Visão Geral


Você está implementando a arquitetura GFI LanGuard e está procurando as informações sobre serviços necessários e portas abertas, configurações de ambiente e privilégios administrativos mínimos necessários para instalar e gerenciar os agentes com sucesso, executar verificações de segurança e trabalhos de correção. Sem essas configurações, as operações de verificação falharão e o LanGuard não poderá se comunicar com computadores remotos e implantar patches e atualizações nas máquinas de destino.


Informação 


O GFI LanGuard opera em diferentes ambientes e depende de várias variáveis ambientais para estar no local, portas abertas, serviços em execução, etc.

Para executar com êxito as operações do LanGuard nos computadores de destino, certifique-se de que as variáveis a seguir estejam configuradas.


Serviços


Certifique-se de que os seguintes serviços e processos estejam em execução no GFI LanGuard Server:


  • GFI LanGuard XX Attendant (lnssatt.exe) - Responsável por gerenciar todos os módulos no LanGuard

  • Registro remoto - Permitia ao LanGuard recuperar informações do sistema a partir das entradas do registro do Windows, detalhes sobre o software instalado, dados técnicos para operações corretas do LanGuard

  • Instrumentação de gerenciamento do Windows - Necessário para obter dados de gerenciamento de computadores remotos, que serão necessários para identificar o status e a vulnerabilidade dos alvos verificados. Consulte o artigo da Microsoft para obter a descrição do serviço

  • Servidor - Suporta compartilhamento de arquivo, impressão e pipe nomeado nos computadores da rede de destino. O compartilhamento de arquivos é necessário para implantar patches ausentes. Se este serviço for interrompido, essas funções ficarão indisponíveis

  • Estação de trabalho - Permite a um cliente solicitar recursos de arquivo e impressão de servidores na rede. Semelhante ao serviço do servidor, isso é exigido pelo LanGuard para implantar patches remotamente.

  • 2 processos httpd.exe - estes são os programas de servidor Apache HyperText Transfer Protocol (HTTP). O Apache é usado pelo LanGuard para seus recursos de proxy de cache e permite que os computadores obtenham patches.


Certifique-se de que os seguintes serviços estejam em execução na máquina de destino:


  • Atualização do Windows - Necessário para usar o arquivo WSUS para obter atualizações do Windows. Se não estiver em execução, o LanGuard não poderá aplicar nenhum patch do Windows.
  • Servidor - Veja acima.
  • Estação de trabalho - Veja acima.
  • Registro Remoto - Veja acima.
  • Chamada de procedimento remoto (RPC) - Permite comunicações e solicitações de serviço de um programa localizado em outro computador da rede. É essencial para as operações de verificação e correção do LanGuard. Consulte o artigo da Microsoft para obter a descrição do serviço.
  • Instrumentação de gerenciamento do Windows - Veja acima.
  • Microsoft Application Experience (configurado para inicialização manual) - Verifica um banco de dados da Microsoft em busca de problemas de compatibilidade conhecidos e habilita soluções alternativas automaticamente. Ele pode ser encontrado pesquisando o Agendador de Tarefas e navegando até Microsoft > Windows > Experiência do aplicativo. Ele precisa estar ativo para aplicar atualizações de software de compatibilidade de aplicativos.


Se os agentes do GFI LanGuard estiverem configurados para usar um agente de retransmissão, verifique se o seguinte está sendo executado no agente de retransmissão atribuído:


  • Serviço GFI LanGuard Attendant XX (lnssatt.exe)
  • 2 processos httpd.exe


Direitos de Acesso e Privilégios Administrativos


A maioria das atividades executadas pelo LanGuard são executadas pela conta de serviço que executa o GFI LanGuard Attendant Service. A conta de serviço precisa fazer parte do grupo de administrador local de cada uma das máquinas de destino nas quais ela precisa fazer logon e no próprio servidor LanGuard. Recomendamos o uso de uma conta de administrador de domínio, pois ela normalmente terá esses privilégios.


A conta de serviço precisará de acesso ao seguinte:


  • Registro remoto da máquina de destino
  • Ações administrativas
  • Registro de eventos das máquinas de destino


Permissões e portas de firewall


GFI LanGuard e agentes de retransmissão


O GFI LanGuard utiliza o Apache no back-end para lidar com a comunicação HTTP pela porta configurada, por padrão 1072 para LanGuard 12 e posterior, 1070 para as versões mais antigas do LanGuard.


Certifique-se de que o firewall esteja configurado para permitir conexões de entrada na porta TCP configurada em computadores executando:


  • GFI LanGuardName
  • Agentes de retransmissão


Para configurar manualmente a porta de comunicação:


  1. Inicie o GFI LanGuard
  2. Clique na guia Configuração > ManageAgents

  3. No painel direito, clique em Configurações de agentes

  4. Na caixa de diálogo Configurações de agentes, especifique a porta de comunicação na caixa de texto Porta TCP

  5. Clique OK.


Nota: É possível alterar a porta, mas NÃO o protocolo.


Computadores com e sem agente


Certifique-se de que seu firewall esteja configurado para permitir solicitações de entrada nas portas da tabela abaixo:


TCP PortsProtocolDescription
22SSHAuditoria de sistemas Linux.
135DCOMPorta atribuída dinamicamente.
137,138,139NetBIOSDescoberta de computadores e compartilhamento de recursos..
161SNMP

Usado para descoberta de computador. GFI LanGuard oferece suporte a SNMPv1 e SNMPv2c.


SNMPv3 e SNMP sobre TLS/DTLS não são suportados.

445SMB

Usado enquanto:


Auditoria de computadores.

Gestão do agente.

Implantação de patches.



Ignorar os requisitos de porta resultará na falha da verificação e das correções, pois a comunicação entre o servidor LanGuard e os clientes de destino será impedida.


Permissões de segurança e conectividade de rede


O GFI LanGuard requer as configurações de rede e permissões de segurança corretas para que o servidor execute operações em computadores remotamente. Certifique-se de testar a conectividade de rede e as permissões de segurança para operações do GFI LanGuard.


Nota: Se você estiver usando VPN, certifique-se de que a comunicação ICMP esteja habilitada.


Compartilhamento de arquivos e impressão


Certifique-se de que o Compartilhamento de Arquivos e Impressão esteja habilitado, a conta usada tem credenciais corretas e direitos administrativos para acessar computadores remotos.

 

Por exemplo, o Microsoft Windows XP tem uma política que interpreta os usuários fora do domínio como usuários convidados, e a conta é desativada por padrão. Nessa situação, você receberá esta mensagem no GFI LanGuard:


Error (1326) Logon Failure: unknown user name or bad password.


Para alterar as configurações de direitos de acesso e resolver esse problema:


  1. Vá em Control Panel > Administrative Tools > Local Security Policy.
  2. No painel esquerdo do console Local Security Policy, expanda Local Policies e selecione Security Options.
  3. No painel direito clique duas vezes em Network access: Sharing and security model for local accounts.
  4. No menu drop-down, mude Guest-only - local users authenticate as Guest para Classic - local users authenticate as themselves.
  5. Clique em OK

O Microsoft Windows, mais recente que o Windows XP, tem as configurações de segurança de acesso à rede configuradas corretamente por padrão. No entanto, se você enfrentar o problema acima em máquinas com Windows Vista e Windows 7, siga as etapas acima para alterar as configurações de direitos de acesso para esse destino de verificação.