginnt ein Penetrationstest mit einem Schwachstellenscan. Ein guter Scanner verfügt immer über eine aktuelle Datenbank bekannter Schwachstellen und meldet beim Scannen Ihres Netzwerks das Vorhandensein der einen oder anderen Schwachstelle. Unsere weitere Arbeit besteht darin, zu prüfen, ob jede der gefundenen Schwachstellen wirklich anfällig für Ausnutzung ist, denn Schwachstellenscanner liefern häufig falsch positive Ergebnisse.

Einer der beliebtesten Schwachstellenscanner auf dem Markt ist der Nessus Vulnerability Scanner. Es ist zu einer Art Standard für Schwachstellenscanner geworden. Es begann ursprünglich als Open-Source-Projekt. Später wurde es von Tenable übernommen und ist heute ein kommerzielles Produkt (Professional-Version). Trotzdem gibt es von Nessus Scanner immer noch eine „Home“-Version, die kostenlos verteilt wird, jedoch auf 16 IP-Adressen begrenzt ist. Es ist diese Version, die wir in dieser Bedienungsanleitung betrachten werden.

Als „Hacker“ erhalten wir nach dem Scannen volle Liste Schwachstellen, für die Sie nur Exploits finden müssen. Leider sind Schwachstellenscanner sehr laut und wachsame Administratoren können ihren Betrieb erkennen. Allerdings verfügen nicht alle Organisationen über solche Administratoren.

Vergessen Sie nicht wichtige Punkte zu Schwachstellenscannern. Sie können keine 0-Tage-Schwachstellen erkennen. Wie Antivirensoftwareprodukte müssen ihre Datenbanken jeden Tag aktualisiert werden, um wirksam zu sein.

Jeder Pentester mit Selbstachtung sollte mit dem Nessus Scanner vertraut sein. Viele größere Organisationen auf der ganzen Welt nutzen es in Kombination Informationssicherheit.

Vor kurzem hat sogar die US-Regierung damit begonnen, Schwachstellen zu scannen. Nahezu jedes Bundesamt und jeder US-Militärstützpunkt auf der ganzen Welt nutzt mittlerweile Nessus.

Werfen wir einen Blick darauf, wie dieses Programm in Aktion aussieht!

Schritt 1. Laden Sie Nessus Scanner kostenlos herunter

Es ist nicht einfach, die kostenlose Home-Version von Nessus Home auf Tenable zu finden. Deshalb haben wir einen Direktlink für Sie vorbereitet.

Zum Erhalten Freie Version Eine Registrierung ist erforderlich. Sie müssen daher Ihre E-Mail-Adresse angeben, um einen Aktivierungscode zu erhalten.

Schritt 2: Starten Sie Nessus

Sobald die Installation abgeschlossen ist, wird der Standardbrowser mit einer Meldung wie unten gezeigt geöffnet. Nessus basiert auf einer Client-Server-Architektur. Sie haben den Server auf localhost installiert und der Browser fungiert als Client.

Sie erhalten höchstwahrscheinlich die Meldung: „Ihre Verbindung ist nicht sicher.“ Klicken Sie auf „Erweitert“.

Fügen Sie dann Ausnahmen hinzu, um Nessus über Port 8834 zu verbinden.

Schritt 3: Richten Sie Nessus Home ein

Fast alles ist bereit, nach Schwachstellen zu suchen!

Sie müssen erstellen Konto. Dies müssen Sie angeben, um sich bei Nessus anzumelden.

Nach Eingabe Ihres Benutzernamens und Passworts müssen Sie das Produkt aktivieren. Suchen Sie den Brief mit dem Aktivierungscode in Ihrer E-Mail und geben Sie ihn in das entsprechende Feld auf Ihrer Nessus-Seite ein.

Sobald dies erledigt ist, beginnt Nessus mit dem Herunterladen aller neuesten Updates und Plugins, die zum Auffinden von Schwachstellen in Ihrem Netzwerk erforderlich sind. Der Vorgang kann einige Zeit dauern.

Schritt 4: Führen Sie einen Schwachstellenscan durch

Wenn Nessus das Update abschließt, werden Sie mit einem Bildschirm wie dem folgenden begrüßt. Klicken Sie auf „Neuer Scan“.

Dadurch wird eine neue Seite geöffnet, auf der Sie den Scantyp auswählen können. Bitte beachten Sie, dass es immer die aktuellsten Bedrohungsmodelle enthält.

Klicken wir auf „Basic Network Scan“.

Es öffnet sich eine Seite ähnlich der folgenden, auf der Sie aufgefordert werden, einen Namen für Ihren Scan einzugeben (Sie können alles eingeben, was Ihnen Sinn macht, zum Beispiel „Erster Scan“). Sie müssen auch die Knoten angeben, die wir scannen möchten. Sie können das gesamte Subnetz der IP-Adressen 192.168.1.0/24 angeben. Klicken Sie auf „Speichern“.

Klicken Sie nun auf die Schaltfläche „Starten“, um den Schwachstellenscan zu starten.

Schritt 5: Scan-Ergebnisse anzeigen

Basierend auf den Scan-Ergebnissen erhalten wir eine Liste der IP-Adressen und der damit verbundenen Risiken. Risiken sind farblich gekennzeichnet.

Klicken Sie im oberen Menü auf „Schwachstellen“, um alle im Netzwerk gefundenen Schwachstellen anzuzeigen.

Wenn wir auf eine bestimmte Schwachstelle klicken, erhalten wir mehr genaue Information. Nachfolgend finden Sie ein Beispiel für die CodeMeter-Sicherheitslücke.

Es ist wichtig zu beachten, dass der Bericht neben einer Beschreibung der Schwachstelle auch eine Methode zum Beheben und Schließen der Schwachstelle enthält (Abschnitt „Lösung“).

Abschluss

Der Nessus Vulnerability Scanner von Tenable ist bereits in der kostenlosen Home-Version ein recht einfach zu bedienender, aber gleichzeitig leistungsstarker Schwachstellenscanner. Sein Hauptvorteil besteht darin, dass es immer aktuelle Bedrohungsmodelle findet und Ihr Netzwerk schnell und effizient auf mögliche Ausnutzung überprüft.

Denken Sie daran, dass der Erfolg hochwertiger Informationssicherheit ein regelmäßiges Audit ist!

Aber vergessen Sie nicht, dass das Scannen der Netzwerke anderer Personen Konsequenzen in Form von Rechtsproblemen haben kann!

Es ist Zeit, eine andere Spezies kennenzulernen Software, zum Schutz vor Bedrohungen aus dem Internet konzipiert. Schwachstellenscanner sind komplexe Lösungen, die sowohl aus Hardware als auch bestehen können Software, konzipiert für die kontinuierliche Statusabfrage Firmennetzwerk, für die Auswirkungen von Viren oder verdächtigen Prozessen. Ihre Hauptaufgabe besteht darin, die Sicherheit von Prozessen zu bewerten sowie Schwachstellen zu finden und zu beseitigen.

Schwachstellenscanner oder Schwachstellenscanner, gibt dem Administrator die Möglichkeit, nach im Netzwerk vorhandenen „Lücken“ oder „Hintertüren“ zu suchen, mit deren Hilfe Hacker und Betrüger Zugriff auf das Netzwerk und vertrauliche Daten des Unternehmens erhalten können. Darüber hinaus sind in den Scannern Scantools enthalten laufende Dienste und Prozessoren sowie Port-Scanner.

Auf dieser Grundlage können wir die folgenden Funktionen von Schwachstellenscannern hervorheben:

• Suche nach Schwachstellen und deren Analyse.
• Überprüfung aller Ressourcen im Netzwerk, Geräten, Betriebssystem, Ports, Anwendungen, Prozessen usw.
• Erstellen Sie Berichte, die die Schwachstelle, ihren Pfad und ihre Art angeben.

Wie funktionieren Schwachstellenscanner?

Der Scanner basiert auf zwei Mechanismen. Der erste Mechanismus heißt – Sondierung. Es ist nicht sehr schnell, aber das effektivste aktive Analysetool. Sein Kern besteht darin, dass es selbst Angriffe startet und überwacht, wohin diese Angriffe führen können. Bei der Sondierung werden mögliche Vermutungen und die Möglichkeit von Angriffen in bestimmte Richtungen bestätigt.

Ein weiterer Mechanismus ist Scannen. In diesem Fall arbeitet das Tool schnell, es wird jedoch nur eine oberflächliche Analyse des Netzwerks durchgeführt, bei der die häufigsten und möglichen „Lücken“ in der Netzwerksicherheit untersucht werden. Der Unterschied zur zweiten Methode besteht darin, dass sie das Vorhandensein einer Schwachstelle nicht bestätigt, sondern den Administrator nur anhand indirekter Anzeichen über die Möglichkeit informiert. Beispielsweise werden Ports gescannt, ihre Header ermittelt und anschließend mit Referenztabellen und Regeln verglichen. Bei Abweichungen zwischen den Werten meldet der Scanner, dass eine potenzielle Schwachstelle gefunden wurde, die der Administrator mit zuverlässigeren Methoden prüfen muss.

Grundprinzipien von Schwachstellenscannern

Sammlung aller Informationen im Netzwerk, Identifizierung aller Dienste, Geräte und Prozesse.

Suchen Sie nach potenziellen Schwachstellen

Verwendung spezieller Methoden und Modellierungsangriffe zur Bestätigung von Schwachstellen (nicht in allen Netzwerkscannern verfügbar)

Eine Auswahl der besten Schwachstellenscanner

Nessus. Vor langer Zeit, im Jahr 1998, begann das Unternehmen Tenable Network Security mit der Entwicklung eines eigenen Schwachstellenscanners, dank dem es nun erfolgreich ist große Erfahrung und ist in seinem Bereich weit vorne. Ihr Scanner war viele Jahre lang kommerzielle Software. Hauptmerkmal Der Nessus-Scanner bietet die Möglichkeit, die Funktionalität mithilfe von Plugins zu erweitern. Somit werden leistungsstarke Tests, wie Penetrationstests oder andere, nicht zusammen mit dem Hauptmodul installiert, sondern bei Bedarf separat angeschlossen. Alle Plugins lassen sich in 42 Kategorien einteilen. Das bedeutet, dass es beispielsweise für die Durchführung eines Pintests (Penetrationstest) nicht notwendig ist, einen vollständigen Scan durchzuführen, sondern Sie können nur Tests aus einer bestimmten Kategorie auswählen oder Tests manuell auswählen. Darüber hinaus verfügt Nessus über eine eigene spezielle Skriptsprache, sodass Administratoren die benötigten Tests selbst schreiben können.

Symantec-Sicherheitscheck. Die Hauptfunktionen dieses Scanners bestehen darin, nach Würmern, Trojanern und Viren zu suchen und zu scannen lokales Netzwerk, um Befall zu erkennen. Dieses Produkt lässt sich einfach installieren und verfügt über ein Hauptkontrollzentrum im Browser. Die Lösung umfasst zwei Module: SecurityScan und VirusDetection. Der erste scannt das Netzwerk, der zweite scannt und überprüft das Gerät auf Viren. Einige Experten empfehlen, für zusätzliche Scans eine Lösung von Symantec zu verwenden.

Xspider. Nach Angaben des Entwicklers kann ihre Lösung ein Drittel aller möglichen Schwachstellen identifizieren, was als „Zero Day“ bezeichnet wird. Der Hauptvorteil dieses Scanners ist die Fähigkeit, die maximale Anzahl an „Lücken“ im Sicherheitssystem zu identifizieren, bevor Hacker sie entdecken können. Für diesen Scanner ist keine zusätzliche Software erforderlich. Nach der Analyse wird ein vollständiger Bericht mit den gefundenen Schwachstellen erstellt mögliche Wege deren Beseitigung.

Rapid 7 NeXpose. Laut Statistik ist Rapid 7 das am schnellsten wachsende Unternehmen in In letzter Zeit. Vor kurzem kaufte das Unternehmen das Projekt Metaspoilt Fremawork, aus dem das mittlerweile beliebte NeXpose entstand. Um die kommerzielle Version des Produkts nutzen zu können, müssen Sie einen erheblichen Betrag für eine Lizenz bezahlen. Es gibt jedoch auch eine zugänglichere Community-Version mit schlechterer Funktionalität. Das Produkt lässt sich problemlos in Metaspoilt integrieren. Arbeitsplan diese Entscheidung nicht einfach, zuerst müssen Sie NeXpose starten, dann die Metaspoilt-Verwaltungskonsole und erst danach können Sie mit dem Scannen beginnen, das gleichzeitig nicht über die Systemsteuerung, sondern mit speziellen Befehlen konfiguriert wird. Eine Besonderheit ist die Möglichkeit, verschiedene Metaspoilt-Module mit NeXpose auszuführen.

Typischerweise besteht die erste Phase eines umfassenden Penetrationstests darin, das Netzwerk auf Schwachstellen zu scannen. Softwarescanner nutzen spezielle Schwachstellendatenbanken (sie müssen aktuell sein), um nach Problemen in einem bestimmten Netzwerk zu suchen. Die Hauptaufgabe ist jedoch etwas anders. Unser Ziel ist es herauszufinden, ob diese Bedrohungen wirklich gefährlich sind, denn sehr oft schlagen Scanner einen Fehlalarm aus.

Viele Spezialisten entscheiden sich für Nessus Professional (NP), das zu einer Art Qualitätsstandard unter den Schwachstellenscannern geworden ist. NP verwendete ursprünglich die Idee eines offenen Quellcode, wurde aber später von Tenable aufgekauft. An dieser Moment NP ist ein teilweise kommerzielles Produkt: Dies gilt nur für die Professional-Version. Es gibt jedoch eine kostenlose Home-Version, die ein Limit von 16 IP-Adressen hat.

Nach dem Scan erstellt das Programm einen Bericht über die gefundenen Schwachstellen, deren tatsächliche Gefahr noch überprüft werden muss. Die meisten Scanner arbeiten recht „schlampig“, was einem besonders aufmerksamen Administrator schnell auffällt. Doch nicht alle Unternehmen verfügen über solche Spezialisten.

Bitte beachten Sie einige wichtige Details bei der Verwendung von Scannern: Sie finden keine Zero-Day-Schwachstellen und erfordern außerdem eine ständige Aktualisierung der Datenbank für eine möglichst genaue Arbeit.

Jeder, der sich mit Pentesting befasst, muss wissen, wie man den Nessus Scanner (NS) verwendet, da eine große Anzahl von Unternehmen auf der ganzen Welt NS aktiv in ihrer IT-Infrastruktur einsetzen. Beachten Sie, dass sogar US-Regierungsbehörden es nutzen, um Probleme in ihren Netzwerken zu finden. Das bedeutet, dass praktisch alle US-amerikanischen Bundes- und Militärbehörden bestens mit den Nessus-Technologien vertraut sind.

Was ist das also für ein Biest? Lasst uns es installieren und uns mit seiner Funktionalität vertraut machen?

Stufe 1: Erwerb einer Lizenz und Installation des Nessus-Scanners

Um Ihre eigene Lizenz zu erhalten, müssen Sie diese erwerben und eine E-Mail-Adresse angeben, an die der Aktivierungscode gesendet wird.

Bevor Sie mit dem Download beginnen, wählen Sie den Typ und die Bitrate des von Ihnen verwendeten Betriebssystems aus (unterstützte Betriebssysteme: WinServer, MacOS X, Linux, FreeBSD, GPG Keys).

Schritt 2: Erste Schritte mit Nessus

Sobald der Installationsvorgang abgeschlossen ist, wird Ihr Standardbrowser automatisch gestartet und zeigt eine Standardmeldung an. Nessus verwendet ein Client-Server-Modell. Der Client ist Ihr Browser und der Server wurde auf einem lokalen Host installiert.

Sicherlich wird die Nachricht den Text enthalten: „Ihre Verbindung ist nicht sicher.“ Wählen Sie „Erweitert“.

Legen Sie anschließend eine Ausnahme für die Verbindung von Nessus auf Port 8834 fest.

Stufe 3: Ersteinrichtung

Bis zum richtigen Spaß bleibt nur noch wenig Zeit! Aktivieren Sie Ihre Lizenz, nachdem Sie Ihren Benutzernamen und Ihr Passwort eingegeben haben. Zur Aktivierung benötigen Sie einen speziellen Schlüssel, der Ihnen zugesandt wurde Email an Ihre E-Mail. Geben Sie es nun einfach in das erforderliche Feld auf der Nessus-Systemseite ein. Das bereits aktivierte Programm beginnt mit dem Herunterladen der neuesten Updates und Plugins, die zum Scannen von Netzwerken benötigt werden. Dies ist nicht der schnellste Prozess.

Schritt 4: Starten Sie den Scanvorgang

Sobald die Aktualisierung abgeschlossen ist, öffnet Nessus automatisch den ersten Scan-Bildschirm. Klicken Sie gerne auf „Neuer Scan“.

Es wird uns offenbart neue Seite, wo Sie die Art des Scans angeben können.

Wählen Sie „Basis-Netzwerkscan“.

Dadurch wird eine weitere Seite geöffnet, die der Einrichtung des ausgewählten Scans gewidmet ist. Geben Sie die Prozess-ID an (zum ersten Mal können Sie etwas Verständlicheres auswählen, beispielsweise MyFirstScan). Wählen Sie die Netzwerkhosts aus, die Sie scannen möchten (Sie können sogar das gesamte Subnetz der IP-Adressen über 192.168.1.0/24 auswählen). Klicken Sie auf „Speichern“.

Um den Scanner zu starten, müssen Sie auf „Starten“ klicken.

Stufe 5: Ergebnisse

Als Ergebnis stellt Nessus eine Liste der IP-Adressen und der damit verbundenen Bedrohungen bereit, die mit einem Farbindikator versehen sind.

Klicken Sie auf „Schwachstellen“, um die vollständige Liste der im getesteten Netzwerk gefundenen Probleme anzuzeigen.

Um detaillierte Informationen zu dem Thema zu erhalten, das Sie interessiert, klicken Sie einfach darauf.

Bitte beachten Sie, dass das Programm nicht nur Beschreibungen von Schwachstellen, sondern auch Möglichkeiten zu deren Beseitigung bereitstellt (diese finden Sie auf der Registerkarte „Lösung“).

Zusammenfassend

Nessus-Scanner, das Sie über den Link kaufen können – es handelt sich um ein praktisches und effektives Tool, mit dem Sie selbst bei der Anwendung hervorragende Ergebnisse erzielen können seine kostenlose Version. Sein Hauptvorteil ist eine stets aktuelle Datenbank aller Arten ausnutzbarer Bedrohungen, auf deren Vorhandensein es das erforderliche Netzwerk problemlos überprüfen kann.

Und merke dir Der Schlüssel zur Sicherheit eines jeden IT-Systems ist dessen regelmäßige Prüfung!

P.S. Sie sollten nicht mit dem Gesetz scherzen, indem Sie die Netzwerke anderer Personen ohne Zustimmung des Eigentümers scannen!

Das Problem einer Epidemie von Netzwerkwürmern ist für jedes lokale Netzwerk relevant. Früher oder später kann es vorkommen, dass ein Netzwerk- oder E-Mail-Wurm in das LAN eindringt und vom verwendeten Antivirenprogramm nicht erkannt wird. Ein Netzwerkvirus verbreitet sich im LAN über Schwachstellen des Betriebssystems, die zum Zeitpunkt der Infektion nicht geschlossen waren, oder über beschreibbare, gemeinsam genutzte Ressourcen. Ein E-Mail-Virus verbreitet sich, wie der Name schon sagt, per E-Mail, sofern er nicht vom Client-Antivirenprogramm und dem Antivirenprogramm auf dem Computer blockiert wird Mail-Server. Darüber hinaus kann eine Epidemie in einem LAN aufgrund der Aktivitäten eines Insiders von innen heraus organisiert werden. In diesem Artikel betrachten wir praktische Methoden zur Betriebsanalyse von LAN-Computern mit verschiedenen Tools, insbesondere mit dem AVZ-Dienstprogramm des Autors.

Formulierung des Problems

Wenn im Netzwerk eine Epidemie oder eine ungewöhnliche Aktivität festgestellt wird, muss der Administrator schnell mindestens drei Aufgaben lösen:

• infizierte PCs im Netzwerk erkennen;
• Finden Sie Malware-Proben, die Sie an ein Antiviren-Labor senden können, und entwickeln Sie eine Gegenstrategie.
• Maßnahmen ergreifen, um die Ausbreitung des Virus im LAN zu blockieren und ihn auf infizierten Computern zu zerstören.

Bei Insider-Aktivitäten sind die Hauptschritte der Analyse identisch und beschränken sich meist auf die Notwendigkeit, vom Insider auf LAN-Computern installierte Software von Drittanbietern zu erkennen. Beispiele für solche Software sind Dienstprogramme Fernverwaltung, Keylogger und verschiedene Trojaner-Lesezeichen.

Betrachten wir die Lösung der einzelnen Aufgaben genauer.

Suchen Sie nach infizierten PCs

Um im Netzwerk nach infizierten PCs zu suchen, können Sie mindestens drei Methoden verwenden:

• automatische Remote-PC-Analyse – Informationen über laufende Prozesse, geladene Bibliotheken und Treiber erhalten, nach charakteristischen Mustern suchen – zum Beispiel Prozesse oder Dateien mit vorgegebenen Namen;
• Untersuchung des PC-Verkehrs mit einem Sniffer – diese Methode ist sehr effektiv zum Abfangen von Spam-Bots, E-Mail- und Netzwerkwürmern, die Hauptschwierigkeit bei der Verwendung eines Sniffers liegt jedoch darin, dass ein modernes LAN auf der Basis von Switches und dergleichen aufgebaut ist Daher kann der Administrator den Datenverkehr im gesamten Netzwerk nicht überwachen. Das Problem kann auf zwei Arten gelöst werden: durch Ausführen eines Sniffers auf dem Router (mit dem Sie den Datenaustausch zwischen PC und Internet überwachen können) und durch Nutzung der Überwachungsfunktionen von Switches (bei vielen modernen Switches können Sie einen Überwachungsport zuweisen). bei dem der Datenverkehr eines oder mehrerer vom Administrator angegebener Switch-Ports dupliziert wird);
• Untersuchung der Netzwerklast – in diesem Fall ist es sehr praktisch, intelligente Switches zu verwenden, mit denen Sie nicht nur die Last beurteilen, sondern auch vom Administrator angegebene Ports aus der Ferne deaktivieren können. Diese Operation es wird deutlich vereinfacht, wenn der Administrator über eine Netzwerkkarte verfügt, die Informationen darüber enthält, welche PCs an die entsprechenden Ports des Switches angeschlossen sind und wo sie sich befinden;
• Verwendung von Honeypots – es wird dringend empfohlen, mehrere Honeypots im lokalen Netzwerk zu erstellen, damit der Administrator eine Epidemie rechtzeitig erkennen kann.

Automatische Analyse von PCs im Netzwerk

Die automatische PC-Analyse kann auf drei Hauptschritte reduziert werden:

• Durchführung einer vollständigen PC-Prüfung - Laufende Prozesse, geladene Bibliotheken und Treiber, Autorun;
• Durchführung operativer Recherchen – zum Beispiel Suche nach charakteristischen Prozessen oder Dateien;
• Quarantäne von Objekten nach bestimmten Kriterien.

Alle oben genannten Probleme können mit dem AVZ-Dienstprogramm des Autors gelöst werden, das von einem Netzwerkordner auf dem Server aus gestartet werden kann und eine Skriptsprache für die automatische PC-Inspektion unterstützt. Um AVZ auf Benutzercomputern auszuführen, müssen Sie:

1. Platzieren Sie AVZ in einem Netzwerkordner auf dem Server, der zum Lesen geöffnet ist.
2. Erstellen Sie in diesem Ordner die Unterverzeichnisse LOG und Qurantine und erlauben Sie Benutzern, darauf zu schreiben.
3. Starten Sie AVZ auf LAN-Computern mit dem Dienstprogramm rexec oder dem Anmeldeskript.

Der Start von AVZ in Schritt 3 sollte mit den folgenden Parametern erfolgen:

\\my_server\AVZ\avz.exe Priority=-1 nw=Y nq=Y HiddenMode=2 Script=\\my_server\AVZ\my_script.txt

In diesem Fall senkt der Parameter Priority=-1 die Priorität des AVZ-Prozesses, die Parameter nw=Y und nq=Y schalten die Quarantäne in den Modus „Netzwerkausführung“ (in diesem Fall wird ein Unterverzeichnis im Quarantäneordner erstellt). für jeden Computer, dessen Name mit dem Netzwerknamen des PCs übereinstimmt), weist HiddenMode=2 an, dem Benutzer den Zugriff auf die GUI- und AVZ-Steuerelemente zu verweigern, und schließlich gibt der wichtigste Skriptparameter den vollständigen Namen des Skripts mit an Befehle, die AVZ auf dem Computer des Benutzers ausführt. Die AVZ-Skriptsprache ist recht einfach zu bedienen und konzentriert sich ausschließlich auf die Lösung von Problemen bei der Computeruntersuchung und -behandlung. Um das Schreiben von Skripten zu vereinfachen, können Sie einen speziellen Skripteditor verwenden, der eine Online-Eingabeaufforderung, einen Assistenten zum Erstellen von Standardskripten und Tools zum Überprüfen der Richtigkeit des geschriebenen Skripts enthält, ohne es auszuführen (Abb. 1).

Reis. 1. AVZ-Skripteditor

Schauen wir uns drei typische Skripte an, die im Kampf gegen die Epidemie nützlich sein können. Zuerst benötigen wir ein PC-Rechercheskript. Die Aufgabe des Skripts besteht darin, das System zu untersuchen und ein Protokoll mit den Ergebnissen in einem bestimmten Netzwerkordner zu erstellen. Das Skript sieht so aus:

ActivateWatchDog(60 * 10);

// Beginnen Sie mit dem Scannen und Analysieren

// Systemerkundung

ExecuteSysCheck(GetAVZDirectory+

‘\LOG\’+GetComputerName+’_log.htm’);

//AVZ herunterfahren

Während der Ausführung dieses Skripts werden HTML-Dateien mit den Ergebnissen der Untersuchung von Netzwerkcomputern im LOG-Ordner erstellt (vorausgesetzt, er wird im AVZ-Verzeichnis auf dem Server erstellt und steht Benutzern zum Schreiben zur Verfügung) und um sicherzustellen Um die Eindeutigkeit zu gewährleisten, ist der Name des untersuchten Computers im Protokollnamen enthalten. Am Anfang des Skripts gibt es einen Befehl zum Aktivieren eines Watchdog-Timers, der den AVZ-Prozess nach 10 Minuten zwangsweise beendet, wenn während der Skriptausführung Fehler auftreten.

Das AVZ-Protokoll eignet sich für manuelle Studien, ist jedoch für die automatisierte Analyse von geringem Nutzen. Darüber hinaus kennt der Administrator oft den Namen der Malware-Datei und muss nur das Vorhandensein oder Fehlen prüfen Diese Datei und, falls verfügbar, zur Analyse unter Quarantäne stellen. In diesem Fall können Sie das folgende Skript verwenden:

// Watchdog-Timer für 10 Minuten aktivieren

ActivateWatchDog(60 * 10);

// Suche nach Malware anhand des Namens

QuarantineFile('%WinDir%\smss.exe', 'Verdächtig bezüglich LdPinch.gen');

QuarantineFile('%WinDir%\csrss.exe', 'Verdacht auf LdPinch.gen');

//AVZ herunterfahren

Dieses Skript verwendet die QuarantineFile-Funktion, um zu versuchen, die angegebenen Dateien unter Quarantäne zu stellen. Der Administrator kann nur den Inhalt der Quarantäne (Ordner Quarantäne\Netzwerkname_PC\Quarantänedatum\) auf das Vorhandensein von Dateien in der Quarantäne analysieren. Bitte beachten Sie, dass die QuarantineFile-Funktion automatisch die Quarantäne von Dateien blockiert, die von der sicheren AVZ-Datenbank oder der Microsoft-Datenbank für digitale Signaturen identifiziert werden. Für praktische Anwendung Dieses Skript kann verbessert werden – organisieren Sie das Laden von Dateinamen aus einer externen Textdatei, vergleichen Sie die gefundenen Dateien mit den AVZ-Datenbanken und erstellen Sie ein Textprotokoll mit den Ergebnissen der Arbeit:

// Nach einer Datei mit dem angegebenen Namen suchen

function CheckByName(Fname: string) : boolean;

Ergebnis:= FileExists(FName) ;

Wenn Ergebnis, dann beginnen

case CheckFile(FName) von

1: S:= ‘, Zugriff auf die Datei ist gesperrt’;

1: S:= ‘, erkannt als Malware (‘+GetLastCheckTxt+’)’;

2: S:= ‘, vermutet durch den Dateiscanner (‘+GetLastCheckTxt+’)’;

3: Ausgang; // Sichere Dateien werden ignoriert

AddToLog(‘Die Datei ‚+NormalFileName(FName)+‘ hat einen verdächtigen Namen‘+S);

//Hinzufügen angegebene Datei In Quarantäne

QuarantineFile(FName,’verdächtige Datei’+S);

SuspNames: TStringList; // Liste der Namen verdächtiger Dateien

// Dateien mit der aktualisierten Datenbank vergleichen

if FileExists(GetAVZDirectory + ‚files.db‘) dann beginnen

SuspNames:= TStringList.Create;

SuspNames.LoadFromFile('files.db');

AddToLog('Namensdatenbank geladen - Anzahl der Datensätze = '+inttostr(SuspNames.Count));

// Suchschleife

for i:= 0 to SuspNames.Count - 1 do

CheckByName(SuspNames[i]);

AddToLog('Fehler beim Laden der Dateinamenliste');

SaveLog(GetAVZDirectory+’\LOG\’+

GetComputerName+’_files.txt’);

Damit dieses Skript funktioniert, müssen Sie die Quarantäne- und LOG-Verzeichnisse im AVZ-Ordner erstellen, auf die Benutzer zum Schreiben zugreifen können Textdatei files.db – jede Zeile dieser Datei enthält den Namen der verdächtigen Datei. Dateinamen können Makros enthalten. Die nützlichsten davon sind %WinDir% (Pfad zu Windows-Ordner) und %SystemRoot% (Pfad zum System32-Ordner). Eine weitere Analyserichtung könnte eine automatische Untersuchung der Liste der auf Benutzercomputern laufenden Prozesse sein. Informationen zu laufenden Prozessen finden Sie im Systemforschungsprotokoll, für die automatische Analyse ist es jedoch bequemer, das folgende Skriptfragment zu verwenden:

Prozedur ScanProcess;

S:= ''; S1:= '';

//Aktualisierung der Prozessliste

RefreshProcessList;

AddToLog(‘Anzahl der Prozesse = ‘+IntToStr(GetProcessCount));

// Analysezyklus der empfangenen Liste

for i:= 0 to GetProcessCount - 1 do begin

S1:= S1 + ‘,’ + ExtractFileName(GetProcessName(i));

// Prozess nach Namen suchen

wenn pos('trojan.exe', LowerCase(GetProcessName(i))) > 0 dann

S:= S + GetProcessName(i)+’,’;

wenn S<>''Dann

AddLineToTxtFile(GetAVZDirectory+’\LOG\_alarm.txt’, DateTimeToStr(Now)+’ ‘+GetComputerName+’ : ‘+S);

AddLineToTxtFile(GetAVZDirectory+’\LOG\_all_process.txt’, DateTimeToStr(Now)+’ ‘+GetComputerName+’ : ‘+S1);

Erforschung von Prozessen in dieses Skript ist als separate ScanProcess-Prozedur implementiert, sodass Sie sie problemlos in Ihr eigenes Skript einfügen können. Die ScanProcess-Prozedur erstellt zwei Listen von Prozessen: eine vollständige Liste von Prozessen (zur späteren Analyse) und eine Liste von Prozessen, die aus Sicht des Administrators als gefährlich gelten. In diesem Fall wird zu Demonstrationszwecken ein Prozess namens „trojan.exe“ als gefährlich angesehen. Informationen zu gefährlichen Prozessen werden der Textdatei _alarm.txt hinzugefügt, Daten zu allen Prozessen werden der Datei _all_process.txt hinzugefügt. Es ist leicht zu erkennen, dass Sie das Skript komplizieren können, indem Sie beispielsweise Prozessdateien mit der Datenbank vergleichen sichere Dateien oder Überprüfen der Namen ausführbarer Dateien von Prozessen anhand einer externen Datenbank. Ein ähnliches Verfahren wird in AVZ-Skripten verwendet, die in Smolenskenergo verwendet werden: Der Administrator untersucht regelmäßig die gesammelten Informationen und ändert das Skript, indem er ihm die Namen der Prozesse von Programmen hinzufügt, die durch die Sicherheitsrichtlinie verboten sind, zum Beispiel ICQ und MailRu.Agent, was dies ermöglicht Sie können damit schnell das Vorhandensein verbotener Software auf den untersuchten PCs überprüfen. Eine weitere Verwendung der Prozessliste besteht darin, PCs zu finden, auf denen ein erforderlicher Prozess, beispielsweise ein Antivirenprogramm, fehlt.

Schauen wir uns abschließend das letzte der nützlichen Analyseskripte an – ein Skript zur automatischen Quarantäne aller Dateien, die von der sicheren AVZ-Datenbank und der Microsoft-Datenbank für digitale Signaturen nicht erkannt werden:

// Autoquarantäne durchführen

ExecuteAutoQuarantine;

Die automatische Quarantäne untersucht laufende Prozesse und geladene Bibliotheken, Dienste und Treiber, etwa 45 Autostart-Methoden, Browser- und Explorer-Erweiterungsmodule, SPI/LSP-Handler, Scheduler-Jobs, Drucksystem-Handler usw. Eine Besonderheit der Quarantäne besteht darin, dass Dateien mit Wiederholungskontrolle hinzugefügt werden, sodass die Autoquarantänefunktion wiederholt aufgerufen werden kann.

Der Vorteil der automatischen Quarantäne besteht darin, dass der Administrator mit ihrer Hilfe schnell potenziell verdächtige Dateien von allen Computern im Netzwerk zur Untersuchung sammeln kann. Die einfachste (aber in der Praxis sehr effektive) Form der Dateiuntersuchung kann darin bestehen, die resultierende Quarantäne mit mehreren gängigen Antivirenprogrammen im maximalen heuristischen Modus zu überprüfen. Es ist zu beachten, dass der gleichzeitige Start der automatischen Quarantäne auf mehreren hundert Computern zu einer hohen Belastung des Netzwerks und des Dateiservers führen kann.

Verkehrsforschung

Verkehrsforschung kann auf drei Arten durchgeführt werden:

• manuell mit Sniffer-Geräten;
• im halbautomatischen Modus – in diesem Fall sammelt der Sniffer Informationen und dann werden seine Protokolle entweder manuell oder durch eine Software verarbeitet;
• automatisch mithilfe von Intrusion-Detection-Systemen (IDS) wie Snort (http://www.snort.org/) oder deren Software- oder Hardware-Äquivalenten. Im einfachsten Fall besteht ein IDS aus einem Sniffer und einem System, das die vom Sniffer gesammelten Informationen analysiert.

Ein Intrusion-Detection-System ist ein optimales Werkzeug, da es Ihnen ermöglicht, Regelsätze zu erstellen, um Anomalien in der Netzwerkaktivität zu erkennen. Sein zweiter Vorteil ist folgender: Die meisten modernen IDS ermöglichen die Platzierung von Verkehrsüberwachungsagenten auf mehreren Netzwerkknoten – die Agenten sammeln Informationen und übermitteln sie. Im Falle der Verwendung eines Sniffers ist es sehr praktisch, den Konsolen-UNIX-Sniffer tcpdump zu verwenden. Um beispielsweise die Aktivität auf Port 25 (SMTP-Protokoll) zu überwachen, reicht es aus, den Sniffer mit auszuführen Befehlszeile Typ:

tcpdump -i em0 -l TCP-Port 25 > smtp_log.txt

In diesem Fall werden Pakete über die em0-Schnittstelle erfasst; Informationen zu erfassten Paketen werden in der Datei smtp_log.txt gespeichert. Das Protokoll lässt sich relativ einfach manuell analysieren. In diesem Beispiel können Sie durch die Analyse der Aktivität auf Port 25 PCs mit aktiven Spam-Bots identifizieren.

Anwendung von Honeypot

Als Honeypot kann ein veralteter Rechner eingesetzt werden, dessen Leistung es nicht zulässt, ihn zur Lösung von Produktionsproblemen einzusetzen. Beispielsweise wird ein Pentium Pro mit 64 MB erfolgreich als Falle im Netzwerk des Autors eingesetzt Arbeitsspeicher. Auf diesem PC sollten Sie das gängigste LAN installieren Betriebssystem und wählen Sie eine der Strategien:

• Installieren Sie ein Betriebssystem ohne Update-Pakete – dies ist ein Indikator für das Auftreten eines aktiven Netzwerkwurms im Netzwerk, der eine der bekannten Schwachstellen dieses Betriebssystems ausnutzt;
• Installieren Sie ein Betriebssystem mit Updates, die auf anderen PCs im Netzwerk installiert sind – der Honeypot funktioniert analog zu jedem der Workstations.

Jede Strategie hat ihre Vor- und Nachteile; Der Autor nutzt hauptsächlich die Option ohne Updates. Nachdem Sie einen Honeypot erstellt haben, sollten Sie ein Disk-Image erstellen, um Ihr System nach einer Beschädigung durch Malware schnell wiederherzustellen. Als Alternative zu einem Disk-Image können Sie Change-Rollback-Systeme wie ShadowUser und seine Analoga verwenden. Nachdem Sie einen Honeypot erstellt haben, sollten Sie berücksichtigen, dass eine Reihe von Netzwerkwürmern nach infizierten Computern suchen, indem sie den IP-Bereich scannen, der aus der IP-Adresse des infizierten PCs berechnet wird (gängige typische Strategien sind X.X.X.*, X.X.X+1.*, X.X.X-1.*), - daher sollte es idealerweise in jedem Subnetz einen Honeypot geben. Als zusätzliche Vorbereitungselemente sollten Sie unbedingt den Zugriff auf mehrere Ordner im Honeypot-System öffnen und in diesen Ordnern mehrere Beispieldateien in verschiedenen Formaten ablegen, der Mindestsatz ist EXE, JPG, MP3.

Natürlich muss der Administrator nach der Erstellung eines Honeypots dessen Betrieb überwachen und auf alle erkannten Anomalien reagieren dieser Computer. Auditoren können als Mittel zum Aufzeichnen von Änderungen verwendet werden; ein Sniffer kann zum Aufzeichnen von Netzwerkaktivitäten verwendet werden. Ein wichtiger Punkt ist, dass die meisten Sniffer die Möglichkeit haben, das Senden einer Warnung an den Administrator zu konfigurieren, wenn eine bestimmte Netzwerkaktivität erkannt wird. Im CommView-Sniffer umfasst eine Regel beispielsweise die Angabe einer „Formel“, die ein Netzwerkpaket beschreibt, oder die Angabe quantitativer Kriterien (Senden von mehr als einer angegebenen Anzahl von Paketen oder Bytes pro Sekunde, Senden von Paketen an nicht identifizierte IP- oder MAC-Adressen) – Feige. 2.

Reis. 2. Erstellen und konfigurieren Sie eine Netzwerkaktivitätswarnung

Als Warnung ist es am bequemsten, E-Mail-Nachrichten zu verwenden, die an gesendet werden Briefkasten Administrator – in diesem Fall können Sie umgehend Benachrichtigungen von allen Traps im Netzwerk erhalten. Wenn Sie mit dem Sniffer außerdem mehrere Warnungen erstellen können, ist es sinnvoll, die Netzwerkaktivität durch Hervorhebung der Arbeit mit zu unterscheiden per E-Mail, FTP/HTTP, TFTP, Telnet, MS Net, erhöhter Datenverkehr von mehr als 20–30 Paketen pro Sekunde für jedes Protokoll (Abb. 3).

Reis. 3. Benachrichtigungsschreiben gesendet
wenn Pakete erkannt werden, die den angegebenen Kriterien entsprechen

Bei der Organisation einer Falle empfiehlt es sich, darauf mehrere anfällige Netzwerkdienste zu platzieren, die im Netzwerk verwendet werden, oder einen Emulator für sie zu installieren. Das einfachste (und kostenlose) ist das proprietäre APS-Dienstprogramm, das ohne Installation funktioniert. Das Funktionsprinzip von APS besteht darin, viele in seiner Datenbank beschriebene TCP- und UDP-Ports abzuhören und im Moment der Verbindung eine vorgegebene oder zufällig generierte Antwort auszugeben (Abb. 4).

Reis. 4. Hauptfenster des APS-Dienstprogramms

Die Abbildung zeigt einen Screenshot, der während einer echten APS-Aktivierung im Smolenskenergo LAN aufgenommen wurde. Wie in der Abbildung zu sehen ist, wurde versucht, einen der beiden anzuschließen Client-Computer auf Port 21. Die Analyse der Protokolle ergab, dass die Versuche regelmäßig erfolgen und von mehreren Fallen im Netzwerk aufgezeichnet werden, was uns den Schluss zulässt, dass das Netzwerk gescannt wird, um nach FTP-Servern zu suchen und diese zu hacken, indem Passwörter erraten werden. APS führt Protokolle und kann Nachrichten mit Berichten über registrierte Verbindungen zu überwachten Ports an Administratoren senden, was für die schnelle Erkennung von Netzwerkscans praktisch ist.

Beim Erstellen eines Honeypots ist es auch hilfreich, sich mit Online-Ressourcen zum Thema vertraut zu machen, insbesondere http://www.honeynet.org/. Im Abschnitt „Tools“ dieser Website (http://www.honeynet.org/tools/index.html) finden Sie eine Reihe von Tools zum Aufzeichnen und Analysieren von Angriffen.

Remote-Entfernung von Malware

Idealerweise, nachdem Proben entdeckt wurden Schadsoftware Der Administrator sendet sie an das Antiviren-Labor, wo sie umgehend von Analysten untersucht und die entsprechenden Signaturen in die Antiviren-Datenbank eingegeben werden. Diese Unterschriften durch Automatisches Update gelangen auf den PC des Benutzers und das Antivirenprogramm entfernt Malware automatisch, ohne dass der Administrator eingreifen muss. Allerdings funktioniert diese Kette nicht immer wie erwartet; insbesondere folgende Gründe für das Scheitern sind möglich:

• Aus verschiedenen, vom Netzwerkadministrator unabhängigen Gründen kann es sein, dass die Bilder das Antivirenlabor nicht erreichen.
• unzureichende Effizienz des Antivirenlabors – idealerweise dauert die Untersuchung der Proben und deren Eingabe in die Datenbank nicht länger als 1-2 Stunden, sodass aktualisierte Signaturdatenbanken innerhalb eines Arbeitstages abgerufen werden können. Allerdings arbeiten nicht alle Antiviren-Labore so schnell und Sie können mehrere Tage (in seltenen Fällen sogar Wochen) auf Updates warten;
• hohe Leistung des Antivirenprogramms – eine Reihe von Schadprogrammen zerstören nach der Aktivierung Antivirenprogramme oder stören auf andere Weise deren Betrieb. Klassische Beispiele – Inklusion in hosts-Datei Einträge, die den normalen Betrieb des automatischen Antiviren-Update-Systems blockieren, Prozesse, Dienste und Antiviren-Treiber löschen, deren Einstellungen beschädigen usw.

Daher müssen Sie in den oben genannten Situationen manuell mit Malware umgehen. In den meisten Fällen ist dies kein Problem, da die Ergebnisse der Computeruntersuchung sowohl die infizierten PCs als auch die vollständigen Namen der Schaddateien aufdecken. Es bleibt nur noch, sie aus der Ferne zu entfernen. Wenn das Schadprogramm nicht vor dem Löschen geschützt ist, kann es mit dem folgenden AVZ-Skript zerstört werden:

// Eine Datei löschen

DeleteFile('filename');

ExecuteSysClean;

Dieses Skript löscht eine bestimmte Datei (oder mehrere Dateien, da ein Skript eine unbegrenzte Anzahl von DeleteFile-Befehlen enthalten kann) und bereinigt dann automatisch die Registrierung. In einem komplexeren Fall kann sich die Malware vor dem Löschen schützen (z. B. durch die Neuerstellung ihrer Dateien und Registrierungsschlüssel) oder sich mithilfe der Rootkit-Technologie tarnen. In diesem Fall wird das Skript komplizierter und sieht folgendermaßen aus:

// Anti-Rootkit

SearchRootkit(true, true);

// AVZGuard steuern

SetAVZGuardStatus(true);

// Eine Datei löschen

DeleteFile('filename');

// BootCleaner-Protokollierung aktivieren

BC_LogFile(GetAVZDirectory + 'boot_clr.log');

// Eine Liste der vom Skript gelöschten Dateien in die BootCleaner-Aufgabe importieren

BC_ImportDeletedList;

// BootCleaner aktivieren

// Heuristische Systemreinigung

ExecuteSysClean;

RebootWindows(true);

Dieses Skript umfasst die aktive Bekämpfung von Rootkits, die Verwendung des AVZGuard-Systems (das ist ein Malware-Aktivitätsblocker) und des BootCleaner-Systems. BootCleaner ist ein Treiber, der bestimmte Objekte während eines Neustarts in einem frühen Stadium des Systemstarts aus dem KernelMode entfernt. Die Praxis zeigt, dass ein solches Skript in der Lage ist, die überwiegende Mehrheit der vorhandenen Malware zu zerstören. Die Ausnahme bildet Malware, die bei jedem Neustart die Namen ihrer ausführbaren Dateien ändert. In diesem Fall können Dateien, die beim Systemscan entdeckt wurden, umbenannt werden. In diesem Fall müssen Sie Ihren Computer manuell desinfizieren oder eigene Malware-Signaturen erstellen (ein Beispiel für ein Skript, das eine Signatursuche implementiert, ist in der AVZ-Hilfe beschrieben).

Abschluss

In diesem Artikel haben wir uns einige praktische Techniken zur manuellen Bekämpfung einer LAN-Epidemie ohne den Einsatz von Antivirenprodukten angesehen. Die meisten der beschriebenen Techniken können auch zur Suche nach fremden PCs und Trojaner-Lesezeichen auf Benutzercomputern verwendet werden. Wenn Sie Schwierigkeiten haben, Malware zu finden oder Behandlungsskripts zu erstellen, kann der Administrator den Abschnitt „Hilfe“ des Forums http://virusinfo.info oder den Abschnitt „Viren bekämpfen“ des Forums http://forum.kaspersky.com verwenden /index.php?showforum= 18. Das Studium der Protokolle und die Unterstützung bei der Behandlung werden in beiden Foren kostenlos durchgeführt, die PC-Analyse erfolgt nach AVZ-Protokollen und in den meisten Fällen läuft die Behandlung auf die Ausführung eines AVZ-Skripts auf infizierten PCs hinaus, das von erfahrenen Spezialisten dieser Foren erstellt wurde .

Sicherheitsscanner: Erkennt Netzwerkschwachstellen, verwaltet Updates und Patches, behebt automatisch Probleme, prüft Software und Hardware. GFI Netzwerksicherheit">Netzwerksicherheit 2080

Netzwerksicherheitsscanner und zentrales Update-Management

GFI LanGuard arbeitet als virtueller Sicherheitsberater:

— Verwaltet Updates für Windows®, Mac OS® und Linux®

– Erkennt Schwachstellen auf Computern und mobile Geräte

— Führt Audits durch Netzwerkgeräte und Software

GFI Languard ist ein Sicherheitsscanner für Netzwerke jeder Größe: Netzwerk-Port- und Schwachstellenscanner, Sicherheitsscanner, findet automatisch Lücken im Netzwerk

Was ist GFI LanGuard?

Mehr als ein Schwachstellenscanner!

GFI LanGuard ist ein Netzwerksicherheitsscanner: Erkennt, identifiziert und behebt Netzwerkschwachstellen. Vollständige Port-Scans, Verfügbarkeit notwendiger Software-Updates zum Schutz Ihres Netzwerks sowie Software- und Hardware-Auditing sind über ein einziges Bedienfeld möglich.

Portscanner

Mehrere vorgefertigte Scan-Profile ermöglichen es Ihnen, einen vollständigen Scan aller Ports durchzuführen und schnell nur diejenigen zu überprüfen, die häufig von unerwünschter und bösartiger Software verwendet werden. GFI LanGuard scannt mehrere Hosts gleichzeitig, wodurch die erforderliche Zeit erheblich verkürzt wird, und vergleicht dann die auf ausgelasteten Ports gefundene Software mit der erwarteten.

Updates und Patches

Vor der Installation letzte Aktualisierung Ihre Knoten sind völlig ungeschützt, da die neuesten Schwachstellen, die durch aktuelle Patches und Updates abgedeckt werden, von Hackern genutzt werden, um in Ihr Netzwerk einzudringen. Im Gegensatz zu in das Betriebssystem integrierten Tools überprüft GFI LanGuard nicht nur das Betriebssystem selbst, sondern auch beliebte Software, deren Schwachstellen normalerweise zum Hacken genutzt werden: Adobe Acrobat/Reader, Flash Player, Skype, Outlook, Browser, Instant Messenger.

Knotenprüfung

GFI LanGuard erstellt für Sie eine detaillierte Liste der auf jedem Computer installierten Software und Hardware und erkennt verbotene oder fehlende Programme sowie unnötig angeschlossene Geräte. Die Ergebnisse mehrerer Scans können verglichen werden, um Änderungen in der Software zu erkennen Hardware.

Neueste Bedrohungsinformationen

Jeder Scan wird nach der Aktualisierung der Daten zu Schwachstellen durchgeführt, deren Anzahl in der GFI LanGuard-Datenbank bereits 50.000 überschritten hat. Bedrohungsinformationen werden von den Softwareanbietern selbst sowie von vertrauenswürdigen SANS- und OVAL-Listen bereitgestellt, sodass Sie immer vor den neuesten Bedrohungen geschützt sind, darunter Heartbleed, Clandestine, Shellshock, Poodle, Sandworm und mehr.

Automatische Korrektur

Sobald Sie einen detaillierten Scan-Bericht mit einer Beschreibung jeder Schwachstelle und Links zu weiterer Literatur erhalten, können Sie die meisten Bedrohungen mit einem Klick auf die Schaltfläche „Beheben“ beheben: Ports werden geschlossen, Registrierungsschlüssel korrigiert, Patches installiert, Software aktualisiert, verboten Programme werden entfernt und fehlende Programme werden installiert.