操作系統(tǒng)信息采集與分析工具用戶手冊(cè)王少杰

1、系統(tǒng)信息采集與分析工具系統(tǒng)信息采集與分析工具用戶手冊(cè)用戶手冊(cè) 二零一零年八月二零一零年八月.系統(tǒng)信息采集與分析工具 用戶手冊(cè).;第 1 頁(yè)目目 錄錄1. 引言引言 .21.1. 編寫目的 .21.2. 讀者對(duì)象 .22. 軟件綜述軟件綜述 .22.1. 系統(tǒng)簡(jiǎn)介 .22.2. 系統(tǒng)流程介紹 .23. 操作說明操作說明 .43.1. 登錄 .43.2. 更改密碼 .53.3. 新建 Windows 掃描.73.4. Windows 報(bào)告顯示.83.5. 保存 Windows 報(bào)告.133.6. 新建 Unix/Linux 掃描.163.7. 讀入 Unix/Linux 報(bào)告.173.8. Uni

2、x/Linux 報(bào)告分析.193.9. 配置設(shè)置 .25.系統(tǒng)信息采集與分析工具 用戶手冊(cè).;第 2 頁(yè)1.1. 引言引言1.1.1.1. 編寫目的編寫目的用戶操作手冊(cè)編寫目的是明確本軟件的功能、軟件的作用、功能的操作，幫助用戶理解及操作本軟件。1.2.1.2. 讀者對(duì)象讀者對(duì)象本工具的所有使用者。2.2. 軟件綜述軟件綜述2.1.2.1. 系統(tǒng)簡(jiǎn)介系統(tǒng)簡(jiǎn)介本系統(tǒng)分為系統(tǒng)信息采集和信息分析兩個(gè)部分。其中信息采集部分負(fù)責(zé)采集操作系統(tǒng)中的各個(gè)安全相關(guān)信息，Windows 系統(tǒng)中包括：主機(jī)信息、網(wǎng)絡(luò)配置信息、服務(wù)信息、安全策略配置信息、日志策略配置信息、訪問控制信息、關(guān)鍵注冊(cè)表信息、用戶帳戶信息、補(bǔ)

3、丁安裝信息、文件完整性信息；Unix 類系統(tǒng)中包括：主機(jī)基本信息、補(bǔ)丁與軟件安裝信息、inetd.conf 文件信息、服務(wù)情況信息、系統(tǒng)訪問認(rèn)證和授權(quán)信息、日志信息、賬戶和環(huán)境信息、文件/目錄控制信息。信息分析部分將信息采集部分得到的信息數(shù)據(jù)進(jìn)行整合、分析，最后生成分析報(bào)表。對(duì)于 Windows 系統(tǒng)，先將程序從工作機(jī)拷貝至目標(biāo)主機(jī)上，設(shè)置檢測(cè)內(nèi)容后，開始掃描、采集信息，根據(jù)采集得到的數(shù)據(jù)在目標(biāo)主機(jī)上進(jìn)行安全分析。對(duì)于 Unix 類系統(tǒng)，先在工作機(jī)上根據(jù)檢測(cè)要求設(shè)置檢測(cè)內(nèi)容，并生成檢測(cè)腳本?？截惸_本文件至目標(biāo)主機(jī)并運(yùn)行，將掃描報(bào)告輸入工作機(jī)中的程序進(jìn)行分析。2.2.2.2. 系統(tǒng)流程介紹系統(tǒng)流

4、程介紹項(xiàng)目系統(tǒng)分為 Windows 系統(tǒng)信息采集與分析和 Unix/Linux 系統(tǒng)信息采集與分析兩部分。如圖 2.2.1，對(duì)于 Windows 系統(tǒng)，先將程序從工作機(jī)拷貝至目標(biāo)主機(jī)上，設(shè)置檢測(cè)內(nèi)容后，開始掃描、采集信息，根據(jù)采集得到的數(shù)據(jù)在目標(biāo)主機(jī)上根據(jù)常規(guī)的.系統(tǒng)信息采集與分析工具 用戶手冊(cè).;第 3 頁(yè)安全策略進(jìn)行整合、分析，最后顯示信息與輸出報(bào)表。2.在目標(biāo)主機(jī)上自定義檢測(cè)內(nèi)容，并采集信息1.將程序從工作機(jī)拷貝到目標(biāo)主機(jī)上3.根據(jù)采集得到的數(shù)據(jù)在目標(biāo)主機(jī)上進(jìn)行安全分析4.也可以將采集到得數(shù)據(jù)傳回工作機(jī)上，進(jìn)行分析處理圖 2.2.1 Windows 系統(tǒng)上程序工作流程如圖 2.2.2，對(duì)

5、于 Unix/Linux 系統(tǒng)，先在工作機(jī)上根據(jù)檢測(cè)要求設(shè)置檢測(cè)內(nèi)容，并生成檢測(cè)腳本?？截惸_本文件至目標(biāo)主機(jī)并運(yùn)行，將腳本運(yùn)行后的信息文件輸入工作機(jī)中的程序，根據(jù)常規(guī)的安全策略進(jìn)行整合、分析，最后顯示信息與輸出報(bào)表。1.在工作機(jī)上根據(jù)檢測(cè)要求自定義檢測(cè)內(nèi)容 2.根據(jù)1中內(nèi)容生成檢測(cè)腳本3.在目標(biāo)主機(jī)上運(yùn)行腳本、采集信息并保存4、將采集到的信息輸入到工作機(jī)中進(jìn)行分析圖 2.2.2 Unix/Linux 系統(tǒng)上程序工作流程.系統(tǒng)信息采集與分析工具 用戶手冊(cè).;第 4 頁(yè)3.3. 操作說明操作說明3.1.3.1. 登錄登錄圖 3.1.1 登錄進(jìn)行身份驗(yàn)證輸入密碼，點(diǎn)擊確認(rèn)，即可登錄系統(tǒng)。默認(rèn)密碼為：

6、zhongxin123。登錄后，進(jìn)入工具主界面，如圖 3.1.2 所示。.系統(tǒng)信息采集與分析工具 用戶手冊(cè).;第 5 頁(yè)圖 3.1.2 工具主界面3.2.3.2. 更改密碼更改密碼1、在工具主界面，點(diǎn)擊菜單欄【選項(xiàng)】，然后點(diǎn)擊【更改密碼】，如圖 3.2.1所示。.系統(tǒng)信息采集與分析工具 用戶手冊(cè).;第 6 頁(yè)圖 3.2.1 進(jìn)入更改密碼界面2、在彈出的對(duì)話框中輸入舊密碼和新密碼，然后點(diǎn)擊確定即可修改密碼。如圖：3.2.2 所示。圖 3.2.2 更改密碼注意：密碼與工具保存在一起，所以在修改密碼時(shí)，需要確保當(dāng)前運(yùn)行該工具的用戶對(duì)工具所在的目錄具有可寫權(quán)限。比如：當(dāng)用戶直接在光盤上運(yùn)行該工具時(shí)，不

7、能修改密碼，因?yàn)楣獗P為只讀介質(zhì)。.系統(tǒng)信息采集與分析工具 用戶手冊(cè).;第 7 頁(yè)3.3.3.3. 新建新建 Windows 掃描掃描1、點(diǎn)擊【文件】，然后點(diǎn)擊【新建 Windows 掃描】，如圖 3.3.1 所示。圖 3.3.1 進(jìn)入新建 Windows 掃描界面2、在彈出的窗體【掃描選擇】中，勾選掃描項(xiàng)，然后點(diǎn)擊【確認(rèn)】，工具將開始掃描。如圖 3.3.2 所示。圖 3.3.2 新建 Windows 掃描.系統(tǒng)信息采集與分析工具 用戶手冊(cè).;第 8 頁(yè)3.4.3.4. Windows報(bào)告顯示報(bào)告顯示報(bào)告顯示分為：主機(jī)基本信息，如圖 3.4.1；服務(wù)信息，如圖 3.4.2；網(wǎng)絡(luò)連接，如圖 3.4

8、.3；安全配置信息，如圖 3.4.4；日志策略配置，如圖 3.4.5；軟件安裝情況，如圖 3.4.6；補(bǔ)丁情況，如圖 3.4.7；共享信息，如圖 3.4.8；賬戶信息，如圖 3.4.9；附加安全信息，如圖 3.4.10。圖 3.4.1 主機(jī)基本信息.系統(tǒng)信息采集與分析工具 用戶手冊(cè).;第 9 頁(yè)圖 3.4.2 服務(wù)信息圖 3.4.3 網(wǎng)絡(luò)連接.系統(tǒng)信息采集與分析工具 用戶手冊(cè).;第 10 頁(yè)圖 3.4.4 安全配置信息圖 3.4.5 日志策略配置.系統(tǒng)信息采集與分析工具 用戶手冊(cè).;第 11 頁(yè)圖 3.4.6 軟件安裝情況圖 3.4.7 補(bǔ)丁情況.系統(tǒng)信息采集與分析工具 用戶手冊(cè).;第 12

9、頁(yè)圖 3.4.8 共享信息圖 3.4.9 賬戶信息.系統(tǒng)信息采集與分析工具 用戶手冊(cè).;第 13 頁(yè)圖 3.4.10 附加安全信息3.5.3.5. 保存保存Windows報(bào)告報(bào)告1、點(diǎn)擊【文件】，然后點(diǎn)擊【報(bào)告】，然后根據(jù)需要點(diǎn)擊【詳細(xì)報(bào)告】或【摘要報(bào)告】。如圖 3.5.1 所示。.系統(tǒng)信息采集與分析工具 用戶手冊(cè).;第 14 頁(yè)圖 3.5.1 進(jìn)入保存報(bào)告功能2、如果在上一步中點(diǎn)擊了【詳細(xì)報(bào)告】，將彈出【保存詳細(xì)報(bào)告】對(duì)話框，如圖 3.5.2 所示；如果點(diǎn)擊了【摘要報(bào)告】，將彈出【保存摘要報(bào)告】對(duì)話框，如圖3.5.3 所示。3、在【保存詳細(xì)報(bào)告】對(duì)話框和【保存摘要報(bào)告】對(duì)話框中，都給出了報(bào)告

10、的默認(rèn)文件名和默認(rèn)文件類型。默認(rèn)文件名為：系統(tǒng)類型_主機(jī)名_IP 地址_年月日，用戶可以根據(jù)需要進(jìn)行修改；默認(rèn)文件類型為 html，同時(shí)提供 txt 文件類型供用戶選擇。選擇好文件名和文件類型后點(diǎn)擊【保存】或者使用快捷鍵 ALT+S 即可保存報(bào)告。.系統(tǒng)信息采集與分析工具 用戶手冊(cè).;第 15 頁(yè)圖 3.5.2 保存詳細(xì)報(bào)告圖 3.5.3 保存摘要報(bào)告.系統(tǒng)信息采集與分析工具 用戶手冊(cè).;第 16 頁(yè)3.6.3.6. 新建新建Unix/Linux掃描掃描1、如圖 3.6.1 所示，點(diǎn)擊【文件】，然后點(diǎn)擊【新建 Unix/Linux 掃描】，進(jìn)入新建 Unix/Linux 掃描界面，即如圖 3.

11、6.2 所示【掃描選擇】對(duì)話框。圖 3.6.1 進(jìn)入新建 Unix/Linux 掃描界面2、如圖 3.6.2 所示，選擇需要掃描的 Unix/Linux 主機(jī)的系統(tǒng)類型，需要掃描的項(xiàng)目，然后點(diǎn)擊【確認(rèn)】，系統(tǒng)將自動(dòng)生成掃描腳本，并彈出對(duì)話框【腳本保存】要求用戶保存掃描腳本，如圖 3.6.3 所示。3、輸入文件名，點(diǎn)擊【保存】。4、將保存的腳本復(fù)制到待掃描的主機(jī)，使用命令 sh 腳本文件名，運(yùn)行腳本，系統(tǒng)將自動(dòng)開始檢測(cè)，并生成掃描報(bào)告。5、掃描報(bào)告保存在被掃描主機(jī)的/var/infogather/目錄下，報(bào)告的默認(rèn)文件名為：系統(tǒng)類型_主機(jī)名_IP 地址_年月日。將報(bào)告復(fù)制到可以運(yùn)行系統(tǒng)采集與分析

12、工具的Windows 主機(jī)，對(duì)報(bào)告進(jìn)行分析，詳見小節(jié) 3.7，3.8。.系統(tǒng)信息采集與分析工具 用戶手冊(cè).;第 17 頁(yè)圖 3.6.2 新建 Unix/Linux 掃描圖 3.6.3 腳本保存3.7.3.7. 讀入讀入U(xiǎn)nix/Linux報(bào)告報(bào)告1、如圖 3.7.1 所示，點(diǎn)擊【文件】，然后點(diǎn)擊【讀入 Unix/Linux 報(bào)告】，將彈出【讀取報(bào)告】對(duì)話框，要求用戶選擇 Unix/Linux 掃描報(bào)告，如圖 3.7.2 所示。.系統(tǒng)信息采集與分析工具 用戶手冊(cè).;第 18 頁(yè)圖 3.7.1 讀入 Unix/Linux 報(bào)告2、如圖 3.7.2 所示，選擇在小節(jié) 3.6 中生成的 Unix/Li

13、nux 掃描報(bào)告，然后點(diǎn)擊【打開】，工具將自動(dòng)分析掃描報(bào)告，分析結(jié)果詳見小節(jié) 3.8。.系統(tǒng)信息采集與分析工具 用戶手冊(cè).;第 19 頁(yè)圖 3.7.2 讀取報(bào)告3.8.3.8. Unix/Linux 報(bào)告分析報(bào)告分析分析結(jié)果主要分為八個(gè)部分：主機(jī)信息，如圖 3.8.1；軟件和補(bǔ)丁安裝情況，如圖 3.8.2；inetd.conf 文件信息，如圖 3.8.3；處于監(jiān)聽狀態(tài)的端口，如圖 3.8.4；服務(wù)情況，如圖 3.8.5；系統(tǒng)訪問、認(rèn)證和授權(quán)情況，如圖 3.8.6；賬戶和環(huán)境信息，如圖 3.8.7；文件/目錄控制，如圖 3.8.8。.系統(tǒng)信息采集與分析工具 用戶手冊(cè).;第 20 頁(yè)圖 3.8.1

14、 主機(jī)信息圖 3.8.2 補(bǔ)丁和軟件安裝情況.系統(tǒng)信息采集與分析工具 用戶手冊(cè).;第 21 頁(yè)備注：如圖 3.8.2 所示，在【軟件名稱】后的文本框中直接輸入名稱，然后點(diǎn)擊【查找】，可以對(duì)軟件和補(bǔ)丁進(jìn)行篩選，列表中將只顯示包含用戶輸入名稱的軟件和補(bǔ)丁。圖 3.8.3 inetd.conf 文件信息.系統(tǒng)信息采集與分析工具 用戶手冊(cè).;第 22 頁(yè)圖 3.8.4 處于監(jiān)聽狀態(tài)的端口備注：如圖 3.8.4 所示，以顏色區(qū)分了不同類型的端口；并給出了 12 中不同類型的端口供選擇，當(dāng)用戶勾選了【顯示端口】欄的端口類型時(shí)，下方的列表將只顯示被選中類型的端口。如果該類型的端口不處于監(jiān)聽狀態(tài)，將不顯示。.系統(tǒng)信息采集與分析工具 用戶手冊(cè).;第 23 頁(yè)圖 3.8.5 服務(wù)情況圖 3.8.6 系統(tǒng)訪問、認(rèn)證和授權(quán)情況.系統(tǒng)信息采集與分析工具 用戶手冊(cè).;第 24 頁(yè)圖 3.8.7 賬戶和環(huán)境信息圖 3.8.8 文件/目錄控制.系統(tǒng)信息采集與分析工具 用戶手冊(cè).;第 25 頁(yè)3.9.3.9. 配置設(shè)置配置設(shè)置1、如圖 3.9.1 所示，點(diǎn)擊【選項(xiàng)】，然后點(diǎn)擊【配置設(shè)置】，進(jìn)入【配置】功