Bessere Betriebssystem-Erkennung mit RPC Endpoint Mapping

RPC-Endpoint-Mapping RPC Endpoint Mapping

Eine präzise Identifikation des Betriebssystems ist ein entscheidender erster Schritt in jedem IT-Discovery-Prozess. Mit der neuesten Version von JDisc Discovery führen wir RPC Endpoint Mapping ein – eine leistungsstarke neue Protokollfunktion, die die Betriebssystemerkennung in einem frühen Stadium erheblich verbessert.

Ohne zu wissen, ob ein Gerät unter Windows, Linux oder einem anderen Betriebssystem läuft, kann die automatisierte Discovery ins Stocken geraten – insbesondere dann, wenn die Auswahl der Zugangsdaten von dieser Information abhängt.

Was ist neu?

RPC Endpoint Mapping ist Teil der Microsoft RPC-Infrastruktur und hört auf TCP Port 135. Obwohl es üblicherweise mit Windows in Verbindung gebracht wird, wird es auch von Linux Systemen mit SAMBA bereitgestellt und ist damit ein wertvoller plattformübergreifender Indikator. Durch die Abfrage des RPC Endpoint Mappers kann JDisc Discovery nun Windows sowie Linux Systeme mit Samba identifizieren, sie der jeweiligen Betriebssystemfamilie zuordnen und die Rolle Domain Controller vergeben, wenn ein Gerät als Domänencontroller fungiert.

Warum RPC Endpoint Mapping wichtig ist

Die Betriebssystemerkennung über NetBIOS und das anonyme SMB Protokoll liefert in der Regel nur die primäre MAC Adresse des Geräts und in einigen Fällen Informationen zur Windows Domänenzugehörigkeit sowie zur Betriebssystemfamilie. Über HTTP/S lässt sich mitunter ebenfalls die Betriebssystemfamiliee ermitteln. Allerdings sind diese Protokolle bei der Identifizierung der Betriebssystemfamilie eingeschränkt. Möglicherweise sind Sie daher bereits auf folgendes Problem gestoßen: JDisc Discovery erhält keine Details zu meinem Computer. Was kann ich tun?

Hier kommt das RPC Endpoint Mapping ins Spiel und bietet folgende Vorteile:

  • Erkennung von Gerätetyp und Betriebssystemfamilie für Windows und Linux Computer (mit SAMBA) ohne Zugangsdaten
  • Frühere und zuverlässigere Klassifizierung von Gerätetyp und Betriebssystemfamilie
  • Verbesserte Auswahl von Zugangsdaten für nachgelagerte Protokolle wie WMI, SMB und SSH

Protokolle wie WMI, SSH und SMB sind in der Regel darauf angewiesen, die Betriebssystemfamilie des Zielsystems im Voraus zu kennen, um sich korrekt zu authentifizieren. Durch die frühzeitige Erkennung der Betriebssystemfamilie im Discoveryprozess hilft RPC Endpoint Mapping als Wegbereiter für nachgelagerte Protokolle und bietet zahlreiche Vorteile, wie z.B.:

  • Schnellere Ausführung von Discoveryjobs
  • Weniger fehlgeschlagene Anmeldeversuche
  • Reduzierter manueller Konfigurationsaufwand
  • Höhere Genauigkeit in heterogenen Umgebungen

Um Ihnen etwas Kontext zu geben, hier einige Zahlen aus unserer Laborumgebung. Von 20 Windows Computern mit unterschiedlichen Windows Client- und Serverbetriebssystemen:

  • RPC Endpoint Mapping identifiziert 19 Systeme einschließlich ihrer Betriebssystemfamilie
  • NetBIOS (anonym) erkennt 11 Systeme und ermittelte deren MAC Adressen, identifiziert jedoch bei keinem die Betriebssystemfamilie
  • HTTP/S identifiziert 2 Systeme einschließlich der Betriebssystemfamilie
  • SMB (anonym) identifiziert 1 System einschließlich seiner Betriebssystemfamilie und ermittelt MAC Adressen für 2 Systeme

Es scheint, dass RPC Endpoint Mapping unter den vier zugangsdatenfreien Protokollen die höchste Erkennungsrate liefert.

Nahtlose Integration

Die Funktion ist vollständig in JDisc Discovery integriert und arbeitet automatisch innerhalb des bestehenden Discovery Prozesses. Es sind keine zusätzlichen Konfigurationen oder Zugangsdaten erforderlich. Wenn Sie neugierig sind, wie RPC Endpunkte aussehen, können Sie diese im Bericht ‚Device Details‘ innerhalb des Discovery Log einsehen. Die Anzahl der Endpunkte kann je nach Betriebssystem sowie den installierten Features und Serverrollen erheblich variieren.

RPC Endpoints
RPC Endpoints

Derzeit extrahiert JDisc Discovery aus den RPC Endpoint Mapping Daten lediglich die Betriebssystemfamilie und die Rolle des Domain Controllers. Künftig könnten diese Informationen jedoch tiefere Einblicke in die Funktionen und die Sicherheitslage eines Geräts ermöglichen – beispielsweise Hinweise darauf, ob Dienste wie die Remote Registry aktiviert sind. Lassen Sie uns gerne wissen, wenn Sie weitere Erkenntnisse zu diesem Thema haben oder Ideen für zusätzliche Mehrwerte, die auf Basis der Endpoint-Informationen umgesetzt werden könnten.

Das RPC Endpoint Mapping Protokoll ist standardmäßig aktiviert, sodass keine zusätzliche Konfiguration erforderlich ist. Lassen Sie JDisc Discovery einfach den Rest erledigen. Mit RPC Endpoint Mapping wird JDisc Discovery noch intelligenter bei der frühzeitigen und zuverlässigen Identifizierung von Systemen. Es ist eine kleine Protokollerweiterung mit großer Wirkung auf die Qualität der Discovery – sie macht den Prozess schneller, robuster und einfacher zu betreiben.

Ich hoffe, dass Ihnen diese neue Funktion dabei hilft, Ihren Discoveryprozess zu optimieren und zu beschleunigen –  für schnellere Erkenntnisse sowie effizientere und zuverlässigere Ergebnisse in Ihrer gesamten Umgebung.

Viele Grüße
Thomas

About The Author

Thomas Frietsch
I am a senior software engineer and network discovery subject matter expert at JDisc. I am working primarily on the design and implementation of the discovery engine. Feel free to contact me on LinkedIn.

Leave A Comment