Wie sicher / sicher ist SpiceWorks in meinem Netzwerk? - Wie Man

Wie sicher / sicher ist SpiceWorks in meinem Netzwerk?

Haftungsausschluss: Dieses Dokument dient nur zu Informationszwecken und sollte als solcher behandelt werden. Der Endbenutzer, der SpiceWorks installiert, und nicht der Autor dieses Dokuments, ist dafür verantwortlich, die hierin enthaltenen Informationen zu überprüfen.

Der Titel dieses How-To ist eine beliebte Frage in der Community, und ich dachte, es wäre hilfreich, einen Artikel zusammenzustellen, in dem alles an einem Ort ist. Wir hoffen, dass dies helfen wird, einige, wenn nicht alle, Fragen zu beantworten, die die Sicherheit von SpiceWorks in einem internen Netzwerk betreffen.

Zunächst möchte ich sagen, dass dieser Artikel ohne die enorme Unterstützung der Community, in der ich die Mehrheit der folgenden Informationen abrief, nicht möglich wäre.

Ich werde versuchen, einige der häufigsten Fragen zu beantworten, die bei Problemen und Problemen rund um die SpiceWorks-Anwendung und deren Sicherheit auftreten.

5 Schritte insgesamt

Schritt 1: "Was macht SpiceWorks mit meinem Passwort und wie sicher ist es für mich, ein Administratorkennwort in SpiceWorks zu verwenden, um meine Geräte zu scannen?"

http://community.spiceworks.com/help/Where_Is_Login_Info_Stored_And_How_Is_It_Used%3F

Wo werden meine Zugangsdaten gespeichert? Wird es zu Spiceworks geschickt?
Die Passwörter werden mit AES256 gespeichert
Alle Kontoinformationen, die Sie für Spiceworks Desktop bereitstellen, werden lokal auf Ihrem Computer gespeichert. Die Benutzernamen werden verschlüsselt und die Passwörter verschlüsselt. Diese Informationen werden nur zur Bereitstellung der oben beschriebenen Remote-Inventarisierungsfunktion verwendet. Diese Kontoinformationen werden niemals an Spiceworks gesendet.

http://community.spiceworks.com/help/What_Does_Spiceworks_Do_With_My_Password%3F

„Zu Ihrem Schutz wird Ihr Passwort niemals an Spiceworks gesendet. Ein einseitiger Hash Ihres Kennworts wird in der lokalen Datenbank auf Ihrem Computer gespeichert und mit Standardverfahren des Windows-Dateisystems gesichert. Wenn Sie sich anmelden, wird das von Ihnen eingegebene Kennwort mit demselben Einweg-Hash-Algorithmus verschlüsselt und mit Ihrem ursprünglichen Kennwort verglichen. Wenn die Hash-Einträge übereinstimmen, werden Sie für die Verwendung der Spiceworks-Anwendung authentifiziert. “
Alle Ihre Daten werden lokal auf dem Computer gespeichert, auf dem Sie Spiceworks installieren. Die einzigen Informationen, die an SpiceWorks zurückgegeben werden, sind in den Datenschutzbestimmungen (siehe unten) enthalten. Spiceworks befindet sich daher wie alle anderen Computer in Ihrem Netzwerk hinter allen Firewalls, Webfiltern, Proxies usw. Alle an SpiceWorks gesendeten Daten wird über SSL gesendet und ist sehr sicher.

Kris (Spiceworks) http://community.spiceworks.com/profile/show/Kris%20%28Spiceworks%29
von Spiceworks sagt,

AES ist ein Algorithmus mit symmetrischem Schlüssel. Das bedeutet, dass ein privater Schlüssel sowohl für die Verschlüsselung als auch für die Entschlüsselung des Inhalts verwendet wird. Der private Schlüssel wird von der Spiceworks-Anwendung generiert und ist nur dieser bekannt. Andere bekannte Anwendungen, die AES verwenden, umfassen IPSec, OpenSSL und BitLocker.

-Meine zwei Cent? In den meisten Organisationen, an denen ich gearbeitet habe oder gesehen habe, gibt es weitaus mehr Sicherheitsrisiken, die niemand in Betracht zieht, ungepatchte Betriebssysteme oder Software, Software oder Betriebssysteme, die nicht mehr unterstützt werden, weil „es erforderlich ist, dieses Betriebssystem auszuführen app ”. Die Liste geht weiter. SpiceWorks ist meiner Meinung nach die geringste meiner Sorgen in meinem internen Netzwerk.

Schritt 2: 2. In der Anwendung befinden sich jedoch Anzeigen. Wie sicher kann eine kostenlose Anwendung sein, wenn die Anzeige läuft?

Scott Alan Miller (http://community.spiceworks.com/profile/show/Scott%20Alan%20Miller) hat auf eine ähnliche Frage in der Community geantwortet,

„Die Anzeigen werden nicht über SpiceWorks geliefert, sondern direkt auf die im Browser geladene Webseite. Dies bedeutet, dass Windows und der Browser eine größere Rolle spielen, und der SpiceWorks-Server teilt dem Browser nur mit, welche Anzeige angezeigt werden soll. Wenn Sie Fragen haben, was "unter der Haube" los ist, ist dies einfach sichtbar, wenn Sie sich die Seitenquelle ansehen. Der gesamte Code läuft genau dort in Ihrem Browser, wo Sie ihn sehen können. “

-Meine zwei Cent? SpiceWorks ist die erste Anwendung, die ich gesehen habe, dass die Anzeige nicht störend ist, da sie alle Aspekte der Informationstechnologie berücksichtigt. Außerdem ist es das, was SpiceWorks für uns alle frei macht

Warum ist SpiceWorks kostenlos?
http://community.spiceworks.com/help/Why_Is_Spiceworks_Free%3F_What%27s_The_Catch%3F

Und wenn Sie sie nicht mögen, gibt es viele Möglichkeiten, sie zu entfernen.

Spiceworks MyWay
http://www.spiceworks.com/myway/

Kann ich bezahlen, um eine Version von SpiceWorks ohne Anzeigen zu erhalten?
http://community.spiceworks.com/help/Can_I_Pay_To_Get_A_Version_Of_Spiceworks_With_No_Ads%3F

Schritt 3: 3. "Aber ich arbeite für eine Regierungsbehörde / HIPAA oder eine andere sehr restriktive Organisation."

SpiceWorks ist so sicher wie alles andere in Ihrem Netzwerk. Es gibt jedoch immer Schritte, um die Sicherheit zu erhöhen, falls Sie dies wünschen. Das Ändern des Ports, an dem SpiceWorks betrieben wird, ist ein guter Anfang. Sie können dies sehr einfach nach der Installation erreichen, indem Sie mit der rechten Maustaste auf das Spice-Symbol in der Taskleiste des Geräts klicken, auf dem es installiert ist, und „Voreinstellungen“ auswählen.

Ist das alles?

Nein, wir fangen gerade erst an. Als Nächstes können Sie die integrierten HTTPS-Funktionen in SpiceWorks verwenden.

Sicherheit in SpiceWorks
http://community.spiceworks.com/help/Security_In_Spiceworks

Gehen wir mit Nick-Cs einen Schritt weiter
http://community.spiceworks.com/profile/show/Nick-C

„Gewusst wie: Sichern von SpiceWorks mit SSL“
http://community.spiceworks.com/how_to/show/1490

Und sein anderer,

„So werden Sie Ihre eigene Zertifizierungsstelle und sichern SpiceWorks“
http://community.spiceworks.com/how_to/show/1469

Schritt 4: 4. "OK, Sie können die Ports ganz einfach wechseln, ssl, bla, bla, bla einrichten ... aber welche anderen Ports verwenden oder öffnen SpiceWorks?"

Einfach genug: "Welche Ports werden zur Identifizierung von Geräten verwendet?"
http://community.spiceworks.com/help/How_Does_The_Scan_Work#Port

„Spiceworks stellt eine Verbindung zu Ports her, um die Computer zu identifizieren, die auf den Ping antworten.
• 135 (WMI): Wird zur Erkennung von Windows-Computern verwendet.
• 22 (SSH): Wird zur Erkennung von Unix / Linux-Computern und einigen Netzwerkgeräten verwendet.
• 16992 (Intel AMT SOAP / HTTP): Wird verwendet, um den vPro-Status zu ermitteln. Dazu wird auf dem Port nach einer HTTP-Antwort gesucht. Dies kann in settings.yaml bearbeitet werden
• 9100 (Jet Direct): Wird zur Erkennung von Druckern verwendet.
• 5060 (SIP): Wird zur Erkennung von IP-Telefonen verwendet.
• 80 (HTTP): Wird zur Erkennung von Servern, VMware und NAS-Geräten verwendet.
o Einige Router, Hubs, Switches und Drucker können auf HTTP reagieren. In diesen Fällen scannt Spiceworks die Webseite, um hilfreiche Informationen zu erhalten.
• 161 (SNMP): Wird zur Erkennung von Netzwerkgeräten wie Druckern, Switches usw. verwendet.
• 5800 (VNC HTTP): Wird verwendet, um zu ermitteln, ob ein Gerät den Remotezugriff mit VNC unterstützt. “

-Meine zwei Cent? Wenn Sie SpiceWorks nicht auf die Außenwelt richten, ist es genauso sicher wie alles andere in Ihrem Netzwerk. Machen Sie sich keine Sorgen, Sie sind nicht der einzige, der diese Fragen stellt oder sagt
"Aber ich wünschte, es hätte das getan ... oder ..."
Dies ist einer der besten Aspekte von SpiceWorks, der Community, wo Leute wie Sie die gleichen Fragen stellen und viele von ihnen Antworten wie RPMILLER (http://community.spiceworks.com/profile/show/RPMiller) und sein Handy anbieten Plugin “Security Widget”, um eine Registerkarte auf der Portalseite für eingeschränkte Benutzer zu sichern.
http://community.spiceworks.com/plugin/527

Schritt 5: 5. “OK, das hat alles geholfen, aber ich bin immer noch nicht überzeugt! Ich habe immer noch das Gefühl, dass es etwas gibt, was du mir nicht erzählst. "

Sie haben recht, aber ich werde das auch hier aufräumen. Das letzte, was wir behandeln werden, ist die SpiceWorks-Datenschutzrichtlinie
http://community.spiceworks.com/help/Where_Can_I_Find_Out_About_Spiceworks_Privacy_Policy%3F

Ich ermutige jeden, dies gründlich zu lesen, da ich denke, dass es die meisten Fragen beantwortet. Im Moment werde ich versuchen, einige der wichtigsten Punkte in der Richtlinie hervorzuheben. Die nachstehenden Informationen wurden aus der aktuellen SpiceWorks-Richtlinie (http://www.spiceworks.com/privacy/) vom 16.07.2011 zitiert. Dies ist keinesfalls die gesamte SpiceWorks-Datenschutzrichtlinie, und ich kann nicht genug darauf hinweisen, den folgenden Link häufig aufzurufen, um die gesamte Richtlinie durchzulesen und sich über die durchgeführten Änderungen auf dem Laufenden zu halten.

TRUSTe Lizenznehmer

• „Wir verpflichten uns zur Wahrung der Vertraulichkeit, Integrität und Sicherheit der Informationen über unsere Benutzer und ihre Organisationen.“
• „Spiceworks wurde das TRUSTe-Datenschutzsiegel verliehen, das besagt, dass diese Datenschutzrichtlinie und -praktiken von TRUSTe hinsichtlich der Einhaltung der TRUSTe-Programmanforderungen einschließlich Transparenz, Verantwortlichkeit und Wahlmöglichkeit bezüglich der Erfassung und Verwendung Ihrer persönlichen Informationen überprüft wurden.“
Einführung
• „Inventardaten“ sind auf systembezogene Informationen zu Ihren Netzwerkgeräten und deren Konfiguration beschränkt. Sie enthält keine nicht systembezogenen Informationen wie persönliche Dateien und Inhalte, anwendungsspezifische Dateien und Inhalte, allgemeine Benutzerverzeichnisse oder andere Benutzerdaten und Dokumente. Diese Inventardaten werden lokal in einer Datei auf Ihrem Computer in einem verschlüsselten Format gespeichert. Der Zugriff auf diese Datei ist mit den Zugriffssteuerungsmechanismen der Standardbetriebssysteme kennwortgeschützt. “
• „Sie sollten sich bewusst sein, dass bestimmte Informationskategorien wie Community-Name, Avatar oder Foto, Liste der IT-Freunde, Unternehmensprofil, Gruppen, denen Sie angehören, und Ihre Beiträge als öffentlich verfügbar außerhalb des Spiceworks-Netzwerks betrachtet werden und gelesen werden können von anderen gesammelt und verwendet werden. “

Ihre Privatsphäre steht nicht zum Verkauf

„Spiceworks verwendet und veröffentlicht Ihre persönlichen Informationen nur wie folgt:
• Analyse der Websitenutzung und Verbesserung des Dienstes;
• um Ihnen Verwaltungsmitteilungen, Netzwerkwarnungen, Systembenachrichtigungen und Mitteilungen zukommen zu lassen, die für Ihre Nutzung des Spiceworks-Dienstes relevant sind;
• um Ihre Anfragen nach bestimmten Produkten, Informationen und Dienstleistungen zu erfüllen;
• für Marktforschung, Projektplanung, Fehlerbehebung bei Dienstproblemen, Erkennen und Schutz vor Fehlern, Betrug oder anderen kriminellen Aktivitäten;
• an Fremdfirmen, die Spiceworks Dienste erbringen und an dieselben Datenschutzbeschränkungen gebunden sind;
• Durchsetzung von Spiceworks-Nutzungsbedingungen;
• wie in dieser Datenschutzrichtlinie anders angegeben. “

Welche Informationen sammeln wir?

• “Spiceworks Desktop erfasst von Zeit zu Zeit anonyme gesammelte Informationen über Ihre Computerumgebung. Diese Informationen werden anonymisiert und in Gruppen zusammengefasst, sodass sie keine individuell identifizierbaren Unternehmen oder Benutzer mehr widerspiegeln oder darauf verweisen. Wir verwenden SSL, um diese Informationen zwischen Spiceworks Desktop und Spiceworks zu übertragen. “
• „Wie bei den meisten Websites werden bestimmte Informationen automatisch vom Browser erfasst und in Protokolldateien gespeichert. Diese Informationen umfassen Anzeigegröße, Browsertyp, Verweis- / Beendigungsseiten, Betriebssystem, Datums- / Zeitstempel und verschiedene Click-Stream-Daten. "

Wie verwenden wir die Informationen?

• „Wir können anonymisierte gesammelte persönliche oder Umgebungsinformationen verwenden, um die von Ihnen angeforderten Dienste bereitzustellen, einschließlich Dienste, die angepasste Inhalte und Werbung anzeigen, und Ihre Umgebungskonfiguration mit denen der breiteren Benutzergemeinschaft vergleichen. Diese Informationen identifizieren Sie oder Ihr Unternehmen nicht individuell. “
• „Wir können Drittanbieter einsetzen, um Teile des Dienstes zu liefern. Wenn wir Dritte verwenden, um uns bei der Verarbeitung Ihrer persönlichen Informationen zu unterstützen, verlangen wir von ihnen, dass sie unsere Datenschutzbestimmungen und andere geeignete Vertraulichkeits- und Sicherheitsmaßnahmen einhalten. “
• „Sollte unser Unternehmen jemals Insolvenz anmelden oder an einer Fusion oder Übernahme beteiligt sein, geben wir möglicherweise die Informationen, die Sie uns zur Verfügung stellen, an Dritte in Verbindung mit einer solchen Tätigkeit weiter.“

Deine Entscheidungen

• „Sie können die Spiceworks Desktop-Software jederzeit über die Systemsteuerung" Software "deinstallieren. Wenn Sie die Software deinstallieren, werden Spiceworks Desktop und alle zugehörigen Datendateien (z. B. Inventardaten, Helpdesk-Tickets, Konfigurationsverlauf usw.) gelöscht. Nach dem Löschen kann es nicht wiederhergestellt werden. “

Vertraulichkeit und Sicherheit von Informationen

• „Wir verwenden SSL, um die zwischen Spiceworks Desktop und Spiceworks übertragenen persönlichen Informationen zu schützen. Der Zugriff auf diese Informationen ist strikt auf Mitarbeiter von Spiceworks und beauftragte Dritte beschränkt, um den Service zu betreiben, weiterzuentwickeln oder zu verbessern. “

Haftungsausschluss

• „Wir behalten uns das Recht vor, Ihre persönlich identifizierbaren Informationen offenzulegen, sofern dies gesetzlich vorgeschrieben ist und wenn wir der Ansicht sind, dass eine Offenlegung erforderlich ist, um unsere Rechte zu schützen und / oder um ein Gerichtsverfahren, eine gerichtliche Anordnung oder ein auf unserer Website bereitgestelltes Gerichtsverfahren einzuhalten. ”

Mehr Informationen

• „Spiceworks hält sich an die US-amerikanischen Safe Harbor-Datenschutzgrundsätze. Weitere Informationen zum Safe-Harbor-Framework oder unserer Registrierung finden Sie auf der Website des US-Handelsministeriums. “

Feedback

• „Wenn Sie Kommentare zum Spiceworks-Dienst oder Vorschläge zur Verbesserung des Spiceworks-Dienstes haben, senden Sie eine E-Mail an [email protected] Bitte beachten Sie, dass Sie damit Spiceworks und Dritten die Erlaubnis erteilen, Ihre Ideen oder Kommentare ohne weitere Entschädigung oder Genehmigung in den Dienst (oder die Software oder Inhalte von Drittanbietern) zu verwenden und zu integrieren. “

Es ist also so ziemlich alles, was ich mir vorstellen könnte. Wenn Sie nach dem Lesen noch Fragen haben, können Sie gerne in der Community posten (http://community.spiceworks.com/topic/new?from=cm_places) oder sich direkt an SpiceWorks wenden. Denken Sie daran, dass Sie letztendlich selbst entscheiden können, ob Sie das Produkt verwenden möchten oder nicht, und in Ihrer Verantwortung festzustellen, ob ein Risiko für Ihr Netzwerk besteht.
Dieses Dokument ist keinesfalls ein definitiver Leitfaden für die Sicherheit von SpiceWorks.

Kommentare in den Abschnitten „Meine zwei Cents“ sind genau das, meine zwei Cents und sollten als solche verstanden werden.

-Jay