Laste ned presentasjonen
Presentasjon lastes. Vennligst vent
1
© UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 1 Daily maskinene rapporterer fra innsiden Loggdelen
2
© UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 2 Hva er Usit-daily? (1) Script som kjøres hver natt mellom 0000-0600. Maskinene rapporterer selv fra ”innsiden”. Skal kjøre på alle maskiner i domenet. Krav at alle maskiner er i domenet. Tidligere todelt bruksområde: -patche – utgått (unntak, W2K pre SP3) -Logge og rapportere nyttig informasjon fra maskinene.
3
© UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 3 Hva er usit-daily (2): Fra daily kjøres et loggescript som henter ut diverse informasjon fra maskinen. Resultatet lagres i en lokal fil på maskinen: %systemdrive%\etc\daily\logs\%computername%.log Resultatet kopieres over til en sentral server (serimne). Filene skrives over for hver gang usit-daily kjører. Rapportscript generer rapport ut fra loggfilene og sender daglige raporterer til pcadm, om mistenkelige ting på en maskinen. Utvidet rapportscript kan nå sende mail til lita.
4
© UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 4 Hensikt: Oversikt -lettere å holde kontroll på maskinene i domenet -lette opprydning for oss og lita (dnsnavn, maskiner utenfor domenet, osv..) Sikkerhet -ta tak i hacking/virus/orm-incidenter, fange opp maskiner som tas på samme måte. -patchestatus
5
© UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 5 Hva logges? (1) OS-informasjon (versjon,type,språk,sp,patcher) Patchestatus (hfnetchk) F-secure versjon F-secure sist oppdatert IP-konfigurasjonen Diverse info, bla patcher (srvinfo) Diskbruk Shares på maskinen Porter som maskinen lytter til/har åpne: (Netstat og fport)
6
© UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 6 Hva logges? (2) Servicer som er startet Servicer som er installert (psservice) Prosesser som går og path de kjøres fra (tlist) Medlemmer av administratorgruppen Informasjon om "guestaccount”, om den er ”active” Medlemmer av guestgruppen Profiler på maskinen (de som har være innlogget)
7
© UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 7 Hva logges? (3) Om maskinen er installert med mkdisk, xp-løsningen eller annet Lokale innlogginger Feilaktige administratorinnlogginger (mer enn 5 på rad) Md5-checksummmer av noen viktige systemfiler Passordhashene hentes ut av og til for testing Søk etter en rekke "mistenkelige filer" finnes på maskinen. Typisk signaturfiler fra kjente hackerangrep og hackerverktøy. innholdet i win.ini og boot.ini
8
© UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 8 Hva logges? (4) subnøkler og verdier fra winlogon i registry subnøkler og verdier fra run i registry subnøkler og verdier fra runonce i registry subnøkler og verdier fra startup i registry
9
© UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 9 Hvordan installere usit-daily? Automatisk via domene (for W2K og XP) =>boot av maskin = installasjon av usit-daily (Manuelt: \\serimne\ts\daily\pc-daily\install-daily.bat )\\serimne\ts\daily\pc-daily\install-daily.bat
10
© UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 10 I tillegg: dailylight Kortversjon av daily: -OS-informasjon -patchestatus med hfnetchk -f-secure-versjon -f-secure sist oppdatert -sist kjørt daily Kjører på startup av maskin dersom hoveddaily ikke har kjørt siste døgnet. Skriver resultat til sentral server (serimne)
11
© UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 11 Hensikt med dailylight Kan kjøre ”on demand” ved behov Fange opp maskiner som blir skrudd av om natten Rapportdelen av daily bruker lightloggen dersom denne er nyest.
Liknende presentasjoner
