Windows

Windowsについて

FutureVulsではWindowsに未適用のKBに含まれるCVE-IDの検知と管理が可能です。

WindowsはKBIDを利用して脆弱性の検知を行なっています。
(例: https://support.microsoft.com/ja-jp/help/4471328)

現在Windowsはリモートスキャンに対応していません。すべてローカルスキャンでの対応となります。

2020/7/17のリリースにてWindows資産管理機能が強化されました。

Windowsスキャナインストール

チュートリアルを参照してください。

Windowsスキャナをアンインストールする

グループ設定 > スキャナ開くダイアログ上に「アンインストールするには」ボタンを押下するとWindows用のアンインストール用のコマンドが表示されますので、「管理者として」起動したコマンドプロンプト上でダイアログに表示されたコマンドを実行してください。

image

Windowsスキャン手動実行

管理者権限 以下のコマンドを実行することで手動スキャンが可能です。

C:\Program files\vuls-saas\vuls.exe

または、タスクスケジュールから実行も可能です。

Windows脆弱性情報

Windowsの場合、Microsoftの脆弱性DBを利用して、脆弱性情報を表示します。

image.png

Microsoftの脆弱性DBには、Workaourndの情報が付与されている場合があります。 Workaround情報は、脆弱性詳細のサマリに表示されます。

KBID情報

KBIDはアドバイザリIDとして表示されます。 アドバイザリIDは、脆弱性一覧、脆弱性詳細、タスク一覧などで確認可能です。

image.png

Windows脆弱性検知の仕組み

Windowsは更新プログラム(KBID)を利用して脆弱性検知をしています。 したがって、現在は、WindowsUpdateの情報のみを利用しています。

インストール済みのアプリやKBをサーバ>ソフトウェアで参照可能

FUtureVuls管理対象のWindowsにインストール済みのアプリやKBはサーバ>ソフトウェアに表示されます。自分でインストールしたアプリケーションも表示されます。

windows-server-software

インストール済みのKBも表示されます。

windows-server-software-kb

WSUS配下のWindows端末のKBの検知

2020/7/17のリリースにて、config.tomlの設定をすることで、Localネットワーク上のWSUSを参照して未適用なKBを検知することが可能となりました。

Windows Updateのアクセス先を変更する際は、config.tomlのWinUpdateSrcを以下のように設定してください。

  • インターネット上のWindows Updateは”2”を指定(デフォルト)
[Servers]
  [Servers.localhost]
    Host = "localhost"
    UUID = "xxx-xxx-xx"
    WinUpdateSrc = "2"
  • LocalなWSUSは”1”を指定
[Servers]
  [Servers.localhost]
    Host = "localhost"
    UUID = "xxx-xxx-xx"
    WinUpdateSrc = "1"

インストール済みのアプリやKBのグループ横断検索

2020/7/17のリリースにて、CSIRT>グループ横断検索Windowsにインストール済みのアプリケーションやKBも検索可能になりました。

例えばネットニュースを見ていて、あるソフトウェアにCVE-ID未割り当て状態の高リスクな脆弱性が公開されていた場合に、どのPCに影響するのかを調査するなどのケースで役立つ機能です。FutureVuls画面上からソフトウェア名で横断検索することにより組織内で影響のあるPCを瞬時に把握し、その後の対応を素早く行うことが可能となります。

csirt-hideamru

FutureVulsにアップロードする情報をカスタマイズ可能に

config.tomlのIgnoredJSONKeysにアップロードしたくない情報のJSONのキーを指定することで、FutureVulsにアップロードする情報をフィルタリングできます。

  • サンプル:インストール済みのアプリケーション一覧をアップロードしない設定
[Servers]
  [Servers.localhost]
    Host = "localhost"
    UUID = "xxx-xxx-xx"
    IgnoredJSONKeys = ["packages"]

config.tomlに指定するJSONキーは以下の手順で確認して下さい。

  • debugフラグを付けてvuls.exeを実行
C:\Program Files\vuls-saas>vuls.exe -debug
  • results以下に作成されたjsonファイルをエディタで確認する

resultsフォルダ(検知結果格納用)を自動掃除

これまではC:\Program Files\vuls-saas\results\フォルダ以下に検知結果のJSONを残していましたが、今回のリリースによりスキャン終了時にデフォルトで削除するようにしました。results以下にファイルを残したい場合は、-debugフラグをつけて実行してください。

C:\Program Files\vuls-saas>vuls.exe -debug