{"id":5386,"date":"2020-04-03T09:58:47","date_gmt":"2020-04-03T07:58:47","guid":{"rendered":"https:\/\/enginsight.com\/?p=5386"},"modified":"2023-05-26T08:11:40","modified_gmt":"2023-05-26T06:11:40","slug":"release-notes-03-04-2020-version-2-5-0","status":"publish","type":"post","link":"https:\/\/enginsight.com\/de\/blog\/release-notes-03-04-2020-version-2-5-0\/","title":{"rendered":"Release Notes 03.04.2020 \u2013 Version 2.5.0"},"content":{"rendered":"

Mit neuen Möglichkeiten in der Überwachung von Autostarts, Services und Ports sowie einem erhöhten Erkennungsumfang von Cyberattacken ist Enginsight in der Version 2.5.0 wieder ein Stück mächtiger geworden.<\/p>\n\n\n\n

<\/div>\n\n\n\n

Autostarts überwachen<\/h2>\n\n\n\n

Unter Autostarts erhalten Sie eine Übersicht über Software,\ndie bei einem Systemneustart Ihres Servers oder Clients automatisch gestartet\nwird. Sie können Autostarts auch direkt aus unserer Plattform heraus löschen.\nKlicken Sie dazu auf das Mülleimer-Icon hinter dem Eintrag.<\/p>\n\n\n\n

Ein Autostart beeinflusst einerseits die Performance, kann aber auch aus Sicherheitsperspektive kritisch sein. Software, die auf einem Server oder Client läuft, erhöht immer die Angriffsfläche für mögliche Angriffe. Deshalb sollten auch aus sicherheitstechnischer Abwägung heraus, die Zahl der Autostarts auf die nötige Software beschränkt sein. Bei Servern existieren in der Regel fast keine Autostarts. Auch Schadsoftware, bspw. ein Trojaner, möchte bei jedem Reboot neu gestartet werden und kann daher in der Liste auftauchen.<\/p>\n\n\n\n

<\/div>\n\n\n\n
\"Ein<\/figure>\n\n\n\n
<\/div>\n\n\n\n

Neue Autostarts, insbesondere bei Servern, sollten immer auf\nihre Notwendigkeit und Legitimität geprüft werden. Mit dem Alarm „Neuer\nAutostart“ können Sie sich daher benachrichtigen lassen, sofern ein Autostart\nhinzugefügt wird. Schalten Sie am besten den Alarm via Tag auf alle Ihre\nüberwachten Server.<\/p>\n\n\n\n

Damit sie die neue Funktion nutzen können, müssen Sie den Pulsar-Agent\nauf Ihren Hosts auf die aktuelle Version updaten.<\/p>\n\n\n\n

Services: Systemrelevanz festlegen<\/h2>\n\n\n\n

Auf Servern und Clients, die mittels Pulsar-Agent überwacht werden, ermittelt Enginsight die laufenden und gestoppten Services. Ein Service (oder auch Dienst genannt) ist ein Programm, das beim Start des Computers in der Regel automatisch gestartet wird und im Hintergrund läuft, ohne dass der Benutzer mit ihm interagiert. Es wartet darauf, seine Aufgabe zu erledigen, und besitzt in der Regel keine grafische Oberfläche. Viele Dienste werden vom Betriebssystem mitgeliefert, um die Grundfunktionen des Rechners zu gewährleisten. Dienste können auch nachinstalliert werden, z. B. mit der Installation neuer Software.<\/p>\n\n\n\n

<\/div>\n\n\n\n
\"Ein<\/figure>\n\n\n\n
<\/div>\n\n\n\n

Sollte ein Service unbemerkt gestoppt werden, kann dies\nsowohl Funktionalität als auch Sicherheit Systems massiv beeinflussen. Nicht\njeder Service, der gestoppt wird, ist jedoch als problematisch einzustufen. Deshalb\nkönnen Sie jetzt in der Enginsight Plattform manuell festlegen, welche Services\nsystemrelevant sind. Standardmäßig werden alle Services als systemrelevant\nangenommen und eine entsprechende Warnung in der Sidebar sowie der\nHostübersicht angezeigt, wenn sie gestoppt werden. <\/p>\n\n\n\n

Wählen Sie jedoch die Option systemrelevant ab, wird keine\nWarnung mehr ausgegeben, sollte der Service gestoppt worden sein. Prüfen Sie daher\nIhre (gestoppten) Services auf die Systemrelevanz und erhalten Sie künftig\nkeine ungerechtfertigten Warnungen mehr.<\/p>\n\n\n\n

Verbindungen: Alarm auf neue geöffnete Ports<\/h2>\n\n\n\n

Seit\nVersion 2.4.0<\/a> können Sie mit Enginsight die geöffneten Ports Ihrer Server\nund Clients anzeigen lassen. Jetzt können Sie sich auch alarmieren lassen, wenn\nneue Ports aufgehen. So können Sie unmittelbar prüfen, ob der entsprechende\nPort tatsächlich geöffnet sein muss. Je mehr Ports geöffnet sind, desto\nanfälliger ist das System für Hackerangriffe, da die hinter dem Port steckende\nSoftware potenziell Sicherheitslücken aufweisen kann. Deshalb sollte (gerade\nbei Servern) die Anzahl an geöffneten Ports auf das nötige Minimum beschränkt\nbleiben.<\/p>\n\n\n\n

<\/div>\n\n\n\n
\"Ein<\/figure>\n\n\n\n
<\/div>\n\n\n\n

Bei einem Webserver sind beispielsweise prinzipiell Port 80 und 433 (http und https) offen, die beide nicht anfällig für Hackerattacken sind. Geht ein weiterer Port auf, z. B. Port 22 (ssh), kann ein Angreifer versuchen sich mit einer Bruteforce-Attacke auf dem Server einzuloggen. Dadurch sinkt das Sicherheitsniveau des Servers massiv.<\/p>\n\n\n\n

Wir empfehlen daher, via Tag den neuen Alarm für sich neu geöffnete\nPorts auf alle Ihre überwachten Server zu schalten.<\/p>\n\n\n\n

Netzwerkaktivitäten: Neue Angriffsszenarien<\/h2>\n\n\n\n

Das durchdachte Featureset von Enginsight umfasst eine\nÜberwachung des Netzwerkverkehrs mittels Deep Packet Inspection. Das\nverhindert, dass Cyberkriminelle unbemerkt Ihre IT-Systeme angreifen. Mit der\nVersion 2.5.0 haben wir die Erkennung von Angriffen um zwei Szenarien erweitert.<\/p>\n\n\n\n

VNC Bruteforce<\/h3>\n\n\n\n

Virtual Network Computing (VNC) ist ein Remote-Protokoll,\ndas genutzt wird, um den Bildschirminhalt eines entfernten Rechners auf einem\nlokalen Bildschirm anzuzeigen und zu steuern. Diese umfassende Möglichkeit\nmacht es zu einem beliebten Mittel von Hackern.<\/p>\n\n\n\n

Mit Brute-Force-Attacken versuchen Angreifer durch\nmassenhaftes, automatisches Ausprobieren von Benutzer- und\nPasswortkombinationen in das System einzudringen. Seit\nVersion 2.4.0<\/a> unterstützt Enginsight bereits die Erkennung von\nBrute-Force-Angriffen auf das Remote-Protokoll RDP. Der Erkennungsumfang wurde\nnun auf VNC ausgeweitet.<\/p>\n\n\n\n

Enginsight erkennt Bruteforce-Attacken auf folgende Systeme:<\/p>\n\n\n\n