IT-Audit als Datenarbeitsbereich im Programm

In Ewida Audit bezeichnet der Begriff IT-Audit einen Datenarbeitsbereich, in dem Hosts gespeichert werden können, die Computer repräsentieren, und in dem diese über längere Zeit hinweg wiederholt gescannt werden können. Es handelt sich nicht um einen einzelnen Bericht, sondern um eine Arbeitsumgebung, in der die Ergebnisse aufeinanderfolgender Audits gesammelt werden.

Dieser Ansatz funktioniert in einer Windows-Desktop-Anwendung gut, weil er die kontinuierliche Arbeit mit Hosts, Scanergebnissen und Änderungshistorie ermöglicht, ohne für jede weitere Kontrolle ein neues Projekt anlegen zu müssen.

Erstellen eines neuen Audits

Ein neues Audit wird in der Regel nur einmal erstellt und dann als Hauptarbeitsbereich verwendet. Eine Ausnahme sind Situationen, in denen Audits getrennt für verschiedene Unternehmen, Niederlassungen oder abgegrenzte Teile einer Organisation durchgeführt werden.

In der Praxis erstellt ein Benutzer mit interner Lizenz ein Audit für sein Unternehmen und führt in diesem selben Arbeitsbereich wiederkehrende Computerscans durch. Wenn das Unternehmen die Daten jedoch in mehrere unabhängige Bereiche aufteilen möchte, kann es mehr als einen Audit-Arbeitsbereich anlegen.

Assistent für ein neues Audit

Um den Assistenten für ein neues Audit zu starten, wählen Sie:
Menü > Audit > Neu

Der Assistent führt den Benutzer durch mehrere grundlegende Schritte. Dazu gehören:

  • die Eingabe der Daten des vom Audit erfassten Unternehmens,
  • das Hinzufügen von Hosts, also der Computer, die gescannt werden sollen,
  • die optionale Installation von Agenten,
  • die optionale Durchführung des ersten Scans.

Das Hinzufügen von mindestens einem Host ist erforderlich. Die übrigen Schritte können übersprungen und später nachgeholt werden. Sobald der Audit-Arbeitsbereich erstellt wurde, können jederzeit neue Hosts hinzugefügt werden, und der Scan selbst kann dann gestartet werden, wenn er benötigt wird.

Hosts zum Scannen hinzufügen

Ein Host in Ewida Audit repräsentiert einen Computer, der gescannt werden soll. Um den Assistenten zum Hinzufügen von Hosts zu starten, verwenden Sie:
Menü > Host > Neu

Hosts können auf mehrere Arten hinzugefügt werden:

  • Hosts suchen (LAN) — automatische Suche nach Computern im lokalen Netzwerk.
  • Active Directory — Import von Computern aus einem bestimmten LDAP-Pfad.
  • IP-Scan — Durchsuchen eines ausgewählten IP-Adressbereichs mithilfe von Ping- und DNS-Daten.
  • Manuelle Eingabe — manuelles Hinzufügen eines Hosts mit dem korrekten Wert im Feld Host-Name (HostName).
  • Import — Import von Hosts aus einem anderen Audit oder aus der Datenbank von Ewida Standard.
  • Scan-Dateien — automatische Erstellung eines Hosts beim Laden von Scan-Dateien.

In der Praxis hängt die Methode zum Hinzufügen von Hosts davon ab, wie gut die Infrastruktur organisiert ist und wo sich verlässliche Computerdaten am einfachsten beschaffen lassen.

Host und zugehörige Objekte

Beim Anlegen von Hosts können auch zugehörige Objekte direkt hinzugefügt werden. Wechseln Sie dazu in den Bearbeitungsmodus des Hosts und öffnen Sie die Registerkarte Zugehörige Objekte.

Die am häufigsten verwendeten Beziehungen sind:

  • Lizenz — dem Host im Modus audit-auto-match zugewiesen, der es ermöglicht, Lizenzen während der Datenerkennung automatisch erkannter Software zuzuordnen.
  • Benutzer — der Host kann vom Benutzer Standortdaten übernehmen, zum Beispiel Standort, Niederlassung, Abteilung und Raumnummer.

Das ist nützlich, wenn bereits in der Vorbereitungsphase des Audits bekannt ist, welcher Benutzer für einen bestimmten Arbeitsplatz verantwortlich ist oder welche Lizenzen bei der Analyse des Hosts berücksichtigt werden sollen.

Fenster für das Scannen von Hosts

Entfernte Computerscans werden mit dem Assistenten für das Scannen von Hosts gestartet. Er kann über folgende Option geöffnet werden:
Menü > Audit > Scannen

Dasselbe Fenster ist auch über den Assistenten für ein neues Audit verfügbar. Genau hier werden die zu scannenden Hosts ausgewählt, Verbindungsmethoden festgelegt und der gesamte Auditprozess gestartet.

Modi für Computerscans

Jeder Host kann mit einer anderen Methode gescannt werden. Im Feld Scanmodus wählen Sie die Verbindungsmethode für einen bestimmten Computer aus. Es stehen drei grundlegende Modi zur Verfügung:

  • Local — Scannen des lokalen Computers, auf dem Ewida Audit ausgeführt wird.
  • Agent — Scannen mit einem zuvor installierten Agenten.
  • DCOM — Scannen über eine entfernte DCOM-Verbindung nach vorheriger Systemkonfiguration.

Dadurch lassen sich in einem einzigen Prozess verschiedene Arbeitsmethoden kombinieren. Das ist wichtig in gemischten Umgebungen, in denen manche Computer für Agenten vorbereitet sind und andere bei Bedarf über DCOM oder lokal gescannt werden.

Hosts zum Scannen hinzufügen, bearbeiten und entfernen

Im Scanfenster können Sie die Liste der Computer verwalten, die in den aktuellen Prozess einbezogen sind. Es stehen drei grundlegende Vorgänge zur Verfügung:

  • Hosts zum Scannen hinzufügen — über die Schaltfläche zum Hinzufügen oder das Kontextmenü.
  • Hosts bearbeiten — über die Schaltfläche zum Bearbeiten oder das Kontextmenü des Hosts.
  • Hosts aus dem Scan entfernen — Entfernen ausgewählter Hosts, aller Hosts oder nur derjenigen mit Verbindungsfehlern.

Wichtig ist, dass das Entfernen eines Hosts aus dem aktuellen Prozess ihn nicht aus der Audit-Datenbank löscht. Es bedeutet nur, dass der Host beim aktuell laufenden Scan übersprungen wird.

Verbindungstest vor dem Scannen

Bevor der Scan beginnt, sollte jeder Host den Verbindungstest erfolgreich bestehen. Der Test startet automatisch, nachdem ein Host zur Liste hinzugefügt wurde, kann aber auch manuell über die Schaltfläche Verbindungstest ausgelöst werden.

Das ist ein wichtiger Schritt, weil sich damit Konfigurationsfehler noch vor dem Start des eigentlichen Prozesses erkennen lassen. In der Praxis ist es am besten, zuerst die Hostliste in einen fehlerfreien Zustand zu bringen und erst dann mit dem Scannen zu beginnen.

Häufigste DCOM-Fehler

Bei DCOM-Verbindungen treten am häufigsten drei Gruppen von Problemen auf:

  • Keine Antwort auf PING — bedeutet meist einen falschen Hostnamen, einen ausgeschalteten Computer oder fehlende Netzwerkverfügbarkeit.
  • The RPC Server is unavailable — weist meist auf eine fehlerhafte Konfiguration des entfernten DCOM-Zugriffs hin.
  • Access Denied — bedeutet meist falsche Einstellungen für die entfernte Authentifizierung, zum Beispiel den für die Verbindung verwendeten Administrator-Login und das Passwort.

Wenn DCOM-Fehler auftreten, lohnt es sich, mehrere Bereiche gleichzeitig zu prüfen: den Hostnamen, die Netzwerkantwort, die Firewall-Einstellungen, die WMI-Konfiguration und die dem Host zugewiesenen Anmeldedaten.

Starten und Abbrechen des Scanprozesses

Um das Scannen von Computern zu starten, verwenden Sie die Schaltfläche Prozess starten. Jeder Host wird in einem separaten Thread gescannt, und deren Gesamtlimit kann in den allgemeinen Audit-Optionen festgelegt werden.

In langsameren oder überlasteten Umgebungen kann zusätzlich das Timeout für entfernte Abfragen angepasst werden. Das ist nützlich, wenn Verbindungen instabil sind oder Computer verzögert antworten.

Der gesamte Prozess kann mit der Schaltfläche Prozess abbrechen gestoppt werden, oder der Scan kann nur für einen ausgewählten Host über dessen Kontextmenü angehalten werden.

Scanprotokoll des Hosts

Der Verlauf des entfernten Scans kann in Echtzeit beobachtet werden. Dazu dient die Schaltfläche Audit-Log des Hosts oder die entsprechende Option im Kontextmenü des Hosts.

Für den ausgewählten Computer wird ein separates Textfenster geöffnet, in dem Meldungen aus dem aktuell ausgeführten Prozess angezeigt werden. Das ist bei der Fehlerdiagnose sehr hilfreich, weil genau zu sehen ist, in welcher Phase der Scan angehalten wurde oder was erfolgreich ausgeführt wurde.

DCOM - wann sich diese Methode lohnt

Das Scannen über DCOM ist eine der drei Methoden, die in Ewida Audit verfügbar sind. Es eignet sich dort, wo kein Agent installiert werden muss, die Computer aber für entfernte administrative Verbindungen korrekt vorbereitet sind.

Man sollte jedoch bedenken, dass die DCOM-Konfiguration von der Windows-Version, den Sicherheitsrichtlinien und den Administratorrechten abhängt. In manchen Umgebungen ist das eine schnelle und bequeme Methode, in anderen ist es praktischer, einen Agenten oder lokales Scannen zu verwenden.

Windows Firewall - Remoteverwaltung aktivieren

Bei der DCOM-Konfiguration gehört die Windows Firewall zu den ersten Bereichen, die geprüft werden sollten. Es muss sichergestellt werden, dass die Remoteverwaltung und die erforderlichen Netzwerkausnahmen für den betreffenden Computer zugelassen sind.

  1. Führen Sie gpedit.msc aus.
  2. Gehen Sie zum Richtlinienzweig für die Windows Firewall.
  3. Prüfen Sie die Einstellungen für Ausnahmen bei der Remoteverwaltung, ICMP, lokalen Ports und lokalen Programmen.

In manchen Umgebungen können einige dieser Einstellungen bereits zentral durch einen Domänenadministrator gesetzt sein, sodass nicht alle Änderungen jedes Mal manuell vorgenommen werden müssen.

WMI - Sicherheit und Berechtigungen

Der zweite wichtige Bereich ist die WMI-Konfiguration. Damit das entfernte Scannen korrekt funktioniert, muss geprüft werden, ob die Gruppe Administratoren die erforderlichen Rechte für die entsprechenden WMI-Namespaces und Unter-Namespaces hat.

  1. Führen Sie wmimgmt.msc aus.
  2. Öffnen Sie die Eigenschaften von WMI Control (Local).
  3. Wechseln Sie zur Registerkarte Security.
  4. Prüfen Sie die Berechtigungen für die Gruppe Administratoren innerhalb des Namespace Root und seiner Unter-Namespaces.

Fehlende WMI-Berechtigungen verursachen sehr häufig Probleme beim Auslesen von System- und Hardwaredaten, selbst wenn der Host im Netzwerk erreichbar ist.

DCOM - Standardeinstellungen

Im nächsten Schritt sollten die allgemeinen DCOM-Einstellungen geprüft werden. Öffnen Sie dazu dcomcnfg.exe und gehen Sie im Zweig der Komponentendienste zu den Eigenschaften von My Computer.

Geprüft werden sollte insbesondere:

  • ob das verteilte COM-Objektmodell aktiviert ist,
  • ob die Authentifizierungsebene passend für die Umgebung eingestellt ist,
  • ob die Ebene der Identitätsübernahme eine korrekte Verbindung erlaubt,
  • ob die Gruppe Administratoren die richtigen Start- und Aktivierungsberechtigungen hat,
  • ob dieselben Regeln auch für die COM-Sicherheitsgrenzen gelten.

Gerade in diesem Teil der Konfiguration liegen häufig die Ursachen für Fehler vom Typ Access Denied oder Probleme bei der Aktivierung entfernter Verbindungen.

Zusätzliche Hinweise bei schwierigen Verbindungsproblemen

Wenn die Verbindung trotz korrekter Firewall-, WMI- und DCOM-Einstellungen weiterhin nicht funktioniert, lohnt es sich, weitere Elemente der Umgebung zu prüfen.

Lokale Sicherheitsrichtlinien

In secpol.msc sollten die Einstellungen des Sicherheitsmodells für lokale Konten geprüft werden. In manchen Konfigurationen ist der klassische Modus erforderlich.

Ältere Windows-Systeme

Bei sehr alten Systemen können zusätzliche Komponenten oder Registrierungseinträge im Zusammenhang mit WMI und DCOM erforderlich sein. Das betrifft vor allem ältere Windows-Versionen, die heute nur noch selten anzutreffen sind.

Bekannte Kompatibilitätseinschränkungen

  • Windows XP Home unterstützt keine Remoteverwaltung in der für diese Art des Scannens erforderlichen Form.
  • Einige ältere Systeme haben nur eingeschränkte Kompatibilität mit neueren Windows-Versionen.

In der Praxis ist es bei stark gemischten Umgebungen oder bei älteren Systemen oft schneller und zuverlässiger, einen Agenten oder lokales Scannen zu verwenden.

Administratorkonto

Für DCOM-Verbindungen und andere Methoden des entfernten Scannens ist das richtige Administratorkonto sehr wichtig. Es muss sichergestellt werden, dass das Konto aktiv ist, ein Passwort gesetzt ist und in der Hostkonfiguration in Ewida Audit korrekt angegeben wurde.

In der Praxis bedeutet das meistens, den Status des Administratorkontos über die Befehlszeile zu prüfen und sicherzustellen, dass die im Feld Remoteberechtigung eingegebenen Anmeldedaten mit der tatsächlichen Konfiguration des Zielcomputers übereinstimmen.

Das ist einer der einfachsten, aber auch am häufigsten übersehenen Teile der Konfiguration. Ohne korrekte Administrator-Anmeldedaten kann selbst ein korrekt vorbereiteter Computer den Verbindungstest nicht bestehen.