/iGG – получить информацию о глобальных группах; /iLP – получить информацию о политике блокировки; /iPP – получить информацию о политике паролей; /iAS – получить информацию о настройках аудита; /iSL – получить список служб системы;
/iAL – получить список установленных приложений;
/iSA – получить список автоматически запускаемых приложений;
/iML – получить список модемов;
/iNL – получить список сетевых адаптеров;
/iNC – получить список сетевых компонентов (протоколов, служб, клиентов);
/iLD – получить информацию о логических дисках; /iIE – получить настройки браузера;
/iEL – получить содержимое журналов событий;
/iPL – получить информацию о запущенных процессах; /iPR – получить информацию о принтерах;
/iSH – получить список общих ресурсов; /iMI – получить информацию о памяти;
/iHD – получить информацию о жестких дисках;
/iHI – получить информацию об устройствах компьютера; /iSI – получить информацию о сканерах;
/PCI – получить информацию об устройствах на шине PCI.
Групповые параметры получения информации:
/All – получить всю информацию;
/Software – получить всю информацию о программном обеспечении;
/Hardware – получить всю информацию об аппаратном обеспечении;
/Security – получить всю информацию о настройках безопасности;
/Summary – формирование краткого свободного отчета по конфигурации системы. Этот параметр отменяет действие всех прочих параметров.
Параметры фильтрации содержимого системных журналов событий:
/logname имя_журнала – выбор записей только из указанного журнала. В качестве имени журнала может быть указано как ото-
46
бражаемое имя (Приложение, Система, Безопасность, …), так и системное имя журнала (application, system, security, …). Данный параметр может быть использован несколько раз. Например, запуск программы следующим образом:
sysinfo info.txt /iel /logname system /logname Безопасность добавит в отчет содержимое журналов «Система» и «Безопасность»;
/eventuser имя_пользователя – выбор записей из журналов событий, относящихся только к указанному пользователю. Имя пользователя может быть указано как непосредственно (например, «Администратор»), так и с указанием домена («DOMAIN\ Администратор»). Данный параметр может использоваться несколько раз для выбора записей, относящихся к нескольким различным пользователям;
/catname имя_категории – выбор записей из журнала, поле «Категория» которых удовлетворяет условию;
/eventid идентификатор_события – выбор из журнала записей с заданным значением поля «Идентификатор». Значение должно быть числовым;
/eventcode код_события – выбор из журнала записей с заданным значением поля «Код (ID)». Значение должно быть числовым. Значения кодов событий являются стандартными. Доступны следующие коды событий (табл. 2.2):
Таблица 2.2
Значение |
Описание |
0 |
Успех |
1 |
Ошибка |
2 |
Предупреждение |
4 |
Уведомление |
8 |
Аудит успехов |
16 |
Аудит отказов |
/eventsource имя_источника – выбор записей из журнала, поле «Источник» которых удовлетворяет условию;
/eventdetails дополнительная_информация – выбор записей из журнала, поле «Описание» которых удовлетворяет условию.
Эти параметры имеют силу, только если в отчет добавляются журналы событий (использован ключ /iEL, /Security или /All).
47
Примеры применения фильтрации
sysinfo info.txt /iel /logname Безопасность
– вывод в отчет содержимого журнала «Безопасность»;
sysinfo info.txt /iel /catname «Изменение политики»/eventuser
Администратор
– вывод информации обо всех случаях изменения политики безопасности пользователем «Администратор». Следует обратить внимание, что строковые значения, содержащие пробелы, должны быть заключены в кавычки;
sysinfo info.txt /iel /eventcode 1 /eventcode 16 /eventuser Админи-
стратор
– вывод информации о событиях типа «Ошибка (код 1) или «Аудит отказов» (код 16), связанных с пользователем Администратор;
sysinfo info.txt /iel /eventdetails ошибка /eventdetails отказ
– вывод информации о событиях, содержащих слова «ошибка» или «отказ» в поле «Описание».
Программа «Ревизор сети 2.0»
Назначение программы. Сетевой сканер «Ревизор Сети» предназначен для использования администраторами и службами информационной безопасности вычислительных сетей, а также органами по аттестации объектов информатизации в целях обнаружения уязвимостей установленного сетевого программного и аппаратного обеспечения, использующего протоколы стека TCP/IP.
Объектами исследования сетевого сканера являются ПЭВМ, сервера, коммутационное оборудование, межсетевые экраны и другие узлы сети, имеющие IP-адреса.
«Ревизор Сети» позиционируется в качестве одного из элементов создаваемой Центром безопасности информации линейки интегрированных между собой программных продуктов, обеспечивающих комплексное тестирование, анализ и контроль защищенности вычислительных сетей различного уровня и назначения в условиях гетерогенной программной среды.
48
Условия применения. Программа «Ревизор Сети» может быть установлена только на компьютеры, оснащенные процессорами семейства INTEL X86 или совместимыми с ними. Требования к конфигурации компьютеров содержатся в табл. 2.3.
|
|
|
Таблица 2.3 |
|
|
|
|
|
Элемент |
Минимально |
Рекомендуется |
|
Процессор |
Pentium Ш - 500 МГц |
Pentium IV – 1,6 ГГц |
|
Оперативная память |
128 Мб |
512 Мб |
|
Жесткий диск |
500 Мб |
1 Гб |
|
(свободное пространство) |
||
|
|
|
|
|
Видеоадаптер |
VGA |
VGA/SVGA |
|
Монитор |
15 ” |
17 ” |
|
(800×600 - 256 цве- |
(1024×768 - 256 цве- |
|
|
|
тов) |
тов) |
|
|
|
|
Тип операционной системы на ПЭВМ:
•Windows 2000 Professional;
•Windows XP Professional.
Не рекомендуется установка «Ревизора Сети» на ПЭВМ с опе-
рационными системами Windows 2000 Server, Windows 2000 Advanced Server или Windows 2003 Server.
Привилегии пользователя программы. При установке и эксплуа-
тации ПО «Ревизор Сети» необходимы привилегии локального администратора компьютера или администратора домена сети.
Требования к сетевому ПО. «Ревизор Сети» версии 2.0 предназначен для использования в сетях Ethernet, функционирующих на основе протокола TCP/IP. На компьютере должны быть установлены компоненты операционной системы, обеспечивающие работу с сетевым протоколом TCP/IP.
Дополнительное программное обеспечение. Для обеспечения работы ПО «Ревизор Сети» необходимо, чтобы на компьютере было установлено следующее дополнительное программное обеспечение:
•Internet Explorer версии 5.0 или выше;
•ПО сервера баз данных Firebird версии 2.0.;
•сетевой драйвер WinPcap версии 3.1;
•драйвер для электронного ключа Guardant.
49
Все вышеуказанное ПО входит в дистрибутивный комплект поставки сетевого сканера.
В ПО «Ревизор Сети» предусмотрена возможность интеграции
ссетевым сканером Nmap, также имеющемся на дистрибутивном диске и необходимом для проведения некоторых проверок.
Состав «Ревизора Сети» версии 2.0. «Ревизор Сети» версии
2.0включает:
• основной исполняемый модуль – Scaner3.exe;
• модуль сканирующего ядра – Scaner3Dispatcher.exe;
• модуль визуализации сетевого трафика – MapInfo3.exe;
• модули библиотек с тестирующими проверками;
• модули вспомогательных библиотек;
• ключ авторизации на основе электронного ключа Guardant
для USB или LPT портов.
Основные характеристики. Программа «Ревизор Сети» позволяет проводить тестирование (выполнение заданных наборов проверок) сетевых устройств (узлов) и операционных систем, поддерживающих стек протоколов TCP/IP, функционирующих в составе вычислительных сетей и систем, использующих технологии Ethernet и Fast Ethernet, и однозначно идентифицирующихся собственным IPадресом.
Функции, выполняемые «Ревизором Сети»:
•«Ревизор Сети» содержит базу данных по доступным проверкам. Регистрация наборов проверок в базе данных «Ревизора Сети» осуществляется вручную при первом запуске программы в соответствии с библиотеками проверок, поставляемыми в составе «Ревизора Сети». Просмотр зарегистрированных проверок осуществляется в интерфейсной части «Ревизора Сети» в виде раскрывающегося графического «дерева» проверок;
•«Ревизор Сети» позволяет осуществлять одновременное параллельное многопоточное тестирование узлов сети;
•«Ревизор Сети» позволяет осуществлять параллельное выполнение взаимнонезависимых проверок;
•запуск «Ревизора Сети» и выполнение проверок возможны только при наличии установленного на компьютере электронного ключа авторизации. При отсутствии электронного ключа выполнение программы прекращается;
50