Dat volledige pakket heet een Systeembeheerder.

In principe kan Microsoft MBSA deze taken voor je controleren.

1. dmv WSUS van Microsoft
2. bv door de Empty Password Users Report Tool
3. dit stel je in dmv punt 5
4. dmv Active Directory Domains and Trusts
5. dmv een group policy op te stellen binnen Active Directory

Misschien zal er wel een kant en klaar pakket aanwezig zijn op de markt, heb ik me eigen nooit in verdiept.
Je kunt heel veel met de standaard tools van Microsoft.
Zoals de 2 reacties hierboven is dit juist wat je dmv een certificering te leren krijgt.
Er zijn ook een hoop boeken op de markt.
Succes.

@Anoniem 11:57
Mag ik even heel hard lachen? Als beheerders het al niet te druk hebben (met van alles) om hun normale werk uit te voeren, dan zijn ze zeker wel te druk om te bewijzen dat ze doen wat ze moeten doen.

@Kees
Als ik dan toch even de wijsneus uithang, jouw vraag snijdt geen hout. Je bepaalt niet even snel de "security" binnen een bedrijf. Wat jij wilt is de configuratiestatus van de door jouw aangedragen punten weten. En dan zul je zelf nog eens conclusies moeten trekken met die verkregen informatie...
- Wat is een belangrijke patch? Kan per systeem verschillen
- Wat is een gemakkelijk password?
- Welke trust is ongewild?
- Wat is een goede password policy?
- Wat voor systemen wil je meten? Alleen Windows? Of neem je gelijk je infra componenten mee?

Je moet dus eerst eens bepalen waartegen je wilt meten (beleid, configuratiestandaard, compliancy demands, etc). Stel je daarna pas de vraag met welke tool dit het makkelijkste gaat.

Ok, duidelijk mijn vraagstelling verkeerd of niet duidelijk geformuleerd.

Maar kort gezegd wil ik gewoon de veiligheid van een compleet klein bedrijfsnetwerk testen. Hierin werken meerdere beheerders, en zijn allerlei verschillende systeemen.
Ik wil dus graag testen of er misschien een beheerder is die op alle servers eenzelfde standaard administrator wachtwoord bijvoorbeeld gebruikt. Ik wil testen of ze wel allemaal hun updates installeren.
En tevens wil ik weten of er lekke applicaties draaien op de systemen.
Misschien is het zo duidelijker geformuleerd.

LOL, dat er mensen zijn die denken dat je een pakket kunt kopen om dit mee wahhaha, dit is toch echt om te brullen van het lache.

get real, ga een opleiding daarin volgen, laat je bij scholen of neem gewoon een goede systeembeheerder aan. Maargoed die vind je tegenwoordig amper nog, de meeste zijn clicker-the-click n00bs die inhoudelijk veel maar dan ook veelste weinig kennis hebben om zich uberhaupt systeembeheerder te noemen.....

en als je dan echt een betrouwebare test wil uitvoeren dan laat je dan doen door een gespecialiseerd bedrijf, maar ga niet zelf aan lopen prutsen dit geeft geen betrouwbaar beeld

Ik word echt moe van al die betweters hier.
Alsjeblieft zeg, ik vraag hier gewoon om een kant en klaar pakket dat je opweg helpt..

Als je niet bekend bent met het bestaan van zo'n pakket ga dan alsjeblieft niet mijn vraag proberen te beantwoorden, want dat KAN je namelijk niet eens. Doe wat nuttigs met je leven Predjuh.

@Anoniem 14:22
Dat is duidelijker. Jouw vragen komen in de buurt van vulnerability scanning en/of penetratietesting. Je zou eens naar Nessus kunnen kijken voor patching en/of lekke applicaties en misconfiguraties? Of je zou een consultant kunnen inhuren voor een afhankelijke rapportage? Dat is dan wel een momentopname, maar dan weet je wel waar je staat.

Overigens is het niet gek dat beheerders, er vanuitgaande dat ze geen administrator account gebruiken, overal hetzelfde wachtwoord hebben. Dat is het voordeel van een domain account ;-) Is er bijvoorbeeld een beleid dat voorschrijft dat dit niet mag of onwenselijk is?

NetIQ, Tivoli enterprise manager en Tripwire kunnen dmv agents en filters monitoren en rapporteren, maar dat is wel gelijk een enterprise oplossing. Opensource pakketten ben ik niet zo in thuis, maar misschien kun je zoeken voor een gratis alternatief tegen deze merken?

Ik ben het met je eens dat sommige betweters de plank misslaan, maar wat wil je, zowel de meeste "experts" als bezoekers hier associeren "security" met techniek terwijl dat mijn inziens maar een stuk van de taart is.

Succes met je zoektocht!

Wat dacht je van Microsoft Baseline Security Analyser.
Is gratis en voldoet bijna aan al je wensen.

GFI LanGuard kom je een eind mee. Ze hebben al een gratis versie voor 5 ip nummers. Wil je meer ip nummers scannen dan kun je een licentie aanschaffen.

Je zou eens een kijkje kunnen nemen op http://www.manageengine.com/
Een berg aan tools een support paketten, waarvan een groot deel ook gratis versies bevat. Deze versies beperken zich vaak tot een kleiner aantal te beheren PC's/Servers.. verder vrijwel volledig functioneel!

In enterprise omgevingen:
MacAffee Foundstone vulneralibilty scan
Symantec Enterprise Security\Compliance Manager
....
Er zijn heel veel oplossingen, maar geen die alles covered (bvb zowel server park als appliances) en de kost is hoog

@Anoniem Vandaag,15:40

Juistem, zo'n antwoord zoek ik en het precies antwoord op mijn vraag.

En over je domain account: KLopt helemaal, maar ik bedoel vooral dingen als een default Local Administrator account password, wat ze wellicht bij het installeren van een server gebruiken of eraan toevoegen. het is uiteraard beleid dit niet te doen, maar controle hierop of het ook daadwerkelijk gebeurt is altijd handig.

En zoals je zegt security bevind zich op alle vlakken en denken hackers out of the box. Veilig... nee, dat ben je NOOIT!

Gewoon nessus voor alle systemen

"Dat volledige pakket heet een Systeembeheerder."

Met andere woorden, de systeembeheerder moet zichzelf controleren ? Dat lijkt mij geen goed idee. Daarnaast gaat de vraag niet over wie dit moet doen, maar om de vraag welke tooling je daarbij nodig hebt.

"LOL, dat er mensen zijn die denken dat je een pakket kunt kopen om dit mee wahhaha, dit is toch echt om te brullen van het lache. get real, ga een opleiding daarin volgen, laat je bij scholen of neem gewoon een goede systeembeheerder aan. "

Daar zijn inderdaad goede pakketten voor te koop, denk bijvoorbeeld aan Retina eEye Network Security Scanner, Nessus en soortgelijke pakketten. Voor grootschalige omgevingen zou je ook kunnen denken aan produkten van Qualys en N-Circle.

Ik moet dergelijke controles regelmatig uitvoeren in een omgeving van tienduizenden systemen in zo'n 25 landen. Zonder hulpmiddelen zou ik hier jaren over doen - zeer handig wanneer je snel wilt weten of je kwetsbaar bent voor bepaalde 0day vulnerabilities ;)

- alle belangrijke patches geinstalleerd
* Dit punt valt echt onder de systeembeheerder, en zoals eerder vernoemd bijv: MBSA

- Geen *empty* passwords
- Geen makkelijke passwords
- Geen ongewilde trusts binnen domeinen
- Goede password policy
* Ook dit valt onder de systeembeheerder, maar is dmv een simpele policy op te lossen

Wie controleerd dan of de systeem beheerder zijn werk juist doet ? (Ik werk als pentester/IT-Auditor en heb helaas maar al te vaak luie systeembeheerders aangetroffen)

backtrack

Nessus scant Un*x, Windows, Cisco routers... Geeft informatie over vulnerabilities (CVE codes). Test op default wachtwoorden.
Alleen niet gratis voor commercieel gebruik

Ik heb niet alle antwoorden gelezen maar wou je toch even een antwoord geven.

Je zo een programma kunnen gebruiken zoals nipper dit is een netwerk security tool hoe meer informatie je aan het programma toevoegt hoe meer security issues hij zal vinden.

Je kan met nmap ook specifieke poortscans doen wat je weer verteld wat er allemaal open staat.
Voor de rest is het voor een groot gedeelte je netwerk/server omgeving van de grond af aan goed op zetten.
Zodat je goed met password policy's en dergelijke kan spellen.

Hoop je hier meer wat geholpen te hebben succes er mee.

Check even voor BeyondSecurity - een eenvoudig te gebruiken, en ge-automatiseerde vulnerability scanner.

Natuurlijk voor password policy moet je zelf aan de slag - en niet vergeten dat Security een procedure is - en dat mensen de belangrijkste schakel zijn. Dus met de 5 punten die je daar aanhaalt heb je nog geen goede security - wellicht wel een iets betere controle op gemiste patches en lege of eenvoudige passworden.

Leuke apparatuur van BeyondSecurity (AVDS) maar niet te betalen voor het midden en klein bedrijf

nessus

dat doe ik, zou jij ook eens moeten doen ;)

@Predjuh

Misschien moet jij eens wat minder hoog van te toren blazen. Domme vragen bestaan niet, alleen domme antwoorden. Als je in reallife ook zo'n attitude tentoonspreid, dan heb ik medelijden met je collega's. Je komt zelf net pas kijken jochie, denk je dat je alle wijsheid in pacht hebt?

http://security.nl/artikel/30975/1/Security_gerelateerde_vacatures.html

Vertel eens, wat voor baan heb je gevonden?

"ROFLMAO, droom lekker verder in met de illusie dat het wel bestaat ;) veel plezier."

Ik werk dag in, dag uit met dergelijke oplossingen. Kennelijk zijn oplossingen voor vulnerability & compliancy scanning een 'illusie'. Hier bijvoorbeeld een "fictieve trial" versie van de QualysGuard vulnerability & compliancy suite, wat uitermate geschikt is voor de doelstellingen welke Kees noemt in zijn vraag :

QualysGuard Security & Compliance SaaS Suite Trial
http://www.qualys.com/forms/trials/qualysguard/

"Stop dan in ieder geval met het stellen van "Domme Vragen", domme vragen verdienen immers domme antwoorden."

Ik zie niet in wat er dom is aan zijn vraag, en ik zie niet waarom zijn vraag geen goed, inhoudelijk antwoord zou verdienen.

PS: Waarom worden alle zinnige, inhoudelijke, reacties van minnetjes voorzien ?

Nou according to ITIL zou je zeggen de netwerkbeheerder i.s.m. changemanagement.
Maar een capabele systeembeheerder behoort te weten wat hij doet

@Kees,
blijf kalm.

@Predjuh
blijf kalm.

In de realiteit is het zo, dat niet elk MKB/school/stichting etc. een afdeling ICT heeft. Het is dus vaak zo dat iemand ICT "erbij doet". Je vraag is dus voor mij niet zo vreemd en ik wil kort proberen een antwoord te geven:

De controle op belangrijke patches is met MS Windows lastig. Wij hebben hier meerdere pc's aan een server hangen en elke pc doet het op zijn eigen manier hoe de installatie van de Windows updates wordt uitgevoerd. Meestal wordt het bekende pictogram getoond "updates", maar het kwam helaas vaker voor dat het icoontje tijdens de download van de patch verdween en ook niet meer terug kwam. Alleen de handmatige controle op Windows-updates leverde dan de lijst van "te installeren updates" op. Dat is niet zo dramatisch als het om minder dan 10 pc's gaat.

Als je de Windows patches hebt gedaan, dan zijn er nog steeds de andere lekken in bijv. Adobe, Quicktime, Java, Mozilla die door elk programma met een eigen routine/controle worden uitgevoerd. Als daar dezelfde situatie voorkomt als bij de Windows updates "wordt soms wel, soms niet uitgevoerd", dan heb je geen betrouwbaar beeld over de situatie.
Van de gebruikers van de systemen hoor je meestal weinig of niets over de meldingen van het systeem over fouten en updates. Alleen als men niet kan afdrukken, hoor je direct iets.

Er bestaat volgens mij geen "all-in"controle-programma in Windows dat voor alle software (ook van derden) een controle op de actualiteit kan uitvoeren. (Linux heeft deze faciliteit wel.)

Met de "veilige" wachtwoorden is het sterk afhankelijk van de server/clients-combinatie gebruikt wordt en van de uiteraard van de collega's en leidinggevenden. Je kan vastleggen dat iedereen verplicht 1x per kwartaal een nieuw wachtwoord moet kiezen. Maar het is de vraag of de organisatie daar heel erg vrolijk van wordt.
Situatie A: medewerker Willibrord kiest als wachtwoord Rita en is daar blij mee. Hij beheert de voorraden in het magazijn en mag alleen intern mag inloggen, dus zie ik daarin geen probleem. Zodra hij privacy-gevoelige informatie beheert omdat hij promoveert naar een financiële functie waar ook de salarisadministratie bij hoort, is het korte wachtwoord niet wenselijk. Bovendien kan iedereen met tante Google raden wat het wachtwoord van Willibrord kan zijn.
Situatie B: Je dwingt Willibrord met je policy elke maand een nieuw & sterk wachtwoord te kiezen.
B.1: Omdat hij telkens het wachtwoord weer vergeten is en anderen ook, heb je als beheerder heel veel werk aan het opnieuw vastleggen van wachtwoorden. (Heb je die tijd?)
B.2: Om het gedoe te voorkomen, schrijft Willibrord zijn wachtwoorden telkens op in zijn agenda die op zijn bureau ligt. En dat weet ook iedereen omdat hij het niet eens is met het wachtwoorden gedoe. (veilig genoeg?)

Hoe veilig je de ICT krijgt is dus niet alleen van je eigen ideeën en wensen afhankelijk, maar ook van de acceptatie in je organisatie. Het zou al prettig zijn als de collega's waarnemen+melden dat er een foutmelding of een spontane reboot heeft plaatsgevonden. Helaas hoor je dat soms een week later en dan heeft speurwerk naar de oorzaak niet meer zoveel zin.

wat een discussie hier. volgens mij ken ik Predjuh wel, die gast is "echt niet gek" de meeste zouden jalours zijn op de hoeveelheid kennis die hij heeft maar dat ter zijde.

De Software waar opgedoeld wordt bestaat eigenlijk helemaal niet en dat kan ook niet. Eigenlijk is de vraagstelling ook niet goed want Zoals Peter V zegt wordt er geen inhoudelijk informatie gegeven waardoor het kijk veld nogal breed is.

Er wordt hier en een boel software genoemd waar je het doel mee zou kunnen bereiken. QualysGuard vulnerability & compliancy suite is ook leuk, maar de kwaliteit van het pakket is niet al te hoog. Je hebt altijd andere pakketten maar de vraag blijft natuurlijk waarom meneer de vraagsteller hier zelf niet op komt door gewoon met google te zoeken in plaats van hier de vraag te stellen. Meneer de vraag steller heeft het ook over Basics die een goeie systeembeheerder gewoon voor elkaar moet hebben..... buiten het feit dat ik vind dat pretjuh idd een beter woordkeuze had kunnen nemen vind ik wel dat hij gelijk heeft, dat andere mensen die hier niet begrijpen komt veelal om het niveau hier vaak bedroevend laag is.

Domme vragen bestaan niet, alleen domme mensen. ;-)

WSUS, MBSA en een goede enterprise internet security oplossing zoals die van McAfee of Sophos nemen al een hoop werk uit handen. Dan een goede password policy en je bent al een heel eind.

De gemiddelde systeembeheerder zal dit en nog veel meer moeten weten. En een goede systeembeheerder had het al bij het bouwen van de omgeving geïmplementeerd. Dit zijn geen zaken die je achteraf wil gaan inregelen.

Het probleem dat de gebruikers niet met computers om kunnen gaan zou je met een beetje voorlichting en slim rechtenbeleid ook aardig kunnen afdekken.

Zonder goede beheerders blijft het hopen op tools en een dosis gezond verstand.

Daar zit wel wat in, ik zal mijn voorgaande reactie herzien.... ik vraag mezelf ook even af waarom ik me op dat niveau heb mee laten nemen...


in veel gevallen niet, behalve wanneer je bijv.een pleonasme in je gestelde vraag hebt, maargoed dat is mijn mening

Erg leuk Predjuh, fijn dat je pleinasme erbij haalt. Maar het voegt wederom niets toe aan deze door jou vervuilde topic. Je probeert blijkbaar iedereen op een bepaalde manier slimmer af te zijn, en omdat je nu kritiek krijgt gooi je het dan maar op je laatste red middel? Taal gebruik.

Anyway, aanvullende vraag. Zijn er ook tools die 'testen' op bvb ddos? en dergelijke aanvallen, eigenlijk aanvallen waar je niet op kan testen natuurlijk (ik probeer predjuh nu even voor te zijn) maar wellicht is er iemand geweest die truckjes heeft om hierop te controleren.

Om even verder antwoord te geven:
Hier kan je een mooie samenvatting van PCMAG.com downloaden
http://www.pcmag.com/article2/0,2817,1400258,00.asp
Erg nuttig!

En toen bleek dat artikel uit 2003 te zijn. My bad! Wel grappig dat de verstandhouding op dit moment nog ongeveer hetzelfde is, met nessus en eeye als top 2.

QualysGuard. En het is geen pakket, maar een service, uit de cloud. Dus je hoeft niks te installeren.

Predjuh heeft gelijk. Er bestaat niet 1 simpele oplossing voor een zo complex probleem. Je zult het in stukjes moeten hakken:

1 goede systeembeheerders
2 nessus
3 John the ripper voor een password analyse

Verder heb je nog goede systeembeheerders nodig, liefst met ruggegraat zodat ze ook management zaken kunnen weigeren.

en voor een software inventory kun je zenoss gebruiken, dat is dan meteen voor een hoop andere doeleinden inzetbaar,
zoals monitoring en cmdb.

Tenslotte zijn goede systeembeheerders onmisbaar.

O, en had ik al goede systeembeheerders genoemd? Over het algemeen zijn die wat duurder dan de 30 euro per uur die je sommige bedrijven in de detachering ziet rekenen...

Misschien dat dit heel erg helpt:

1. Bestuur de OSI layer heel zorgvuldig en begrijp deze in de diepte.
2. Installeer een permanente passieve scanner in je lan, ntop is de toel bij uitstek
3. Monitor je servers en infra met nagios3.
4. Zorg voor een degelijke firewall die in staat is layer 3 te monitoren en filteren ie Smoothwall/Smoothguard
5. Trap niet in nonsens praatjes van consultants en gebruik bij iedere stap je hoofd
6. Controleer je log files consequent en volhardend zowel op servers als werkstations
7. Controleer alle access zowel lokaal als remote maak scripts die JOU de info sturen die je nodig hebt
8. Geef geen onnodig geld uit aan commerciële oplossingen, die meestal onpraktisch zijn binnen jouw werkwijze
10, Heb geduld

met vriendelijke groeten,
Een systeembeheerder die door schade en schande is wijs geworden

http://secunia.com/vulnerability_scanning/personal/
http://secunia.com/vulnerability_scanning/corporate/

have fun