Registrations to Open-AudIT forums are now closed. To ask any new questions please visit Opmantek Community Questions.

Open-AudIT

What's on your network?
It is currently Fri Mar 29, 2024 6:46 am

All times are UTC + 10 hours




Forum locked This topic is locked, you cannot edit posts or make further replies.  [ 2 posts ] 
Author Message
PostPosted: Tue May 11, 2010 7:26 pm 
Offline
Newbie

Joined: Tue Mar 16, 2010 10:44 pm
Posts: 25
Location: Germany
Hi there,
there was no opportunity to send this directly to an admin so I'll put ih right here.
The german translation viewtopic.php?f=6&t=2736 is not that easy to understand so I'll tried to make it more clear and precise.
Maybe you want to change it there?

[quote]Open Audit (oder genauer: Open-AudIT) prüft die Hardware und Software auf Deinem Pc und schreibt sie in eine MySQL Datenbank. Von dort werden diese Daten in einer lesbaren Form über eine Webseite präsentiert.

Bei Windows PCs schreibt ein Script (audit.vbs), welches Daten von Microsoft’s Windows Mangement Interface (WMI) erzeugt, seine Ergebnisse in die Datenbank.

Statt MyODBX Connectoren auf allen PCs zu installieren, sammeln wir einfach die Daten durch das audit.vbs Script und schreiben es direkt in den Webserver in der Form eines POST auf eine Webpage.

Deshalb müssen wir das audit.config File so konfigurieren, dass es die Einstellungen des Webservers beinhaltet.

Wir machen dies, indem wir die audit.config ändern, entweder von Hand oder mit Hilfe des Menüs (Admin>Audit Config) ** (Dieses Menü ist in den vorhandenen Versionen noch nicht erhältlich ist aber in Arbeit und erscheint in der Version (AJH 16jan07) )

Beachte auch, dass die Standard-Einstellungen (defaults) für die meisten Angaben im audit.config.defaults gelagert sind.

Die Haupt-Konfigurationen und deren Eigenschaften sind so gelistet:

audit_location = "r"

"l" Lokal oder "r" Remote. Es kommt darauf an, ob du auf der Maschine arbeitest, die inventarisiert wird ("l"-Option) oder von einer anderen Maschine aus ("r"-Option).

verbose = "y"

Bei "y" kannst Du die Resultate des audits beim arbeiten sehen. Falls die Option "n" gesetzt ist, passiert es im Stillen.
Wenn du "cscript.exe audit.vbs" laufen hast, dann ist es besser, es auf mit der Option verbose = "y" laufen zu lassen, ausser du hast ein riesiges Netzwerk.

online = "yesxml"

diese Option kann entweder "yesxml" oder "ie" sein, und wählt damit aus, ob man das Ergebnis es via Internet Explorer oder direkt mit XMLPOST sendet.
Ich empfehle "yesxml", weil es nicht jedesmal Zeit durch das Öffnen eines IEs verliert.
"yesxml" arbeitet bei mir mit rund 80 Maschinen und dauert ca. 10 Minuten, je nachdem was die Maschinen nebenbei noch tun.

strComputer = ""

Setze die Option auf "." um nur die lokale Machine auf audit zu stellen, für alles andere gilt "".

ie_visible = "n"

macht nur Sinn, wenn die online-Option (siehe oben) online = "ie" ist und zeigt Dir den Browser bei der Arbeit.

ie_auto_submit = "y"

Siehe ie_visible, aber es wählt zwischen automatischer Ausgabe oder User input. Ich würde als Option "y" benutzen.

ie_submit_verbose = "n"
Macht was es aussagt. Zeigt die IE Seite mit allen Informationen während sie gesammelt werden.)

ie_form_page = "http://myoaserver.local/openaudit/admin_pc_add_1.php"

Das ist leider nicht sehr offensichtlich, da es so ziemlich alles bedeuten kann. Die einfachste Weise ist: es wie folgt zu verwenden:
http://127.0.0.1/openaudit/admin_pc_add_1.php
Das wird dem Script erlauben, in die selbe Box zu schreiben, auf dem der OA Server läuft.
Als nächstes können wir eine IP Adresse wie diese hier benützen: http://192.168.0.4/openaudit/admin_pc_add_1.php
Das erlaubt uns, die Resultate von einer Maschine - nicht dem Webserver - UND dem Webserver zu posten.
Und schlussendlich kann das noch sein:
http://myopenauditbox.mydomain.myou/ope ... _add_1.php
Das erlaubt uns, von überall in die Datenbank zu schreiben, so lange unser DNS Server myopenauditbox.mydomain.myou zur richtigen IP Adresse auflösen kann und keine Firewall blockiert.
Kurz gesagt: das ist die Seite, die der IE an den Webserver versendet. Es kann eine IP oder ein Maschinenname sein gefolgt vom Ordnernamen des htdocs-Unterverzeichnisse auf dem webserver, auf dem OA läuft.

non_ie_page = "http://myoaserver.local/openaudit/admin_pc_add_2.php"
Die Seite, welche die Option "yesxml" die Daten hinschreibt, und die Seite, die der Internet Explorer als nächstes aufruft. Die Angaben müssen richtig eingetragen und gültig sein. Siehe vorherige Beschreibung

nmap_Subnetz = "192.168.45." ' Das Subnetzz, das Du scannen willst

Macht, was es aussagt: Angaben über das Subnetzz, das gescannt werden soll. Diese Option wird aber nur vom nmap script benützt.

nmap_Subnetz_formatted = "192.168.045." ' Das Subnetzz mit Nullen aufgefüllt.

Macht, was es aussagt: Das Subnetzz mit Nullen auffüllen. Wird aber auch hier nur durch das nmap script benützt. Etwas mühsam, weil wir es eigentlich vom oberen nmap Subnetz generieren sollte.

nmap_ie_form_page = "http://myoaserver.local/openaudit/admin_nmap_input.php"
Macht das selbe wie die Audit Seite "IE_Form_page", aber für das nmap script siehe vorherige beschreibung.

nmap_ie_visible = "n"

(wieder für das nmap script)

nmap_ie_auto_close = "y"

(wieder für das nmap script)

nmap_ip_start = 1

(Start-IP-Adresse des oben gewählten Subnetzes)

nmap_ip_end = 254

(End-IP-Adresse des oben gewählten Subnetzes)

nmap_tmp_cleanup = true

Setze diese Option auf "false", wenn du willst, dass die temporären Dateien zur Analysierung im tmp Folder bleiben.

nmap_syn_scan = "y" ' Tcp Syn scan
nmap_udp_scan = "y" ' UDP scan
nmap_srv_ver_scan = "y" ' Service version detection.
nmap_srv_ver_int = 0 ' Service version detection intensity level. Values 0-9, 0=fast

Die oberen Optionen addieren UDP- und SYN-scanning zum NMAP. Aber es kann alles sehr verlangsamen, wenn viele hosts gescannt werden müssen. (normalerweise mehrere Stunden für ein C-Klasse Subnetz)
Diese extra details helfen dir, genau zu sehen, welcher Service auf den gefundenen Ports angeboten wird.
Ganz gut, es einmal zu tun, wenn man OA aufsetzt und dann vielleicht alle paar Monate einmal, um alles up-to-date zu haben.
Wenn es auf "n" gesetzt ist, macht es nichts und es wird nur der normale nmap scan wird gemacht, der für viele Admins ausreicht, die nur wissen möchten, welche Dienste vorhanden sind.

Dieses Setting nmap_srv_ver_int = 0 läuft relative schnell, nmap_srv_ver_int = 9 ist sehr ressourcenhungrig und braucht viel Zeit (bei mir lief es einen ganzen Tag)
WICHTIG:
Für ein ganzes TCP/IP security audit ist es empfehlenswert, nur ein nmap audit zu machen, normalerweise in eine separate Kopie des OpenAudit, weil die Resultate für Windows und "andere" Sachen alle zusammen erscheinen in der "other" Tabellen, so dass die Bericht- und Diagramm-Erstellung einfacher vonstatten geht.

input_file = ""

Wird gebraucht, um eine Liste von PCs und deren Usernamen und Passwörter bereitzustellen. Diese User müssen Zugriffsrechte über das Netzwerk haben.
Hinweis: Administratoren ohne Passwort haben standardmäßig keine Rechte, deshalb musst du auf jeder Maschine einen Benutzer dafür erstellen oder den lokalen Administrator mit einem Passwort versehen. Falls du eine Domain hast, benütze einen Domain Admin Account, um das auszuführen. Oder besser: fahre das audit über die ganze Domain mit der audit_local_domain-Option .

Ältere versionen des OpenAudit (<Version 07.12.09) benützen die folgenden email felder:
email_to = ""

schicke fehlgeschlagenes audit emails zu werauchimmer@wasauchimmer.woauchimmer

email_from = ""

schicke fehlgeschlagene audit emails von werauchimmer@wasauchimmer.woauchimmer

email_server = ""
Spätere versionen (>Version 07.12.09) benützen dieses email feld.

STT

use_audit_log = "n"

Sagt OpenAudit die Prozesse zu protokollieren (momentan werden nur "Zeit, Rechnername, "Verbinden zu WMI", "start OK" und "finish OK" für jede Maschine protokolliert)
Es ist geplant, dies zukünftig für jeden Abschnitt des Audits, damit wir wissen, wenn ein bestimmtes audit gelöst wird. Standardwert ist "n".

keep_audit_log = "n"

Weist OpenAudit an bei jedem Durchlauf ein neues Protokoll zu erstellen oder die Resultate zum laufenden Protokoll hinzuzufügen. Standardwert ist "n" (= keine neues Protokoll)

send_email = false

Soll Open Audit die Ergebnisse als eMail senden? Standardwert ist "false".

email_to = "user@domain"

Das "to" zeigt, wohin die email gehen soll ;-)

email_from = "user@domain"

Das "from": zeigt den Ursprung an, woher die eMail kommt. Die meisten Systeme wollen, dass der Sender mit einem existierenden Benutzer übereinstimmt.

'email_sender = "Open-AudIT"

Das ist der Absender.
HINWEIS: pass auf, dass sich damit keine Probleme ergeben. Standardmäßig ist dieses Feld im Script auskommentiert, weil viele Spamfilter diese eMails sonst verwerfen.

email_server = "aaa.bbb.ccc.ddd" ' IP-Adresse oder FQDN

IP oder FQDN des Mailservers

email_port = "25" ' Der SMTP port

Ändere dies, wenn dein Mailserver nicht einen Standard Port benützt, z.B. wenn du vorher alles durch einen Spamfilter laufen läßt.

email_auth = "1" ' 0 = Anonymous, 1 = Clear-text Authentication, 2 = NTLM

Optionen: "kein Authentifikation, Klartext Authentifikation oder NTLM (für MS- Exchange die häufigste Einstellung)

email_user_id = "user@domain" ' A valid Email account in user@domain format

Dies ist dasselbe, wie die "from"-Feld: braucht aber nicht unbedingt den "@"-Teil. Kontrolliere es in deiner Mailserver Dokumentation.

email_user_pwd = "abc123" ' The SMTP email password

Falls Authentifikation eingeschalten ist, muss dies das Passwort für email_user_id sein.
(Beachte: es wäre gut, wenn du einen speziellen Account für das eMail versenden von OA aus hast, so dass, falls ein Hacker auf den PC zugreift, nichts damit machen kann.)
BENÃœTZE NIE DEIN POSTMASTER- ODER ADMINISTRATOR ACCOUNT AUSSER DU MUSST ES ZWINDEND TUN! Gib nicht uns die Schuld, falls du diese Warnung ignorierst!!

email_use_ssl = "false" ' True/False

Benütze/ benütze nicht SSL für Authentifikation. Das wird evtl. eine Änderung im port value oben brauchen.

email_timeout = "60" ' In seconds

Sollte erhöht werden, wenn z.B. nicht alle eMails ankommen.

audit_local_domain = "y"

(setze dies auf "y", um die ausgewählte Domain mit der nächsten Variable zu inventarisieren)

local_domain = "LDAP://mydomain.local"

Die AD-Domain zum inventarsieren:
Du kannst auch eine älteren Schreibweise (WINS) eintragen (siehe NT4 oder SAMBA domain) mit den Optionen
domain type = "nt"
Lokale Domain = "WinNT://<domainname>"
Beispiel die Domain frickelei
[quote]
'
' Set domain_type = 'nt' for NT4 or SAMBA otherwise leave blank or set to ldap
domain_type = "nt"

'
' Example Set Domain name for NT ONLY for LDAP use the above format
' NOTE This is Case Sensetive. See the example below.
'
local_domain = "WinNT://frickelei"

Wenn du den Domaintyp zu etwas anderem als NT oder gar nicht setzt, wird eine LDAP-Domain als Standardwert angenommen.

hfnet = "n"

(benütze hfnet **experimental** irgend jemand weiss ob das geht??)

Count = 0
bin nicht sicher was das tut

number_of_audits = 20
die maximale Anzahl für gleichzeitige Audit Prozesse einer Domain.

script_name = "audit.vbs"

Der Name für den Przcess sollte immer audit.vbs sein, aber du kannst einen anderen Pfad angeben, wenn du willst.

monitor_detect = "y"

schreibt Monitortyp, Seriennummer etc in deine Datenbank.

printer_detect = "y"
schreibt Drucker in deine Datenbank.

software_audit = "y"

inventarisier sowohl Software als auch Hardware)

uuid_type = "uuid"

ändert den Primärschlüssel in der Datenbank (mögliche Werte: UUID, MAC-Adresse oder Rechnername + Domain). Ich würde bei UUID bleiben.



Top
 Profile  
Reply with quote  
PostPosted: Thu Jun 17, 2010 7:55 pm 
Offline
Site Admin
User avatar

Joined: Mon Jun 07, 2004 11:48 am
Posts: 1964
Location: Brisbane, Australia
Awesome - thanks for your efforts.

_________________
Support and Development hours available from [url=https://opmantek.com]Opmantek[/url].
Please consider a purchase to help make Open-AudIT better for everyone.


Top
 Profile  
Reply with quote  
Display posts from previous:  Sort by  
Forum locked This topic is locked, you cannot edit posts or make further replies.  [ 2 posts ] 

All times are UTC + 10 hours


Who is online

Users browsing this forum: No registered users and 2 guests


You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot post attachments in this forum

Search for:
Jump to:  
Powered by phpBB® Forum Software © phpBB Group