Windowsスキャン
Windowsについて
FutureVulsでは、Windowsに未適用な更新プログラムのKBに含まれるCVE-IDの検知と管理が可能です。
WindowsはKBIDを利用して脆弱性の検知を行なっています。
(例: https://support.microsoft.com/ja-jp/help/4471328)
Windows Scannerは内部でWindows Update APIを呼び、未適用な更新プログラムを取得することで脆弱性を検知しています。 このため、インターネット上のWindows UpdateまたはWSUSを参照出来ない環境では脆弱性の検知はできません。
インターネット上のWindows updateを参照する場合は、FutureVulsは公開されている全ての更新プログラムのうち、未適用の更新プログラムが解決する脆弱性を検知します。
WSUS環境で「未承認」とされている更新プログラムは、KBIDをWindows Update APIで取得できない為に検知できません。WSUS環境では、FutureVulsは承認された更新プログラムのうち、未適用の更新プログラムが解決する脆弱性を検知します。
現在Windowsはリモートスキャンに対応していません。すべてローカルスキャンでの対応となります。
2020/7/17のリリースにてWindows資産管理機能が強化されました。
Windows脆弱性検知の仕組み
Windowsは更新プログラム(KBID)を利用して脆弱性検知をしています。 したがって、現在は、WindowsUpdateの情報のみを利用しています。
Windowsスキャナインストール
チュートリアルを参照してください。
コマンドプロンプトを管理者として起動しないとインストール出来ません。
Windows用のinstallスクリプトは内部でWindows標準搭載のHTTPクライアントであるbitsadminコマンドを利用しています。 もしセットアップ対象のWindowsにインストール済みのEDR製品などがbitsadminをブロックしている場合は、以下の方法をお試し下さい。
下記コマンド実行前に、Windows上にcurlをインストール、PATHを設定してコマンドプロンプトからcurlを実行できるようにして下さい。
VULS_SAAS_GROUPID=XXX
VULS_SAAS_TOKEN=xxxx-xxxx-xxxx
curl -Lo "%cd%\vuls-installer.bat" http://installer.vuls.biz/vuls-installer-curl.bat & set VULS_SAAS_GROUPID=XXX & set VULS_SAAS_TOKEN=xxxx-xxxx-xxxx & vuls-installer.bat inst
Windowsスキャナをアンインストールする
コマンドプロンプトを管理者として起動しないとアンインストール出来ません。
グループ設定 > スキャナ開くダイアログ上に「アンインストールするには」ボタンを押下するとWindows用のアンインストール用のコマンドが表示されますので、「管理者として」起動したコマンドプロンプト上でダイアログに表示されたコマンドを実行してください。
Windowsスキャン手動実行
Windows上で再スキャンする
管理者権限 以下のコマンドを実行することで手動スキャンが可能です。
C:\Program files\vuls-saas\vuls.exe
または、タスクスケジュールから実行も可能です。
画面上から再スキャンする
2021/1/28リリースにて、画面上から再スキャンできるようになり した。
Windows脆弱性情報
Windowsの場合、Microsoftの脆弱性DBを利用して、脆弱性情報を表示します。
Microsoftの脆弱性DBには、Workaourndの情報が付与されている場合があります。 Workaround情報は、脆弱性詳細のサマリに表示されます。
KBID情報
KBIDはアドバイザリIDとして表示されます。 アドバイザリIDは、脆弱性一覧、脆弱性詳細、タスク一覧などで確認可能です。
インストール済みのアプリやKBをサーバ>ソフトウェアで参照可能
FUtureVuls管理対象のWindowsにインストール済みのアプリやKBはサーバ>ソフトウェアに表示されます。自分でインストールしたアプリケーションも表示されます。
インストール済みのKBも表示されます。
WSUS配下のWindows端末のKBの検知
2020/7/17のリリースにて、config.tomlの設定をすることで、Localネットワーク上のWSUSを参照して未適用なKBを検知することが可能となりました。
Windows Updateのアクセス先を変更する際は、config.tomlのWinUpdateSrcを以下のように設定してください。
- インターネット上のWindows Updateは”2”を指定(デフォルト)
[Servers]
[Servers.localhost]
Host = "localhost"
UUID = "xxx-xxx-xx"
WinUpdateSrc = "2"
- LocalなWSUSは”1”を指定
[Servers]
[Servers.localhost]
Host = "localhost"
UUID = "xxx-xxx-xx"
WinUpdateSrc = "1"
Windows Updateの参照先にLocalなWSUSを指定した場合、スキャナはスキャン対象のWindowsに適用済みのKBとWSUSが配信するKBとの差分で脆弱性を検知します。WSUSがインターネット上のWindows Updateと比べてKBの不足がある場合、不足範囲の脆弱性は検知されませんのでご注意ください。
WSUS配下のWindowsスキャンがうまくいかない場合は以下を参照ください。
インストール済みのアプリやKBのグループ横断検索
本機能はCSIRTプランのオーガニゼーションのみ利用可能です。
2020/7/17のリリースにて、CSIRT>グループ横断検索でWindowsにインストール済みのアプリケーションやKBも検索可能になりました。
例えばネットニュースを見ていて、あるソフトウェアにCVE-ID未割り当て状態の高リスクな脆弱性が公開されていた場合に、どのPCに影響するのかを調査するなどのケースで役立つ機能です。FutureVuls画面上からソフトウェア名で横断検索することにより組織内で影響のあるPCを瞬時に把握し、その後の対応を素早く行うことが可能となります。
FutureVulsにアップロードする情報をカスタマイズ可能に
config.tomlのIgnoredJSONKeysにアップロードしたくない情報のJSONのキーを指定することで、FutureVulsにアップロードする情報をフィルタリングできます。
- サンプル:インストール済みのアプリケーション一覧をアップロードしない設定
[Servers]
[Servers.localhost]
Host = "localhost"
UUID = "xxx-xxx-xx"
IgnoredJSONKeys = ["packages"]
config.tomlに指定するJSONキーは以下の手順で確認するか、FQAを参照して下さい。
- debugフラグを付けてvuls.exeを実行
C:\Program Files\vuls-saas>vuls.exe -debug
- results以下に作成されたjsonファイルをエディタで確認する
resultsフォルダ(検知結果格納用)を自動掃除
以前はC:\Program Files\vuls-saas\results\フォルダ以下に検知結果のJSONを残していましたが、最新バージョンではスキャン終了時にデフォルトで削除するようにしました。results以下にファイルを残したい場合は、-debugフラグをつけて実行してください。
C:\Program Files\vuls-saas>vuls.exe -debug
インストール時や、スキャン時にエラーが出る場合
よくある質問>WindowsスキャンのFAQを参照してください。