弱點管理系統－GFI LANguard N.S.S 8.0

GFI LANguard Network Security Scanner（以下簡稱為N.S.S.）是一套涵蓋系統弱點掃描、網路節點稽核、修補程式部署的軟體，我們過去曾經介紹過一臺弱點管理的硬體設備Cell SPM，即是以這套軟體的功能為基礎而整合、加值。

N.S.S主要伺服器需建置在Windows 2000以後版本的作業系統上，架構很單純，但缺乏網頁管理或其他遠端連接的操作介面，對於分散式的企業網路環境可能不太夠用。管理介面有一點複雜，但相較於其他品牌的弱點管理系統，操作不會太困難，仍算是容易上手，而且系統也針對弱點掃描的不同作業需求，提供精靈式的介面，以引導管理者執行掃描和修補作業。

支援Windows Vista和Office 2007
我們在N.S.S.的管理介面的弱點管理設定上，很清楚地看到系統資料庫內建的每一項安全弱點資訊，除了本身的應用類型作為區隔外，還會註明所屬的四種編號數字，它們分別是OVAL ID、CVE ID、Secuirty Focus ID和微軟安全公告 ID。

目前N.S.S能夠偵測的系統資訊也非常多元，包含TCP埠、UDP埠、作業系統、弱點、修補程式、網路/周邊設備、應用程式，N.S.S大部分都有對應的預設值。

針對微軟最新的Windows Vista、Office 2007和Exchange Server 2007，N.S.S. 8.0也都可以偵測、辨識到電腦是否安裝這些類型的系統或應用程式，以及相關的弱點。

在我們使用這套產品的過程中發現，如果想要針對配備Windows XP、Windows Vista作業系統的電腦，執行弱點掃描以取得相關的資訊時，這些電腦需預先停用Windows防火牆，否則只能掃描出這些電腦目前啟用的網路埠與網路協定。此外N.S.S 8.0確實可以正常偵測出使用Windows 2000和Windows XP的電腦，然而採用Windows Vista的電腦卻判斷成Windows 2000，我們再試著用管理介面上附加的Enumerate Computer工具去偵測同樣群組的電腦，是可以正常判斷出該臺電腦的作業系統是Windows Vista。

針對不同語系的作業系統，N.S.S.支援這些環境下的修補程式管理，並相容Unicode顯示。當管理者每次開啟N.S.S管理介面時，系統預設會連回GFI網站檢查並更新主程式的版本，以及指定語系的微軟軟體修補程式資訊、弱點資料庫、弱點管理引擎，管理者可隨時調整是否檢查更新，以及增刪特定語系的修補程式資訊。

如果管理者希望由N.S.S.統籌修補程式的發布，而不是讓個人端電腦自行下載，系統需額外啟動自動下載修補程式的功能，此時修補程式部署功能方能完整啟動，而這些檔案會存放在Repository的資料夾內。

需注意這些修補程式的檔案也是極占空間的。由於我們只指定偵測中文、臺灣的修補程式資訊，並限定下載必要的修補程式，整個儲存庫即占用431MB的空間，如果企業內電腦的語系廣，或想擷取所有的修補程式到N.S.S.系統內，修補程式需要的磁碟空間會更大。

企業如已架設由微軟的Windows Server Update Services的更新伺服器，系統也支援從伺服器上的網路共享資料夾上直接抓取，節省頻寬。

需加裝報表套件，以簡化解讀負擔
弱點管理的系統除了需注意弱點掃描結果的正確性，報表的可讀性也是評估時不可或缺的因素，N.S.S.主系統本身不具這方面的功能，如需要相關功能，需再加裝GFI開發的N.S.S.專用的ReportPack報表套件。

透過ReportPack開啟N.S.S.的分析結果後，可提供30種以上可客制化報表，自動產生圖形化的報告，管理者能根據這些資訊，快速了解與追蹤整體網路安全性狀態，以及內部電腦軟硬體與網路配置，達到部份資產報告的效果。文⊙李宗翰