Net Check - altx-soft · 2018-12-20 · 3.6.4 Загрузка файлов обновлений ... (например, слабых мест программного обеспечения

Net_Check

Версия документа 2.2.3

Программа централизованной настройки и контроля

сертифицированных продуктов Microsoft сети организации

(«Net_Check»)

Руководство администратора

Листов 72

2016

Net_Check


2

Net_Check

АННОТАЦИЯ

Настоящий документ является руководством администратора программы

централизованной настройки и контроля сертифицированных продуктов Microsoft

сети организации («Net_Check»). Документ содержит рекомендации по установке

и первичным настройкам для работы программы, а также о возможностях и

функциях программы, условиях и порядке применения.

Условные обозначения

Важная и дополнительная информация оформлена в виде примечаний. Степень важности содержащихся в них сведений отображают пиктограммы на полях.

дополнительная информация поясняющего характера

важная информация, которую необходимо принять во внимание

информация предостерегающего характера


3

Net_Check

Содержание

Введение ....................................................................................................................................... 4

1 Общие сведения ................................................................................................................. 6 1.1 Архитектура приложения ........................................................................................ 6

1.2 SCAP и Репозиторий OVAL компании АЛТЭКС-СОФТ ................................... 7

1.3 Развитие функционала программ локальной настройки семейства «Check». Основные преимущества программы «Net_Check» ................................ 9 1.4 Лицензирование программы ................................................................................ 11

1.5 Ограничения в демонстрационной и бета- версиях программы ................ 11

2 Автоматизированный контроль соответствия сертифицированной версии программных продуктов Microsoft с использованием программы «Net_Check» ...... 12

2.1 Общие положения .................................................................................................. 12 2.2 Установка и настройка программы «Net_Check» ........................................... 12

2.2.1 Установка БД и консоли управления ......................................................... 12

2.2.2 Установка агента программы «Net_Check» .............................................. 16 2.2.3 Настройка параметров брандмауэра, антивируса ................................. 20

3 Выполнение программы «Net_Check» ........................................................................ 21 3.1 Просмотр и изменение информации о лицензии ........................................... 21

3.1.1 Просмотр информации о лицензии ............................................................ 21 3.1.2 Изменение лицензионного ключа ............................................................... 21

3.2 Синхронизация базы данных сведений о продуктах ..................................... 22

3.3 Управление ЭВМ и их Check-и (продуктами) .................................................. 25

3.4 Выбор и создание профилей сканирования .................................................... 31

3.5 Функция контроля и аудита .................................................................................. 32 3.5.1 Аудит обновлений ....................................................................................... 32

3.5.2 Аудит уязвимостей ...................................................................................... 34 3.5.3 Аудит конфигураций ................................................................................... 36 3.5.4 Контроль и установка сертифицированных обновлений .................. 38

3.5.5 Фиксация и контроль целостности файлов .......................................... 43

3.5.6 Установка значений параметров безопасности на сертифицированные конфигурации ..................................................................... 47

3.5.7 Формирование и просмотр отчетов ........................................................ 51 3.6 Сервисные функции ............................................................................................... 57

3.6.1 Импорт и экспорт данных .......................................................................... 57 3.6.2 Диспетчер задач .......................................................................................... 59

3.6.3 Управление профилями учетных записей ............................................ 60

3.6.4 Загрузка файлов обновлений ................................................................... 61 3.6.5 Включение входа в консоль по паролю ................................................. 65

3.7 Управление агентами и ПЭВМ ............................................................................ 67 ПРИЛОЖЕНИЯ ........................................................................................................................... 69

ПРИЛОЖЕНИЕ А ....................................................................................................................... 70 ПРИЛОЖЕНИЕ Б ........................................................................................................................ 71


4

Net_Check

Введение

Программа предназначена для централизованного контроля и настройки

механизмов защиты сертифицированных версий программных продуктов корпорации

Microsoft сети предприятия при организации обработки конфиденциальной

информации на объекте информатизации, включая информацию о персональных

данных.

Программа состоит из следующих программных модулей:

- агент программы «Net_Check» - представляет собой службу Windows,

постоянно запущенную на контролируемой ЭВМ;

- консоль управления, реализующая основной функционал управления

настройкой безопасности сертифицированных версий программных продуктов

Microsoft;

Программа представляет собой развитие семейства программ локальной

настройки и контроля сертифицированных версий продуктов Microsoft (семейство

программ «Check») и предназначена для централизованного выполнения следующих

действий:

Базовые функции программы:

- аудит сертифицированных обновлений безопасности;

- фиксация и контроль встроенных СЗИ;

- настройка и контроль сертифицированных конфигураций параметров.

- Дополнительные функции программы:

- аудит уязвимостей;

- аудит конфигураций безопасности.

Дополнительные функции доступны для ОС Windows 7 и Windows Server 2008R2.

Дополнительные функции доступны в случае приобретения (конечным пользователем

программы Net_Check) лицензии на дополнительный модуль аудита уязвимостей и

конфигураций безопасности для соответствующей версии ОС Windows в течение срока

действия данной лицензии.

Программа позволяет управлять следующими русскоязычными

сертифицированными редакциями программных продуктов Microsoft:

- Microsoft Windows XP Professional (32-bit);

- Microsoft Windows Vista Ultimate;

- Microsoft Windows Vista Business;

- Microsoft Windows 7 Максимальная;

- Microsoft Windows 7 Корпоративная;


5

Net_Check - Microsoft Windows 7 Профессиональная;

- Windows 8 Корпоративная;

- Windows 8 Профессиональная;

- Windows 8.1 Профессиональная;

- Windows 8.1 Корпоративная;

- Microsoft Windows Server 2003 Standard;

- Microsoft Windows Server 2003 Enterprise;

- Microsoft Windows Server 2003 R2 Standart;

- Microsoft Windows Server 2003 R2 Enterprise;

- Microsoft Windows Server 2008 Standard;

- Microsoft Windows Server 2008 Enterprise;

- Microsoft Windows Server 2008 Datacenter;

- Microsoft Windows Server 2008 R2 Standard;

- Microsoft Windows Server 2008 R2 Enterprise;

- Microsoft Windows Server 2008 R2 Datacenter;

- Windows Server 2012 Datacenter;

- Windows Server 2012 Essential;

- Windows Server 2012 Foundation;

- Windows Server 2012 Standard;

- Windows Server 2012 R2 Standard;

- Windows Server 2012 R2 Datacenter;

- Windows Server 2012 R2 Essentials;

- Windows Server 2012 R2 Foundation;

Настоящее Руководство описывает общие принципы централизованного

управления сертифицированными версиями программных продуктов корпорации

Microsoft. Детальные описания сертифицированных конфигураций параметров

безопасности приведены в Руководствах по безопасной настройке и контролю

сертифицированных версий продуктов Microsoft.


6

Net_Check

1 Общие сведения

1.1 Архитектура приложения

Программа представляет собой 3-х уровневое приложение, позволяющее

повысить эффективность и систематизировать работу по настройке и контролю

сертифицированных версий программных продуктов Microsoft, функционирующих в

сети организации.

1-ый уровень развертывается на закрытой части интернет сайта компании ЗАО

«АЛТЭКС-СОФТ». Он включает в себя Центральную базу данных (ЦБД) о продуктах

Microsoft, взаимодействующую с Центром загрузок обновлений Microsoft и Web-службы,

позволяющие синхронизировать информацию о продуктах Microsoft в локальной БД

сети c ЦБД. Кроме того, на данном уровне ведется информация о лицензировании и

организациях-пользователях продукта.

2-ой уровень развертывается на сервере баз данных и АРM администратора

безопасности сети организации. На сервере организации разворачивается локальная

БД о продуктах Microsoft сети предприятия, функционирующая под управлением СУБД

SQL Server 2005 и выше. Редакция СУБД (Express, Standard, Enterprise) не влияет на

функционирование продукта, однако следует учитывать ограничения на количество

подключений к СУБД, характерные для той или иной версии.

На машине АРМ администратора безопасности размещается программа «Консоль

управления».

Следует отметить, что подключение в рамках функционирования настоящей

программы инициируется только программой «Консоль управления», т.е.

использование Express редакции СУБД ограничивает до 30-ти число одновременно

функционирующих экземпляров указанных программ.

Уровень 3 развертывается на управляемых АРМ и серверах. На них

разворачиваются Агент-служба программы «Net_Check» и библиотеки управления

параметрами безопасности ЭВМ в локальном режиме (библиотеки «Локальный Check»

для каждой версии продукта, инсталлированного на той или иной ЭВМ сети). Служба

программы «Net_Check» предназначена для удаленного управления выбранной ЭВМ

программой «Консоль управления». Управление ЭВМ возможно только в случае

запущенной службы.

Управление ЭВМ осуществляется на основе глобального пространства IP-

адресов. Программа позволяет управлять:

- ЭВМ, находящихся в одноранговой сети;


7

Net_Check - ЭВМ, находящимися в доменной сети, состоящей из одного или нескольких,

возможно вложенных, доменов.

Рисунок 1.1

1.2 SCAP и Репозиторий OVAL компании АЛТЭКС-СОФТ

Security Content Automation Protocol (SCAP, протокол автоматизации управления

контентом безопасности) включает в себя ряд открытых стандартов, поддерживаемых

международным сообществом профессионалов в области информационной

безопасности. Последняя версия (версия 1.2) SCAP состоит из одиннадцати

компонентов протокола в пяти категориях:

Языки. Языки SCAP стандартизуют словари и выражения, описывающие

политику безопасности, механизмы контроля и результаты оценки. SCAP включает в

себя следующие компоненты:

o Расширяемый формат описания контрольного списка конфигураций

(XCCDF, The Extensible Configuration Checklist Description Format);

o Открытый язык описания уязвимостей и проведения оценок (OVAL®, Open

vulnerability and assessment language);

http://scap.nist.gov/

http://scap.nist.gov/

http://scap.nist.gov/specifications/xccdf

http://oval.mitre.org/

http://oval.mitre.org/


8

Net_Check o Открытый интерактивный язык описания контрольного списка (OCIL™, Open

checklist interactive language).

Формат отчетов. Форматы отчета SCAP представляют необходимые конструкции

для выражения собранной информации в стандартизированных форматах.

Перечни. Перечни SCAP определяют стандартизованные спецификации,

официальные перечни (словари), выраженные с использованием этих спецификаций.

SCAP включает в себя следующие перечни:

o Общий перечень платформ (CPE ™, Common platform enumeration);

o Общий перечень конфигураций (CCE ™, Common configuration enumeration);

o Общий перечень уязвимостей и рисков (CVE®, Common vulnerabilities and

exposures).

Измерение и оценка систем. В SCAP это выражается в оценке определенных

особенностей уязвимости (например, слабых мест программного обеспечения и

проблем конфигурации безопасности) и определении количественного значения

влияния уязвимости (метрики). Метрики SCAP в терминах системных технических

требований описываются Общей системой оценки уязвимости (CVSS, Common

vulnerability scoring system) и Общей системой оценки конфигурации (CCSS, Common

configuration scoring system).

Целостность. Спецификация целостности SCAP предназначена для обеспечения

целостности информационного SCAP-контента и полученных с помощью него

результатов. Модель доверия для данных об автоматизации безопасности (TMSAD,

Trust Model for Security Automation Data) является спецификацией целостности SCAP.

SCAP призван автоматизировать процесс управления конфигурациями

безопасности, унифицировать форматы представления и спецификации уязвимостей,

стандартизовать способы их выявления, а также обеспечить информационный обмен

между производителями и пользователями средств защиты информации.

Статус SCAP как международного проекта обеспечивает участие в нем широкого

круга специалистов в области ИБ. Протокол поддерживается ведущими мировыми

вендорами, такими как Microsoft, Cisco, Symantec, Red Hat и др.

Компания АЛТЭКС-СОФТ также присоединилась к сообществу и получила

официальный статус OVAL Adopter. АЛТЭКС-СОФТ первой в России создала и

поддерживает Репозиторий определений на языке OVAL, в котором систематизирован

информационный контент безопасности (SCAP-контент) для наиболее

распространенных в России программных и аппаратно-программных средств.

http://scap.nist.gov/specifications/ocil/

http://scap.nist.gov/specifications/ocil/

http://cpe.mitre.org/

http://cce.mitre.org/

http://cve.mitre.org/

http://cve.mitre.org/

http://www.first.org/cvss

http://www.first.org/cvss

http://csrc.nist.gov/publications/nistir/ir7502/nistir-7502_CCSS.pdf

http://csrc.nist.gov/publications/nistir/ir7502/nistir-7502_CCSS.pdf

http://scap.nist.gov/specifications/tmsad/

http://scap.nist.gov/specifications/tmsad/

http://oval.mitre.org/adoption/participants.html

http://ovaldb.altx-soft.ru/


9

Net_Check Компания активно работает над созданием и публикацией информационного SCAP-

контента не только для известных продуктов иностранного производства, но и для

отечественных средств защиты. Ресурс имеет статус Definition Repository в программе

OVAL Adoption.

В январе 2013 года компания АЛТЭКС-СОФТ получила статус “OVAL Repository

Top Contributor Awards” за достижения в области разработки OVAL контента.

Встроенный в программы Check Интерпретатор языка OVAL поддерживает

последнюю на данный момент версию языка 5.11.1. Программы Check четвертого

поколения со встроенными OVAL и XCCDF интерпретаторами дают возможность

работы с произвольным SCAP-контентом для оценки состояния защищенности

потенциально любых программных и аппаратно-программных продуктов.

Тематический Web-ресурс АЛТЭКС-СОФТ, посвященный OVAL, и решения,

построенные с использованием протокола SCAP, позволяют широкому кругу

специалистов по информационной безопасности воспользоваться опытом и знаниями

не только нашей компании, но и всего SCAP-сообщества.

1.3 Развитие функционала программ локальной настройки семейства «Check». Основные преимущества программы «Net_Check»

Программа представляет собой развитие семейства программ локальной

настройки и контроля сертифицированных версий продуктов Microsoft (семейство

программ «Check») и предназначена для централизованного выполнения следующих

действий:

- контроль сертифицированных версий программных продуктов Microsoft;

- контроль и установка сертифицированных обновлений безопасности

программных продуктов Microsoft;

- фиксация и контроль исполняемых файлов и библиотек программных

продуктов Microsoft;

- настройка параметров безопасности операционной системы на

сертифицированные конфигурации;

- формирование отчетов о соответствии контролируемых ЭВМ требованиям к

функционированию сертифицированных версий программных продуктов Microsoft.

В части основного функционала результаты и отчеты, формируемые с

использованием программы «Net_Check», полностью идентичны результатам и

http://oval.mitre.org/repository/about/other_repositories.html

http://oval.mitre.org/repository/awards.html

http://oval.mitre.org/repository/awards.html

http://ovaldb.altx-soft.ru/OvalCheck.aspx

http://ovaldb.altx-soft.ru/


10

Net_Check отчетам локальных версий программ «Check» для соответствующих продуктов.

Основными отличиями и преимуществами программы «Net_Check» является:

- возможность группового управления и построения централизованных отчетов

по управляемым ЭВМ сети с использованием одной или нескольких Консолей

управления;

- централизованная установка сертифицированных обновлений безопасностей

на группу ЭВМ – легитимный, с точки зрения руководящих документов ФСТЭК, аналог

сервера WSUS, позволяющий распространять массив сертифицированных обновлений

на группу управляемых ЭВМ;

- хранение информации о сертифицированных продуктах в базе данных СУБД

SQL Server 2005 и выше всех редакций, что предполагает возможность

администрирования и резервирования базы данных программы «Net_Check» в рамках

общих мероприятий по администрированию и обслуживанию баз данных организации.

Программа на CD MediaKit поставляется вместе с СУБД SQL Server 2008 R2 Express

Edition;

- возможность сегментирования сети, заключающееся в разделении ЭВМ на

сегменты (группы), управляемые с различных экземпляров программного модуля

«Консоль управления» (инсталлированных на различных ЭВМ) с подключением к

различным экземплярам базы данных программы «Net_Check», развернутых на одном

или нескольких серверах SQL Server;

- гибкая политика лицензирования программы, позволяющая подключать к

Консоли управления строго определенное количество Агентов, наращивать

управляемую инфраструктуру с ростом количества эксплуатируемых в организации

сертифицированных версий программных продуктов Microsoft;

- повышенные требования к безопасности информационного обмена между

всеми модулями программы. Криптографическая защита вызовов и результатов

выполнения абсолютно всех функций программы;

- использование Центра сертифицированных обновлений продуктов ЗАО

«АЛТЭКС-СОФТ», развернутого на доверенной части интернет-сайта компании,

позволяющее своевременно получать информацию о выходе новых

сертифицированных обновлений, процедуры синхронизации локальной базы данных

организации, позволяющие использовать функционал Центра сертифицированных

обновлений в сетях без подключения к Интернет (offline-режим работы программы).

Осуществление доступа к «Центру обновлений…» на основе аппаратных ключей, с

едиными с программами локальной настройки «Check» сертификатами.


11

Net_Check 1.4 Лицензирование программы

Лицензирование программы предполагает приобретение одной или нескольких

серверных (лицензия на использование Программы непосредственно) и набора

клиентских лицензии к каждой серверной лицензии.

Серверная лицензия предполагает использование программы в одной

физической сети организации с возможностью развертывания одного экземпляра базы

данных программы «Net_Check».

Количество клиентских лицензий определяет максимальное количество

подключений программных модулей «Агент» к текущему серверу (базе данных).

Пользователь имеет возможность приобретения любого количества дополнительных

клиентских лицензий на каждую из серверных лицензий.

Приобретение лицензии на право использования клиентского подключения, для централизованного управления сертифицированной версией программного продукта Microsoft невозможно без приобретения лицензии на право использования локальной версии программы «Check»

1.5 Ограничения в демонстрационной и бета- версиях программы

Демонстрационная и бета-версии программы имеют следующие ограничения:

- функционирование программы ограничено определенным периодом времени.

С точки зрения функционала в течение периода действия демонстрационная и

полнофункциональная версии не отличаются.


12

Net_Check

2 Автоматизированный контроль соответствия сертифицированной версии программных продуктов Microsoft с использованием программы «Net_Check»

2.1 Общие положения

Автоматизированный контроль соответствия сертифицированной версии

направлен на получение однозначного соответствия программного продукта

установленной на контролируемой ЭВМ, сертифицированной версии программного

продукта. Автоматизированный контроль включает в себя проверку операционной

системы на предмет соответствия сертифицированной версии и комплекс

мероприятий, направленных на обеспечение безопасности. Функционал программы

поделен на базовый и дополнительный.

Базовый функционал:

- аудит сертифицированных обновлений безопасности;

- фиксация и контроль встроенных СЗИ;

- настройка и контроль сертифицированных конфигураций параметров.

- Дополнительный функционал:

- аудит уязвимостей;

- аудит конфигураций безопасности.

Дополнительные функции доступны для ОС Windows 7 и Windows 2008R2.

Дополнительные функции доступны в случае приобретения (конечным пользователем

программы Net_Check) лицензии на дополнительный модуль аудита уязвимостей и

конфигураций безопасности для соответствующей версии ОС Windows в течение срока

действия данной лицензии.

Программа обеспечивает применение указанных функций для выбранного

экземпляра установленного продукта, либо для группы ЭВМ, выбранной вручную

(выбором ЭВМ мышью с клавишами Ctrl и Shift) или с использованием фильтра

(ниспадающего списка и/или поля «Фильтр» главного окна программы «Консоль

управления»).

2.2 Установка и настройка программы «Net_Check»

2.2.1 Установка БД и консоли управления

Специализированных системных требований для установки серверной части не

предъявляется. Для установки БД необходима установка СУБД SQL Server 2005 и

выше. Редакция СУБД (Express, Standard, Enterprise) не влияет на функционирование


13

Net_Check продукта, однако следует учитывать ограничения на количество подключений к СУБД,

характерные для той или иной версии. На инсталляционном диске с программой

присутствует редакция Express указанной СУБД. Однако, при наличии развернутого

экземпляра (instance) СУБД SQL Server, например, на сервере БД – БД программы

«Net_Check» (в которой содержатся синхронизированная с ЦБД информация о

сертифицированных версиях продуктов Microsoft сети предприятия) целесообразно

создавать на указанном экземпляре СУБД.

При установке SQL Server, для обеспечения соединения БД с удаленными

консолями должны быть обеспечены следующие настройки:

1) запущена служба «Браузер SQL Server» (SQL Server Browser).

2) для рассматриваемого экземпляра (Instance) SQL Server должно быть

включено использование протокола TCP/IP. Данную операцию можно провести с

использованием средства SQL Server Configuration Manager (см. Рисунок 2.1)

Рисунок 2.1

Если действующий экземпляр SQL Server не допускает удаленные подключения – необходимо их разрешить. Это можно сделать при помощи SQL Server Management Studio, выбрав нужный экземпляр SQL Server (предварительно подключившись к нему), щелкнуть по нему правой кнопкой мыши и выбрать подпункт контекстного меню «Свойства» (Properties) (см. Рисунок 2.2).


14

Net_Check

Рисунок 2.2

Для установки БД, консоли управления необходимо выполнить следующую

последовательность действий:

1) Начать сеанс Microsoft Windows с правами локального администратора.

2) Запустить файл дистрибутив NetCheckConsole.msi.

Выполнение файла должно проводиться с от имени локального администратора (Правая кнопка мыши, подпункт меню «Запуск от имени администратора»).


15

Net_Check

Рисунок 2.3

3) Выбрать путь инсталляции продукта.

4) Ввести лицензию (см. Рисунок 2.4).

Рисунок 2.4


16

Net_Check 5) После ввода лицензии необходимо выбрать сервер базы данных и

произвести его настройку (см. Рисунок 2.5)

Рисунок 2.5

В случае выбора режима «Аутентификация Windows» пользователь, который

инициализировал процесс установки, должен являться администратором SQL Server,

иначе необходимо будет ввести наименование и пароль администратора SQL Server.

6) Завершить установку.

Если установка или первый запуск программы завершатся неудачно, необходимо установить .NET Framework 4.0 вручную. Для этого запустить файл Разное\Microsoft .NET Framework 4\dotNetFx40_Full_x86_x64.exe с диска Media Kit и произвести процедуру инсталляции в директорию по умолчанию. Для ранних ОС (Windows Server 2003) может потребоваться установка компонента Windows Imaging Component. Его дистрибутив присутствует на CD Media Kit в каталоге Разное\Microsoft .NET Framework 4.

2.2.2 Установка агента программы «Net_Check»

Перед установкой агента программы на 64-битную редакцию ОС Windows 2003 Server (Windows 2003 Server R2) необходимо установить файл WindowsServer2003.WindowsXP-KB942589-x64-RUS.exe из каталога Разное\hotfix диска с программой и произвести перезагрузку ЭВМ.


17

Net_Check Установка агента может быть осуществлена:

1) локально, на ЭВМ, предназначенную для функционирования программы-агента

с использованием MSI-инсталлятора;

Локальная установка осуществляется на управляемой ЭВМ и заключается в

выполнении следующей последовательности действий:

- начать сеанс Microsoft Windows с правами локального администратора;

- установить .NET Framework 4.0 (если не установлен). Для этого запустить

файл Разное\Microsoft .NET Framework 4\dotNetFx40_Full_x86_x64.exe с диска

Media Kit и произвести процедуру инсталляции в директорию по умолчанию.

Для ранних ОС (Windows Server 2003 и ниже) может потребоваться установка

компонента Windows Imaging Component. Его дистрибутив присутствует на CD

Media Kit в каталоге Разное\Microsoft .NET Framework 4.

- если на управляемой ЭВМ произведена установка более ранней версии

агента, то необходимо удалить программу «NetCheckAgent»

- запустить файл Дистрибутив\Net_Check\NetCheckAgent.msi.

- произвести установку агента в директорию по умолчанию.

2) удаленно, с использованием входящего в дистрибутив программы MSI-пакета с

развертыванием внутри доменной сети с использованием групповых политик;

3) с использованием программы Консоль управления.

На выбранную ЭВМ, подключенную к Консоли управления можно установить

программу-агент с использованием интерфейса Консоли управления. Для этого

необходимо:

- убедиться в наличии MSI дистрибутива агента в папке, указанной в настройках

Консоли управления;

- выбрать ЭВМ, щелкнуть по её иконке правой кнопкой мыши, в контекстном

меню выбрать: «Управление агентом/Инсталлировать Агент»;

- ввести данные, необходимые для установки агента (см. Рисунок 2.6). Нажать

кнопку «Установить»;

- в случае успеха, инсталляция агента на ЭВМ будет произведена, и служба

агента будет автоматически запущена.


18

Net_Check

Рисунок 2.6

Для деинсталляции программы-агента с управляемой ЭВМ следует воспользоваться контекстным меню «Управление агентом/Деинсталлировать Агент», доступным при нажатии правой кнопки мыши на иконке с изображением ЭВМ.

Настройка авторизации и аутентификации Стандартной сетевой средой для работы Net_Check является сеть с доменами.

Для аутентификации агента и консоли Net_Check используется механизм

аутентификации Windows.

В случае сети без доменов работа Net_Check также возможна, однако осложнена

тем, что на компьютерах с установленным агентом должна присутствовать учетная

запись, под которой запущена консоль Net_Check.

В заголовке таблицы приведены возможные типы учетных записей, используемые

агентом. В левом столбце приведены возможные типы учетных записей, используемые

консолью.

Таблица 1

Локальный пользователь Пользователь домена

Локальный пользователь Да (требуется наличие

учетной записи, под которой запущена консоль)

Нет

Пользователь домена Да (требуется наличие

учетной записи, под которой запущена консоль)

Да

КОНСОЛЬ

АГЕНТ


19

Net_Check

Существует политика «Сетевой доступ: модель совместного доступа и безопасности для локальных учетных записей» (gpedit.msc -> Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Локальные политики -> Параметры безопасности -> Сетевой доступ: модель совместного доступа и безопасности для локальных учетных записей). Значение политики по умолчанию на компьютерах домена: обычная, на автономных компьютерах: гостевая. Для успешной аутентификации автономного компьютера необходимо настроить политику параметра безопасности на «обычная».

Протокол сетевой аутентификации NTLM может использоваться не только в случае работы Net_Check вне домена, но и внутри него. Например, при добавлении в консоль компьютера по его IP адресу. Протокол Kerberos будет использован при добавлении в консоль компьютера по его DNS.

Авторизация

Для того, чтобы консоль могла работать с агентом, необходимо, чтобы учетная

запись, на которой будет запускаться консоль, состояла в специальной группе –

«NETCHECK_ADMINS» на стороне, управляемой ЭВМ.

Для добавления учетной записи в группу на конкретном компьютере необходимо

выбрать ЭВМ, правым кликом мыши вызвать контекстное меню и выбрать пункт

«Настройка прав доступа…». Откроется диалоговое окно (см. Рисунок 2.7). Вверху, в

полях «Профиль» и «Пароль» необходимо указать учетные данные пользователя

выбранной машины. Также необходимо ввести пароль пользователя (от которого

осуществлен запуск консоли), имя которого автоматически появляется в поле

«Пользователь для добавления». Затем необходимо нажать кнопку «Настроить»,

после чего программа попытается добавить пользователя в группу

NETCHECK_ADMINS. Ход и результат выполнения будут представлены в журнале

выполнения.


20

Net_Check

Рисунок 2.7

2.2.3 Настройка параметров брандмауэра, антивируса

Для беспрепятственного доступа Консоли управления к Агенту программы

«Net_Check» необходимо произвести настройки во включенных брэндмауэрах,

антивирусах и других программах, блокирующих сетевые подключения:

- на управляемых ЭВМ с запущенной службой Агента программы

«Net_Check» - разрешение для <путь установки> \NetCheckAgent\NetCheckAgent.exe

(порт 8731).


21

Net_Check

3 Выполнение программы «Net_Check»

3.1 Просмотр и изменение информации о лицензии

3.1.1 Просмотр информации о лицензии

Каждому номеру лицензии соответствует определенное количество экземпляров

каждого управляемого продукта Microsoft, доступное к централизованному управлению.

Просмотреть информацию о доступном количестве подключений (лицензий) для

каждого продукта Microsoft можно в меню «Справка/О программе» (см. Рисунок 3.1).

Рисунок 3.1

Добавление нового экземпляра продукта при достигнутом пределе количества

доступных лицензий (для данного продукта) программой исключается.

3.1.2 Изменение лицензионного ключа

Начиная с версии 1.2.1.1 в NetCheck появилась возможность смены

лицензионного ключа. Для смены лицензионного ключа необходимо выбрать пункт

меню «Справка» - «Сменить лицензионный ключ», и в открывшемся окне указать

новый лицензионный ключ (см. Рисунок 3.2). После этого необходимо выполнить

«Обновление контента».

Для изменения лицензионного ключа необходимо при запуске консоли NetCheck пройти авторизацию при помощи аппаратного ключа eToken (см. ниже).


22

Net_Check

Рисунок 3.2

3.2 Синхронизация базы данных сведений о продуктах

Синхронизация базы данных сведений о продуктах производится на основании

сертификатов на доступ к Центру сертифицированных обновлений ЗАО «АЛТЭКС-

СОФТ», выписанных на организацию, эксплуатирующую программы «Net_Check»,

записанных на аппаратный ключ eToken.

Подробнее о настройке сертификатов, можете прочитать в ПРИЛОЖЕНИЕ А.

Для проведения синхронизации, должно быть установлено корректное системное время.

Выполнение функций реализуется с использованием встроенной программы

синхронизации сведений о сертифицированных продуктах. Запуск программы

производится при старте программы «Net_Check». Окно работы программы

представлено на Рисунок 3.3.


23

Net_Check

Рисунок 3.3

Программа обеспечивает выполнение синхронизации с Центром

сертифицированных обновлений данных в рабочей папке программы «Консоль

управления». Выполнение этой операции инициируется выбором сертификата и

нажатием клавиши «ОК». При этом в соответствующие папки на локальной машине

транслируются актуальные данные о продуктах, доступные в текущей лицензии.

Офлайн синхронизация консоли NetCheck через закрытую часть сайта

Если компьютер, на котором установлен NetCheck, невозможно подключить к

Интернету, то обновление контента выполняется через синхронизацию без доступа в

интернет. Для выполнения данного типа синхронизации необходимо следующее:

1) На компьютере с доступом в интернет перейдите на сайт https://update.altx-

soft.ru (рекомендуется использовать браузер Internet Explorer), авторизуйтесь при

помощи ключа e-token.

2) Перейдите в раздел «Microsoft» (Рисунок 3.4) и выберите пункт «Net Check

лицензии». (Рисунок 3.5) Выберите нужную Вам лицензию кликом левой кнопки мыши.

3) Далее, будет скачен архив (GetDownloadOfflineCheckContent.zip),

содержащий: файл лицензии и обновления программы.

https://update.altx-soft.ru/



24

Net_Check

Рисунок 3.4

Рисунок 3.5

4) Распакуйте и сохраните содержимое архива

GetDownloadOfflineCheckContent.zip в каталог NetCheckConsole\Data. По умолчанию

данный каталог располагается в следующей директории: C:\Program Files (x86)\ALTEX-

SOFT\NetCheckConsole\Data.

5) Перезапустите консоль NetCheck.

Если по каким-либо обстоятельствам вы не можете совершить данную процедуру

– обратитесь в службу поддержки [email protected].

mailto:[email protected]?subject=Запрос%20файла%20лицензии


25

Net_Check Синхронизация консоли NetCheck без доступа к интернету через консоль с

доступом к интернету

В случае если нужно обеспечить функционирование Консоли управления на ЭВМ,

не подключенной к сети интернет для проведения первичной и последующих

синхронизаций с Центром сертифицированных обновлений необходимо:

1) Произвести полную установку программы на ЭВМ, с которой будет

осуществляться централизованное управление сертифицированными продуктами

(ЭВМ1, без подключения к интернету).

2) Скопировать каталог NetCheckConsole\Data из установочного каталога

программы с ЭВМ1 на ЭВМ2 (с подключением к интернету). По умолчанию данный

каталог располагается в следующей директории: C:\Program Files (x86)\ALTEX-

SOFT\NetCheckConsole\Data.

3) Провести синхронизацию информации с Центром сертифицированных

обновлений на ЭВМ2.

4) Скопировать каталог Data программы «Консоль управления» с ЭВМ 2 на

ЭВМ1 в соответствующую папку программы «Консоль управления».

5) Запустить программу «Консоль управления» на ЭВМ1 и работать с

программой далее в соответствии п. 2.3 настоящего Руководства.

3.3 Управление ЭВМ и их Check-и (продуктами)

1) Группировка сортировка и фильтрация ЭВМ.

Программа позволяет просматривать и управлять ЭВМ на основании встроенных

категорий (см. Рисунок 3.6):

- ID (уникальный идентификатор ЭВМ в БД);

- пинг (группировка ЭВМ на основании доступности агентов программы

«Net_Check»);

- статус (по общему результату сканирование ЭВМ);

- адрес (DNS или IP-адрес);

- имя (DNS);

- домен (вхождение ЭВМ в домен);

- операционная система (установленная ОС);

- архитектура (разрядность ОС);

- группа (пользовательская группа);


26

Net_Check - обновления (статус проверки обновлений);

- уязвимость (статус сканирования уязвимостей)

- конфигурации (статус соответствия конфигурации)

- целостность (статус проверки целостности продуктов ЭВМ)

Рисунок 3.6

С помощью меню категорий возможно проводить сортировку, группировку и

гибкую фильтрацию ЭВМ по описанным выше категориям (см. Рисунок 3.7, Рисунок 3.8)

Рисунок 3.7

Рисунок 3.8

Программа позволяет создавать группы. Управление ими происходит при выборе

пункта меню «Сервис/Группы хостов…» либо контекстного меню (см. Рисунок 3.9)


27

Net_Check

Рисунок 3.9

2) Добавление ЭВМ.

Для выполнения данной функции необходимо выбрать пункт меню

«Главное/Новый хост…» меню программы либо использовать горячую клавишу «Ins».

На экран будет выведено окно (см. Рисунок 3.10). В данном окне пользователь должен

ввести IP-адрес ЭВМ (DNS-имя, диапазон IP), при необходимости выбрать в

ниспадающем списке пользовательскую группу. При вводе диапазона IP-адресов в

первое (левое) поле необходимо ввести начальный IP-адрес диапазона, а во второе

(правое) поле – конечный IP-адрес диапазона.

Рисунок 3.10

Также имеется возможность импортировать компьютеры из Active Directory. Для

этого необходимо в главном меню выбрать «Сервис»\«Импорт хостов из Active

Directory» (см. Рисунок 3.11).


28

Net_Check

Рисунок 3.11

Ввести имя домена, имя пользователя и пароль, введите значения фильтра,

нажмите кнопку «Получить компьютеры», выбрать нужные и нажать кнопку «ОК».

Примеры и возможные значения фильтра приведены в ПРИЛОЖЕНИЕ Б.

После добавления компьютера доступность его агента определяется внешним

видом иконки, соответствующей выбранной ЭВМ (см. Рисунок 3.12). Иконка с голубым

экраном – означает доступность агента и возможность управления данной ЭВМ.

Иконка с серым экраном означает недоступность агента. Иконка с красным экраном

означает процесс проверки доступности агента (при старте Консоли управления или

принудительно). Возможными причинами недоступности агента могут быть:

- служба NetCheckAgent остановлена;

- порт TCP 8731 управляемой ЭВМ закрыт межсетевым экраном.

Любые действия с управляемой ЭВМ возможны только при доступном агенте. При

первом старте консоли опрос ЭВМ происходит последовательно.


29

Net_Check

Рисунок 3.12

3) Установка Check-ов.

Для каждой из добавленных ЭВМ необходимо провести установку Check’а

(выбрать инсталлированный на ней продукт). Для этого во вкладке «+ Новый Check» в

ниспадающем списке нужно выбрать соответствующий продукт и нажать кнопку

«Добавить» (см. Рисунок 3.13).

Рисунок 3.13

Для каждого добавленного Check-а появляется панель, состоящая из 2-х

областей: статуса операций (слева) и панели управления (справа) (см. Рисунок 3.14).

Панель управления состоит шести независимых кнопок, группирующих операции,

связанные с определенными функциями:

- аудит обновлений;


30

Net_Check - аудит уязвимостей;

- аудит конфигураций;

- контроль целостности;

- применение конфигурации;

- комплексный отчет.

Рисунок 3.14

При нажатии на кнопку появляется ниспадающий список, который отображает

набор доступных операций по текущей функции (см. Рисунок 3.15).

Рисунок 3.15

По четырем первым функциям доступен просмотр истории выполнения при

выборе соответствующего пункта списка «История …» (см. Рисунок 3.16).


31

Net_Check

Рисунок 3.16

3.4 Выбор и создание профилей сканирования

Функции аудита обновлений (см. п.п. 3.5.1 и 3.5.2) и уязвимостей требуют

указания специального файла (ленты), с помощью которого и определяется наличие

уязвимости (или необходимости обновления) для данного программного продукта.

Аудит конфигураций (см. п.п. 3.5.3) также требует специального файла, в котором

особым образом перечислены эталонные значения и способы их получения. В

программе «Net_Check» реализован удобный способ работы с такими файлами

посредством профилей сканирования. Профиль сканирования представляет собой

выбранные пользователем ленты обновлений и уязвимостей (причем можно не

выбрать ни одной ленты), а также одну конфигурацию для каждого из возможных

продуктов.

Впоследствии, при сканировании машины с установленным продуктом будут использоваться только ленты и конфигурация из профиля.

Для того чтобы редактировать профиль (пока доступен только один), необходимо

в главном меню выбрать пункт «Сервис/Профили сканирования…». В открывшейся

форме (см. Рисунок 3.17) расположен список продуктов. В раскрывающихся списках

можно выбрать ленты и конфигурацию доступные для данного продукта. Затем

профиль необходимо сохранить, нажав соответствующую кнопку.


32

Net_Check

Рисунок 3.17

3.5 Функция контроля и аудита

3.5.1 Аудит обновлений

Целью контроля сертифицированных обновлений является регламентированное

обновление встроенных СЗИ сертифицированной версии программы. Пользователи

сертифицированных версий Windows обязаны своевременно устанавливать

сертифицированные обновления безопасности. Сертифицированные обновления для

различных ОС указываются в профиле сканирования (см. п.п. 3.4).

Выполнение операции для одной ЭВМ (один Check) Для выполнения операции необходимо выбрать ЭВМ в списке и во вкладке,

соответствующей названию продукта нажать кнопку и выбрать пункт меню «Аудит

обновлений» (см. Рисунок 3.18).


33

Net_Check

Рисунок 3.18

Выполнение операции для группы ЭВМ (нескольких Check-ов)

Данную операцию можно применить и для группы ЭВМ – выбрав их, щелкнув на

каждой из них мышью при нажатой клавише Shift (Ctrl). В появившейся вкладке

«Групповые операции» нажать кнопку соответствующую кнопку (см. Рисунок 3.19).


34

Net_Check

Рисунок 3.19

В итоге результат выполнения операций виден при выборе отдельной ЭВМ и

вкладки с Check-ом (см. Рисунок 3.20).

Рисунок 3.20

Возможные результаты контроля:

- «требуется установка обновлений»;

- «установка обновлений не требуется»;

- «ошибка».

3.5.2 Аудит уязвимостей

Функция аудита уязвимостей необходима для мониторинга уязвимых

программных продуктов, которые перечислены в профиле сканирования (см. п.п. 3.4).

В профиле определены ленты уязвимостей для определенного продукта (это может

быть браузер, программа IP-телефонии и т. п.), с помощью которых программа


35

Net_Check определяет, уязвима ли текущая версия установленного программного продукта или

нет.

Для проведения расширенного аудита сканирования уязвимостей вы можете воспользоваться нашим новым продуктом RedCheck. С более подробной информацией о продукте вы можете ознакомиться на сайте: http://www.redcheck.ru.

Выполнение операции для одной ЭВМ (один Check)

Для выполнения данной функции необходимо выбрать ЭВМ и во вкладке с

наименованием продукта в правом нижней части окна нажать кнопку и выбрать

пункт «Аудит уязвимостей» (см. Рисунок 3.21).

Рисунок 3.21

Выполнение операции для группы ЭВМ (нескольких Check-ов)

Данную операцию можно применить и для группы ЭВМ – выбрав группу машин

кликом мыши, при нажатой клавише Shift (Ctrl). В появившейся вкладке «Групповые

операции» нажать кнопку, указанную на Рисунок 3.22 .


36

Net_Check

Рисунок 3.22

Для аудита уязвимостей доступен отчет и история. Для их просмотра необходимо

нажать кнопку и выбрать соответствующий пункт меню.

3.5.3 Аудит конфигураций

Данная функция предоставляет пользователю возможность проверить систему на

соответствие определенной эталонной конфигурации. Под эталонной конфигурацией

подразумеваются настройки системы на уровне групповых и локальных политик,

реестра, а также файловой системы. Эти настройки описаны в специальном файле

стандарта XCCDF, который указан в профиле (см. п.п. 3.4).

Выполнение операции для одной ЭВМ (1 экземпляра продукта)


наименованием продукта в правом нижней части окна нажать кнопку и выбрать

пункт «Аудит конфигураций» (см. Рисунок 3.23).

http://scap.nist.gov/specifications/xccdf/


37

Net_Check

Рисунок 3.23

Выполнение операции для группы ЭВМ (нескольких экземпляров продуктов)

Операцию можно применить и для группы ЭВМ – выбрав группу, кликнув на

каждой из необходимых ЭВМ мышью, при нажатой клавише Shift (Ctrl). В появившейся

вкладке «Групповые операции» нажать кнопку, указанную на Рисунок 3.24.


38

Net_Check

Рисунок 3.24

Для аудита конфигураций доступны отчеты и история. Для их просмотра

необходимо нажать кнопку и выбрать соответствующий пункт меню.

3.5.4 Контроль и установка сертифицированных обновлений

Перед выполнением функции необходимо провести контроль продукта для выбранной ЭВМ (см. п.п. 3.5.1).



наименованием продукта в правой нижней части окна нажать кнопку и выбрать

пункт «Контроль и установка обновлений». На экране будет представлено окно (см.

Рисунок 3.25), в котором будет указана папка для сохранения скачанных обновлений

безопасности выбранной ОС.

Процедура удаленной установки обновления состоит в следующем:

1) нажать кнопку «Далее». На экран будет представлено (см. Рисунок 3.26)

окно со списком неустановленных обновлений;

2) нажать ссылку «Страница загрузки». Произвести обновление в папку

указанную в п.1. Нажать ссылку «Сравнить КС» для проверки контрольной суммы


39

Net_Check обновления эталонному значению. Убедиться положительности результата контроля.

Нажать флажок (выбрав одно или несколько обновлений для установки) и нажать

кнопку «Далее»;

3) ход установки обновлений показан ниже (Рисунок 3.27).


40

Net_Check

Рисунок 3.25

Рисунок 3.26


41

Net_Check

Рисунок 3.27

Выполнение операции для группы ЭВМ (нескольких экземпляров продуктов)

Для выполнения операции на группе ЭВМ необходимо выполнить следующую

последовательность действий:

1) выбрать группу ЭВМ, щелкнув на каждой ЭВМ группы мышью с нажатой

клавишей Shift (Ctrl);

2) в появившейся вкладке «Групповые операции» нажать кнопку и

выбрать «Контроль и установка обновлений»;

3) в появившемся окне произвести выбор, проверку и установку требуемых

обновлений аналогично пунктам 1-4 подпункта «Выполнение операции для одной ЭВМ

(1 экземпляра продукта).

При установке обновлений на группу ЭВМ список на установку представляет собой список всех доступных на установку обновлений. Если то или иное обновление присутствует на одной или нескольких ЭВМ, то его установка на данной ЭВМ не производится.


42

Net_Check

Рисунок 3.28


43

Net_Check

Рисунок 3.29

Для сертифицированных операционных систем, для получения заключения об установке всех сертифицированных обновлений необходимо установить все обновления из категории «Сертифицировано, подлежит установке».

3.5.5 Фиксация и контроль целостности файлов

Фиксация представляет собой процесс сбора данных и подсчета контрольных

сумм исполняемых файлов и библиотек средств защиты информации контролируемых

продуктов Microsoft. C настройками по умолчанию Программа фиксирует указанные

файлы в папках с установленными продуктами.

Контроль представляет собой операцию сравнения текущих контрольных сумм

файлов с эталонными контрольными суммами. В случае возникновения коллизий

(изменение контролируемого файла, его удаление, добавление нового бинарного

файла в папке продукта) программа информирует пользователя об этом по

завершении операции контроля.

Важно:


44

Net_Check процедуру фиксации состояния контролируемого продукта нужно проводить

каждый раз после установки обновлений продуктов и служб продуктов Microsoft;

при проведении очередной фиксации продукта результаты контроля удаляются;

процедуры фиксации и контроля являются достаточно долговременными и в значительной степени занимают ресурсы компьютера (могут длиться до 10 и более минут). Допустима инициация процедур с использованием Консоли управления, её выключение (при необходимости). Результаты выполнения операций будут доступны при последующем старте Консоли управления.


Для выполнения фиксации файлов продукта необходимо выбрать ЭВМ, щелкнув

на ней мышью, на вкладке с наименованием продукта нажать кнопку и в

появившемся меню выбрать пункт «Фиксация файлов». Процесс проведения фиксации

будет отмечаться в информационной панели (см. Рисунок 3.30).

После выполнения операции «Фиксация файлов» становится возможным

проведение операции «Контроль целостности». Операция инициируется нажатием

кнопки и выбором пункта меню «Контроль целостности». По завершении

контроля, его результаты можно посмотреть в информационной панели. В случае

неверного контроля продукта – конкретные измененные файлы целесообразно

посмотреть в Отчете о контроле целостности (см. п.п. 3.5.7).

Рисунок 3.30

Выполнение операции для группы ЭВМ (нескольких экземпляров

продуктов)

Выполнение операций «Контроль» и «Фиксация файлов» возможно для группы

ЭВМ, причём вне зависимости от того, какие сертифицированные программные

продукты на них установлены (Для каждого продукта фиксации и контролю будет

подвергаться соответствующая папка инсталляции продукта на управляемой ЭВМ).


45

Net_Check Для выполнения данной операции для группы ЭВМ необходимо:

1) Выбрать группу ЭВМ, щелкнув на каждой ЭВМ группы мышью с нажатой

клавишей Shift (Ctrl).

2) В появившейся вкладке «Групповые операции» нажать кнопку и

выбрать пункт меню «Фиксация файлов» или «Контроль целостности».

Результаты выполнения операции можно посмотреть в Отчете о контроле

целостности, сформированном для одной ЭВМ или группы, а также в информационной

панели, соответствующей наименованию продукта при выборе единичной ЭВМ.

Выполнение операции «Контроль целостности» по расписанию Для установки параметров выполнения функции по расписанию необходимо:

1) выбрать пункт меню «Настройка расписания» по нажатию кнопки ;

2) в открывшемся мастере (см. Рисунок 3.31) можно выбрать следующие

опции:

- запускать контроль заранее зафиксированного состояния исполняемых

файлов и библиотек при запуске агента (старте операционной системы);

- запускать контроль с заданной периодичностью или однократно;

3) при выполнении условия начала контроля и после завершения указанной

операции её результаты доступны в информационной панели, в области «Контроль

целостности продукта». Детальное описание доступно в отчете «Отчет контроля

целостности».


46

Net_Check

Рисунок 3.31

Установка параметров фиксации (контроля) файлов.

Для установки пользовательских значений параметров фиксации (контроля)

файлов необходимо внести изменения в настройки программы (см. Рисунок 3.32),

руководствуясь следующими правилами:

1) ряд папок в системном каталоге Windows добавлен в исключения; для

добавления в данный список дополнительных папок нужно внести изменения в поля

ввода «Исключаемые пути» или «Исключаемые пути х64» в зависимости от

разрядности системы;

2) по умолчанию программа проводит фиксацию и контроль файлов с

расширениями *.dll, *.exe и *.inf. Для редактирования разрешений файлов необходимо

внести изменения в поле ввода «Включаемые расширения».

3) для исключения файлов определенных типов из фиксации и контроля

необходимо внести изменения в поле ввода «Исключаемые расширения».


47

Net_Check

Рисунок 3.32

3.5.6 Установка значений параметров безопасности на сертифицированные конфигурации

Применение конфигураций безопасности для одной ЭВМ (1 экземпляра продукта)

Применение параметров безопасности доступно при выборе ЭВМ, нажатии кнопки

и выборе пункта меню «Применение конфигурации» на вкладке с наименованием

продукта (информационной панели) (см. Рисунок 3.33).


48

Net_Check

Рисунок 3.33

Затем из списка необходимо выбрать необходимую конфигурацию для

применения.

Также пользователю доступна возможность создавать и редактировать

конфигурации. Для этого необходимо нажать кнопку и выбрать пункт меню

«Редактор конфигураций» (см. Рисунок 3.33). На экране появится форма редактора

конфигураций (см. Рисунок 3.34).


49

Net_Check

Рисунок 3.34

С использованием редактора конфигураций можно произвести следующие

операции по работе с параметрами безопасности:

- поиск параметра безопасности по названию;

- редактирование значений параметров безопасности;

- сохранение конфигурации параметров безопасности в файл настроек;

- загрузка значений параметров безопасности из выбранного файла

настроек;

Поиск параметра безопасности по названию

Поиск параметра по значению происходит при наборе соответствующей текстовой

строки в поле «Поиск».

Редактирование значений параметров безопасности

Для редактирования значения параметра безопасности необходимо его выбрать

щелчком левой клавиши мыши, ввести необходимое значение и нажать кнопку

«Сохранить».

Для редактирования числовых параметров доступно уменьшение и увеличение

текущего значения на единицу, и ручной ввод. Значения текстовых параметров


50

Net_Check вводятся вручную. Для параметров, принимающих определенные значения –

указанные значения оформляются в виде ниспадающего списка.

Сохранение конфигурации параметров безопасности в файл настроек

Для сохранения конфигурации параметров безопасности в файл настроек

необходимо нажать кнопку «Сохранить как». Пользователю будет предоставлена

возможность указания названия конфигурации, после чего она будет доступна для

загрузки, редактирования и применения.

Загрузка конфигурации параметров безопасности

Для загрузки конфигурации параметров безопасности необходимо нажать кнопку

«Загрузить конфигурацию». Затем необходимо выбрать из ниспадающего списка

нужную конфигурацию.

Внизу в информационной панели присутствует информация об обработанных и

пропущенных параметрах. Если количество необработанных параметров больше нуля,

то значит, что при загрузке конфигурации встретился параметр, информации по

которому нет в репозитарии параметров и, скорее всего, репозитарий нуждается в

обновлении. Для получения более детальных сведений необходимо нажать на число

пропущенных правил (см. Рисунок 3.35).

Рисунок 3.35

Применение сертифицированных конфигураций параметров безопасности

на группе ЭВМ

Для выполнения данной операции для группы ЭВМ необходимо:

1) Выбрать группу ЭВМ, щелкнув на каждой ЭВМ группы мышью с нажатой

клавишей Shift (Ctrl).


51

Net_Check

2) В появившейся вкладке «Групповые команды» нажать кнопку .

Откроется диалоговое окно «Групповое применение конфигураций безопасности»

(см. Рисунок 3.36).

Рисунок 3.36

Для применения конфигурации необходимо выбрать продукт и конфигурацию

безопасности для него и нажать кнопку «Применить конфигурацию». Внизу окна

можно увидеть результат применения конфигураций для разных компьютеров.

3.5.7 Формирование и просмотр отчетов

В программе доступны отчеты как по каждой из функций, так и комплексный отчет

(сразу по всем). Также отчеты могут быть сформированы для одной или группы ЭВМ.

Для формирования комплексного отчета для одной ЭВМ необходимо выбрать ЭВМ,

щелкнуть по ней мышкой и во вкладке с наименованием продукта нажать кнопку и

выбрать пункт «Комплексный отчёт по Check-у». Для формирования отчета по

конкретной функции необходимо нажать кнопку соответствующей функции и выбрать

пункт меню создания отчета.

При выборе группы ЭВМ кнопка создания отчётов доступна на вкладке

«Групповые операции». При этом можно сформировать два типа отчётов: «Групповой

отчёт» и «Общий список неустановленных обновлений», которые вызываются

соответствующими пунктами меню.


52

Net_Check В групповом отчёте отображаются краткие сведения по всем функциям для

каждого Check-a каждой ЭВМ (см. Рисунок 3.37).

Рисунок 3.37

В отчёте неустановленных обновлений отображаются отсутствующие обновления

с группировкой по Check-ам (см. Рисунок 3.38).


53

Net_Check

Рисунок 3.38

Отчет аудита обновлений

Данный отчет отображает сведения об установке или не установке на выбранных

ЭВМ всех обязательных сертифицированных обновлений. Для формирования отчета

необходимо нажать кнопку и выбрать пункт меню «Отчет аудита обновлений».

Если на компьютере не установлено какое-либо обновление, то его название и

краткое описание будет отображено в отчете. Также в отчете будет отображена

гиперссылка, с помощью которой можно загрузить данное обновление (см. Рисунок

3.39).

Для аудита обновлений доступен также расширенный отчет, который можно

сформировать, если нажать кнопку и выбрать пункт меню «Расширенный отчет

аудита обновлений». В данном отчете помимо неустановленных отображены также

установленные и неприменимые обновления в формате, описанном выше.


54

Net_Check

Рисунок 3.39

Отчет аудита уязвимостей

Данный отчет (см. Рисунок 3.40) отображает сведения об уязвимом программном

обеспечении, установленном на компьютере. Для его формирования необходимо

нажать кнопку и выбрать пункт меню «Отчет аудита уязвимостей».

Если уязвимое ПО обнаружено, то в отчете отображаются название и краткое

описание уязвимостей. Также отображаются ссылки, которые либо предоставляют

более полную информацию об уязвимости, либо позволяют загрузить обновление,

устраняющее данную уязвимость (если оно имеется).


55

Net_Check

Рисунок 3.40

Отчет аудита конфигураций

Данный отчет (см. Рисунок 3.41) отображает сведения о соответствии системы

одной из эталонных конфигураций. Конфигурация представляет собой набор правил,

объединенных в группы, и имеет древовидную структуру. В отчете сверху показаны

статусы правил, их цветовые метки, а в скобках указано количество правил с

соответствующим статусом. Ниже представлено «дерево» конфигурации, в котором

отображено имя правила или группы и цветовая метка статуса. Имена групп выделены

жирным шрифтом.


56

Net_Check

Рисунок 3.41

Отчет о контроле целостности системы

Данный отчет (см. Рисунок 3.42) отображает сведения о целостности файлов

одной или нескольких управляемых ЭВМ (целостности бинарных файлов).


57

Net_Check

Рисунок 3.42

3.6 Сервисные функции

3.6.1 Импорт и экспорт данных

Функционирование программы может предполагать замену и переустановку БД и

отдельных программ. В этом случае для того чтобы осуществить сохранение данных

об управляемых ЭВМ и продуктах целесообразно перед переустановкой программы

«Консоль управления» произвести экспорт данных из текущей БД (экспортируются

только выделенные ЭВМ), а при переустановке – произвести импорт ЭВМ из

сохранённого XML файла.


58

Net_Check

Рисунок 3.43

Экспорт/импорт данных доступен из меню «Сервис» - «Экспорт данных…» или

«Сервис» - «Импорт данных...» соответственно. При проведении как экспорта, так и

импорта есть возможность выбора отдельных категорий (см. Рисунок 3.43 и Рисунок

3.44).


59

Net_Check

Рисунок 3.44

3.6.2 Диспетчер задач

Программа Консоль управления работает с управляемыми агентами с

использованием пула потоков с определенным количеством операций каждого типа в

пределах одного пула. По умолчанию это количество хранится в реестре по пути для

64-х битной системы: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Altex-

Soft\NetCheckConsole, для 32-х битной: HKEY_LOCAL_MACHINE\SOFTWARE\Altex-

Soft\NetCheckConsole и принимается равным:

- для операций «проверка подключения» - 10 (параметр "PoolCountPing");

- для операции «фиксация файлов продукта» и «контроль целостности

продукта» -5 (параметр "PoolCountFix");

- для операции «настройка параметров безопасности» -5 (параметр

«PoolCountParams»).

- для операций аудита обновлений, аудита уязвимостей и аудита

конфигураций -5 (параметр "PoolCountOvalStrip")

Для просмотра выполняемых задач в текущий момент времени служит окно

«Диспетчер задач», доступное по пункту меню «Сервис/Диспетчер задач». Диспетчер


60

Net_Check задач показывается в нижней информационной панели главного окна программы

Консоль управления (см. Рисунок 3.45).

Рисунок 3.45

3.6.3 Управление профилями учетных записей

При операциях с удалённой ЭВМ (установка/удаление агента, настройка

прав доступа, установка пакета и др.) возникает необходимость вводить учетные

данные. Для минимизации вводимых данных в программе «Net_Check» реализован

механизм профилей учетных записей. Для создания и редактирования профилей

необходимо выбрать пункт меню «Сервис» - «Профили учетных записей». В

появившемся окне (см. Рисунок 3.46), можно удалить профиль (кнопка «-», горячая

клавиша Del), добавить (кнопка «+», горячая клавиша Ins) и редактировать

(контекстное меню выбранного профиля, пункт «Изменить», горячая клавиша F2).


61

Net_Check

Рисунок 3.46

При нажатии на кнопку «+» появляется форма создания нового профиля

сканирования (см. Рисунок 3.47).

Рисунок 3.47

Чтобы создать новый профиль необходимо в этой форме заполнить все

необходимые поля и нажать кнопку «ОК».

3.6.4 Загрузка файлов обновлений

Функционирование программы предполагает загрузку файлов обновлений. Чтобы

загрузить файлы обновлений для продуктов необходимо перейти в пункт меню

«Сервис» – «Загрузка файлов обновлений» (см. Рисунок 3.48).


62

Net_Check

Рисунок 3.48

В левой части окна пользователю предлагается выбрать продукт, а также ленту

на основании которой файлы обновлений будут загружены. Ниже отображена краткая

информация о ленте: её автор, название, а также описание. (см. Рисунок 3.49)


63

Net_Check

Рисунок 3.49

В центральной части окна представлена таблица, отражающая всю информацию

о загружаемых файлах ленты обновлений (см. Рисунок 3.50).

Структура таблицы:

В первом столбце пользователь может выбрать необходимые для

скачивания обновления (кликом левой кнопкой мыши).

Файл – отображает наличие файла в скаченных (в случае наличия файла

будет отображаться зеленая галочка ).

Статус – отображает текущий статус скачивания обновления: загружен, в

очереди, прогресс бар загрузки, ошибка.

Требуется – на основании ранее проведенных аудитов обновлений,

программа показывает, необходимо ли данное обновление для установки на каком-

либо из хостов.

Название определения – название обновления.

Название файла – имя файла загрузки.

URL – прямая ссылка, для загрузки обновления.


64

Net_Check

Рисунок 3.50

В нижней части окна представлены кнопки управления и краткая информация о

загрузках (см. Рисунок 3.51).

Краткая информация о загрузках:

Всего файлов – общее количество файлов в ленте.

Выбрано файлов - количество выбранных файлов в таблице.

Загружено файлов - сколько файлов уже загружено.

Кнопки управления:

Выбрать все/сбросить – позволяет в один клик выбрать или снять

выделение для всех файлов, представленных в ленте.

Загрузить обновления – запускает процесс скачивания выбранных в

таблице файлов.

Открыть папку с обновлениями – открывает папку, где хранятся загрузки.

Рисунок 3.51

Для того чтобы перезагрузить какой-либо файл обновлений, необходимо

выполнить следующую процедуру:

1) В таблице выбрать файл обновлений, который необходимо перезагрузить,

и правой кнопкой мыши вызвать контекстное меню. (см. Рисунок 3.52)


65

Net_Check 2) В появившемся меню выбрать «Открыть расположение файла».

3) В открывшемся окне удалить файл обновлений.

4) Далее необходимо вернуться в окно «Загрузки файлов обновлений»,

выделить необходимый файл обновлений и нажать на кнопку «Загрузить обновления».

Рисунок 3.52

Важно: Для контроля загруженности интернет-канала в NetCheck предусмотрена возможность задать количество потоков скачивания обновлений. Для этого необходимо открыть пункт меню «Сервис» - «Настройки программы», перейти на вкладку «Дополнительно», снять флаг с пункта «Автоопределение количества потоков скачивания» и в поле «Максимальное количество потоков» задать количество потоков. Под «потоками» понимается количество одновременно скачиваемых файлов обновлений. То есть, если в поле «Максимальное количество потоков» установить значение «3», при скачивании обновлений единовременно будет скачиваться не более чем 3 файла. Значение по умолчанию: «Автоопределение количества потоков скачивания».

3.6.5 Включение входа в консоль по паролю

Для обеспечения защиты от несанкционированного доступа в NetCheck

присутствует возможность включения входа в консоль по паролю. Для включения

«Входа в консоль по паролю» необходимо открыть пункт меню «Сервис» - «Настройки

программы», перейти на вкладку «Дополнительно» и установить флаг «Включить вход

по паролю» (см. Рисунок 3.53), после чего задать произвольные имя

пользователя\пароль и нажать кнопку «ОК».


66

Net_Check

Рисунок 3.53

Теперь, после перезапуска, консоль NetCheck будет запрашивать у

администратора Имя пользователя и Пароль (см. Рисунок 3.54).


67

Net_Check

Рисунок 3.54

3.7 Управление агентами и ПЭВМ

Программа Консоль управления позволяет производить следующие операции с

агентами и ПЭВМ:

1) Принудительная проверка подключения агента – состоит в проверке

доступности службы программы агента на управляемой ПЭВМ. Функция доступна по

нажатию правой кнопки мыши на строке с ПЭВМ и в контекстном меню выбрать пункт

«Проверить подключение» (горячая клавиша F5).

2) Инсталляция агента (см. п.п. 2.2.2 настоящего руководства). Функция

доступна по нажатию правой кнопки мыши на строке с ПЭВМ и в контекстном меню

выбрать пункт «Управление агентом/Инсталлировать агент».

3) Деинсталляция агента (см. п.п. 2.2.2 настоящего руководства). Функция

доступна по нажатию правой кнопки мыши на строке с ПЭВМ и в контекстном меню

выбрать пункт «Управление агентом /Деинсталлировать агент».

4) Перезагрузить агент – в случае доступности агента, функция состоит в

рестарте службы-агента на управляемой ПЭВМ. Функция доступна по нажатию правой

кнопки мыши на строке с ПЭВМ и в контекстном меню выбрать пункт «Управление

агентом /Перезагрузить агент».

5) Перезагрузить компьютер – в случае доступности агента функция состоит

рестарте управляемой ПЭВМ. Функция доступна по нажатию правой кнопки мыши на

строке с ПЭВМ и в контекстном меню выбрать пункт «Управление

хостом/Перезагрузить хост».


68

Net_Check 6) Выключить компьютер – в случае доступности агента функция состоит

выключение управляемой ПЭВМ. Функция доступна по нажатию правой кнопки мыши

на строке с ПЭВМ и в контекстном меню выбрать пункт «Управление

хостом/Выключить хост».


69

Net_Check

ПРИЛОЖЕНИЯ


70

Net_Check

ПРИЛОЖЕНИЕ А

Установка сертификатов

Для проведения синхронизации контента безопасности программы или для

доступа на закрытую часть сайта https://update.altx-soft.ru, необходима корректная

установка корневых и промежуточных сертификатов УЦ компании АЛТЭКС-СОФТ,

также аппаратный ключ eToken должен быть подсоединен к USB-порту компьютера.

Для обеспечения функционирования ключа eToken на компьютере должны быть

установлены драйвера eToken PKI Client.

Сертификаты компании АЛТЭКС-СОФТ расположены на сайте http://www.altx-

soft.ru/downloads.htm в разделе "Как получить доступ".

Сертификат №1 необходимо поместить в "Доверенные корневые центры

сертификации".

Сертификат №2 необходимо пометить в "Промежуточные центры сертификации".

Если на ключе-eToken истёк срок действия сертификата, то Вам необходимо

обратиться в службу поддержки [email protected] или на портал https://portal.altx-

soft.ru .


http://www.altx-soft.ru/downloads.htm

http://www.altx-soft.ru/downloads.htm

https://update.altx-soft.ru/pki/new/rootupdate_RootUpdate.crt

https://update.altx-soft.ru/pki/new/SubUpdate.crt

mailto:[email protected]?subject=Запрос%20файла%20лицензии

https://portal.altx-soft.ru/

https://portal.altx-soft.ru/


71

Net_Check

ПРИЛОЖЕНИЕ Б

Пример использования LDAP-фильтра

LDAP-фильтры используются для получения данных из Active Directory.

Фильтр определяет необходимые условия для включения объекта в результат

запроса. LDAP-фильтр может содержать одно или более условий.

Результат условия - "Истина" или "Ложь". Общий вид фильтра:

(<Атрибут AD><оператор сравнения><значение>)

При фильтрации по атрибуту класса objectСategory, LDAP производит

преобразование значения для более удобного составления фильтров. objectСategory -

атрибут DN, например"cn=person,cn=Schema,cn=Configuration,dc=MyDomain,dc=com".

Возможное условие фильтра:

(objectCategory=cn=person,cn=Schema,cn=Configuration,dc=MyDomain,dc=com)

Active Directory позволяет использовать следующее короткое написание:

(objectCategory=person)

Комбинации objectCategory и objectClass приведены в Таблица 2.

Таблица 2

objectCategory objectClass Результат

person user Пользователи

person Пользователи и контакты

person contact Контакты

user Пользователи и компьютеры

computer Компьютеры

user Пользователи и контакты

contact Контакты

computer Компьютеры

person пользователи, компьютеры и контакты

contact Пользователи и контакты


72

Net_Check group Группы

group Группы

person organizationalPerso

n

Пользователи и контакты

organizationalPerso

n

Пользователи, компьютеры и контакты

organizationalPerso

n

Пользователи и контакты

Нужно использовать фильтры, наиболее точно описывающие желаемый

результат. Когда приходится выбирать между использованием objectCategory и

objectClass, предпочтительно objectCategory, т.к. objectCategory принимает только одно

значение и индексируется, а objectClass - много значений.

Примеры использования фильтра приведены ниже в Таблица 3.

Таблица 3

Запрос LDAP-фильтр

Все компьютеры (objectCategory=computer)

Все домены (objectCategory=domain)

Компьютеры без описания (&(objectCategory=computer)(!description

=*))

Пользователи с cn начитающимися на

"Вас"

(&(objectCategory=person)(objectClass=u

ser)

(cn=Вас*))

Documents

Net Check - altx-soft · 2018-12-20 · 3.6.4 Загрузка файлов обновлений ... (например, слабых мест программного обеспечения