Documentazione tecnica
Termini
Modulo di gestione (anche programma principale, modulo server) è un’applicazione con interfaccia grafica (GUI) gestita dalla persona che esegue l’inventario della rete locale, si installa su una workstation o su un server e consente di scansionare computer e dispositivi di rete da remoto, di analizzare i dati raccolti e di creare report.
Agente è un eseguibile standalone Win32 che può essere usato per scansionare computer locali (eseguito manualmente) o remoti (eseguito remotamente dal modulo di gestione o attraverso uno script di accesso al dominio (domain logon script)).
Servizio di supporto è un eseguibile standalone Win32 che rappresenta un servizio Windows e aiuta l’amministratore ad eseguire l’agente sui computer remoti.
TNI è un’abbreviazione di «Total Network Inventory», il nome e il marchio registrato dell’applicazione in oggetto.
1. Requisiti minimi di sistema per il modulo di gestione
CPU: 1000 MHz.
Memoria: 512 Mb.
Spazio su disco: 30 Mb per installare l’applicazione più 1-2 Mb per ogni computer scansionato.
Rete: TCP/IP.
Sistema operativo: Windows 2000 / Windows 2000 Server.
2. Requisiti di sistema per i computer scansionati
L’applicazione software implementa due metodi di connessione a computer remoti. I requisiti e le specifiche per i due metodi differiscono tra loro.
| Con Agente | Senza Agente | |
| CPU | 500 MHz | 500 MHz |
| Memoria | 64 Mb | 64 Mb |
| Spazio su disco | 2 Mb | 1 Mb |
| Porte TCP | 139, 445 | 135, porte casuali superiori alla 1024 |
| Servizi | Server, Windows Management Instrumentation, Remote Procedure Call, Remote Registry | Windows Management Instrumentation, Remote Procedure Call |
| Risorse | ipc$, admin$ | Porte TCP 135 e superiori alla 1024 |
| Protocolli | SMB / NetBIOS / TCP/IP | RPC/ TCP/IP |
| Sistema operativo | Windows NT4 / 2000 / XP Pro / Vista / 2000 Server / 2003 Server / 2008 Server | Windows 95 / 98 / NT4 / 2000 / XP Pro / Vista / 2000 Server / 2003 Server / 2008 Server |
3. Descrizione della tecnologia
Per entrambi i metodi di connessione, TNI utilizza Windows Management Instrumentation che rappresenta l'implementazione Microsoft di Web-Based Enterprise Management per i sistemi operativi Microsoft Windows. WBEM è uno standard definito da DMTF (Distributed Management Task Force) che offre un insieme di tecnologie per la gestione di sistemi realizzate per unificare la gestione di ambienti di computazione distribuiti. L’uso di questa tecnologia permette a TNI di raccogliere informazioni sui componenti hardware e software e del registro di sistema dei computer monitorati. I due metodi di connessione sono intercambiabili. Per impostazione predefinita, il programma prova a usare entrambi i metodi nel caso uno di essi dovesse fallire.
3.1. Metodo con Agente
Quando si usa questo metodo di connessione, TNI carica due eseguibili - l’agente (tniaudit.exe) e il servizio di supporto (tniservice.exe) - nella condivisione "admin$" sul computer remoto che punta alla directory Windows. Poi, si connette a Gestione controllo servizi del computer, installa e esegue il servizio di supporto. A sua volta, il servizio esegue localmente l’agente. L’agente scansiona il computer, raccoglie i dati e li salva in un file XML che può essere compresso per risparmiare traffico. Poi, sia l’agente che il servizio si fermano. Il modulo principale rileva questo evento, sposta il file XML nel database, disinstalla il servizio e rimuove gli eseguibili, se questo è consentito dalle impostazioni del programma.
3.2. Metodo senza Agente
Quando si usa questo metodo di connessione, TNI si connette direttamente al servizio WMI tramite il protocollo RPC. Tutti i dati vengono raccolti remotamente e nessun file viene caricato sui computer remoti.
3.3. Metodo manuale
L’agente "tniaudit.exe" può essere eseguito manualmente su un computer autonomo. Viene generato un file XML che deve essere messo nella cartella del database del programma e può essere aggiunto al database con l’aiuto del comando "Strumenti - Aggiorna cartella di archiviazione dati" del menu principale. Inoltre, l’agente può essere eseguito attraverso uno script di accesso al dominio. È possibile usare lo switch della riga di comando "/scripted" per effettuare una scansione invisibile.
4. Overhead di scansione
Tutti i metodi di connessione richiedono risorse per il processamento, perciò si nota un leggero calo di performance durante la scansione di un computer, tuttavia normalmente non dura più di 1-2 minuti.
I metodi di scansione online (o su richiesta (on-demand)) inoltre richiedono larghezza di banda. Ecco le cifre approssimative per la scansione di un computer medio Windows XP. "Upload” significa i dati caricati sul computer monitorato, e “Download” sta per indicare i dati scaricati dal computer monitorato. Le cifre includono l’overhead dei protocolli di rete:
Agente con compressione: upload 0.9 MB, download 0.21 MB.
Agente senza compressione: upload 0.9 MB, download 1.67 MB.
Commento: sul computer vengono caricati due eseguibili con dimensione totale inferiore ai 0.5 MB. Facoltativamente è possibile lasciarli sui computer e usarli nuovamente nelle successive scansioni, come risultato il traffico di upload sarà inferiore ai 100 KB.
Inventario completo senza agente: upload 140.44 MB, download 10.97 MB.
Inventario senza agente senza rilevare il software installato: upload 1.96 MB, download 6.41 MB.
Commento: l’inventario del software installato viene fatto interrogando il registro di sistema da remoto via WMI. La procedura genera molto traffico, più software installati sono presenti sul computer monitorato, più traffico viene generato. Questo specifico computer ha più di 300 voci di software installati nella sezione Uninstall del registro. I test dei prodotti concorrenti hanno dimostrato che questa è una situazione comune.
5. Rischi potenziali
Tra migliaia di utenti e tester, solo due o tre hanno segnalato il riavvio anomalo del sistema operativo Windows XP (probabilmente con SP2) durante l’utilizzo del metodo di connessione senza agente (il metodo con agente ha sempre funzionato bene). È stato possibile studiare approfonditamente solo uno di questi casi ed è venuto fuori che anche semplici interrogazioni WMI con VB-script causavano un riavvio, perciò si trattava evidentemente di un caso di vulnerabilità nel protocollo RPC.
Page last modified 15:44, 3 Apr 2009 by Admin