Zum Inhalt

Sicherheit

Aufgrund der Sensibilität der hinterlegten Zugangsdaten und der potentiell schützenswerten Daten besitzt die Verschlüsselung und sichere Datenübertragung im Discovery Bereich höchste Priorität.

Die Datenübermittlung zwischen Inventory360 und Discovery Satellit ist daher mit einem mehrstufigen Sicherheitskonzept versehen.

Verschlüsselung von Zugangsdaten

Die hinterlegten Kennwörter und Private Keys (für SSH) werden mittels eines RSA basierten asymmetrischen Verschlüsselungsverfahrens in Verbindung mit AES-256 abgesichert. Darüber hinaus erfolgt die Kommunikation zwischen Satellit und Inventory360 stets über eine verschlüsselte TLS-Verbindung.

Diese Verbindungsparameter werden bei der Ersteinrichtung einmalig erzeugt.

Zero-Knowledge-Prinzip

Eine Entschlüsselung der Zugangscodes erfolgt erst auf dem bei Ihnen lokal laufenden Satellit. In der Inventory360 Datenbank sind die sensiblen Zugangsdaten damit nicht für uns als Hersteller / Service Provider oder Dritte einsehbar.

Aus diesem Grund können im Adminbereich bereits gesetzte Kennwörter nur geändert und damit nicht nachträglich eingesehen werden.

Pull-Prinzip

Der Discovery Satellit meldet sich automatisiert alle 5 Minuten an der konfigurierten Inventory360 Instanz und prüft hier auf neue Scan-Tasks oder Konfigurationsänderungen.

Kein Fernzugriff

Hierdurch ist keine aktive Steuerung oder Datenabfrage von außen möglich.

Integritätsprüfung

Mit Release 3.11 wird eine zusätzliche Integritätsprüfung der Audit-Skripte per SHA256 Prüfsumme durchgeführt, bevor diese auf den Endgeräten ausgeführt werden.

Man-in-the-Middle Angriffe

Mittels der Integritätsprüfung werden Man-in-the-Middle Angriffe durch gefälschte IP-Adressen oder Übertragungen unterbunden.

WMIExec-Abfragen

In Verbindung mit bestimmten Microsoft 365 Defender Einstellungen, die vor allem beim Einsatz von Microsoft Intune anzutreffen sind, werden Netzwerkscans über die WMIExec-Schnittstelle teils als False-positives gemeldet.

Um die entsprechenden Warnmeldungen zu erkennen und ggf. notwendige Ausnahmen zu definieren ist im folgenden der mehrstufige Aufruf und damit die Abfolge der Befehle näher dokumentiert.

  • Verbindung mit Satellit per SMB-Share: cmd /c net use /user:satellite\smbshare /persistent:no \\<satellite_ip>\discovery *** >NUL 2>NUL
  • Validierung der Prüfsumme des Verbindungstest-Skriptes: certutil -hashfile \\<satellite_ip>\discovery\test_windows.vbs SHA256 | findstr /V ":"')
  • Bei erfolgreicher Validierung - Ausführung des Verbindungstest-Skriptes: cscript //nologo \\<satellite_ip>\discovery\test_windows.vbs
  • Validierung der Prüfsumme des Audit-Skriptes: certutil -hashfile \\<satellite_ip>\discovery\audit_windows.vbs SHA256 | findstr /V ":"')
  • Bei erfolgreicher Validierung - Ausführung des Audit-Skriptes: cscript //nologo \\<satellite_ip>\discovery\audit_windows.vbs

Die oben angegebenen Befehle werden miteinander verknüpft, sodass sich die nachfolgenden Gesamtaufrufe ergeben.

Info

Die Prüfsumme <checksum> kann sich mit jedem Update der Inventory360 Version ändern.

Verbindungstest

cmd /c net use /user:satellite\smbshare /persistent:no \\<satellite_ip>\discovery *** >NUL 2>NUL & cmd /V:ON /c for /f "delims=" %i in ('certutil -hashfile \\<satellite_ip>\discovery\audit_windows.vbs SHA256 | findstr /V ":"') do @(set checksum=%i & set "checksum=!checksum: =!" & if /i "!checksum!"=="<checksum>" ( cscript //nologo \\<satellite_ip>\discovery\audit_windows.vbs ) else ( exit 1 ))

Audit

cmd /c net use /user:satellite\smbshare /persistent:no \\<satellite_ip>\discovery *** >NUL 2>NUL & cmd /V:ON /c for /f "delims=" %i in ('certutil -hashfile \\<satellite_ip>\discovery\test_windows.vbs SHA256 | findstr /V ":"') do @(set checksum=%i & set "checksum=!checksum: =!" & if /i "!checksum!"=="<checksum>" ( cscript //nologo \\<satellite_ip>\discovery\test_windows.vbs ) else ( exit 1 ))

Prüfsummen (Version 4.0)

Datei Prüfsumme
test_windows.vbs d44c9a04f50408fb2a12c2db22fc4d490c294d171ab1f77f8b6ae6f456c44891
audit_windows.vbs d1e786fd91795e80b4860b3f6806b8e532b7e0d2451e8db706ebc613fa7065b7