Compliance & spezielle Scans
Wie du IT-Sicherheitskonfigurationen mit der Greenbone Enterprise Appliance mithilfe von Compliance-Policies und Audits bewertest. Abgedeckt werden das Erstellen, Importieren und Verwalten von Policies, das Erstellen, Starten und Verwalten von Audits, die Nutzung und der Export von Policy-Reports, generische Policy-Scans (Dateiinhalt, Registry, Dateipruefsummen, CPE-basierte Checks), die mitgelieferten Standard-Policies (IT-Grundschutz, BSI TR-03116, BSI TR-02102) sowie ein TLS-Map-Scan.
Basierend auf dem Handbuch zur Greenbone Enterprise Appliance (GOS 22.04 / OPENVAS SCAN 22.04), Kapitel 12, geprueft im Juni 2026. Compliance-Policies und Audits gibt es grundsaetzlich im gesamten Greenbone-Stack, aber welche Standard-Policies verfuegbar sind, haengt vom eingesetzten Feed ab. Alle Seitenelemente, Feldnamen und Menuepfade unten wurden woertlich aus diesem Handbuch uebernommen; es wurde nichts hinzugefuegt.
In der Informationstechnik ist Compliance ein zentraler Ansatz, mit dem Organisationen ihre Informationen und Assets schuetzen. Organisationen wie ISACA und das Center for Internet Security (CIS) veroeffentlichen IT-Sicherheitsstandards, Frameworks und Richtlinien, die geeignete Sicherheitsmassnahmen verlangen. Ein Schwachstellenbewertungssystem wie die Greenbone Enterprise Appliance kann dabei helfen, diese Vorgaben durch policy-basierte Audits zu bewerten.
So greifen die Bausteine ineinander:
- Eine Policy ist eine Scan-Konfiguration mit dem Flag
policy. Sie definiert die auszufuehrenden Compliance-Pruefungen. - Ein Audit ist eine Scan-Task mit dem Flag
audit. Sie fuehrt eine Policy gegen ein oder mehrere Ziele aus. - Ein Policy Report zeigt das Ergebnis eines Audits an, inklusive Detailinformationen zu compliant, not compliant und incomplete Anforderungen.
Da die meisten Audits lokale Sicherheitskonfigurationen auf den Zielsystemen pruefen, sind authentifizierte Audits im Regelfall empfohlen (und im Zweifel immer). Ausnahmen sind Audits, die nur von aussen erreichbare Services pruefen, etwa SSL/TLS. (§12)
1. Policies konfigurieren und verwalten​
Policies sind Scan-Konfigurationen mit dem Flag policy. Alle Standard-Policies von Greenbone werden ueber den Feed verteilt und mit jedem Feed-Update heruntergeladen bzw. aktualisiert. (§12.1)
Falls keine Standard-Policies verfuegbar sind, kann ein Feed-Update erforderlich sein oder der Feed Import Owner muss gesetzt werden.
Standard-Policies koennen nicht bearbeitet werden. Sie koennen nur temporaer vom Feed Import Owner oder einem Super-Administrator geloescht werden; beim naechsten Feed-Update werden sie erneut heruntergeladen. Um eine Standard-Policy dauerhaft zu loeschen, muss der Feed Import Owner sie loeschen und anschliessend auf (Unset) gesetzt werden. (§12.1)
Neben den Standard-Policies koennen eigene Policies erstellt oder importiert werden.
1.1 Eine Policy erstellen​
(§12.1.1)
- Waehle Resilience > Compliance Policies in der Menueleiste.
- Erstelle eine neue Policy ueber das new-Icon. (Alternativ kann eine Policy importiert werden, siehe unten.)
- Trage den Namen der Policy im Eingabefeld Name ein.
- Klicke auf Save. Die Policy wird erstellt und auf der Seite Policies angezeigt.
- Klicke in der Zeile der Policy auf das edit-Icon.
- Waehle im Abschnitt Edit Network Vulnerability Test Families den Radio-Button, um neu eingefuehrte VT-Familien einzubeziehen und automatisch zu aktivieren.
- Aktiviere in diesem Abschnitt die Checkboxen in der Spalte Select all NVTs, falls alle VTs einer Familie aktiviert werden sollen.
- Klicke eine VT-Familie an, um sie zu bearbeiten.
- Aktiviere in der Spalte Selected die Checkboxen der VTs, die aktiviert werden sollen.
- Klicke einen VT an, um ihn zu bearbeiten.
- Klicke auf Save, um den VT zu speichern.
- Klicke auf Save, um die VT-Familie zu speichern.
- Optional: Bearbeite die Scanner Preferences.
- Optional: Bearbeite die VT Preferences.
- Klicke auf Save, um die Policy zu speichern.
Die folgenden VT-Familien koennen nicht bearbeitet werden: CentOS, Debian, Fedora, Huawei EulerOS, Oracle Linux, Red Hat, SuSE und Ubuntu Local Security Checks. (§12.1.1)
Wenn systemspezifische VTs der VT-Familie Policy verwendet werden (z. B. beginnend mit Linux, Microsoft Windows, Microsoft Office), muss fuer Verbose Policy Controls im VT Compliance Tests (VT-Familie Compliance) der Radio-Button Yes gewaehlt werden. Falls beim Bearbeiten eines VTs eine Textdatei hochgeladen wird, sollte diese UTF-8 als Textkodierung verwenden. (§12.1.1)
1.2 Eine Policy importieren​
(§12.1.2)
- Waehle Resilience > Compliance Policies in der Menueleiste.
- Klicke auf das import-Icon.
- Klicke auf Browse... und waehle die XML-Datei der Policy aus.
- Klicke auf Import. Die importierte Policy wird auf der Seite Policies angezeigt.
- Fuehre die Schritte 5 bis 15 aus Eine Policy erstellen aus, um die Policy zu bearbeiten.
Falls der Name der importierten Policy bereits existiert, wird dem Namen ein numerischer Suffix angehaengt.
1.3 Policies verwalten​
(§12.1.3)
Listenseite. Alle vorhandenen Policies sind unter Resilience > Compliance Policies aufgefuehrt. Die Liste zeigt den Name jeder Policy. Verfuegbare Zeilenaktionen:
- Die Policy in den Papierkorb verschieben. Nur Policies, die aktuell nicht verwendet werden, koennen verschoben werden. Solange sie im Papierkorb liegt, wird sie beim naechsten Feed-Update nicht erneut heruntergeladen.
- Die Policy bearbeiten. Nur selbst erstellte Policies, die aktuell nicht verwendet werden, koennen bearbeitet werden.
- Die Policy klonen.
- Ein neues Audit fuer die Policy erstellen (siehe Abschnitt 2).
- Die Policy als XML-Datei exportieren.
Ueber die Steuerelemente unterhalb der Liste und den Drop-down-Selektor koennen mehrere Policies gleichzeitig in den Papierkorb verschoben oder exportiert werden.
Detailseite. Klicke auf den Namen einer Policy, um ihre Details zu oeffnen. Verfuegbare Register: Information, Scanner Preferences (aktuelle und Standardwerte), NVT Families (Anzahl aktivierter VTs und Trend), NVT Preferences und Permissions. Die Toolbar oben links bietet Aktionen zum Oeffnen des Handbuchkapitels, Anzeigen der Listenseite, Erstellen einer neuen Policy, Klonen, Bearbeiten, in den Papierkorb verschieben, Exportieren und Importieren.
2. Audits konfigurieren und verwalten​
Audits sind Scan-Tasks mit dem Flag audit. (§12.2)
2.1 Ein Audit auf der Seite Audits erstellen​
(§12.2.1.1)
- Waehle Resilience > Compliance Audits in der Menueleiste.
- Erstelle ein Audit ueber das new-Icon.
- Definiere das Audit (siehe Felder unten).
- Klicke auf Save. Das Audit wird erstellt und auf der Seite Audits angezeigt.
Folgende Informationen koennen eingetragen werden:
- Name - frei waehlbar; ein sprechender Name ist empfehlenswert.
- Comment - optionale Hintergrundinformationen.
- Scan Targets - waehle ein zuvor konfiguriertes Ziel oder erstelle direkt eines.
- Alerts - waehle einen zuvor konfigurierten Alert oder erstelle direkt einen. Statusaenderungen koennen per E-Mail, Syslog, HTTP oder ueber einen Connector gemeldet werden.
- Schedule - waehle einen zuvor konfigurierten Zeitplan oder erstelle direkt einen. Das Audit kann einmalig oder wiederholt laufen (z. B. jeden Montag um 6:00 Uhr).
- Add results to Assets - stellt die Systeme automatisch dem Asset-Management zur Verfuegung; kann spaeter geaendert werden.
- Alterable Audit - erlaubt das Aendern der Scan-Ziele und des Scanners auch dann noch, wenn bereits Reports erstellt wurden. Die Vergleichbarkeit zwischen Reports ist dann nicht mehr garantiert.
- Auto Delete Reports - kann alte Reports automatisch loeschen, sobald ein konfigurierbares Maximum ueberschritten wird; die Werkseinstellung ist Do not automatically delete reports.
- Policy - pro Audit kann nur eine Policy konfiguriert werden.
- Order for target hosts -
Sequential,RandomoderReverse.Randomwird empfohlen, um die Fortschrittsschaetzung des Scans zu verbessern. Den Alive-Test beeinflusst das nicht; dieser laeuft immer zufaellig. - Maximum concurrently executed NVTs per host / Maximum concurrently scanned hosts - steuert die Scan-Geschwindigkeit (
maxchecks/maxhosts). Die Standardwerte sind sinnvoll gewaehlt; hoehere Werte koennen sich negativ auf die gescannten Systeme, das Netzwerk oder die Appliance auswirken.
2.2 Ein Audit ueber eine Policy erstellen​
(§12.2.1.2)
- Waehle Resilience > Compliance Policies in der Menueleiste.
- Klicke in der Zeile der gewuenschten Policy auf das create audit-Icon. Die Policy ist dann in der Drop-down-Liste Policy bereits vorausgewaehlt.
- Definiere das Audit (dieselben Felder wie in Abschnitt 2.1).
- Klicke auf Save. Das Audit wird erstellt und auf der Seite Audits angezeigt.
2.3 Ein Audit starten​
(§12.2.2)
Klicke in der Zeile des neu erstellten Audits auf das start-Icon. Bei geplanten Audits wird ein anderes Icon angezeigt; das Audit startet dann zu dem im Zeitplan definierten Zeitpunkt.
Das Audit wird der Warteschlange hinzugefuegt; anschliessend beginnt der Scanner mit dem Scan. Der Report kann bereits angezeigt werden, sobald das Audit gestartet hat, indem du auf den Balken in der Spalte Status klickst. Sobald sich der Status auf Done aendert, steht der vollstaendige Report zur Verfuegung; Zwischenstaende koennen jederzeit eingesehen werden.
Es kann eine Weile dauern, bis der Scan abgeschlossen ist. Die Seite aktualisiert sich automatisch, sobald neue Daten verfuegbar sind. In manchen Faellen kann ein Audit in der Warteschlange verbleiben. (§12.2.2)
2.4 Audits verwalten​
(§12.2.3)
Listenseite. Alle vorhandenen Audits sind unter Resilience > Compliance Audits aufgefuehrt. Fuer jedes Audit zeigt die Liste:
- Name - optional mit Icons, die anzeigen, dass das Audit aenderbar ist, auf einem Remote-Scanner laeuft, fuer andere Benutzer sichtbar ist oder einem anderen Benutzer gehoert.
- Status - ein Statusbalken. Moegliche Zustaende sind u. a.: noch nie ausgefuehrt, angefordert/in Warteschlange, laufend (prozentual basierend auf ausgefuehrten VTs), Daten werden verarbeitet, Done, Stop angefordert, gestoppt, wird fortgesetzt, Loeschung laeuft und durch einen Fehler unterbrochen. Audits, die vorbereiten, verarbeiten, fortsetzen, ein Stop anfordern oder geloescht werden, koennen nicht gestoppt, fortgesetzt oder geloescht werden.
- Report - Datum und Uhrzeit des letzten Reports; ein Klick oeffnet dessen Details.
- Compliance Status - das Verhaeltnis der als compliant eingestuften Anforderungen zu den als non-compliant eingestuften, in Prozent.
Verfuegbare Zeilenaktionen: starten, stoppen (alle bis dahin gefundenen Ergebnisse werden in die Datenbank geschrieben), Schedules-Details anzeigen (nur geplante Audits), fortsetzen, in den Papierkorb verschieben, bearbeiten, klonen, als XML exportieren und den Report als GCR file herunterladen (Greenbone Compliance Report im PDF-Format). Ueber die Steuerelemente unterhalb der Liste koennen mehrere Audits gleichzeitig in den Papierkorb verschoben oder exportiert werden.
Beim Fortsetzen eines Scans werden alle unvollstaendig gescannten Hosts vollstaendig neu gescannt; die Daten von Hosts, die bereits komplett gescannt wurden, bleiben erhalten. (§12.2.3)
Detailseite. Klicke auf den Namen eines Audits, um seine Details zu oeffnen. Register: Information und Permissions. Die Toolbar oben links bietet: Handbuchkapitel oeffnen, Listenseite anzeigen, neues Audit erstellen, klonen, bearbeiten, in den Papierkorb verschieben, exportieren, starten, stoppen, fortsetzen, letzten/alle Reports anzeigen und Ergebnisse anzeigen.
3. Policy Reports verwenden und verwalten​
Reports fuer Audits sind aehnlich wie Reports anderer Tasks. Sobald ein Scan gestartet wurde, kann der Report der bislang gefundenen Ergebnisse eingesehen werden; wenn der Scan abgeschlossen ist, aendert sich der Status auf Done und es kommen keine weiteren Ergebnisse hinzu. (§12.3)
3.1 Einen Policy Report verwenden​
Ein Policy Report wird genauso verwendet wie jeder andere Report - lesen, interpretieren, filtern, exportieren, importieren und vergleichen gelten hier ebenso. Details dazu findest du unter Reports & Vulnerability Management. (§12.3.1)
3.2 Einen Policy Report exportieren​
(§12.3.2)
Ein Policy Report muss immer im Report-Format Greenbone Compliance Report PDF (GCR PDF) heruntergeladen werden. Beim Download in einem anderen Report-Format waere der Report leer. (§12.3.2)
Von der Seite Audits aus:
- Waehle Resilience > Compliance Audits in der Menueleiste.
- Klicke in der Zeile des gewuenschten Audits auf das download GCR-Icon.
- Lade die PDF-Datei herunter.
4. Generische Policy-Scans​
(§12.4)
Beim Ausfuehren von Policy-Scans stellt die VT-Familie Policy Gruppen aus vier konfigurierbaren VTs bereit. Fuer einen Policy-Scan werden mindestens der base VT und ein weiterer VT benoetigt. Die vier VT-Typen sind:
- Base - fuehrt den eigentlichen Policy-Scan aus.
- Errors - fasst Eintraege zusammen, bei denen beim Ausfuehren des Base-VT Fehler aufgetreten sind.
- Matches - fasst Eintraege zusammen, die zu den durch den Base-VT geprueften Kriterien passen.
- Violations - fasst Eintraege zusammen, die nicht zu den durch den Base-VT geprueften Kriterien passen.
Der Base-VT muss immer ausgewaehlt werden - er fuehrt die eigentlichen Tests aus. Die anderen drei koennen je nach Bedarf zusaetzlich gewaehlt werden. Wenn etwa passende Muster nicht relevant sind, sollte nur ein VT vom Typ Violations hinzugefuegt werden. (§12.4)
4.1 Dateiinhalt pruefen​
(§12.4.1)
Dateiinhalt-Pruefungen testen die Compliance von Datei-Inhalten (z. B. Konfigurationsdateien) gegen eine vorgegebene Policy, statt auf Schwachstellen zu pruefen. Das ist im Regelfall ein authentifizierter Scan und kann nur auf Systemen ausgefuehrt werden, die den Befehl grep unterstuetzen (normalerweise Linux oder Linux-aehnliche Systeme). Die vier VTs sind File Content, File Content: Errors, File Content: Matches und File Content: Violations.
Dateiinhalt-Muster pruefen. Erstelle zuerst eine Referenzdatei. Sie muss die Kopfzeile filename|pattern|presence/absence enthalten; jede folgende Zeile ist ein Testeintrag mit drei durch | getrennten Feldern - Pfad und Dateiname, das zu pruefende Muster (als regulaerer Ausdruck) und presence oder absence. Beispiel:
filename|pattern|presence/absence
/tmp/filecontent_test|^paramter1=true.*$|presence
/tmp/filecontent_test|^paramter2=true.*$|presence
/tmp/filecontent_test|^paramter3=true.*$|absence
/tmp/filecontent_test_notthere|^paramter3=true.*$|absence
Dann:
- Waehle Resilience > Compliance Policies.
- Klicke in der Zeile der gewuenschten Policy auf das clone-Icon. Die geklonte Policy wird auf der Seite Policies angezeigt.
- Klicke in der Zeile der geklonten Policy auf das edit-Icon.
- Klicke im Abschnitt Edit Network Vulnerability Test Families auf die VT-Familie Policy. Alle VTs, die eine besondere Konfiguration erlauben, werden aufgelistet.
- Klicke auf das Edit-Icon fuer File Content.
- Aktiviere die Checkbox Upload file. (Falls bereits eine Referenzdatei hochgeladen wurde, erscheint stattdessen Replace existing file. Das Aendern der Referenzdatei ist nur moeglich, solange die Policy nicht in Verwendung ist.)
- Klicke auf Browse... und waehle die Referenzdatei aus.
- Klicke auf Save, um den VT zu speichern, auf Save, um die VT-Familie zu speichern, und auf Save, um die Policy zu speichern.
Severity aendern. VTs vom Typ Violations haben standardmaessig die Severity 10. Dies kann ueber overrides geaendert werden. Da die Checks auf drei VTs aufgeteilt sind (z. B. File Content: Violations, File Content: Errors), lassen sich je Typ eigene Overrides erstellen, die in den Reports sichtbar sind.
4.2 Registry-Inhalt pruefen​
(§12.4.2)
Die Registry ist eine Datenbank in Microsoft Windows, in der Informationen ueber Systemhardware, installierte Programme, Einstellungen und Benutzerkonten gespeichert sind. Die Appliance kann Registry-Eintraege verifizieren, um das Vorhandensein oder Fehlen von Einstellungen sowie Registry-Verstoesse zu pruefen. Da die Registry nur unter Microsoft Windows existiert, laeuft dieser Check ausschliesslich auf Windows-Systemen und erfordert einen authentifizierten Scan. Die vier VTs sind Windows Registry Check, Windows Registry Check: Errors, Windows Registry Check: OK und Windows Registry Check: Violations.
Registry-Muster pruefen. Erstelle zuerst eine Referenzdatei. Sie muss die Kopfzeile Present|Hive|Key|Value|ValueType|ValueContent enthalten; jede weitere Zeile hat sechs durch | getrennte Felder - ob der Eintrag vorhanden sein soll, den Hive, den Key, den Value, den ValueType und den ValueContent. Ein Stern * in der letzten Spalte bedeutet, dass fuer Vorhandensein oder Nicht-Vorhandensein jeder Wert akzeptiert wird. Beispiel:
Present|Hive|Key|Value|ValueType|ValueContent
TRUE|HKLM|SOFTWARE\Macromedia\FlashPlayer\SafeVersions|8.0|REG_DWORD|33
TRUE|HKLM|SOFTWARE\Microsoft\Internet Explorer
TRUE|HKLM|SOFTWARE\Microsoft\Internet Explorer|Version|REG_SZ|9.11.10240.16384
FALSE|HKLM|SOFTWARE\Virus
TRUE|HKLM|SOFTWARE\ShouldNotBeHere
TRUE|HKLM|SOFTWARE\Macromedia\FlashPlayer\SafeVersions|8.0|REG_DWORD|*
Dann:
- Waehle Resilience > Compliance Policies.
- Klicke in der Zeile der Policy Microsoft Windows Registry Check auf das clone-Icon.
- Klicke in der Zeile der geklonten Policy auf das edit-Icon.
- Klicke im Abschnitt Edit Network Vulnerability Test Families auf die VT-Familie Policy.
- Klicke auf das Edit-Icon fuer Windows Registry Check.
- Aktiviere die Checkbox Upload file (oder Replace existing file, falls bereits eine Datei hochgeladen wurde).
- Klicke auf Browse... und waehle die Referenzdatei aus.
- Klicke auf Save fuer den VT, auf Save fuer die VT-Familie und auf Save fuer die Policy.
Severity aendern. Wie oben haben Violations-VTs standardmaessig die Severity 10 und koennen pro Typ ueber Overrides angepasst werden.
4.3 Dateipruefsummen pruefen​
(§12.4.3)
Dateipruefsummen-Checks pruefen die Dateiintegritaet, indem sie Datei-Inhalte mit MD5- oder SHA1-Pruefsummen abgleichen. Das ist in der Regel ein authentifizierter Check auf Systemen, die Pruefsummen unterstuetzen (normalerweise Linux oder Linux-aehnliche Systeme); fuer Microsoft Windows gibt es ein separates Modul (siehe unten). Die vier VTs sind File Checksums, File Checksums: Errors, File Checksums: Matches und File Checksums: Violations.
Dateipruefsummen-Muster pruefen. Erstelle zuerst eine Referenzdatei. Sie muss die Kopfzeile Checksum|File|Checksumtype enthalten; jede weitere Zeile hat drei durch | getrennte Felder - die Pruefsumme in Hex, Pfad und Dateiname sowie den Typ der Pruefsumme (md5 oder sha1). Beispiel:
Checksum|File|Checksumtype
6597ecf8208cf64b2b0eaa52d8169c07|/bin/login|md5
ed3ed98cb2efa9256817948cd27e5a4d9be2bdb8|/bin/bash|sha1
7c59061203b2b67f2b5c51e0d0d01c0d|/bin/pwd|md5
Pruefsummen und Pruefsummentypen muessen kleingeschrieben sein. (§12.4.3.1)
Dann:
- Waehle Resilience > Compliance Policies.
- Klicke in der Zeile der gewuenschten Policy auf das clone-Icon.
- Klicke in der Zeile der geklonten Policy auf das edit-Icon.
- Klicke im Abschnitt Edit Network Vulnerability Test Families auf die VT-Familie Policy.
- Klicke auf das Edit-Icon fuer File Checksums.
- Aktiviere die Checkbox Upload file (oder Replace existing file).
- Klicke auf Browse... und waehle die Referenzdatei aus.
- Klicke auf Save fuer den VT, auf Save fuer die VT-Familie und auf Save fuer die Policy.
Severity aendern. Violations-VTs haben standardmaessig die Severity 10 und koennen pro Typ ueber Overrides angepasst werden.
Dateipruefsummen fuer Microsoft Windows pruefen. (§12.4.3.3) Windows hat kein eingebautes Pruefsummen-Werkzeug, daher verwendet die Appliance ReHash, das manuell oder automatisch durch den VT installiert werden kann. Die Windows-Pruefsummen-VTs befinden sich ebenfalls in der VT-Familie Policy.
- Erstelle eine Referenzdatei im gleichen Format
Checksum|File|Checksumtypewie oben. - Klicke in der Zeile der betreffenden Policy auf das edit-Icon.
- Klicke im Abschnitt Edit Network Vulnerability Test Families auf die VT-Familie Policy.
- Klicke auf das Edit-Icon fuer Windows file Checksums.
- Waehle fuer Delete hash test Programm after the test den Radio-Button Yes, wenn ReHash nach dem Check entfernt werden soll. (Wenn es installiert bleibt, koennen wiederkehrende Tests schneller sein.)
- Waehle fuer Install hash test Programm on the Target den Radio-Button Yes, um ReHash automatisch zu installieren.
- Aktiviere die Checkbox Upload file (oder Replace existing file).
- Klicke auf Browse... und waehle die Referenzdatei aus.
- Klicke auf Save fuer den VT, auf Save fuer die VT-Familie und auf Save fuer die Policy.
Wenn ReHash nicht automatisch installiert wird, muss es manuell unter C:\Windows\system32 (32 Bit) oder C:\Windows\SysWOW64 (64 Bit) installiert werden und fuer den authentifizierten Benutzer ausfuehrbar sein. (§12.4.3.3)
4.4 CPE-basierte Checks ausfuehren​
(§12.4.4)
Einfache CPE-basierte Checks. Bei jedem Scan werden CPEs erkannter Produkte gespeichert, unabhaengig davon, ob das Produkt ein Sicherheitsproblem offenbart. Auf dieser Basis koennen einfache Sicherheits-Policies Checks auf das Vorhandensein oder Fehlen eines Produkts beschreiben; jedem Check wird eine Severity zugeordnet, die im Scan-Report erscheint. Da die Erkennung aus einem einzelnen VT oder aus mehreren spezialisierten VTs kommen kann, kann sich eine optimierte Policy auf ein einzelnes Produkt konzentrieren, ohne weitere Scan-Aktivitaet.
Das Vorhandensein problematischer Produkte erkennen. (§12.4.4.2) Dieses Beispiel stuft das Vorhandensein eines Produkts als schwerwiegendes Problem ein:
- Waehle Resilience > Compliance Policies.
- Erstelle eine neue Policy, definiere ihren Namen und klicke auf Save.
- Klicke in der Zeile der Policy auf das edit-Icon.
- Klicke in der Zeile der VT-Familie Policy, um sie zu bearbeiten.
- Klicke in der Zeile des VTs CPE Policy Check, um ihn zu bearbeiten.
- Trage entweder einen einzelnen CPE unter Single CPE ein (z. B.
cpe:/a:microsoft:ie:6) oder aktiviere Upload file, klicke auf Browse... und waehle eine Textdatei mit durch Kommas oder Zeilenumbrueche getrennten CPEs. - Da das problematische Produkt nicht vorhanden sein soll, waehle den Radio-Button missing - wenn das Produkt entdeckt wird, wird es als kritisch bewertet.
- Klicke auf Save, um den VT zu speichern.
- Aktiviere die Checkbox Selected fuer:
CPE Policy Check,CPE-based Policy Check Error,CPE-based Policy Check OKundCPE-based Policy Check Violations. - Klicke auf Save, um die VT-Familie zu speichern.
- Aktiviere die Checkbox Selected fuer die VT-Familie Product Detection und klicke dann auf Save, um die Policy zu speichern.
- Erstelle ein Ziel, erstelle ein Audit mit dieser Policy und fuehre das Audit aus.
- Wenn der Scan abgeschlossen ist, waehle Scans > Reports, gib
cpein das Eingabefeld Filter ein, um nur CPE-basierte Policy-Ergebnisse anzuzeigen, und oeffne dann einen Report ueber sein Datum.
Wenn bereits die reine Verfuegbarkeit eines Produkts beruecksichtigt werden soll, konfiguriere den Remote-Zugriff ueber Credentials, damit lokale Security Checks greifen; die Suche nur ueber laufende Netzwerkdienste erhoeht eher die False Positives. Violations-VTs haben standardmaessig die Severity 10 und koennen ueber Overrides angepasst werden. (§12.4.4.2)
5. Standard-Policies pruefen​
(§12.5)
Greenbone liefert Policies fuer mehrere veroeffentlichte Standards mit. Welche verfuegbar sind, haengt vom Feed ab.
| Standard-Policy (verwende diese Policy im Audit) | Was sie prueft (laut Quelle) |
|---|---|
| IT-Grundschutz Kompendium (§12.5.1) | Compliance mit ausgewaehlten Modulen des BSI IT-Grundschutz-Kompendiums: SYS.1.2.2 Windows Server 2012, SYS.1.3 Server on Linux and Unix, SYS.2.2.2 Clients on Windows 8.1, SYS.2.2.3 Clients on Windows 10, SYS.2.3 Clients on Linux and Unix. |
| BSI TR-03116: Part 4 (§12.5.2) | Kryptographische Anforderungen (SSL/TLS) fuer Dienste der Bundesverwaltung. Geprueft wird, ob Hosts/Services SSL/TLS verwenden und - falls ja - die Compliance bezueglich TLS-Version (kleiner als 1.2 ist nicht erlaubt), unterstuetzter Cipher und erlaubter Cipher Suites fuer TLS 1.2 und TLS 1.3. |
| BSI TR-02102-4 (§12.5.3) | Empfehlungen fuer das SSH-Protokoll. Geprueft werden Einstellungen in /etc/ssh/sshd_config: Protocol (SSH-Version 2), KexAlgorithms, ReKeyLimit (Erneuerung nach 1 Stunde oder 1 GiB), Ciphers, MACs, HostKeyAlgorithms, AuthenticationMethods (publickey) und PubkeyAuthentication (publickey). |
5.1 Einen Standard-Policy-Scan ausfuehren​
Das Vorgehen ist fuer alle drei Standards gleich; unterschiedlich ist nur die Policy, die beim Erstellen des Audits ausgewaehlt wird:
- Erstelle ein neues Ziel, erstelle ein neues Audit (mit
IT-Grundschutz Kompendium,BSI TR-03116: Part 4oderBSI TR-02102-4) und fuehre das Audit aus. - Wenn der Scan abgeschlossen ist, waehle Scans > Reports und klicke auf das Datum des Reports. Der Report enthaelt Detailinformationen zu compliant, not compliant und incomplete Anforderungen.
- Klicke zum Export des Reports auf das download-Icon.
- Aktiviere unter Include die Optionen Notes, um angehaengte Notes einzubeziehen, und Overrides, um aktivierte Overrides zu kennzeichnen und deren Textfeld einzubeziehen.
- Waehle in der Drop-down-Liste Report Format die Option GCR PDF.
- Klicke auf OK und lade die PDF-Datei herunter.
6. Einen TLS-Map-Scan ausfuehren​
(§12.6)
Das TLS-Protokoll gewaehrleistet Vertraulichkeit, Authentizitaet und Integritaet der Kommunikation in unsicheren Netzwerken. Die Appliance kann Systeme identifizieren, die SSL/TLS-Services anbieten, die Protokollversionen und angebotenen Verschluesselungsalgorithmen erkennen und - soweit der Service identifiziert werden kann - weitere Details erfassen. Fuer einen Ueberblick ueber die TLS-Nutzung empfiehlt Greenbone die Scan-Konfiguration TLS-Map.
Ein TLS-Map-Scan verwendet eine normale task mit der Scan-Konfiguration TLS-Map (kein Compliance-Audit/keine Compliance-Policy), und das Ergebnis wird im Report-Format TLS Map exportiert. (§12.6)
- Waehle Configuration > Port Lists, um die vorkonfigurierten Port-Listen zu pruefen. (Eigene Port-Listen koennen erstellt werden.)
- Waehle eine passende Port-Liste. Eine umfangreichere Liste dauert laenger, kann aber Services auf ungewoehnlichen Ports entdecken. TLS basiert hauptsaechlich auf TCP; eine UDP-Port-Liste verlangsamt den Scan ohne Nutzen. Waehle All TCP, um alle TCP-Ports abzudecken.
- Erstelle ein neues Ziel, erstelle eine neue Task mit der Scan-Konfiguration TLS-Map und fuehre die Task aus.
- Wenn sie abgeschlossen ist, waehle Scans > Reports und klicke auf das Datum des Reports.
- Klicke zum Export auf das download-Icon.
- Aktiviere unter Include je nach Bedarf Notes und Overrides.
- Waehle in der Drop-down-Liste Report Format die Option TLS Map.
- Klicke auf OK und lade die CSV-Datei herunter, um sie in Tabellenkalkulationsprogrammen zu verwenden.
Die CSV-Datei enthaelt pro Port und System, auf dem ein SSL/TLS-Protokoll angeboten wird, eine Zeile mit den Spalten IP, Host, Port, TLS-Version, Ciphers und Application-CPE. Wenn eine Spalte mehr als einen Wert enthaelt, sind die Werte durch Semikolons getrennt. Beispiel:
IP,Host,Port,TLS-Version,Ciphers,Application-CPE
192.168.12.34,www.local,443,TLSv1.0;SSLv3,SSL3_RSA_RC4_128_SHA;TLS1_RSA_RC4_128_SHA,cpe:/a:apache:http_server:2.2.22;cpe:/a:php:php:5.4.4
192.168.56.78,www2.local,443,TLSv1.0;SSLv3,SSL3_RSA_RC4_128_SHA;TLS1_RSA_RC4_128_SHA,cpe:/a:apache:http_server:2.2.22