Lektion 2: Sammeln von Netzwerkdaten 495
Lektion 2: Sammeln von Netzwerkdaten
Sie können viel über ein Netzwerk erfahren, indem Sie es aktiv testen oder den Datenver-
kehr passiv mitlesen. Diese Lektion beschreibt zwei Programme und ein Protokoll, das Sie
dabei unterstützt. Mit dem Microsoft Baseline Security Analyzer können Sie Ihr Netzwerk
auf Clients untersuchen, auf denen nicht die aktuellen Sicherheitsupdates installiert wurden
und die eine problematische Sicherheitskonfiguration aufweisen. Mit dem Network Monitor
können Sie den Netzwerkdatenverkehr aufzeichnen und genau überprüfen, was ein Compu-
ter hört, der ans Netzwerk angeschlossen ist. SNMP (Simple Network Management Proto-
col) ermöglicht Ihnen die Überwachung von entsprechend ausgelegten Geräten. In dieser
Lektion erfahren Sie mehr über diese Hilfsmittel und darüber, was Sie damit in einer Win-
dows Server 2008-Netzwerkumgebung tun können.
Am Ende dieser Lektion werden Sie in der Lage sein, die folgenden Aufgaben auszuführen:
■ Sammeln von Informationen über ein Netzwerk mit SNMP
■ Überwachen der Sicherheit der Clients mit dem Microsoft Baseline Security Analyzer
■ Sammeln von Informationen über ein Netzwerk mit dem Network Monitor
Veranschlagte Zeit für diese Lektion: 40 Minuten
Microsoft Baseline Security Analyzer
Der Microsoft Baseline Security Analyzer (MBSA) ist ein Tool, mit dem Sie überprüfen
können, ob auf den Computern aus dem Netzwerk Ihrer Organisation alle relevanten Up-
dates installiert wurden und ob die Sicherheitseinstellungen nach den Empfehlungen von
Microsoft vorgenommen wurden. Das MBSA-Tool kann entweder die Liste der Updates
verwenden, die auf den Microsoft Update-Servern veröffentlicht wurden, oder die Liste der
auf dem lokalen WSUS-Server genehmigten Updates heranziehen. Mit dem MBSA-Tool
können Sie entweder einen einzelnen Computer untersuchen, einen bestimmten IPv4-
Adressbereich oder eine Domäne, wie in Abbildung 9.16.
Mit MBSA können Sie Ihre Computer auf Folgendes überprüfen:
■ Sicherheitsupdates Führen Sie diese Prüfung mit Microsoft Update oder einem
lokalen WSUS-Server als Datenquelle durch.
■ Windows-Verwaltungsschwachstellen Bei dieser Prüfung werden die Zustände der
Gastkonten überprüft, das Dateisystemformat, die Konfiguration der Dateifreigabe und
die Konfiguration von Mitgliedern der Administratorengruppe (beispielsweise wird
untersucht, ob ein Administratorenkonto über ein Kennwort verfügt, das niemals ab-
läuft).
■ Schwache Kennwörter Hierbei wird überprüft, ob die auf dem Zielcomputer ver-
wendeten Kennwörter die Komplexitätsvoraussetzungen erfüllen.
■ IIS-Verwaltungsschwachstellen Überprüft, ob das IIS-Sperrprogramm ausgeführt
wurde und ob bestimmte Beispielanwendungen und virtuelle Verzeichnisse vorhanden
sind.
496 Kapitel 9: Verwalten von Softwareupdates und Überwachen von Netzwerkdaten
■ SQL-Verwaltungsschwachstellen Hierbei wird zum Beispiel der Authentifizie-
rungsmodus und der Zustand des Systemadministratorkontos (sa) untersucht, sowie
die Mitgliedschaften von Dienstkonten.
Abbildung 9.16 MBSA kann mehrere Computer überprüfen
Wenn Sie MBSA verwenden, muss das Konto, mit dem Sie die Überprüfung durchführen,
auf dem ausführenden Computer und auf dem Zielcomputer über Administratorrechte verfü-
gen. Daher können Angreifer dieses Tool nicht einfach verwenden, um Windows-Netzwerke
nach ausnutzbaren Schwachstellen zu durchsuchen. Auf dem Computer, der die MBSA-
Untersuchung durchführt, müssen der Arbeitsstationsdienst und der Client für Microsoft-
Netzwerke aktiviert sein. Außerdem muss der Windows Update-Agent 3.0 oder höher instal-
liert sein. Sofern der Computer IIS-Schwachstellen aufspüren soll, sind auch die gemein-
samen Dateien für IIS erforderlich. Auf Computern, die mit MBSA remote überprüft wer-
den, sind der Remoteregistrierungsdienst, der Serverdienst, die Datei- und Druckerfreigabe,
DCOM und der Windows Update-Agent 3.0 oder höher erforderlich. Der MBSA verwendet
für Remoteuntersuchungen die Ports 135, 139 und 445. Wenn sich eine Firewall oder ein
Paketfilter zwischen dem untersuchenden und den Zielcomputern befindet, müssen Sie den
Datenverkehr auf den UDP-Ports 137 und 138 zulassen, damit Authentifizierungen erfolgen
können.
Wie
aus Abbildung 9.17 hervorgeht, können Sie das MBSA-Tool mit dem Befehl mbsacli.exe
auf der Befehlszeile verwenden. Das Programm befindet sich in dem Verzeichnis, in dem
MBSA installiert wurde, und muss in einer Eingabeaufforderung mit erhöhten Rechten aus-
geführt werden. Die Textausgabe eines mbsacli.exe-Befehls können Sie zur späteren Prüfung
in eine Textdatei umleiten. Welche Befehlszeilenoptionen für mbsacli.exe zur Verfügung
Get Aktualisieren Ihrer MCSA/MCSE-Zertifizierung auf Windows Server 2008 MCTS - Original Microsoft Training für Examen 70-648 und 70-649 now with the O’Reilly learning platform.
O’Reilly members experience books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers.
