ToolboxNeue Produkte für IT-Profis
Greg Steen
Überwachen von Remoteverbindungen
RecordTS
Wollten Sie schon immer einen Blick hinter die Kulissen Ihrer Terminalserver- oder Remotedesktopsitzungen werfen? Vielleicht möchten Sie wissen, was genau passiert ist, bevor Ihre Remotedesktopsitzung Ihre Website abstürzen ließ. Möglicherweise gibt es auf Ihrem Terminalserver ein Problem, das nicht repliziert werden kann. Eventuell machen Sie sich Gedanken über die Sicherheit geistigen Eigentums. Vielleicht müssen Sie ein Protokoll oder eine Präsentation über die Konfiguration Ihres SharePoint®-Servers in einer Testumgebung erstellen. Wenn Ihnen diese Szenarios bekannt vorkommen, sollten Sie RecordTS von TSFactory ausprobieren. (TSFactory wurde von Cláudio Rodrigues, Microsoft MVP für Terminal Services gegründet).
RecordTS steht in zwei Editionen zur Verfügung: Terminalserver und Remotedesktop. Die für Sie geeignete Edition hängt von der Art der zu überwachenden Verbindungen ab. Laut Produktwebsite fungiert RecordTS als „Überwachungskamera“ für Terminalserver- oder Remotedesktopsitzungen. Die Software bildet im Grunde einen Proxy zwischen Terminal Services und der Endbenutzersitzung, wodurch jede Aktion während einer Sitzung aufgezeichnet wird.
Bei der intuitiven Installation wird ein einfacher Assistent verwendet, mit dem die Anwendung auf das Datenverzeichnis gelenkt wird, in dem die Sitzungen gespeichert werden sollen. Die Anwendung installiert ein MMC-Snap-In (mit dem der Dienst konfiguriert werden kann), den RecordTS-Dienst und ein Dienstprogramm zur Sitzungswiedergabe aufgezeichneter Sitzungen. Nach dem Öffnen des MMC-Snap-Ins wird durch Klicken mit der rechten Maustaste auf den Dienstordner ein Eigenschaftenbildschirm angezeigt, in dem Einstellungen konfiguriert werden können, z. B. der Port, auf dem der Dienst ausgeführt werden soll. (Diese Einstellung ist hilfreich, wenn Sie die Terminaldienstsitzungen auf einen nicht standardisierten Port verschoben haben.) Auf der Registerkarte „Storage“ (Speicher) können Sie den Standardspeicherordner auf einen lokalen Ordner oder einen UNC-Pfad festlegen.
Außerdem können Sie die Verzeichnisstruktur der gespeicherten Sitzungen konfigurieren. Zum Beispiel können Sie Domäne, Benutzer sowie Datum und Zeit zum Organisieren der gespeicherten Daten verwenden. Die vielleicht wichtigste Einstellung beim Speichern von Sitzungen auf einer lokalen Festplatte ist die Anweisung an den Dienst, welche Aktion im Fall eines vollen Datenträgers erfolgen soll. Sie können entweder keine weiteren Verbindungen zulassen und aktuelle Sitzungen beenden (die richtige Wahl für äußerst Sicherheitsbewusste) oder die Sitzungsaufzeichnung ausschalten (die richtige Wahl, wenn die Produktivität nicht beeinträchtigt werden soll).
Auf der Registerkarte „Security“ (Sicherheit) können Sie festlegen, ob alle aufgezeichneten Sitzungen digital signiert werden sollen, indem Sie ein vorhandenes Zertifikat auswählen oder ein selbst signiertes Zertifikat erstellen. Dies empfiehlt sich, wenn das Tool für Überwachungs- oder Haftungszwecke verwendet werden soll. Auf der Registerkarte „Users“ (Benutzer) können Sie festlegen, welche Benutzersitzungen aufgezeichnet werden sollen und welche nicht.
Insgesamt ist RecordTS ein wertvolles Tool für Sicherheit und Überwachung, das noch weitere Einsatzmöglichkeiten bietet. So können Sie z. B. eine Anleitung als Präsentation aufzeichnen. Für mich ist es eine praktische Ergänzung meiner Toolbox.
Preis: RecordTS Remote Desktop Edition – ab 495 €. RecordTS Terminal Services Edition – ab 995 €.
Hostüberwachung
Advanced Host Monitor
Wenn Sie betrieblichen Support für eine wichtige Infrastruktur bereitstellen müssen, gibt es nur einen Faktor, der Sie ruhig schlafen lässt: eine solide, zuverlässige Hostüberwachung. Selbst wenn Sie über unerschütterliche Hardware und stabile, zuverlässige Anwendungen ohne Fehlerquellen verfügen, benötigen Sie trotzdem eine umfassende Hostüberwachung, die anzeigt, wenn das redundante System eingreifen muss.
Der Advanced Host Monitor von KS-Soft verfügt über 58 unterschiedliche Testmethoden und 30 Warnmethoden. Sie können Elemente wie Prozessinformationen, Benutzersitzungen, durchschnittliche Auslastung, Speicher und so weiter prüfen. Die Anwendung bietet Windows®-spezifische Tests, Linux-/UNIX-Tests und plattformunabhängige Prüfungen. Im Gegensatz zu Windows-Tests erfordern Linux-/UNIX-Tests die Installation eines Remoteüberwachungsagent auf dem Client.
Außerdem gibt es einen Überwachungstest für die Windows-Verwaltungsinstrumentation (WMI). Mit dem eingebetteten WMI-Explorer können Sie nach einer bestimmten Abfrage suchen. Navigieren Sie einfach zum entsprechenden Objekt, wählen Sie es aus, und führen Sie die Abfrage aus, um die benötigten Daten zu erhalten.
Der Advanced Host Monitor verfügt außerdem über eine Reihe von Datenbanktests wie einen ODBC-Abfragetest, der die Verfügbarkeit einer ODBC-Datenquelle überprüft, eine Abfrage ausführt und das Ergebnis mit einem bekannten Wert vergleicht. Sie können außerdem prüfen, ob der Host in der Lage ist, eingehende Sitzungen für SQL Server™-, MySQL-, Oracle-, Postgres-, Sybase- und Interbase-Datenbankserver anzunehmen.
Weiterhin stehen eine Reihe von Tests für Festplatten und Dateien zur Verfügung, mit denen freier Speicherplatz, Quoten, Ordner- oder Dateiverfügbarkeit sowie Verfügbarkeit von UNC-Freigaben überprüft werden kann. Darüber hinaus erhalten Sie die standardmäßigen Netzwerktests: allgemeine TCP-/UDP-Überprüfungen, E-Mail-Tests (für SMTP, POP3 und IMAP), Überprüfungen der E-Mail-Weiterleitung, Tests von HTTP-Inhalten und Systemzeiten und so weiter. Eine weitere nützliche Option ist die Überwachung von Testabhängigkeiten um Prüfungen der Reihe nach vorzunehmen. Die Tests können in regelmäßigen Abständen oder unregelmäßig geplant werden, wodurch sich Testmuster fein abstimmen lassen.
Zu den Warnmethoden gehören das Senden von Nachrichten per SMS, ICQ, E-Mail, über ein Ereignisprotokoll oder ein Popupfenster. Durch die Warnungen können auch andere Ereignisse ausgelöst werden, z. B. das Starten oder Anhalten von Diensten, Neustarten des Computers oder Ausführen eines externen Programms.
Die Professional und die Enterprise Edition von Advanced Host Monitor umfasst die IP-Tools von KS-Soft, einen Satz von 19 TCP/IP-Netzwerkdienstprogrammen, der Port-/Protokollscanner und eine SNMP-Trapüberwachung enthält, mit der Sie SNMP-Trapnachrichten empfangen und verarbeiten können. Außerdem verfügen beide Versionen über eine Protokollanalyse- und Berichterstattungskomponente, mit der Sie Verlaufsüberwachungsdaten für Betriebszeitberichte und Leistungsanalysen hochrechnen können.
Die Benutzeroberfläche bietet eine gute Möglichkeit, gleichzeitig einen kurzen Überblick über eine Reihe von Tests zu erhalten. So können Sie Probleme auf den überwachten Hosts schnell ermitteln.
Preis: 599 $ für die Enterprise Edition. 275 $ für die Professional Edition.
Datenträgerbereinigung
WinDirStat
Ähnlich wie Wohnungen oder Häuser neigen Dateispeicherorte dazu, sich nach einer gewissen Zeit mit inzwischen unnötigem Material zu füllen, das wertvollen Platz einnimmt. Ein Frühjahrsputz kann hier Wunder wirken, aber anders als bei Ihnen zu Hause erhalten Sie von einer Verzeichnisbaumstruktur keine sichtbaren Hinweise, wo Sie am besten mit dem Aufräumen beginnen. Glücklicherweise gibt es ein großartiges Visualisierungstool, mit dem Sie ermitteln können, von welchen Dateien Speicherplatz belegt wird.
Mit dem GPL-Programm WinDirStat, einem Windows-basierten Tool, das von Linux KDE kdirstat inspiriert wurde, werden Dateien auf ausgewählten Laufwerken als ein Satz farbiger Quadrate angezeigt. Die Größe der Quadrate entspricht der Größe der Dateien, wodurch unnötige, alte ISO- oder ZIP-Dateien leicht erkannt werden können.
Nachdem Sie Ihr lokales Laufwerk (oder einen Satz lokaler Laufwerke) ausgewählt haben, wird die Verzeichnisstruktur vom Programm gescannt und ein speicherinternes Schema der Dateien erstellt. Dann wird die Visualisierung im unteren Fensterbereich der grafischen Benutzeroberfläche angezeigt. Durch Klicken auf ein farbiges Quadrat im unteren Fensterbereich wird der dem Windows Explorer ähnliche obere Fensterbereich zum Speicherort der Datei geleitet. Mithilfe des oberen Fensterbereichs erhalten Sie nützliche Statistiken wie Dateigröße, Datum der letzten Änderung und andere Attribute. Zusätzlich wird angezeigt, welcher Prozentsatz der Unterstruktur von dieser Datei eingenommen wird.
Hilfreicherweise erhalten verschiedene Dateitypen unterschiedliche Farben, und durch Klicken auf einen Dateityp oben rechts werden alle Dateien dieses Typs im unteren Fensterbereich hervorgehoben. Das ist beispielsweise praktisch, wenn Sie alle ausgeblendeten MP3s Ihrer Benutzer auf dem Dateiserver identifizieren müssen. Außerdem ist ersichtlich, welcher Prozentsatz an Bytes diese Dateien auf der Partition einnehmen.
Preis: Kostenloser Download.
Buchbesprechung
Enemy at the Water Cooler
Beinahe jedes Unternehmen muss heutzutage über eine Internetverbindung verfügen. Die meisten sind sich der Gefahren bewusst, die durch die nahezu konstanten Angriffe auf die Verbindungspunkte entstehen, die das „Äußere“ von „Inneren“ der IT-Infrastruktur trennen. Doch viele Unternehmen übersehen eine potenziell größere Bedrohung innerhalb der Organisation. Die Macht dieser so genannten Insiderbedrohungen wird in „Enemy at the Water Cooler“ anschaulich dargestellt. Wirklichkeitsnahe Geschichten über Insiderbedrohungen und Gegenmaßnahmen der Sicherheitsverantwortlichen im Unternehmen von Brian Contos (Syngress, 2006).
Contos beschreibt Angriffe aus dem wirklichen Leben und deren Auswirkung auf die betroffenen Unternehmen. Laut Contos ist Sicherheit ein fortwährender Prozess, der aus einer Verschmelzung von Menschen, Prozessen und Technologien besteht. In diesem Buch zeigt er die potenzielle Wirkung von Sicherheitsverwaltungssoftware im Unternehmen (Enterprise Security Management, ESM) zur Verringerung von Insiderbedrohungen auf.
Als Hauptsicherheitsbeauftragter bei ArcSight stellt Contos hauptsächlich die unternehmenseigene ESM-Software vor, was den Gesamtwert des Buchs jedoch nicht beeinträchtigt. Es fehlt an technischen Details, doch Sie erhalten durch den Einblick in Fehler anderer Organisationen Anregungen für Verbesserungsmöglichkeiten des Sicherheitsprozesses in Ihrem eigenen Unternehmen. Außerdem wird vermittelt, wie eine effektiv umgesetzte ESM-Lösung die Gefahr eines Insiderangriffs verringern kann.
Im Kapitel „Cyber Crime and Cyber Criminals 101“ bietet Contos als Hintergrundinformationen einen Überblick über unterschiedliche Angreifertypen und ihre Motivationen. Außerdem erhalten Sie eine kurze Zusammenfassung ihrer Techniken, z. B. Pufferüberläufe, Codepakete und Warhol-Bedrohungen.
Im nächsten Kapitel werden die Spezifika von Insiderbedrohungen näher beleuchtet, einschließlich der Möglichkeiten zur Schädigung eines Unternehmens durch einen Insider, dem Konzept der Risikoverwaltung sowie der Verringerung von Bedrohungen aus einer technischen Perspektive. Im Thema zur technischen Perspektive wird ein kurzer Überblick über geringste Rechte, leistungsfähige Authentifizierung, Zugriffssteuerung sowie Vorfallserkennung und -verwaltung bereitgestellt. Dies bietet eine Überleitung zu ESM-Softwarelösungen. Wie bereits erwähnt neigt der Autor dazu, sich ausschließlich mit dem Produkt von ArcSight zu beschäftigen, doch der Funktionsabriss lässt sich auf jedes System übertragen.
Das Buch bietet eine Vielzahl von Fallbeispielen aus unterschiedlichen Branchen und Umgebungen. Es wird aufgezeigt, wie unterschiedliche Arten von Insiderbedrohungen erkannt und die Gefahren möglicherweise verringert wurden. Diese Fallstudien spiegeln vielleicht einige Ihrer eigenen Geschäftsmethoden wider und bieten u. U. Lösungen zur Risikoreduzierung bei Insiderangriffen in Ihrer Umgebung.
Preis: $49.95.
Kontaktaufnahme mit Toolbox
Wenn Sie ein Lieblingswerkzeug oder -dienstprogramm haben, das Ihrer Meinung nach hier vorgestellt werden sollte, dann schreiben Sie eine E-Mail (in englischer Sprache) an den Autor unter tntools@microsoft.com.
Greg Steen ist Technologieexperte, Unternehmer und Enthusiast. Er ist immer auf der Suche nach neuen Hilfsmitteln und Methoden, um Arbeits- und Entwicklungsprozesse für IT-Profis zu erleichtern.
© 2008 Microsoft Corporation und CMP Media, LLC. Alle Rechte vorbehalten. Die nicht genehmigte teilweise oder vollständige Vervielfältigung ist nicht zulässig.