Sentinel ldk license manager service что это
990x.top
Простой компьютерный блог для души)
Sentinel LDK License Manager Service что это такое? (процесс hasplms.exe)
Привет друзья. Сегодня у меня цель, это узнать что такое Sentinel LDK License Manager Service, я все выясню и тут вам напишу, слово даю. Итак, вот начал искать в интернете инфу, наткнулся на форум какой-то, тут чел пишет что у него при установке такой штуки как Sentinel HASP/LDK — Windows GUI Run-time Installer выскакивает какая-то ошибка, но при этом в системном журнале есть запись об этой ошибке и там фигурирует Sentinel LDK License Manager Service…
Так, сперва разберем само название. Sentinel LDK License Manager Service это что? Это видимо служба менеджера лицензий, первое что мне на ум пришло. Окей, хорошо, а что такое Sentinel LDK? А вот это уже интересно. Значит Sentinel LDK это такой себе набор специальных утилит, при помощи которых можно организовать работу клиентского приложения с аппаратным ключом защиты Sentinel HL или с программным Sentinel SL. Можно еще записывать лицензии в клиентские ключи Sentinel HL/Sentinel SL. Есть поддержка удаленного обновления лицензий в клиентских ключах.
И вот читаю дальше, что Sentinel LDK может защитить программы, провести лицензирование, есть даже защита контента. Также Sentinel LDK позволяет создать защиту для продажи и активации программы через интернет, это все при помощи программных ключей Sentinel SL 
Так, вы наверно подумаете — к чему это я все? Да к тому, что Sentinel LDK License Manager Service имеет отношение к активации какой-то программы, или связано с ее лицензией..
Кстати на том форуме, ну что я вначале писал, где у чела ошибка с упоминанием Sentinel LDK License Manager Service, то там ему ответили, что такая ошибка может быть если на компе стоят проги от Lumension Security — Lumension Device Control, Lumension Endpoint Management and Security Suite, Lumension Application Control. И еще написали, что ошибка как бы решается использованием свежих драйверов для ключей HASP (начиная с версии 6.60) и последних версий Lumension Security. Вот такие пироги
Ага, значит Sentinel LDK License Manager Service это как бы процесс hasplms.exe, я и не знал…
Еще у вас могут быть службы Sentinel Local License Manager, HASP Loader.. Как посмотреть службы? Все просто, зажимаете Win + R, потом вставляете команду services.msc и нажимаете ОК, после чего откроется окно со списком служб. Кстати можно вставить services.msc и в меню Пуск:
Ребята, я уже нашел картинку подтверждение тому что такая служба реально есть:
И еще одну картинку нашел:
Вот один чел на форуме по компьютерной безопасности написал такое сообщение:
И вот что ему ответил какой-то продвинутый юзер:
Может у вас стоят на компе такие проги как 1C, Компас, Autocad?.
Еще у вас может быть такое как Aladdin HASP License Manager Service — но тут вы спросите, это что еще за дичь? Это ребята специальная утилита от компании Aladdin, которая предназначена для управления аппаратными лицензиями 1С. Так, читаю вот дальше, получается что фирма 1С выбрала аппаратные ключи Aladdin, и выбрала то неспроста, ибо HASP это простые в установке и супер надежные ключи, вот так.
Поговорим о процессе hasplms.exe
Решил также поискать информацию и о процессе hasplms.exe, пошел в интернет.. все верно, этот процесс принадлежит Aladdin HASP License Manager Service или Sentinel HASP License Manager Service. И все это тоже самое, связанное с лицензией, защитой и подобным, в общем то, о чем я писал выше..
Многие юзеры сообщают, что у них процесс hasplms.exe грузит комп, пишут что может процессор грузить и оперативки много кушать. Хм, тут один чел пишет, что под процесс hasplms.exe может маскироваться вирус.. да ребята, я вас огорчу, но такое может быть. Если есть подозрения, то сразу вам советую проверить комп бесплатной утилитой Dr.Web CureIt!, вот ее официальный сайт, где и можно скачать:
А вот как выглядит утилита, это процесс сканирования и тут даже какие-то угрозы найдены:
Так, вернемся к процессу hasplms.exe, вот я нашел картинку, это диспетчер задач и тут мы видим что запускается процесс из этой папки:
Так, а вот еще нашел картинку, тут мы видим что есть служба с внутренним названием hasplms, и отображаемым — Sentinel Local License Manager:
Судя по картинке, предположу что ее можно отключить, в общем стоит попробовать…
Помните я писал про аппаратные ключи? Так вот они внешне как USB-флешка. Так вот, когда ключ подключен, то у вас в Диспетчере устройств могут быть такие штуки:
При запуске какой-то проги или.. я не знаю при каких условиях, но у вас может выскочить такое окошко безопасности:
Ребята скажу сразу — можете смело нажимать Да, так как издателю SafeNet Inc можно доверять, все таки компания Sentinel LDK сама занимается защитой данных.
Да ребята.. многое я тут написал, в итоге не совсем понятно что к чему, много информации.. Но зато хотя бы точно знаете что вообще такое Sentinel LDK.
Итак, выводы. Штука Sentinel LDK License Manager Service или процесс hasplms.exe — это все имеет отношение к лицензировании, защите программы или к чему-то похожему. Если у вас какая-то ошибка, которая связана с Sentinel LDK, то некоторые программы могут не работать, так как именно при помощи Sentinel LDK License Manager Service идет проверка лицензии. И если тут ошибка, то прога может отказываться запускаться. Что делать? Писать в поддержку программы, другого на ум ничего не приходит.
На этом все ребята, надеюсь вы теперь узнали что такое Sentinel LDK License Manager Service, что это просто служба менеджера лицензий Sentinel LDK. На этом все, удачи вам и позитивного настроения!!
Sentinel LDK – платформа для защиты и лицензирования программного обеспечения
Компания «Евромобайл» 15 лет поставляет электронные компоненты и решения по беспроводной связи на российский рынок. Она имеет 3 основных направления работы:
«Евромобайл» присутствует более чем на 20 рынках (промышленная автоматизация, ЖКХ, торговля, медицина, сельское хозяйство, и др.), предлагает продукцию более 100 брендов и постоянно следит за трендами в сфере IT. Одна из последних тенденций заключается в том, что клиенты все больше интересуются не только покупкой оборудования, но и покупкой софта. Однако ПО всегда нуждается в защите от взлома и кражи интеллектуальной собственности, поэтому с сентября 2018 года «ЕвроМобайл» предлагает решение для защиты и гибкого лицензирования. Оно разработано международной компанией «Gemalto», с которой «Евромобайл» сотрудничает уже более 10 лет.
Одно из важнейших направлений работы компании – монетизация ПО, то есть извлечение максимальной прибыли из программных или программно-аппаратных продуктов. В этой области она занимает лидирующую мировую позицию по версии аналитического агентства «Frost & Sullivan». Компании «Gemalto» принадлежит 49% рынка монетизации ПО.
Всех разработчиков софта из самых разных областей можно разделить на 3 группы:
Задачи разработчика
После разработки софта и перед выходом на рынок, компания должна решить следующие задачи:
С точки зрения большинства российских компаний, монетизацией ПО должен заниматься отдел программирования. На самом деле, в монетизации должны принимать участие все отделы. Успех зависит не только от самого продукта, но и от бизнес-стратегии монетизации, поэтому большую играет гибкая система лицензирования, которая позволит отделу продаж делать уникальные и интересные предложения для каждого из клиентов. Далее схемы монетизации должны быть согласованы с финансовым отделом, чтобы он успел подготовить все необходимые документы и внести правки в контракты. Отдел отгрузки тоже имеет отношение к монетизации, потому что его сотрудники закрывают сделки. Отдел технической поддержки и IT-отдел должны знать, как с технической стороны вопроса сопровождать процессы внедрение новых бизнес-моделей и использование этих продуктов конечными пользователями. В этом комплексном процессе принимает участие вся компания.
Если начать разбираться, что такое монетизация ПО – технология или бизнес-процесс, то оказывается, что технологий в этом процессе достаточно немного. С точки зрения внедрения технологий компании нужно выбрать вендора, который будет поставлять систему лицензирования, определить каталог продуктов, внедрить систему защиты и лицензирования и интегрировать процесс управления жизненным циклом лицензии с системой, в которой ведутся продажи. Но перед тем, как начинать внедрять систему монетизации, нужно решить ещё множество исключительно бизнес-вопросов: определить стратегию монетизации ПО, каналы продаж, выбрать модели лицензирования и многое другое. Компания будет активно развиваться только тогда, когда технологии будут внедрены вместе с чётким, понятным бизнес-процессом.
Sentinel LDK: защита, лицензирование, развитие
Компания «Gemalto» разработала продукт Sentinel LDK, который решает все вышеупомянутые задачи. Sentinel LDK представляет собой эволюционное развитие системы защиты HASP, которая используется уже больше 20 лет.
Защита интеллектуальной собственности и защита от пиратства обеспечивается с помощью утилиты Sentinel Envelope и API, которые предоставляют многоуровневую систему защиты для приложений и данных. Утилита за 2 минуты в автоматическом режиме обрабатывает скомпилированный файл и внедряет в него несколько степеней защиты.
Sentinel LDK позволяет быстро и без привлечения отдела разработки внедрять любые модели лицензирования:
Раньше, когда на рынке было достаточно мало программных продуктов, вендоры чаще всего использовали вечную лицензию. Покупатель платил за неё один раз и потом пользовался ею без ограничений. Сейчас, в условиях сильной конкуренции, разработчики вынуждены использовать новые схемы лицензирования, чтобы удовлетворять возросшие потребности клиентов и расширять своё присутствие на рынке. Например, лицензия по подписке позволяет пользователю изначально не платить большую сумму за ПО, что уменьшает стоимость входа в технологию и позволяет платить только тогда, когда клиент фактически пользуется продуктом. Лицензирование модулей удобно, когда у продукта есть несколько версий (домашняя, корпоративная, решение «enterprise») и необходимо ограничить функционал ПО в зависимости от версии. Лицензирование оборудования блокирует работу софта в случае его запуска на неофицильном оборудовании. Все эти бизнес-модели при умелом подходе помогают выйти на рынки, которые раньше были недоступны.
Sentinel LDK предусматривает 3 варианта носителя для лицензии:
Для координации работы компании, а также для её дальнейшего масштабирования, нужны инструменты управления бизнес-процессами и сбора данных. Небольшие IT-разработчики часто сталкиваются с проблемой: устоявшиеся бизнес-процессы, подходящие для небольших объёмов производства, затрудняют рост компании, когда её масштабы увеличиваются. При этом изменить ситуацию очень сложно, так как изначально выбранная модель не предполагала масштабирования, и перестраивать систему нужно с самого фундамента, с отдела разработки.
Решение Sentinel LDK содержит платформу для управления лицензиями Sentinel EMS. Эта платформа поддерживает весь жизненный цикл продукта. С ее помощью можно отслеживать лицензионные ограничения, управлять лицензиями, вести учёт пользователей и собирать статистику. С Sentinel EMS легко создать пользовательский онлайн-портал, на котором клиенты самостоятельно будут активировать и обновлять свои лицензии. В платформе предусмотрено внедрение автоматической доставки ПО, системы контроля работы партнёров и другие полезные сервисы.
Философия Sentinel LDK заключается в следующем – отдел программирования один раз внедряет поддержку этого решения, а дальше другие отделы компании самостоятельно выбирают подходящую бизнес-модель и без привлечения программистов меняют модель лицензирования, каналы продаж и другие параметры. Такой подход позволяет ускорить развитие компании, потому что все процессы становятся быстрее.
Примеры лицензирования
Лицензирование функционала
Компания Cisco приняла решение производить однотипное оборудование, а функционал устройств закладывать не в аппаратную составляющую, а в софт. Таким образом, ограничения по функционалу закладывались в ПО на уровне лицензии. Это позволило удешевить производство и упростить планирование склада, потому что необходимость производства одного и того же устройства для разных сегментов (для домашнего использования, малого бизнеса, крупного бизнеса) отпала. Кроме того, стало гораздо проще переводить пользователя с базовой версии устройства на продвинутую, для этого теперь достаточно изменить данные, которые записаны в лицензии, без замены оборудования.
Медицинское оборудование
Производитель стоматологического оборудования разработал качественный и дорогостоящий комплекс аппаратных и программных компонентов, позволяющих выполнять определенные операции. Это решение по вечной лицензии могли приобрести только большие клиники, и вскоре рынок себя исчерпал. С помощью решений компании «Gemalto» разработчик реализовал дополнительную бизнес-модель: клиент получает оборудование по себестоимости, но при этом платит за лицензию, которая позволяет ему произвести определенное количество операций. В этом случае изначальная стоимость продукта стала значительно ниже, и теперь купить данное решение могли не только большие клиники, но и частные практикующие доктора. Они покупали оборудование по себестоимости, платили за лицензию, принимали пациентов, получали с них деньги и потом могли опять обратиться к производителю оборудования, чтобы купить лицензию на следующие операции. Компания смогла выйти на рынок небольших клиник и буквально за полгода увеличила свои продажи более чем в 2 раза.
Управление страховой компанией
Российская фирма разработала софт для управления страховой компанией. Специфика страховых компаний заключается в том, что там работает много людей, и происходит большая текучка кадров, поэтому страховым компаниям невыгодно покупать ПО для каждого сотрудника. «Gemalto» предложила такой вариант: ПО устанавливается всем страховым агентам бесплатно, но в тот момент, когда агент продает и регистрирует в системе новый страховой полис, информация об этом отправляется на сервер лицензирования. Раз в месяц производитель программного обеспечения собирает данные о количестве проданных полисов и, исходя из этого числа, выставляет счет страховой компании, которая оплачивает фактическое использование программного продукта. В данном случае модель лицензирования с оплатой за использование является наиболее честной и эффективной.
3D-печать
Другая российская компания производит 3D-принтеры и софт для них. У нее есть как крупные, так и мелкие заказчики. Для первых компания продает оборудование и софт с вечной неограниченной лицензией, а для домашних пользователей софт продается с оплатой за использование. Пользователь может смоделировать любое количество моделей для печати, но напечатать он может столько раз, сколько прописано в его лицензии. Таким образом, пользователь оплачивает непосредственно сам факт использования программного обеспечения.
Морская навигация
Каждая из этих моделей лицензирования помогла компании значительно увеличить свои финансовые показатели за счет того, что ее предложение было наиболее актуально и интересно для рынка или увеличивало охват рынка, поэтому очень важно, чтобы системы монетизации были актуальны и помогали развиваться бизнесу, а не тормозили его.
Именно для этого и существует решение Sentinel LDK. Оно позволяет надежно защитить софт, гибко его лицензировать и автоматизировать весь жизненный цикл лицензии для эффективного развития бизнеса.
Использовать Sentinel LDK очень просто. Посмотреть как платформа монетизации работает на практике можно, открыв ссылку на вебинар компании «ЕвроМобайл».
Меры повышения безопасности установленного драйвера аппаратной защиты для операционной системы Windows
В состав дистрибутива платформы «1С:Предприятие» версии 8.3 входит драйвер аппаратной защиты HASP Device Driver. Этот драйвер обеспечивает работу аппаратной защиты продуктов «1С» и состоит из двух частей:
Драйвер аппаратной защиты является важным компонентом платформы «1С:Предприятие» и входит в поставку продуктов «1С». Для снижения рисков и повышения безопасности компьютеров пользователей и серверов «1С:Предприятие» рекомендуется следовать следующим принципам:
Данная статья содержит описание действий, необходимых для реализации этих принципов и повышения безопасности компьютеров пользователей и серверов «1С:Предприятия». Указанные действия необходимо выполнить администраторам информационной системы на платформе «1С:Предприятие». Подробнее о работе защиты от несанкционированного использования системы «1С:Предприятие» рассказано в документации к системе «1С:Предприятие» (https://its.1c.ru/db/v83doc#bookmark:adm:TI000000262). Описание процесса установки и удаления драйвера аппаратной защиты также приводится в документации (https://its.1c.ru/db/v83doc#bookmark:adm:TI000000282).
При установке платформы «1С:Предприятие» флажок установки драйвера защиты включен по умолчанию. В процессе установки платформы вы можете его выключить, но при установке по умолчанию драйвер будет размещен на компьютере пользователя и сервере «1С:Предприятия», даже если вы не будете его в дальнейшем использовать.
После запуска команды в первых строках выводится информация о версии установленного драйвера и его компонентов. Ниже на экране отображаются данные для драйвера, входящего в дистрибутив внутри файла haspdinst.exe.
При установке драйвера защиты параметры драйвера записываются в реестр операционной системы в разделе » HKEY_LOCAL_MACHINE\SOFTWARE\Aladdin Knowledge Systems\HASP\Driver\Installer «. Ключ » Version » содержит номер версии установленного драйвера. Эту информацию можно увидеть с помощью редактора реестра, входящего в состав ОС:
Эту же информацию можно получить с помощью интерпретатора командной строки, вызвав команду:
reg query «HKEY_LOCAL_MACHINE\SOFTWARE\Aladdin Knowledge Systems\HASP\Driver\Installer» /v «Version»
При установке драйвера автоматически устанавливается веб-интерфейс для его управления. Веб-интерфейс доступен через веб-браузер на том же компьютере, где установлен драйвер, по адресу: http://localhost:1947/. Если в веб-браузере открывается страница по этому адресу, то это означает, что драйвер защиты установлен и его веб-интерфейс включен.
Работа веб-интерфейса драйвера осуществляется через сервис » Sentinel LDK License Manager «, который не надо путать с сервисом сетевых многопользовательских ключей защиты HASP License Manager. При отключении сервиса » Sentinel LDK License Manager «, веб-интерфейс драйвера защиты отключается и перестает работать. Защита от несанкционированного использования системы «1С:Предприятие» не использует для своей работы веб-интерфейс драйвера защиты, поэтому для повышения безопасности компьютеров пользователей он может быть отключен.
На момент написания данной статьи актуальная версия драйвера защиты – 7.60. Поэтому, если установленная у вас версия драйвера защиты ниже 7.60, то необходимо обновить версию драйвера до 7.60 и выше.
Платформа «1С:Предприятие» версии 8.3 поддерживает большое количество операционных систем, включая Windows XP и Windows Server 2003. С актуальным списком поддерживаемых операционных систем можно ознакомиться на сайте: http://v8.1c.ru/requirements/ Этот список может отличаться от списка поддерживаемых операционных систем производителем драйвера защиты (SafeNet/Gemalto). Список систем, поддерживаемых драйвером, приведен в файле «readme.html» в поставке драйвера. При внутреннем тестировании драйвера защиты 7.60 с операционными системами Windows XP и Windows Server 2003 проблем в работе драйвера не выявлено.
Получить новую версию драйвера можно на сайте обновлений «1С» https://releases.1c.ru/project/AddCompDriverHASP или на сайте производителя драйвера SafeNet/Gemalto https://www.safenet-sentinel.ru/helpdesk/download-space/#tabs-1.
Для отключения веб-интерфейса драйвера защиты необходимо остановить и выключить службу » Sentinel LDK License Manager «, которая отвечает за его работу. Это можно сделать вручную через панель управления службами.
Так же веб-интерфейс драйвера можно отключить из интерпретатора командной строки. Для этого необходимо запустить интерпретатор командной строки от имени администратора, а затем выполнить следующую команду:
sc config hasplms start= disabled && sc stop hasplms
Опрос сети на предмет поиска уязвимых версий службы управления ключами SafeNet Sentinel License Manager (HASP License Manager)
Многим администраторам так или иначе приходилось в своей работе сталкиваться с аппаратными ключами защиты Alladin HASP/SafeNet Sentinel и приходилось устанавливать поставляемый в составе ПО поддержки этих ключей программный пакет HASP License Manager/Sentinel License Manager. Это приложение отвечает за контроль лицензий всевозможного ПО, используемого во множестве самых разных приложений, начиная с бизнес-систем типа 1С и заканчивая разнообразными критичными для производственных процессов системами АСУ ТП.
Как правило, единожды установив это ПО, администратор не задумывается о необходимости его периодического обновления, так как не для всех очевидно то, что такое ПО может стать источником серьёзных проблем информационной безопасности, делая систему, на которой оно установлено, критически уязвимой и открывая новые векторы для возможных атак.
Результатом работы, проделанной в 2016-2017 годах, стало обнаружение 14 серьёзных уязвимостей, информация по которым была передана вендору. Однако, как следует из пояснения Kaspersky Lab ICS CERT, должной огласки эта проблема так и не получила, так как вендор после исправления уязвимостей не сделал никаких публичных объявлений о необходимости скорейшего обновления. Поэтому мы решили не оставаться в стороне и включиться в процесс продвижения этой информации.
Для лучшего понимания серьёзности проблемы, мы наглядно продемонстрируем то, как легко эксплуатируется одна из уязвимостей на необновлённой версии ПО SafeNet Sentinel License Manager (LM). Но для начала стоит сказать пару слов о том, как устроен этот License Manager.
Общая информация о Sentinel License Manager
После установки пакета Sentinel LDK Run-time, в системный каталог Windows попадает приложение hasplms.exe, которое обеспечивает доступ локальных приложений к аппаратным лицензионными ключам (как правило, это USB-токены), подключенным к данному серверу, либо может выступать в качестве перенаправителя клиентских запросов на удалённые экземпляры License Manager.
Данное приложение работает, как служба Windows, в контексте привилегий служебного пользователя SYSTEM (локальная система):
Нетрудно догадаться о том, что эксплуатация возможных уязвимостей такой службы будет выполняться с высоко-привилегированным уровнем доступа к системе.
Служба hasplms открывает в системе TCP/UDP-прослушиватели, через которые и возможна, как локальная, так и удалённая, эксплуатация уязвимостей.
Занятно в этой ситуации то, что при установке пакета Sentinel LDK Run-time в системе (без какого-либо явного оповещения администратора) автоматически создаётся разрешающее правило Windows Firewall для приложения hasplms.exe. Этим правилом разрешён любой входящий трафик на любые порты, поэтому никаких проблем с доступностью из сети TCP–прослушивателя, открываемого службой на порту 1947, не возникает.
На указанном порту служба hasplms фактически имеет веб-сервер, с которым можно общаться по протоколу HTTP. В частности этот веб-сервер обеспечивает работу веб-сайта SafeNet Sentinel License Manager Admin Control Center (ACC), через который можно выполнять ряд административных действий по манипуляциям со службой управления ключами.
Сразу стоит отметить тот факт, что в конфигурации по умолчанию служба hasplms настроена таким образом, что удалённый доступ на порт 1947 запрещён, но зато на этот порт разрешены любые локальные подключения на localhost «не взирая на чины и звания». А это уже может стать реальной проблемой на многопользовательских системах, например на сервере с ролью Remote Desktop Services. Фактически на таких системах зачастую и оказывается ПО Sentinel, так как оно обеспечивает успешный запуск всевозможных бизнес приложений, использующих аппаратные ключи защиты. И получается, что на такой системе, любой непривилегированный пользователь может получить доступ веб-серверу License Manager.
Эксплуатация уязвимости
Итак, предположим, что мы от имени простого непривилегированного пользователя вошли на сервер удалённых рабочих столов с ОС Windows Server 2012 R2 с запущенным в конфигурации по умолчанию License Manager. И предположим, на данной системе есть некоторый файл, к которому у нас нет доступа, но, который при этом, мы неистово желаем удалить, да и ещё не оставив после себя никаких следов.
Имеющаяся в нашей необновлённой версии ПО Sentinel уязвимость позволяет удалить этот файл практически двумя последовательными GET-запросами. Выполнить эти запросы можно разными способами (тут всё зависит от сноровки атакующего). Мы будем использовать доступную по умолчанию всем пользователям системы оболочку Powershell:
Первый запрос переименует целевой файл, добавив к имени файла расширение » bak «, то есть в нашем случае имя файла изменится на » Important File.security.bak «
Здесь хорошо видно, что веб-сервер LM успешно «проглотил» наш запрос и ещё в ответе рассказал нам о своей версии.
Вторым точно таким же GET-запросом ранее переименованный bak-файл будет удалён.
Напомню, что веб-сервер LM выполняется от имени SYSTEM, и поэтому у нас не возникает никаких проблем с доступом при удалении файла. При этом в системе от выполненного деструктивного действия фактически не остаётся никаких следов, которые бы могли в дальнейшем помочь администратору при выяснении причин случившегося.
В рассмотренном примере мы действовали на уровне локального доступа, но если License Manager находится в конфигурации по умолчанию, то нам не составит труда получить локальный доступ к веб-консоли Sentinel License Manager Admin Control Center (ACC), открыв в веб-браузере адрес:
В АСС мы можем перейти в раздел Configuration и легким движением руки включить выключенный по умолчанию удаленный доступ Allow Remote Access to ACC:
Начиная с этого момента эксплуатировать уязвимости LM можно будет по сети, не имея локального доступа к данному серверу.
Итак, наличие проблемы на старых версиях LM очевидно. Теперь нужно определиться с тем, на каких системах в нашей сети установлено данное ПО, чтобы оценить масштаб проблемы и запланировать объём необходимой работы по обновлению. Ведь не стоит забывать про то, что данное ПО может быть не только на серверных системах, но и, в ряде случаев, на клиентских системах.
Обнаружение уязвимых хостов
Для обнаружения уязвимых систем могут использоваться самые разные механизмы. Здесь всё зависит от нашей фантазии и текущих возможностей. Например можно воспользоваться возможностями продуктов Microsoft System Center, если такие имеются в инфраструктуре, – будто проверка BaseLine в SCCM или самописный Management Pack в SCOM. Любой метод будет иметь свои преимущества и недостатки. Здесь я приведу пример нехитрого PowerShell-скрипта, как наиболее доступного инструмента для любого Windows-администратора.
В начальных строках скрипта задаём переменные:
В результате работы скрипта мы должны получить отсортированный по версиям LM список хостов:
Обновляемся и усиливаем защиту Sentinel License Manager
После получения списка уязвимых систем, нам нужно выполнить обновление ПО Sentinel LDK Run-time по рекомендации Kaspersky Lab ICS CERT до версии не ниже 7.6.
Последнюю актуальную версию ПО можно скачать с сайта Gemalto Sentinel Customer Community
На данный момент времени там фигурирует пакет Sentinel HASP LDK Windows GUI Run-time Installer версии 7.65 (файл HASPUserSetup.exe ), который включает в себя License Manager версии 20.05
Обратите внимание на то, что по завершению установки инсталлятор, с подозрительно улыбающимися гражданами, как бы предлагает нам подумать о том, что нужно бы открыть порт 1947
Однако комичность ситуации заключается в том, что, как и в старых версиях, инсталлятор сам создаёт нескромное разрешающее правило в Windows Firewall, не спрашивая об этом у администратора. Это как раз одна из странностей, на которую обращают внимание в своей статье специалисты Kaspersky Lab ICS CERT.
После завершения установки можно откорректировать созданное инсталлятором правило Windows Firewall, сузив до разумных пределов область разрешений (например, как минимум, разрешив подключения только с IP-подсетей, где есть клиенты использующие ключи с данного LM)
Либо если удалённый доступ к службе управления ключами не требуется, а служба используется только локально приложениями на сервере (когда лицензионные ключи установлены в самом сервере, либо когда ключи установлены в другом сервере и данный LM работает в режиме проксирования запросов на сторонний LM) данное правило Windows Firewall можно попросту отключить.
Обратите внимание на то, что после переустановки или установки новой версии (обновления) инсталлятор перепишет данное правило Windows Firewall, заново разрешив доступ к службе «везде и вся». Не забывайте про это при последующих обновлениях.
После обновления ПО до актуальной версии, весьма желательно задать пароль для ограничения доступа к ACC, чтобы даже в случае локального доступа к ACC у непривилегированных пользователей не было возможности беспрепятственно менять конфигурацию сервера LM (например включать удалённый доступ к нему).
Для этого в обновлённой версии АСС мы можем перейти в раздел Configuration, переключить Password Protection в режим защиты всех веб-страниц All ACC Pages, а также кнопкой Change Password задать пароль для ограничения доступа к веб-серверу:
Кстати здесь же внизу страницы мы увидим имя конфигурационного файла, в котором LM и хранит всю заданную конфигурацию.
После проведённых мероприятий по обновлению и усилению защиты всех установленных экземпляров Sentinel License Manager, можно повторно запустить скрипт сканирования сети.