Hallo zusammen!

Vorweg gleich mal ein herzlichen Dankeschön an die zahlreichen Besucher meines Blogs! Als ich das Projekt hier gestartet habe hätte ich nie gedacht, dass ich in der Lage sein würde so viele Leute konstant hier her zu locken.

Google hat meine Seite (schon vor ein paar Monaten) mit einem PageRank von 4 versehen (PR 5 ich komme ) und der Besuchersturm auf die Seite wird nicht weniger. Zwischenzeitlich habe ich im Monat ca. 165.000 Seitenaufrufe zu verzeichnen wobei die Zahl monatlich um min. 10.000 steigt.

Viele Grüße aus Frankfurt

Um ein Windows Server lokal oder von remote prüfen zu können ist es i. d. R. notwendig einige Informationen zum Betriebssystem abzufragen. Ich habe über die letzten Jahre ein paar nützliche Befehle zusammen getragen und hoffe, dass Sie noch jemandem anderen helfen:

Alle Benutzer aus einem AD Auslesen:

dsquery user -d fragmichnicht.de -uc -limit 0 -o upn > c:\users.txt

Patchlevel lokal auslesen

wmic /output:c:\0010_patchlevel.html qfe list full /format:hform

Patchlevel remote auslesen

wmic /node:127.0.0.1,127.0.0.2,127.0.0.3 /output:c:\0010_patchlevel.html qfe list full /format:hform

Prozesse lokal auslesen

wmic /output:c:\0020_process.html process list full /format:hform

Prozesse remote auslesen

wmic /node:127.0.0.1 /output:c:\0020_process.html process list full /format:hform

Autostart lokal auslesen

wmic /output:c:\0030_autostart.html startup list full /format:hform

Autostart remote auslesen

wmic /node:127.0.0.1 /output:c:\0030_autostart.html startup list full /format:hform

Hardware lokal auslesen

wmic /output:c:\0040_cpu.html cpu list full /format:hform

wmic /output:c:\0050_os.html os list full /format:hform

wmic /output:c:\0060_computersystem.html computersystem list full /format:hform

wmic /output:c:\0070_logicaldisk.html logicaldisk list full /format:hform

wmic /output:c:\0080_csproduct.html csproduct list full /format:hform

Hardware remote auslesen

wmic /node:127.0.0.1 /output:c:\0040_cpu.html cpu list full /format:hform

wmic /node:127.0.0.1 /output:c:\0050_os.html os list full /format:hform

wmic /node:127.0.0.1 /output:c:\0060_computersystem.html computersystem list full /format:hform

wmic /node:127.0.0.1 /output:c:\0070_logicaldisk.html logicaldisk list full /format:hform

wmic /node:127.0.0.1 /output:c:\0080_csproduct.html csproduct list full /format:hform

Lokale Benutzer anzeigen

net user

Loakle Gruppen anzeigen

net localgroup

Mitglieder von bestimmten Gruppen anzeigen

net localgroup administrators

Laufende Services anzeigen

net start

Netzwerkverbindungen

netstat -nao

Um Debian hinter einem Proxy betreiben zu können, ist es notwendig diesen einzurichten. Die entsprechenden Variablen findet man in der Datei /etc/environment. Hier müssen folgende Werte gesetzt werden:

http_proxy=http://proxy.fragmichnicht.de:8080
ftp_proxy=http://proxy.fragmichnicht.de:8080

Um speziel den Proxy für die Updates via APT einzurichten kann man den Konfigurationswizard von APT verwenden:

apt-setup

Ich bin derzeit dabei mir mal wieder die aktuell auf dem Markt vorhandenen Lösungen zum Thema Netzwerk und Security Scanner anzuschauen. Als erstes Produkt steht dabei das Produkt GFI LANguard von GFI Software auf meiner Liste.

Kurzer Steckbrief:

• Architektur: “all in one client” basierend auf Windows
• Zielsysteme: Windows und Linux
• Lizenz: Kosten pro IP wobei fünf IPs kostenfrei erhätlich sind
• Webseite: http://www.gfi.com/lannetscan (en) http://www.gfisoftware.de/de/lannetscan/ (de)

Als erstes Szenario habe ich einen Scan auf zwei in virtuelle Maschinen installierten Server durchgeführt. Das erste System besteht aus einem Windows 2003 R2 SP1 System (ohne weitere Patches) welches bewußt einige Fehlkonfigurationen aufweisst. Ich habe u. a. everyone Vollzugriff auf das $ADMIN share gegeben und kein Admin Passwort gesetzt uvm. Das zweite System besteht aus einem mindestens genau so schlecht konfigurierten Debian (etch Kernel 2.6.18) System.

Bei dem ersten scan habe ich dem GFI LANguard scanner keine Anmeldeinformationen mitgegeben und folgendes Ergebnis erhalten:

Ergebnisübersicht

Detailübersicht

Windows High Security Vulnerabilities

Windows Potential Vulnerabilities

Linux Low Security Vulnerabilities

Wie man sehr gut sehen kann ist das Ergebnis nur eingeschränkt hilfreich. Auch das aktivieren der Option das Null Session Share des Windows Servers zu verwenden läßt das Ergebnis nicht besser aussehen.

Die wirklichen Stärken spielt LANguard erst dann aus, wenn man ihm Anmeldeinformationen mit gibt. Mit diesen Informationen ist der Scanner auch in der Lage den Patchlevel des Servers zu prüfen.

Windows High Security Vulnerabilities

Windows Patchlevel

Linux High Security Vulnerabilities

Linux Low Security Vulnerabilities

Linux Potential Security Vulnerabilities

… insbesondere die Linux Ergebnisse sollten jedoch sehr genau geprüft werden.

Offensive Security hat vor kurzem eine Pre Final Version von Backtrack 4 heraus gebracht. Das neuste Release basiert nun auf einem Ubuntu und bietet somit die ganze Bandbreite an genialen Tools, die man schon aus Debian / Ubuntu kennt. Zudem ermöglicht der neue Unterbau nun auch das (einfache) installieren von NESSUS (aus lizenzrechtlichen Gründen ist dieses leider nicht vorinstalliert – aber es gibt Ubuntu Pakete).

Download Backtrack 4 (Offensive Security Mirror)

Zum einfachen Einstieg empfiehlt es sich das sehr gut geschriebene manual zu lesen. Zudem werden auch Videotutorials angeboten, die z. B. zeigen wie man Backtrack 4 auf einen USB Stick installiert und dafür sorgt, dass Änderungen im Sytem erhalten bleiben.