Установка и использование сканера безопасности RedCheck
Установка и использование сканера безопасности RedCheck
Программа RedCheck это сканер безопасности, сочетающий сетевые и системные проверки на уязвимости. Его функциональные возможности усилены средствами контроля соответствия, механизмами оценки защищенности, сертифицированными средствами контроля целостности и другими функциями, делающими его эффективным средством поиска уязвимостей для широкого числа известных атак.
Установка сканера RedCheck
Для работы программы RedCheck необходимо наличие дополнительного программного обеспечения: Microsoft .NET Framework full версии 4.0 или выше и СУБД SQL Server 2008 и выше (все редакции, включая Express). Если на компьютере отсутствуют указанные компоненты, рекомендуется воспользоваться дистрибутивом Setup.exe (входящий в комплект поставки), который установит их.
Если на компьютере предустановлено, выше указанное, программное обеспечение, то необходимо воспользоваться дистрибутивом RedCheck.msi.
Для установки сканера RedCheck:
- Запустите исполняемый файл Setup.exe. Дождитесь появления окна приветствия, окно приветствия дистрибутива RedCheck.msi отличается отсутствием пункта установки СУБД). Если вам необходимо установить на компьютер СУБД, то выберите пункт: «Установить и использовать в качестве СУБД SQL SERVER EXPRESS 2012» и нажмите кнопку «Далее»;
Установка пакета должна проводиться от имени учетной записи, имеющей административные привилегии на АРМ.
Если был выбран пункт «Установить и использовать в качестве СУБД SQL SERVER EXPRESS 2012», то программа выполнит установку СУБД.
- В появившемся окне инсталлятор предложит ознакомиться с лицензионным соглашением. После ознакомления с содержимым выберете: «Я принимаю условия данного лицензионного соглашения» и нажмите кнопку «Далее»;
- В появившемся окне введите лицензионный ключ, и нажмите кнопку «Далее»;
- Укажите каталог, в который будут установлены файлы программы
По умолчанию, используются следующие каталоги:
- Для 32-х битных систем: “C:\Program Files\ALTEX-SOFT\RedCheck\”
- Для 64-х битных систем: “C:\Program Files (x86)\ALTEX-SOFT\RedCheck\”
- Укажите имя сервера и экземпляра SQL (в качестве имени сервера может быть использован IP-адрес или доменное имя), а также имя пользователя и пароль учетной записи SQL Server;
Внимание! По умолчанию, логин для БД, установленного через Setup.exe: «sa», пароль: «P@ssw0rd_» + имя компьютера (имя компьютера пишется прописными буквами). Логин и пароль указываются без кавычек. В целях безопасности рекомендуется сменить пароль.
- Введите имя базы данных для RedCheck. Если у Вас уже есть ранее созданная БД, то вы можете выбрать пункт «Подключиться к существующей», в противном случае выберите пункт «Создать БД»;
Для правильной работы программы необходимо, чтобы пользователь входил в группу «REDCHECK_ADMINS», в противном случае программа предложит Вам диалоговое окно, где необходимо выбрать пункты «Создать группу ‘REDCHECK_ADMINS’» и «Добавить текущего пользователя в группу ‘REDCHECK_ADMINS’»
- На этом предварительная настройка завершена. После нажатия кнопки «Далее», появится итоговая форма установки;
- Нажмите кнопку «Установить». Появиться статусная строка установочного процесса. После завершения установки сканера, мастер установки выведет оповещение об успешной установке программы.
Внимание! По окончании процесса установки появится соответствующее окно. Установка RedCheck завершена.
В связи с особенностями сканируемых программ, задание «Аудит конфигураций» для DallasLock и SecretNet необходимо проводить только с использованием агента. Для того, чтобы просканировать локальную машину потребуются следующие действия:
- Добавить IP-адрес или DNS локального компьютера в хосты.
- Сканировать локальный хост, как удалённый. Для этого на этапе создания задания, в поле «Объект» необходимо присвоить значение «Удаленные хосты» — и далее выбрать IP-адрес или DNS локального компьютера.
В случае возникновения ошибок во время установки, обратитесь к файлу, журналу установки, расположенному по следующему пути: %temp%/ALTEX-SOFT/RedCheckSetup.txt. Для разрешения нештатной ситуации рекомендуется обратиться в службу поддержки support@altx-soft.ru. При обращении необходимо описать проблему, а к письму приложить файл RedCheckSetup.txt.
Установка агента и настройка сетевого взаимодействия при агентном и безагентном сканировании
Установка агента и настройка параметров сетевого взаимодействия может быть произведена локально непосредственно на сканируемом хосте либо при помощи средств централизованного управления Microsoft Active Directory или другими инструментами администрирования сетей.
Локальная установка агента для ОС Microsoft Windows
Для повышения производительности сканирования, а также в случае необходимости проведения контроля целостности Windows систем на удаленных контролируемых хостах, а также СЗИ от НСД Secret Net и Dallas Lock на удаленных и локальных хостах, требуется установка агента RedCheck.
Установка агента должна выполняться от имени учетной записи, имеющей административные привилегии.
Для установки агента RedCheck:
- Запустите пакет RedCheckAgent.msi (поставляется с дистрибутивом RedCheck), дождитесь появления окна приветствия и нажмите кнопку «Далее».
- Укажите каталог, куда будет произведена установка файлов агента и нажмите «Далее».
- Для выполнения установки агента нажмите кнопку «Начать». Появиться статусная строка установочного процесса.
- После завершения установки агента, мастер установки выведет оповещение об успешной установке программы, нажмите кнопку «Готово».
Развертывание агента для Windows систем средствами Active Directory
В сетях с доменной структурой, доступна возможность централизованной установки агента RedCheck на целевые хосты.
Для развертывания агента средствами AD:
- Откройте консоль управления групповыми политиками. Нажмите «Пуск»> «Панель управления»> «Администрирование»> «Управление групповой политикой».
- В дереве консоли последовательно разверните дерево, интересующего леса и домена и укажите расположение объектов групповой политики.
- Воспользовавшись правой кнопкой мыши создайте новый либо измените существующий объект GPO.
- С помощью редактора объектов групповой политики, в разделе «Конфигурация компьютера» разверните раздел «Конфигурация программ» и выберите пункт «Установка программ».
- При помощи контекстного меню вызываемого правой кнопкой мыши создайте новый «Пакет». В появившимся окне выберите сетевое расположение инсталляционного файла. В параметрах установки укажите тип установки «Назначенный». Сетевое расположение инсталляционного файла должно быть доступно для «чтения» компьютеров, на которых будет произведено развертывание.
Применение сканера безопасности RedCheck:
Настройка сетевого взаимодействия для сканирования Windows систем с применением агента
Для корректного взаимодействия между консолью управления и агентом RedCheck на хостах необходимо открыть TCP-порт 8732.
Чтобы открыть порт в стандартном брандмауэре ОС Windows (на примере ОС MS Windows Server 2012):
- Откройте компонент «Брандмауэр Windows». Для этого нажмите кнопку «Пуск» и выберите пункт «Панель управления». В поле поиска введите запрос «брандмауэр» и затем, в списке результатов выберите пункт «Брандмауэр Windows».
- В левой панели выберите пункт «Дополнительные параметры». В открывшемся окне кликните по пункту «Правила для входящих подключений» и в области справа нажмите на кнопку «Создать правило».
- Выберите тип правила «Для порта» и нажмите «Далее».
- Укажите тип протокола TCP и локальный порт 8732 и нажмите «Далее».
- На странице мастера создания нового входящего подключения, выберите «разрешить подключение».
- В зависимости от метода организации сети укажите необходимый профиль и нажмите кнопку «Далее».
- Введите имя создаваемого правила, введите описание и нажмите кнопку «Готово».
Настройка сетевого взаимодействия для безагентного сканирования Windows-систем с использованием службы WMI
Для сканирования с использованием службы WMI (без использования агента) требуется обеспечить подключение сканера к службе Windows Management Instrumentation (WMI) сканируемого узла, произвести настройки удаленного доступа, и при необходимости службы DCOM. Настройки могут быть произведены локально на узле или централизованно с помощью групповых политик Windows, а также другими средствами администрирования сети. Ниже приведены локальные настройки сканируемого узла на примере ОС MS Windows Server 2012.
Для разрешения WMI (локальная настройка):
- Откройте компонент «Брандмауэр Windows». Для этого нажмите кнопку Пуск, перейдите в Панель управления, выберите пункт. Система и безопасность Нажмите на ссылку Брандмауэр Windows;
- В левой панели Брандмауэра, выберите пункт «Разрешить запуск программы или компонента через брандмауэр Windows»;
- В поле «Разрешенные программы и компоненты» найдите строку «Инструментарий управления Windows (WMI)», и поставьте галочку в зависимости от метода организации сети: домен или рабочая группа. Нажмите «ОК»;
Настройка службы DCOM
Для включения и настройки службы DCOM:
- Откройте каталог C:\Windows\System32, после чего запустите утилиту dcomcnfg. В результате, появится окно «Службы компонентов»;
- Перейдите: «Службы компонентов» — «Компьютеры» — «Мой компьютер» — «Свойства»
- В окне «Свойства: Мой компьютер» перейдите на вкладку «Свойства по умолчанию» и убедитесь, что опция «Разрешить использование DCOM на этом компьютере» — включена.
- Перейдите на вкладку «Набор протоколов» и укажите в области «Протоколы DCOM» протокол «TCP/IP с ориентацией на подключения»;
- Если протокол «TCP/IP с ориентацией на подключения» не добавлен, нажмите «Добавить». Далее на экране появится окно «Выбор протокола DCOM».
- В окне «Выбор протокола DCOM» из списка «Последовательность протоколов» выберите протокол «TCP/IP с ориентацией на подключения» и нажмите «ОК»;
- Чтобы настроить удаленный доступ для учетной записи, от имени которой производится сканирование, выполните следующие действия:
- Перейдите на вкладку «Безопасность COM». В области «Права доступа» нажмите кнопку «Изменить ограничения» и проверьте, что выбрана опция «удаленный доступ».
- После изменения настроек перезагрузите хост.
Настройка сетевого доступа.
Для проверки и настройки сетевого доступа:
- Запустите оснастку «Редактор локальной групповой политики». Для этого выполните («Пуск» — «Выполнить») и введите команду gpedit.msc. На экране появится окно оснастки «Редактор локальной групповой политики»;
- Перейдите в каталог: «Конфигурация компьютера» — «Конфигурация Windows» — «Параметры безопасности» — «Локальные политики» — «Параметры безопасности» и выберите политику «Сетевой доступ: модель совместного доступа и безопасности для локальных сетевых записей»;
- Через контекстное меню перейдите в свойства политики и проверьте, что выбрано значение «Обычная: локальные пользователи удостоверяются как они сами»;
- Нажмите кнопку «Ок».
Настройка контроля учетных записей пользователей.
Для полного отключения UAC:
- В командной строке («Пуск» — «Выполнить») выполните команду msconfig. На экране появится окно «Конфигурация системы»;
- В окне «Конфигурация системы» перейдите на вкладку «Сервис»;
- В колонке «Название средства» выберите «Настройка контроля учетных записей» и нажмите «Запуск»;
- В открывшемся окне установите положение «Никогда не уведомлять» и нажмите «ОК»;
- После изменения настроек перезагрузите компьютер.
Использование доменной учётной записи
Необходимо создать доменную учётную запись (без административных полномочий) и добавить её в группу локальных администраторов сканируемой системы. При использовании такой учётной записи настройки UAC не будут влиять на сканирование. Данный вариант настройки UAC является предпочтительным.
Настройка учетных записей для запуска RedCheck и сканирования удаленных систем
Настройка учетных записей при доменной организации сети
- Настройка учетных записей для запуска консоли управления RedCheck
- Учетная запись должна состоять в глобальной группе безопасности «REDCHECK_ADMINS». Если группа отсутствует, создайте ее, соблюдая точное название и синтаксис — REDCHECK_ADMINS.
- Учетная запись должна иметь привилегии, равные привилегиям учетной записи локального администратора.
Внимание! Консоль управления RedCheck может работать, если учетная запись, из-под которой она запущена, не имеет привилегии локального администратора. В таком случае будет ограничен функционал программы: манипуляции со службами, смена лицензии программы.
- Настройка учетных записей на удаленных Windows-хостах
- Безагентный метод сканирования:
Учетная запись должна состоять в группе «Администраторы домена» или группе, предоставляющей аналогичные привилегии доступа к файловой системе, реестру Windows и WMI;
- Агентный метод сканирования:
Учетная запись должна состоять в глобальной группе безопасности REDCHECK_ADMINS.
- Метод сканирования Remote Engine (WinRM):
Учетная запись должна состоять в группе «Администраторы домена» или группе, предоставляющей аналогичные привилегии доступа к файловой системе, реестру Windows и WMI.
Если сеть имеет доменную структуру, а для запуска консоли управления RedCheck и сканирования целевых хостов используется более одной учетной записи, то каждая используемая учетная запись должна входить в глобальную группу безопасности REDCHECK_ADMINS.
- Настройка учетных записей для сканирования Linux-систем
Сканирование удаленной Linux-системы осуществляется по безагентной технологии.
Для сканирования удаленной системы могут использоваться следующие типы учетных записей: учетная запись суперпользователя; учетная запись привилегированного пользователя; учетная запись непривилегированного пользователя.
Внимание! Использование учетной записи привилегированного пользователя является рекомендуемым типом учетной записи для сканирования удаленной системы.
Для сканирования удаленной системы в качестве основного транспорта используется протокол SSH. Убедитесь, что SSH-сервер установлен и настроен, а выбранная учетная запись пользователя имеет возможность подключения к удаленной системе по протоколу SSH. Осуществить проверку подключения можно с помощью любого удобного SSH-клиента.
Для сканирования удаленной системы, допускается использовать существующую учетную запись пользователя Linux, либо необходимо создать отдельную учетную запись.
В общем случае, для создания отдельной учетной записи пользователя c именем redcheck (как пример, наименование учетной записи может быть произвольное) на удаленной системе необходимо выполнить следующую команду: adduser redcheck
Задайте пароль для вновь созданной учетной записи пользователя с помощью команды:
passwd redcheck.
Настройка учетной записи привилегированного пользователя.
Данный тип учетной записи пользователя предназначается является рекомендуемым для всех случаев сканирования удаленных систем.
Здесь и далее подразумевается, что настраиваемая учетная запись пользователя уже существует на удаленной системе.
Для сканирования удаленной системы с помощью данного типа учетной записи пользователя требуется наличие программы sudo на удаленной системе. Если программа sudo отсутствует на удаленной машине, необходимо выполнить ее установку или воспользоваться другими типами учетных записей.
По умолчанию на большинстве Linux-систем уже установлена программа sudo. Для проверки наличия программы sudo на удаленной системе выполните команду: sudo –V. Для настройки учетной записи привилегированного пользователя отредактируйте конфигурационный файл sudoers.
Кроме того, необходимо добавить в конфигурационный файл следующие строки:
Defaults:redcheck !requiretty
redcheck ALL=(root)NOPASSWD:ALL
В данном примере redcheck – имя настраиваемой учетной записи.
По умолчанию конфигурационный файл sudoers имеет имя /etc/sudoers.
Внимание! Редактирование конфигурационного файла sudoers должно производиться с правами суперпользователя root. Во избежание проблем с функционированием удаленной системы в следствии некорректного редактирования конфигурационного файла sudoers рекомендуется использование программы visudo в качестве текстового редактора.
Настройка учетных записей для сканирования MS SQL Server
Для возможности сканирования СУБД Microsoft SQL Server, в экземпляре СУБД может использовать режим проверки подлинности Windows или режим проверки подлинности SQL Server и Windows. Созданная для сканирования учетная запись должна быть добавлена в консоль управления RedCheck.
Минимальные требования для учетной записи: роль сервера – “public”, учётная запись должна быть включена для базы данных “master”.
Внимание! Учетная запись sa и часто становится мишенью злоумышленников. Не включайте её, если это не требуется для работы приложения. Помните, что для имени входа sa очень важно использовать надежный пароль.
Настройка учетных записей для сканирования VMware
Сканирование удаленной VMware-системы осуществляется по безагентной технологии.
Для сканирования VMware ESXi Server заданиями типа «Аудит обновлений», «Аудит уязвимостей», «Аудит конфигураций» и «Инвентаризация» необходимо использовать учетную запись пользователя VMware ESXi Server.Для сканирования VMware vCenter Server в режимах «Аудит обновлений», «Аудит уязвимостей», «Аудит конфигураций» и «Инвентаризация» необходимо использовать учетную запись пользователя VMware vCenter Server.
Для сканирования VMware vCenter Server и VMware ESXi Server заданием типа «Фиксация» необходимо использовать учетную запись пользователя Linux.
Созданная для сканирования учетная запись должна быть добавлена в консоль управления RedCheck.
смотрите продолжение далее: Применение программы RedCheck
0