Цитата |
---|
Cold Ring пишет: Гм. А разве ISS определят сервис только по порту без дополнительных проверок? А почему бы не включать такие проверки для сервисов на других портах? |
А зачем излишняя нагрузка на сканер?
Цитата |
---|
Cold Ring пишет: А когда у меня сеть из 500 машин, я что обязан записывать все работающие сервисы на всех машинах и проверять, работают ли они на "стандартных портах"? |
Записывать тоже неплохо. Чтобы в случае "разбора полетов" всегда иметь эталонные значения, не подверженные никакой модификации со стороны "плохих парней".
Что касается конкретного вопроса, то ситуация такова, что многие сканеры, в т.ч. и XSpider использует такое понятие, как "задача" (у Internet Scanner - это "шаблон" или "политика"). Так вот в этом шаблоне ты прописываешь проверки для конкретного узла/группы узлов. А потом просто по расписанию запускаешь данную задачу. Сканер должен сам отслеживать все отклонения от эталонных значений. Например, "после последнего сканирования появился новый открытый порт". Все, точка. Дальше начинается расследование, а накой там появился этот порт и нужен ли он там.
Кроме того, не надо забывать, что XSpider, как и Internet Scanner, и другие сканеры, всего лишь первый, но далеко не единственный инструмент проверки защищенности узлов. Существуют еще и host-based scanners (например, System Scanner от ISS), которые ставятся на наиболее критичные узлы и более глубоко и всесторонне контролируют настройки узла. Нельзя все фичи навешивать на один продукт, пусть даже и хороший. Помните о принципе эшелонированности; иными словами "не кладите все яйца в одну корзину".