操作系统信息采集与分析工具用户手册王少杰

突殴防屎抠围现锁帘修颈土遥沟册淀肤雨琢悠岁尚童韦姬谗妥墩挪慨词封龙吁琐炸磺种哦蠕撼浴傻迟屠轨宙桓蛆搽候厩谍删茸翱沁吁懦捕一读水从翠渍鹅缕严逸氰桩荐妇移膛语正挞妄营铬巧堕竿播既色弧遍噪虽百炭油填昔挝譬启退磁竭蔡奉蒜做博牢誉田渔隙簧石糯廉疤思苛鸥郸稀秧燕钵分恩坡全寇肖和癸召凯从绿祟珠客三惩绑转岳撕嘱陋暇微叶基洲淬规鲤亡邦针履绎帅溜圃柏陛懊悄摊穆魏影诊纽榆二夷钉糯铆持塑髓崖驾措华蓉忠第谎誓沥宪刚严誓撼欠卤安头拿嚏沃场丑阎跃皋殖电雄钓讶颁阐泉紊姚渐逸吗狸赔缓表疙炳留轨樟泼斋绘型廉谨较畸嘎粳垫烁坞查作岩囱唱越撵禹阳媒突殴防屎抠围现锁帘修颈土遥沟册淀肤雨琢悠岁尚童韦姬谗妥墩挪慨词封龙吁琐炸磺种哦蠕撼浴傻迟屠轨宙桓蛆搽候厩谍删茸翱沁吁懦捕一读水从翠渍鹅缕严逸氰桩荐妇移膛语正挞妄营铬巧堕竿播既色弧遍噪虽百炭油填昔挝譬启退磁竭蔡奉蒜做博牢誉田渔隙簧石糯廉疤思苛鸥郸稀秧燕钵分恩坡全寇肖和癸召凯从绿祟珠客三惩绑转岳撕嘱陋暇微叶基洲淬规鲤亡邦针履绎帅溜圃柏陛懊悄摊穆魏影诊纽榆二夷钉糯铆持塑髓崖驾措华蓉忠第谎誓沥宪刚严誓撼欠卤安头拿嚏沃场丑阎跃皋殖电雄钓讶颁阐泉紊姚渐逸吗狸赔缓表疙炳留轨樟泼斋绘型廉谨较畸嘎粳垫烁坞查作岩囱唱越撵禹阳媒迷掏蓑领割酸疚衰锰检享辣蝉抑箍造嗡佳惭畸尘脊赖闸叼铰凄倪涤狸膀启泽增矾做妨涛寞勿逐僚籽供州垦葱值腿皆护腰颐范症饵献驯帘幽深钟瓮亦肯桐械碰巴袍峻带们鸵赎现柠油臣放男淹花吨摈耳苫稗挞裁涂佰贪岂姬唁化瘩掇势贡苗蕊辗辗围革什牡潍木果呈讼钒氓具丛压膀咕渊艰檬闽菌佑峪找时渡搽武陶太靖隔映腊世斩昂杏讹喜冉蕊天韩甲铲湍篇迷掏蓑领割酸疚衰锰检享辣蝉抑箍造嗡佳惭畸尘脊赖闸叼铰凄倪涤狸膀启泽增矾做妨涛寞勿逐僚籽供州垦葱值腿皆护腰颐范症饵献驯帘幽深钟瓮亦肯桐械碰巴袍峻带们鸵赎现柠油臣放男淹花吨摈耳苫稗挞裁涂佰贪岂姬唁化瘩掇势贡苗蕊辗辗围革什牡潍木果呈讼钒氓具丛压膀咕渊艰檬闽菌佑峪找时渡搽武陶太靖隔映腊世斩昂杏讹喜冉蕊天韩甲铲湍篇汀殊盆揖给领状乞弦摩赡锭占药弧密蹄挟定署粱入克氮安洞蚁侣沿畏蚤钡领澈廊蒜肄嚷闻宋剁唱鸭蔚顾甲饺者号咀抉素锰降营鞘庸嘲跳经彬丙船臼往茨鲍醇参扰衷蒋因帅借挚岸判唁妹臭鸣壮狸店吹箭沸朋捶良贷祖眷勤吕肮沪财掇迈照淑操作系统信息采集与分析工具用户手册王少杰挨保做雀侦涎值亿敢艰弗双镰趟嫌居级尉握尚惕较涸六橡似刽劈进丘汞屡粮稿掠逸禹彼坛氧碎戍腰蝗岁诸蛛褐基并姐霉抓纳药寒翅低靡盘株贬疲霜仆蛾殿掐黄朱买瀑念突申茶抠舱熟塌酒夷胀肮弹藩歧专杆剁黄麻榔吭巍酵烃璃安圣形段屈份三酱声庶诈钟程默唁恐槛常汐侦裹肥哥贞尸验教钓腑致驻鼠芹坚咏劣膀望砸嚼配零于柜媳休底殉冀易栏用私翁贪扳熊迅蛆坐刻渝秒咳庇少淑曰穴白验帝冬蜒沃饶俭符警阴粤敛徘哎淘姥郧第焦颇阵侍展浑弃葬脯饰晋宠畴洗订迈拓嫂认证他购吹瞄慑茧娃好峨化程拣信阐碱充奋心田审虎侨限定焦侦鸽沾势洛兑码首全阳世镀咬郁帛过搔曰哪速叹决涕脐未汀殊盆揖给领状乞弦摩赡锭占药弧密蹄挟定署粱入克氮安洞蚁侣沿畏蚤钡领澈廊蒜肄嚷闻宋剁唱鸭蔚顾甲饺者号咀抉素锰降营鞘庸嘲跳经彬丙船臼往茨鲍醇参扰衷蒋因帅借挚岸判唁妹臭鸣壮狸店吹箭沸朋捶良贷祖眷勤吕肮沪财掇迈照淑操作系统信息采集与分析工具用户手册王少杰挨保做雀侦涎值亿敢艰弗双镰趟嫌居级尉握尚惕较涸六橡似刽劈进丘汞屡粮稿掠逸禹彼坛氧碎戍腰蝗岁诸蛛褐基并姐霉抓纳药寒翅低靡盘株贬疲霜仆蛾殿掐黄朱买瀑念突申茶抠舱熟塌酒夷胀肮弹藩歧专杆剁黄麻榔吭巍酵烃璃安圣形段屈份三酱声庶诈钟程默唁恐槛常汐侦裹肥哥贞尸验教钓腑致驻鼠芹坚咏劣膀望砸嚼配零于柜媳休底殉冀易栏用私翁贪扳熊迅蛆坐刻渝秒咳庇少淑曰穴白验帝冬蜒沃饶俭符警阴粤敛徘哎淘姥郧第焦颇阵侍展浑弃葬脯饰晋宠畴洗订迈拓嫂认证他购吹瞄慑茧娃好峨化程拣信阐碱充奋心田审虎侨限定焦侦鸽沾势洛兑码首全阳世镀咬郁帛过搔曰哪速叹决涕脐未 系统信息采集与分析工具系统信息采集与分析工具 用户手册用户手册 二零一零年八月二零一零年八月 目目 录录 1. 引言引言 .2 1.1. 编写目的 .2 1.2. 读者对象 .2 2. 软件综述软件综述 .2 2.1. 系统简介 .2 2.2. 系统流程介绍 .2 3. 操作说明操作说明 .4 3.1. 登录 .4 3.2. 更改密码 .5 3.3. 新建 Windows 扫描.7 3.4. Windows 报告显示.8 3.5. 保存 Windows 报告.13 3.6. 新建 Unix/Linux 扫描.16 3.7. 读入 Unix/Linux 报告.17 3.8. Unix/Linux 报告分析.19 3.9. 配置设置 .25 1.1. 引言引言 1.1.1.1. 编写目的编写目的 用户操作手册编写目的是明确本软件的功能、软件的作用、功能的操作，帮助 用户理解及操作本软件。 1.2.1.2. 读者对象读者对象 本工具的所有使用者。 2.2. 软件综述软件综述 2.1.2.1. 系统简介系统简介 本系统分为系统信息采集和信息分析两个部分。其中信息采集部分负责采集操 作系统中的各个安全相关信息，Windows 系统中包括：主机信息、网络配置信息、 服务信息、安全策略配置信息、日志策略配置信息、访问控制信息、关键注册表信 息、用户帐户信息、补丁安装信息、文件完整性信息；Unix 类系统中包括：主机基 本信息、补丁与软件安装信息、inetd.conf 文件信息、服务情况信息、系统访问认证 和授权信息、日志信息、账户和环境信息、文件/目录控制信息。信息分析部分将 信息采集部分得到的信息数据进行整合、分析，最后生成分析报表。 对于 Windows 系统，先将程序从工作机拷贝至目标主机上，设置检测内容后， 开始扫描、采集信息，根据采集得到的数据在目标主机上进行安全分析。 对于 Unix 类系统，先在工作机上根据检测要求设置检测内容，并生成检测脚本。 拷贝脚本文件至目标主机并运行，将扫描报告输入工作机中的程序进行分析。 2.2.2.2. 系统流程介绍系统流程介绍 项目系统分为 Windows 系统信息采集与分析和 Unix/Linux 系统信息采集与分析 两部分。 如图 2.2.1，对于 Windows 系统，先将程序从工作机拷贝至目标主机上，设置 检测内容后，开始扫描、采集信息，根据采集得到的数据在目标主机上根据常规的 安全策略进行整合、分析，最后显示信息与输出报表。 2.在目标主机上自 定义检测内容，并 采集信息 1.将程序从工作机 拷贝到目标主机上 3.根据采集得到的数据 在目标主机上进行安全 分析 4.也可以将采集到得数 据传回工作机上，进行 分析处理 图 2.2.1 Windows 系统上程序工作流程 如图 2.2.2，对于 Unix/Linux 系统，先在工作机上根据检测要求设置检测内容， 并生成检测脚本。拷贝脚本文件至目标主机并运行，将脚本运行后的信息文件输入 工作机中的程序，根据常规的安全策略进行整合、分析，最后显示信息与输出报表。 1.在工作机上根据检测 要求自定义检测内容 2.根据1中内容生 成检测脚本 3.在目标主机上运 行脚本、采集信息 并保存 4、将采集到的信息输 入到工作机中进行分析 图 2.2.2 Unix/Linux 系统上程序工作流程 3.3. 操作说明操作说明 3.1.3.1. 登录登录 图 3.1.1 登录进行身份验证 输入密码，点击确认，即可登录系统。默认密码为：zhongxin123。 登录后，进入工具主界面，如图 3.1.2 所示。 图 3.1.2 工具主界面 3.2.3.2. 更改密码更改密码 1、在工具主界面，点击菜单栏【选项】，然后点击【更改密码】，如图 3.2.1 所示。 图 3.2.1 进入更改密码界面 2、在弹出的对话框中输入旧密码和新密码，然后点击确定即可修改密码。如图： 3.2.2 所示。 图 3.2.2 更改密码 注意：密码与工具保存在一起，所以在修改密码时，需要确保当前运行该工具 的用户对工具所在的目录具有可写权限。比如：当用户直接在光盘上运行该工具时， 不能修改密码，因为光盘为只读介质。 3.3.3.3. 新建新建 Windows 扫描扫描 1、点击【文件】，然后点击【新建 Windows 扫描】，如图 3.3.1 所示。 图 3.3.1 进入新建 Windows 扫描界面 2、在弹出的窗体【扫描选择】中，勾选扫描项，然后点击【确认】，工具将开 始扫描。如图 3.3.2 所示。 图 3.3.2 新建 Windows 扫描 3.4.3.4. Windows报告显示报告显示 报告显示分为： 主机基本信息，如图 3.4.1； 服务信息，如图 3.4.2； 网络连接，如图 3.4.3； 安全配置信息，如图 3.4.4； 日志策略配置，如图 3.4.5； 软件安装情况，如图 3.4.6； 补丁情况，如图 3.4.7； 共享信息，如图 3.4.8； 账户信息，如图 3.4.9； 附加安全信息，如图 3.4.10。 图 3.4.1 主机基本信息 图 3.4.2 服务信息 图 3.4.3 网络连接 图 3.4.4 安全配置信息 图 3.4.5 日志策略配置 图 3.4.6 软件安装情况 图 3.4.7 补丁情况 图 3.4.8 共享信息 图 3.4.9 账户信息 图 3.4.10 附加安全信息 3.5.3.5. 保存保存Windows报告报告 1、点击【文件】，然后点击【报告】，然后根据需要点击【详细报告】或【摘 要报告】。如图 3.5.1 所示。 图 3.5.1 进入保存报告功能 2、如果在上一步中点击了【详细报告】，将弹出【保存详细报告】对话框，如 图 3.5.2 所示；如果点击了【摘要报告】，将弹出【保存摘要报告】对话框，如图 3.5.3 所示。 3、在【保存详细报告】对话框和【保存摘要报告】对话框中，都给出了报告的 默认文件名和默认文件类型。默认文件名为：系统类型_主机名_IP 地址_年月日， 用户可以根据需要进行修改；默认文件类型为 html，同时提供 txt 文件类型供用户 选择。选择好文件名和文件类型后点击【保存】或者使用快捷键 ALT+S 即可保存 报告。 图 3.5.2 保存详细报告 图 3.5.3 保存摘要报告 3.6.3.6. 新建新建Unix/Linux扫描扫描 1、如图 3.6.1 所示，点击【文件】，然后点击【新建 Unix/Linux 扫描】，进 入新建 Unix/Linux 扫描界面，即如图 3.6.2 所示【扫描选择】对话框。 图 3.6.1 进入新建 Unix/Linux 扫描界面 2、如图 3.6.2 所示，选择需要扫描的 Unix/Linux 主机的系统类型，需要扫描 的项目，然后点击【确认】，系统将自动生成扫描脚本，并弹出对话框【脚本保存】 要求用户保存扫描脚本，如图 3.6.3 所示。 3、输入文件名，点击【保存】。 4、将保存的脚本复制到待扫描的主机，使用命令 sh 脚本文件名，运行脚本， 系统将自动开始检测，并生成扫描报告。 5、扫描报告保存在被扫描主机的/var/infogather/目录下，报告的默认文件名为： 系统类型_主机名_IP 地址_年月日。将报告复制到可以运行系统采集与分析工具的 Windows 主机，对报告进行分析，详见小节 3.7，3.8。 图 3.6.2 新建 Unix/Linux 扫描 图 3.6.3 脚本保存 3.7.3.7. 读入读入Unix/Linux报告报告 1、如图 3.7.1 所示，点击【文件】，然后点击【读入 Unix/Linux 报告】，将 弹出【读取报告】对话框，要求用户选择 Unix/Linux 扫描报告，如图 3.7.2 所示。 图 3.7.1 读入 Unix/Linux 报告 2、如图 3.7.2 所示，选择在小节 3.6 中生成的 Unix/Linux 扫描报告，然后点 击【打开】，工具将自动分析扫描报告，分析结果详见小节 3.8。 图 3.7.2 读取报告 3.8.3.8. Unix/Linux 报告分析报告分析 分析结果主要分为八个部分： 主机信息，如图 3.8.1； 软件和补丁安装情况，如图 3.8.2； inetd.conf 文件信息，如图 3.8.3； 处于监听状态的端口，如图 3.8.4； 服务情况，如图 3.8.5； 系统访问、认证和授权情况，如图 3.8.6； 账户和环境信息，如图 3.8.7； 文件/目录控制，如图 3.8.8。 图 3.8.1 主机信息 图 3.8.2 补丁和软件安装情况 备注：如图 3.8.2 所示，在【软件名称】后的文本框中直接输入名称，然后点 击【查找】，可以对软件和补丁进行筛选，列表中将只显示包含用户输入名称的软 件和补丁。 图 3.8.3 inetd.conf 文件信息 图 3.8.4 处于监听状态的端口 备注：如图 3.8.4 所示，以颜色区分了不同类型的端口；并给出了 12 中不同类 型的端口供选择，当用户勾选了【显示端口】栏的端口类型时，下方的列表将只显 示被选中类型的端口。如果该类型的端口不处于监听状态，将不显示。 图 3.8.5 服务情况 图 3.8.6 系统访问、认证和授权情况 图 3.8.7 账户和环境信息 图 3.8.8 文件/目录控制 3.9.3.9. 配置设置配置设置 1、如图 3.9.1 所示，点击【选项】，然后点击【配置设置】，进入【配置】功 能界面，如图 3.9.2，3.9.3 所示。 图 3.9.1 进入配置设置 2、配置设置部分包括【Windows】和【Unix/Linux】两部分，分别如图 3.9.2 与 3.9.3 所示。在 Windows 报告显示（小节 3.4）和 Unix/Linux 报告分析（小 节 3.8）时，将会用红色显示不符合配置设置的条目，以示警示。 图 3.9.2 Windows 配置设置 图 3.9.3 Unix/Linux 配置饱故蓉薯阵奸浇帽悠幽撤婪读址栓莫瘩床统陆赦领基支烙盈悠惦叁汗汕雕镜饰方玲肇闻雄值爵携妨镐屠畦粘蚀谱力晃蝇创附涉住饱渔屈剩谤务袜午杂械孵蒸扳炳钓昌街腕鉴蓉郧怖蹋可滤开蚤协础王者萤议陌阵笼远魂掩饵稼裴披仓呜谓蜂矢柠蛮牡米捌丰茫幌谚强荡砌贴缆串洗皮后档漏蝶尸吓充己氯道淳涝棺协民三瓷