В четвертой статье серии представлена коллекция великолепных бесплатно распространяемых или созданных на базе открытого исходного кода инструментальных средств, в которую входят утилиты Active Directory Change Reporter, BotHunter, Eraser, KeyFinder, NMap, NTFS Undelete, PhotoRec и WinAudit
Дуглас Тумбс
Приступая к подготовке материала для четвертой статьи серии «Бесплатно распространяемые утилиты», я знал, что работать над этим выпуском будет труднее всего. Искать добротные, надежные, полезные бесплатно распространяемые утилиты всегда непросто, но, если речь идет об инструментах, которые могли бы применять в своей повседневной работе профессионалы в области ИТ, и того сложнее. Однако порой игра стоит свеч. Всякая найденная мной мощная и полезная утилита — сэкономленное время, более простое решение проблемы, наконец, удовлетворенность конечных пользователей, а это стоит затраченных усилий. Итак, сегодня я представляю новейшую коллекцию из восьми утилит, которая поможет облегчить жизнь системным администраторам.
WinAudit
Разработанная компанией Parmavex Services утилита WinAudit — не единственный из представленных на рынке продуктов, обеспечивающих аудит систем Windows. Но это решение умещается в компактном автономном исполнимом файле размером 830 Кбайт и может запускаться на любой версии Windows (как для настольных систем, так и для серверов), включая Windows 95. Система Windows Server 2008 в официальном списке совместимых операционных систем не указывается, но я протестировал ее и обнаружил, что в этой среде утилита функционирует превосходно. Вы можете с легкостью переносить WinAudit на накопителе USB и запускать продукт на любой системе, по которой вам нужно быстро собрать данные конфигурации. Сведения, аккумулируемые утилитой WinAudit, подробны, как показано на экране 1, и все их можно сохранить в файле (текстовом, форматов .xml,.csv,.pdf), а затем переслать другому пользователю по электронной почте и даже экспортировать в централизованную базу данных.
Приятно обнаружить, что WinAudit можно выполнять в окне командной строки; при этом остаются доступными все варианты вывода данных, кроме электронной почты. Собственный почтовый клиент в WinAudit не предусмотрен, поэтому приходится использовать Microsoft Outlook. В пределах одного часа вы сможете с легкостью редактировать сценарии регистрации внутри всей сети Windows, добавлять в WinAudit параметры конфигурации с целью передачи полученных данных аудита в базу данных и отображать информационное сообщение для пользователей в то время, когда выполняется аудит. Как правило, WinAudit отличается довольно высокой производительностью. На моей тестовой системе Windows XP программа выполнялась в течение менее чем 60 секунд.
Keyfinder
С помощью утилиты WinAudit вы можете в течение одного обеденного перерыва без каких-либо затрат развернуть в своей сети полнофункциональное средство аудита; полученные данные будут храниться в файле или в центральной базе данных. Но в WinAudit нельзя вводить лицензионные ключи для операционных систем и для приложений, установленных в этих системах.
Вот здесь-то на помощь и приходит разработанная компанией Magical Jellybean Software утилита Keyfinder, единственное назначение которой состоит в том, чтобы фиксировать все названные сведения, где это возможно, и отображать их или сохранять для пользователей. И в этом случае речь опять-таки идет об автономном пакете (установка не предусматривается), занимающем чуть больше 600 Кбайт дискового пространства; утилиту вы можете хранить на накопителе USB, чтобы в случае необходимости быстро организовать аудит. Keyfinder выполняется под управлением любой версии Windows (для настольных систем и серверов), вплоть до Windows 95 (и включая Server 2008).
Как показано на экране 2, программа Keyfinder обнаружила лицензионные ключи для всех продуктов Microsoft, установленных на моей тестовой системе, а также лицензионные ключи для установленных программных средств от независимых поставщиков. Утилита выполняет эту задачу, проверяя файл конфигурации (keyfinder.cfg) на наличие сведений о том, в каком разделе реестра следует искать лицензионные ключи для различных приложений. По умолчанию используется файл keyfinder.cfg, предоставляемый компанией Magical Jellybean Software; в нем указываются известные места хранения лицензионных ключей для более чем 160 коммерческих приложений. Это простой текстовый файл с разделителями; вы можете с легкостью модифицировать его в соответствии со своими потребностями.
К сожалению, многие из 160 с лишним приложений, внесенных в заранее подготовленный конфигурационный файл Keyfinder, похоже, относятся к категории потребительских приложений (то есть это игры, программы для создания компакт-дисков, медиаплееры), поэтому администратору придется немного поработать для того, чтобы утилита Keyfinder смогла стать надежной помощницей в обслуживании сети.
Подобно утилите WinAudit, программа Keyfinder выполняется в режиме командной строки, и для каждой системы, на которой запускается, она записывает свои данные в специализированный файл CSV. Так что и в этом случае в течение обеденного перерыва вы сможете настроить Keyfinder для запуска пользователями с помощью сценариев регистрации и для записи данных лицензионных ключей различных приложений в центральное хранилище с целью мониторинга или резервного копирования. Со временем вы начнете устанавливать в сети своего предприятия новые приложения; при этом для того чтобы определить, в каком разделе реестра Windows хранятся лицензионные ключи, вам достаточно будет просто вносить изменения в главный файл keyfinder.cfg своей сети. Далее, каждая система в сети начнет регистрировать эти данные в процессе следующего выполнения сценарием регистрации программы Keyfinder.
Eraser
Разработанный специалистами Heidi Computers продукт Eraser представляет собой бесплатно распространяемую утилиту, применяемую для безопасного удаления данных с накопителя, причем таким образом, чтобы их никак нельзя было восстановить — даже с использованием современных утилит, применяемых судебными экспертами и специалистами в области восстановления данных. Используя различные подходы к удалению данных (от метода многократного стирания с псевдослучайными данными до спецификации Министерства обороны США 5220–22.M), Eraser обеспечивает такое удаление данных с накопителей, что их восстановление становится невозможным.
Интерфейс утилиты Eraser весьма прост (см. экран 3). Ее можно использовать для удаления содержимого различных участков диска по запросу; можно также выполнять чистку определенных областей накопителя по расписанию. Eraser может выполнять свою процедуру в «неиспользуемой» области накопителя (которая будет включать все удаленные файлы), в заданном наборе папок или на одном указанном файле. По умолчанию Eraser выпускается с определенным набором стратегий перезаписи данных — от одной до 35 операций записи, так что при необходимости можно создавать специализированные профили перезаписи. Кроме того, Eraser интегрируется в оболочку Windows Explorer; если щелкнуть правой кнопкой мыши на файле или папке, в раскрывающемся меню появляется новый пункт — Eraser. Выбрав этот пункт, вы сможете немедленно удалить данные безопасным способом.
В ходе испытаний утилит восстановления данных, представленных далее в статье (таких, как NTFSUndelete, PhotoRec) я обнаружил, что после использования программы Eraser для безопасного удаления файлов у меня не было никакой возможности восстановить их, даже частично, на какие бы ухищрения я ни пускался.
NTFSUndelete
Поставляемая компанией A-FF Data Recovery утилита NTFSUndelete представляет собой простой в применении продукт, предназначенный для восстановления файлов систем NTFS. Утилита распространяется бесплатно. Ее можно получить в виде устанавливаемого приложения Windows или в формате загружаемого образа ISO. С помощью этого продукта можно считывать данные, удаленные из тома NTFS.
В процессе удаления файла из тома NTFS — при этом неважно, удаляете вы его полностью или переносите в мусорную корзину, а затем очищаете ее, — файл фактически не удаляется. Если рассматривать вопрос с точки зрения файловой системы, происходит следующее. Элемент каталога, представляющий данный файл, помечается как удаленный, а значит, система получает возможность записывать на этом месте новые данные поверх существующих. Следовательно, восстановить файл через несколько секунд после того, как он был удален, часто бывает совсем просто. Если только в том же пространстве не были выполнены другие поступившие от системы запросы на запись, оригинальный файл остается целым и невредимым.
Windows-интерфейс для программы NTFSUndelete несложен. Достаточно просто запустить приложение, выбрать накопитель, на котором были расположены требующие восстановления файлы, и NTFSUndelete начинает искать на этом накопителе файлы, подлежащие восстановлению. По завершении процесса проверки в левой части окна NTFSUndelete появляется листинг дерева каталогов. Имена отдельных каталогов в этом окне окрашены в серый цвет; другие имеют обычную окраску. Вот в этих-то файлах последней из названных категорий утилита NTFSUndelete обнаружила файлы, которые она, возможно, сумеет восстановить. Мусорная корзина обычно размещается в каталоге C:\RECYCLER, и на экране 4 видно, что утилита смогла обнаружить 10 файлов изображений, удаленных мною из мусорной корзины несколько секунд назад. Выберем нужные файлы и перейдем на вкладку Recover Marked Files. Тем самым мы инициируем процесс восстановления и получим возможность выбрать целевой каталог, куда будут помещены восстановленные файлы. Программа NTFSUndelete успешно восстановила все 10 удаленных мною файлов. Никаких осложнений при этом я не отметил.
PhotoRec
Бывают случаи, когда утилита NTFSUndelete оказывается бесполезной. Как быть, если данные все еще остаются в накопителе, а элементы каталога, которые можно было бы использовать в качестве исходной точки для выполняемого программой NTFSUndelete процесса восстановления, отсутствуют? В случаях, когда в накопителе имеется часть данных, иногда существует возможность восстановить их с помощью метода, именуемого «вычленением однородного массива данных». PhotoRec — это лучшая бесплатно распространяемая утилита для выполнения операции вычленения массива данных на накопителе. Вычленение однородного массива данных — это метод восстановления данных, позволяющий восстанавливать такие данные, о размещении которых файловая система не имеет надежных сведений. Вычленение однородных массивов данных предполагает проверку необработанных секторов накопителя на предмет наличия сигнатур конкретных файлов с целью идентификации секторов и кластеров, которые составляют известный тип файла. Его можно представить как метод восстановления, полностью игнорирующий всю структуру каталогов и файлов на диске. Этот метод ориентирован на поиск характерных признаков распространенных типов файлов — скажем, изображений, документов — с идеей воссоздать то, что возможно.
Утилита PhotoRec (написанная Кристофом Гренье из компании CGSecurity) осуществляет восстановление данных в файловых системах EXT2/EXT3/FAT, NTFS, а также HFS+, и может восстанавливать данные файлов более чем 180 известных типов, включая различные мультимедийные файлы, архивы, документы Microsoft Office (в том числе .doc,.ppt,.xls и их аналоги из комплекта Office 2007), файлы .pst и другие всевозможные файлы представляющих интерес типов, такие как Microsoft Money, Quickbooks, а также Quicken и Turbo Tax. Чтобы начать процесс вычленения однородного массива данных на жестком диске, достаточно запустить утилиту на выполнение и пройтись по меню. Выполненный в стиле DOS пользовательский интерфейс PhotoRec несколько рудиментарен, и у вас, возможно, возникнет желание посетить сайт CGSecurity, чтобы подробно ознакомиться с особенностями эксплуатации утилиты. Но как только вы приступите к работе с этим инструментом, он начнет просматривать диск и восстанавливать доступные для этой операции файлы. Данный процесс может занять какое-то время: как показано на экране 5, для проверки накопителя моей тестовой системы на 30 Гбайт понадобилось несколько часов. Но если принять во внимание то обстоятельство, что без этого данные не подлежат восстановлению, время, затраченное продуктом PhotoRec на сканирование диска, окупается сполна.
Для успешного вычленения однородного массива данных, как правило, необходимо, чтобы они располагались в последовательных секторах (а не были разбросаны по всему диску), потому что зачастую не существует надежного механизма, с помощью которого можно проложить путь по фрагментированным частям файла. Создатель PhotoRec утверждает, что эта утилита может функционировать в некоторых ситуациях, характеризующихся «низким уровнем фрагментации данных», но иногда она просто не в состоянии восстановить фрагментированный файл. Однако в тех случаях, когда ей удается восстановить файл, программа работает исключительно хорошо.
Active Directory Change Reporter
Служба AD становится все более значимым компонентом сетей уровня предприятия, поэтому мониторинг всего, что происходит внутри этой службы, следует считать важной задачей любого сетевого администратора, который старается поддерживать свою сеть в надлежащем порядке. К сожалению, Microsoft не предлагает потребителям широкого набора готовых к употреблению инструментов для этой цели. Конечно, вы можете воспользоваться такими программами, как оснастка Active Directory Users and Computers консоли управления Microsoft Management Console (MMC) и искать то, что вам нужно, вручную, но средство для отслеживания изменений во времени было бы весьма кстати. Именно по этой причине сотрудники компании NetWrix создали утилиту Active Directory Change Reporter, и бесплатная версия данного продукта доступна всем желающим.
Active Directory Change Reporter — простая утилита (см. экран 6). Ее можно загрузить и установить на любой системе в сети. В сущности, механизм ее действия сводится к следующему. Каждый день программа делает моментальный снимок среды AD и сравнивает его с таким же снимком за предыдущий день, отмечая выявленные различия. В самом простом варианте вы можете настроить утилиту так, чтобы она ежедневно направляла по электронной почте отчеты об обнаруженных изменениях в формате HTML. Однако бесплатно распространяемая версия Active Directory Change Reporter может выполнять и более сложные операции, такие как отмена действий — отказ от нежелательных изменений.
Бесплатной версии Active Directory Change Reporter присущи некоторые ограничения. Так, отсутствует возможность ведения долгосрочного архива изменений в каталоге AD. К тому же утилита не фиксирует, чем было вызвано то или иное изменение в среде. При наличии двух упомянутых ограничений бесплатная версия утилиты вряд ли сможет функционировать на уровне тех жестких стандартов составления отчетов по соответствию законодательным требованиям, которые сегодня приходится соблюдать многим организациям. Но как бы то ни было, администраторам полезно иметь эту программу в своем арсенале, тем более что она не занимает много места на диске. Просто установите ее, запустите утилиту настройки (которая описывает назначенное задание в конкретной среде), и больше ничего делать не надо.
Если вы решите продолжать пользоваться бесплатно распространяемой версией, то лучше всего, на мой взгляд, действовать таким образом. Заведите в своей сети специальную учетную запись для электронной почты (например, adchanges@mycompany.com), куда будут поступать ежедневные отчеты; храните их там какое-то время. Конечно, если изо дня в день читать отчеты об изменениях, это занятие скоро надоест, зато вы будете располагать журналом регистрации всех изменений, внесенных за отчетный период. И если у вас возникнет необходимость проследить, когда и как было внесено то или иное изменение, вы всегда сможете найти соответствующий отчет в упомянутой учетной записи.
Nmap
Я написал для журнала Windows IT Pro три статьи о бесплатно распространяемых утилитах и никак не могу поверить, что все это время не обращал внимания на NMap. NMap — это сканер сетевой безопасности, пришедший в мир Windows из мира UNIX более десяти лет назад. Но говорить об NMap как об обычном сканере портов — это все равно что называть Hummer «обычным грузовиком». Вне всякого сомнения, NMap принадлежит к категории самых разносторонних инструментальных средств, о какой платформе и о каком ценовом сегменте ни шла бы речь.
Утилита NMap поставляется в формате исполнимого файла Windows. Она сканирует указанные пользователем IP-адреса, а также подсети и выдает массу сведений о найденных хостах: о выполняемых службах, об ответах, полученных на разных портах TCP, о версиях приложений, «прослушивающих» эти порты и т. д. С помощью целого набора современных методов выявления характерных признаков она даже пытается определить операционную систему целевой системы. Как явствует из экрана 7, где показано, как я тестирую сайт Wikipedia, утилита NMap определила, что с вероятностью 93% операционная система хост-компьютера — Ubuntu Linux. Достаточно беглого взгляда на страницу часто задаваемых вопросов Wikipedia, чтобы получить подтверждение этой догадки. Да, действительно, хост функционирует под управлением Linux, хотя на странице типичных вопросов утверждается, что речь идет о дистрибутиве Fedora.
NMap — обязательный компонент арсенала любого администратора, серьезно относящегося к обеспечению безопасности IP-сетей. Интерфейс этого продукта на первых порах служит замечательным средством освоения утилиты, но, когда вы запомните назначение различных переключателей командной строки, у вас появится возможность напрямую запускать приложение nmap.exe и не прибегать к помощи графического интерфейса. Гибкость, обеспечиваемая режимом командной строки, открывает широкие возможности для применения пакетной обработки и сценариев при использовании утилиты NMap.
BotHunter
Пять лет назад в статье под заголовком «Ищейка по имени Snort» (http://www.osp.ru/win2000/2004/05/177049/) я писал о реализации в среде Windows пакета Snort — мирового лидера среди созданных на базе открытого исходного кода программных комплектов для выявления вторжений. Snort — замечательная утилита, и я до сих пор рекомендую ее всем, кто занимается защитой сетей и испытывает потребность в добротном и надежном инструменте для выявления вторжений. Но для настройки программы Snort, чтобы она функционировала надлежащим образом, требуется некоторое время, и кроме того, в данном продукте до сих пор реализован лишь один алгоритм выявления попыток вторжений — алгоритм сопоставления сигнатур внутри единичных пакетов данных.
Описанный подход по сей день остается эффективным (и необходимым) методом обнаружения вторжений в сетях уровня предприятия, но создавшие утилиту BotHunter специалисты компании SRI International усовершенствовали этот процесс, добавив к нему более высокий уровень логики. Сопоставляя ряд поступающих с некоторыми интервалами пакетов и выискивая последовательности передачи сигнатур, традиционно применяемые программными роботами, — использование брешей в системе защиты, загрузка полезной информации, исходящие координационные диалоги программных роботов, исходящие сигналы распространения атаки и т. д., — я выяснил, что BotHunter может выявлять проблемы, ускользающие от внимания простых средств обнаружения вторжений. Если такие модули для выявления вторжений, как Snort, могут как перехватывать, так и пропускать тот или иной индивидуальный пакет данных, интеллектуальный процессор корреляции BotHunter имеет возможность наблюдать за передачей сведений в системе в течение определенного времени, связывать все отдельные события в единое целое и определять, хозяйничает ли в локальной сети программный робот.
Самый примечательный аспект продукта BotHunter — это не реализованные в нем современные подходы к решению этого типа проблем обеспечения безопасности, а гибкость применения, обеспечиваемая компанией SRI International — бесплатно — как для индивидуальных, так и для корпоративных пользователей. Если вы, будучи независимым профессионалом, хотите получить гарантию того, что в следующий раз, когда вы воспользуетесь бесплатными средствами Wi-Fi из любимого кафе, ваша персональная рабочая станция не подвергнется заражению со стороны программного робота, BotHunter может помочь в этом. Если вы — администратор сети уровня предприятия, и ваша задача — держать под контролем трафик, проходящий через всю корпоративную сеть, и если у вас при этом есть доступ к порту Switched Port Analyzer (SPAN) либо к другому подобному средству мониторинга всего трафика, то и в этом случае утилита BotHunter будет вам полезна.
Процедура установки BotHunter относительно проста: запустите исполняемый файл установщика и следуйте появляющимся на экране подсказкам. Для нормального функционирования BotHunter требуется модуль Java Standard Edition Runtime Engine и WinPcap — драйвер захвата пакетов в режиме приема всех сетевых пакетов. Программа-установщик определяет, есть ли эти компоненты на вашей системе, а в случае отсутствия таковых загружает и устанавливает их. Вдобавок к этому BotHunter предлагает пользователю выполнить всего одну операцию — ввести в систему IP-адреса сети: какие подсети в ней имеются, где расположены серверы DNS, где находятся почтовые серверы и т. д. После выполнения этой задачи продукт BotHunter готов к работе.
Если вы увидите, что программа сгенерировала окно предупреждения, показанное на экране 8, можете проверить состояние сети и определить, в чем проблема. Тревожные оповещения, направляемые непосредственно пользователю, в программе BotHunter пока не предусмотрены, поэтому вам придется время от времени поглядывать на окно программы, однако некоторые сообщения на форумах пользователей SRI International свидетельствуют о том, что средства извещения по электронной почте будут реализованы в одной из следующих версий продукта.
Отметка «32» пройдена
Итак, в арсенале администратора появилось еще восемь бесплатно распространяемых утилит. Они помогут вам в проведении инвентаризации систем, в восстановлении утерянных данных и в организации защиты сетей. Лично мне из всех представленных здесь инструментальных средств больше всего нравится PhotoRec, но я надеюсь, что все они будут полезны и хотя бы немного облегчат вашу работу.
Дуглас Тумбс (help@toombs.us) — редактор Windows IT Pro, автор книги Keeping Your Business Safe from Attack: Monitoring and Managing Your Network Security (издательство Windows IT Pro eBooks)
Комментариев нет:
Отправить комментарий