专利名称:询问多个计算机化设备的方法和设备的制作方法
技术领域:
本发明通常涉及信息安全领域。更具体地,本发明涉及一种方法和一 种设备,其用于在普通管理域下使多个计算机化设备的至少注册表的无代 理和并行询问能够进行以例如检测潜在威胁的指示。
背景技术:
信息和尤其数字信息现在处于大多数组织的中心。可惜,现在,信息 系统处于不断的威胁下,以及珍贵的数据通常处于被公开的破坏或甚至被 未授权方窃取的风险中。这些风险的财政后果太大,因此这些风险不能一皮 忽视。令人遗憾地,现有的信息安全解决方案不能提供全面的解决方案, 确保可靠和持续地保护以免受危及组织数据的现有的威胁。对传送组织网络内以及与外部世界(公共、远程位置、商业合作者等) 的不同种类的通信的互联网的依赖、以及许多复杂的小型存储设备(例如 用作磁盘的USB可连接的设备)和其它先进技术进入市场和增长,对没 有满意的解决方案提出了新的安全挑战。大多数现有的IT安全解决方案 基本为现有解决方案的改进,以及基于过时的假设威胁仅来自外部源(例 如,互联网)。因此,大多数现在的IT安全解决方案将组织网络内的实 体看作"可信的",而组织网络内外的实体被看作"不可信的"。使用简 单的装置和方法来产生进入组织内网的后门的威胁的数量增多是警告外 围防护方法的缺点的证据,其包括例如所有现有的网关安全产品(例如防 火墙、防病毒、内容检测、IDS/IPS和其它的过滤器)。实际上,世界著 名的研究团体最近估计,超过80%的破坏组织信息安全的事件来源于组 织本身内(恶意或由于缺乏意识);因此关键重要的是实现防备外部威胁 和内部威胁(例如,雇员、承包者等)间的平衡,以及给安全人员提供集 中的解决方案,允许其有效地监控涉及内网计算机的活动(例如监控信息 安全政策的顺应性)。对于填补上述的部分安全空白已进行了尝试,然而,迄今,所有所提 议的解决方案具有主要的缺点,以及仅提供防备广泛的威胁的部分解决方 案,和/或具有技术不足,以.及没有一个是足够全面的、直接的、灵活和/ 或有效的。例如, 一些解决方案需要一个计算机接着一个计算机地扫描网 络。为了数据安全,由于完成任何相当数量的设备的询问循环所需的时间 数量,因此这是不可接受的。其它所建议的部分解决方案依赖于代理应用 程序,其必须安装在每一待询问的设备上且其后必须在每个安装的设备上被管理。基于代理的解决方案要求每一计算机化设备安装有合适的代理应 用程序,所述计算机化设备被允许与组织网络通信。单独的所述安装,不 管其是自动、半自动还是手动的,都需要很多的人力资源且可能是相当耗 时的。在许多服务器和工作站上的代理安装可能不能操作,且这样的故障 不被注意到,这引起严重且末被检出的安全破坏。从技术角度来看,代理 安装也是有问题的。当安装代理时,以及只要安装了代理,就必须确保对 于在其上安装了或正在安装所述代理的每一计算机化设备,代理应用软件 和所述计算机化^殳备上的其它软件组件没有任何冲突。这样的冲突可妨碍 代理操作或甚至使代理操作无效。这对系统管理资源和人员产生进一步的 事务负担。除了以上之外,代理应用程序即使在正常才喿作期间也会浪费本 地和网络资源。一组不同的信息安全工具包括多种漏洞扫描器(vulnerabilityscanner)。漏洞扫描器一般用于检测不需要/未授权的服务,例如开放的 端口,以及其它漏洞,其4义是网络和/或才喿作系统级上的一部分漏洞。漏 洞扫描器不能寻址操作系统级上的所有威胁以及操作于应用程序级的威 胁,其是相当普遍的且可引起对组织相当的损害。另外一组感兴趣的工具 是目录/资产(inventory/asset)模块,尽管并不特定用于信息安全。目录 模块通常由系统管理员或由后勤人员使用以产生目录列表,其包括安装在 由目录模块所监控的计算机上的各种硬件和软件资源。然而,如上述,目录模块并不旨在用于安全目的,因此不能产生集中关注于安全威胁的目录 数据。可由目录模块产生的数据一般包括大量的无关的数据,且与安全威 胁有关的数据可通常仅部分地来自于信息安全的角度。此外,出于信息安 全的目的,为了具有一些相关性(尽管有限),需要分析由目录模块返回 的大量的数据的附加的处理以分析潜在的威胁。此分析需要特殊的专业知 识和大的关注,以及是漫长的。此外,目录模块不能在基本短的时间内扫 描大量的计算机,因此可存在相当长的时间安全威胁未被目录模块检测出 和可能甚至根本未检测出的一些可能性。 一些安全威胁仅需要短的时间就 引起相当大的损害,且必须被尽可能快地检测出和阻止。因此,由于获得 目录列表需要长的时间和分析返回的数据需要额外数量的时间,以及其缺 乏对于安全威胁的集中关注,目录模块不能提供适合的IT安全解决方案。发明内容因此需要一种系统、方法和设备来有效地询问组织网络内的计算机化 设备。进一步需要提供一种系统和方法,其能够不使用代理应用程序而对 于与安全威胁有关的一或更多主题来并行远程扫描多个计算机化设备。进 一步需要提供基本全面、直接和灵活的这样的系统和方法。本发明的 一 些实施方式可涉及用于询问组织网络内的计算机化设备 的一种设备和一种方法。根据本发明的一些实施方式,所述设备可包括询 问模块,所述询问模块可适合于接收指定要被询问的多个计算机化设备的 数据,和接收指示在所指定的计算机化设备上询问哪一个或更多询问主题 的数据。根据本发明的一些实施方式,所述询问模块可适合于调用和配置
多个远程访问程序,以4艮据所述所选的询问主题来并行地且不使用代理地 询问所述所指定的计算机化设备的至少注册表。根据本发明的进一步的实施方式,所述用于询问组织网络内的计算机 化设备的询问设备可包括询问模块和无代理模块。所述询问模块可适合于 接收指定要被询问的多个计算机化设备的数据,和接收指示在所述所指定 的计算机化设备上选择哪一个或更多询问主题来询问的数据。所述无代理 模块适合于调用和配置至少 一远程访问程序来询问远程计算机化设备的 至少注册表。根据本发明的一些实施方式,所述询问模块可适合于使用所 述无代理模块的多个线程来并行调用和配置多个远程访问程序,以根据所 述所选的询问主题来并行且不使用代理地询问所述所指定的计算机化设 备的至少注册表。根据本发明的一些实施方式,所述询问才莫块适合于并行 使用所述无代理模块的相当大数量的线程。根据本发明的另一些实施方式,所述询问主题与安全威胁有关。根据本发明的进一 步的实施方式,所述询问主题可以与计算机化i殳备的至少所 述注册表内的一或更多特定位置有关,在询问期间,在此位置可能发现安 全威胁的指示。根据本发明的一些实施方式,所述询问模块可适合于选择在各所述计 算机化设备上要询问哪一个或更多所述询问主题。根据本发明进一步的实 施方式,所述设备可进一步包括用户接口。例如,所述用户接口可使用户 能够直接或间接选择一或更多所述要被询问的计算机化设备。所述用户接 口可进一步使用户能够直接或间接选择在一或更多所述要被询问的指定 的计算机化设备上要询问哪一个或更多询问主题。根据本发明的一些实施方式,所述询问模块可适合于确定用于询问所 述所指定的计算机化设备的所述无代理模块的线程数。所述询问模块可适 合于根据一或更多下列各项来确定所要使用的所述无代理模块的线程数, 所述下列各项为要被询问的计算机化设备的数量、所期望的扫描速度、 一或更多网络性能参数、所述要被询问的主题和/或威胁严重性。例如, 在确定或指明所述计算机化设备上确定的一或更多要被询问的询问对象 与严重的安全威胁有关的情况下,所述询问模块可配置成例如调用所述无 代理^^莫块的相当大数量的线程。根据本发明的 一些实施方式,所述询问模块可适合于向所述无代理模 块的每一线程分配一或更多所述所指定的计算机化设备。根据本发明进一 步的实施方式,所述询问模块可适合于向所述无代理模块的每一线程分配 一或更多询问主题,所述询问主题在被分配给所述无代理模块的所述线程 的一或更多所述所指定的计算机化设备上被选择来询问。根据本发明的一些实施方式,所述无代理模块的每一线程可适合于配 置各所述所调用的远程访问程序,以根据分配到所述线程的计算机化设备 上被选择来询问的所述询问主题,来询问所述计算机化设备内的一或更多 特定位置。根据本发明进一步的实施方式,所述无代理模块的每一线程可 适合于配置各所述所调用的远程访问程序,以根据被选择用于各所述计算 机化设备且已分配给所述线程的所述询问主题,来询问所述被分配到所述 线程的计算机化设备的至少注册表内的一或更多特定位置,。根据本发明的 一些实施方式,所述询问模块可适合于向所述无代理模 块的一或更多线程分配预定的数据,所述预定的数据与可在一或更多所述 特定位置发现的确定数据相应,与分配给此线程或这些线程的一或更多所 述询问主题有关。根据本发明进一步的实施方式, 一或更多所述无代理模 块可适合于配置一或更多所述所调用的远程访问程序以比较实际数据与 预定的数据,所述实际数据发现于所述计算机化设备内的一或更多特定位 置上,其与分配到此或这些线程的一或更多所述询问主题有关,所述预定 数据与一或更多所述询问主题有关,其与所述可在一或更多所述特定位置发现的数据相应。根据本发明的一些实施方式,所述设备可进一步包括一或更多数据 库。才艮据本发明进一步的实施方式, 一或更多所述数据库可包括与一或更 多计算机化设备相应的预存储的数据。根据本发明进一步的实施方式,作为指定所述要被询问的计算机化设备的一部分,与计算机化i殳备相应的预 存储的数据可自所述数据库获得。根据本发明的一些实施方式, 一或更多 所述数据库可包括包括与一或更多询问主题相应的预存储
发明进一步的实施方式,作为在所述指定的计算机化设备上选择要被询问 的一或更多询问主题的一部分,与 一或更多询问主题相应的预存储的数据 可自所述数据库获得。根据本发明的一些实施方式,所述设备可进一步包括结果分析模块。 所述结果分析模块可适合于处理所接收的结果,以响应对所述所指定的计 算机化设备的至少所述注册表的询问。所述结果分析模块可适合于产生与 所述结果相应的报告。根据本发明进一步的实施方式,所述结果分析冲莫块 适合于基于一或更多所述所接收的结果来执行一或更多预定的操作或过 程。例如,根据本发明的实施方式,所述结果分析模块可适合于使用无代 理才莫块的 一或更多线程来调用和配置一或更多远程访问程序,以-修改或删 除被询问的一或更多所述远程计算机化设备上的特定数据。根据本发明的一些实施方式, 一种询问组织网络内的计算机化设备的方法可包括下面的步骤指定要被询问的多个计算机化设备,选择所述指 定的计算机化设备上要被询问的 一或更多询问主题,以及并行调用和配置 多个远程访问程序以根据所述所选的询问主题来并行且不^f吏用代理地询 问所述所指定的计算机化设备的至少注册表。根据本发明进一步的实施方式,所述选择一或更多询问主题的步骤可 进一步包括选择询问各所述所指定的计算机化设备上哪一个或更多所述 询问主题。根据本发明的一些实施方式,所述方法可进一步包括并行使用无代理 模块的多个线程的步骤,各所述线程适合于调用和配置至少一个远程访问 程序来询问远程计算机化设备的至少注册表。根据本发明进一步的实施方 式,所述使用的步骤进一步包括向所述无代理模块的所述多个线程的每一 线程分配一或更多所述所指定的计算机化设备,以及所述一或更多计算机 化设备上要净皮询问的一或更多所述询问主题。根据本发明的一些实施方式,所述方法可进一步包括根据一或更多下 列各项来确定调用的无代理模块的线程的数量的步骤,所述下列各项为 要被询问的计算机化设备的数量、所期望的扫描速度、 一或更多网络性能 参数、所述要被询问的主题和/或威胁严重性。根据本发明进一步的实施方式,所述分配步骤进一步可包括根据在所述计算机化设备上被选择来询 问的一或更多所述询问主题,来向所述无代理模块的所述一或更多线程分 配与所述计算机化设备内 一或更多特定位置相应的数据,所述计算机化设 备被分配到此或这些线程。根据本发明的方法的一些实施方式,所述方法可进一步包括下面的步骤接收结果以响应于所述所指定的计算机化设备的至少所述注册表的询 问,和产生与所述所接收的结果相应的报告,以响应于所述所指定的计算 机化设备的询问。根据本发明进一步的实施方式,所述方法可进一步包括 基于一或更多所述所接收的结果来执行一或更多预定操作或过程的步骤。 根据本发明的方法的进一步的实施方式,所述方法可进一步包括下面的步 骤使用所述无代理模块的一或更多线程来调用和配置一或更多远程访问 程序,以修改或删除被询问的一或更多所述远程计算机化设备上的特定数 据。
为了理解本发明以及了解可如何实施其,现在参考附图,通过非限制 性实施例来描述优选实施方式,其中图1为根据本发明的一些实施方式的、用于询问组织网络内的计算机 化设备的设备的放大图;图2为根据本发明的一些实施方式的询问组织网络内的计算机化设 备的方法的一些实施方式的流程图;图3为作为本发明的一些实施方式的一部分的、典型的组织网络的方 框图,其包括用于询问组织网络内的计算机化设备的设备;图4A为可能的询问主题数据库的一实施例的图示,所述数据库包括 与询问主题有关的数据;以及图4B为根据本发明的一些实施方式的表的一实施例的图示,所述表 包括用于要使用的无代理模块的各线程的项目,以及与所述计算机化设备 和分配给所述无代理模块的此线程的询问主题相应的数据。
应理解,为了简化和说明清楚,附图所示的元件不一定按比例绘出。 例如,为了清楚, 一些元件的尺寸相对于其它元件被放大。此外,在考虑 合适的情况下,在附图中可重复标号以表示相应或相似的元件。
具体实施方式
在下面详细的说明中,解释了许多具体的细节以提供对本发明的完整 的理解。然而,本领域的技术人员应理解,没有这些具体的细节也可实施 本发明。在其它情况下,没有详细描述公知的方法、步骤和部分,以不模 糊本发明。除非另具体地指出,如从下面的论述中明显的,应理解,在整个说明 书的i仑述中, -使用术语例如"处理"、"运算,,、"计算"、"确定,,、 "生成"、"分配"等指的是计算机或计算系统或类似的电子计算设备的 操作和/或处理,其操纵和/或将代表计算系统寄存器和/或存储器内的物理 量例如电量的数据变换成类似地代表计算系统存储器、寄存器或其它这样 的信息存储、传送或显示设备内的物理量的其它数据。本发明的实施方式可包括执行本文操作的装置。此装置可特别构造成 用于期望的目的,或其可包括通用计算机,所述通用计算机由存储在所述 计算机中的计算机程序来选择激活或重新配置。这样的计算机程序可存储 在计算机可读存储介质中,其例如但并不局限于任何类型的盘,包括软盘、光盘、CD-ROMs、磁光盘、只读存J渚器(ROMs )、随才几存取存储器(RAMs )、 电可编程只读存储器(EPROMs )、电可擦可编程只读存储器(EEPROMs )、 磁或光卡、或适用于存储电子指令和能够连接到计算机系统总线上的任何 其它类型的介质。在此所提出的过程和显示并不固有地与任何特定的计算机或其它装 置有关。多种通用系统可用于根据这里的教导的程序,或可证明方便的是 构造更专用的装置来执行期望的方法。用于多种这些系统的期望的结构从 下面的说明中变得显而易见。另外,本发明的实施方式未参考任何具体的 编程语言来描述。应理解,多种编程语言可用于实现这里所述的本发明的 教导。在整个说明书和斥又利要求书中,术语"组织网络"除非另外说明,应 理解成意指形成组织网络的任何计算机化设备组。除非另外说明,这里所用的组织网络可包括在任何类型连接上的一或更多互连的LAN (局域 网)、WAN(广域网)、和/或无线通信网等以及其任何组合。所述组织 网络可在单个管理域下或在多于一个的管理域下,以及可包括在常规基础上并不连接到组织网络但至少部分受组织网络管理控制的一或更多额外 的计算机化设备。现在参考图1,图1为根据本发明的一些实施方式的询问设备的放大 图,其用于询问组织网络内的计算机化设备。根据本发明的一些实施方式, 用于询问组织网络内的计算机化设备的设备200可包括询问模块220和无 代理模块230。根据本发明的一些实施方式,询问模块220可操作连接到 无代理模块230。应注意,根据本发明的一些实施方式,无代理模块230 可集成到询问模块220。现在另外参照图2,图2为根据本发明的一些实施方式的、询问组织 网络内的计算机化设备的方法的 一些实施方式的流程图。根据本发明的一 些实施方式,询问模块220可适合于接收指定要被询问的多个计算机化设 备的数据(方框IIO)。另外,询问模块220可适合于接收与所指定的计 算机化设备上的被询问的一或更多所选的询问主题相应的数据(方框 120)。下面参考本发明的进一步的实施方式,提供关于询问主题的性质 的另外的论述。根据本发明的一些实施方式,根据所指定的要被询问的计算机化设备 和/或根据要被询问的所选的询问主题,询问模块220可适合于确定要使 用和激活的无代理模块230的线程数(方框130 )。询问模块220可适合 于给无代理模块230的各线程分配要被询问的一或更多(指定的)计算机 化设备,和此或这些计算机化设备上要被询问的一或更多(所选的)询问 主题(方框140)。根据本发明的一些实施方式,在一些情况下,要被询 问的一或更多计算机化设备与选择用于此或这些计算机化设备的所有询 问主题一起可分配给无代理模块230的确定的线程,然而在其它情况下, 确定的包括一或更多计算机化设备的组可分配给无代理模块230的两或 更多线程,以及在已分配了所述组的线程中可划分选择用于所述计算机化 设备组的询问主题。根据本发明的一些实施方式,询问模块220可适合于获得和提供给无 代理模块230的每一线程帮助询问分配到其的计算机化设备可能必要的 任何数据,其根据选择用于此或这些计算机化设备的询问主题,以及其已 分配给无代理模块230的此线程。下面更详细地描述这样的信息的一些实 施例。下面提供与要使用的线程数有关和与要被询问的计算机化设备和询 问主题的分配有关的进一步论述以及与可提供给无代理模块230的数据 种类有关的论述。根据本发明的一些实施方式,无代理模块230可操作连接到远程访问 程序或模块260。根据本发明的一些实施方式,远程访问程序260可不使 用代理就能够询问远程计算机化设备的至少注册表。根据本发明的进一步 的实施方式,远程访问程序260还可适合于修改(写、重写、修改、删除 等)存储在远程计算机化设备的至少注册表内的数据。根据本发明的进一 步的实施方式,远程访问程序260当接收适当的指令时或当被适当地编程 或配置以询问特定的计算机化设备的至少注册表内的特定的位置时,可适 合于询问远程计算机化设备的至少注册表内的所述特定的位置。根据本发明的一些实施方式,无代理模块230的各线程可适合于调用 至少一个(以及例如, 一般是一个)远程访问程序260。因此,根据本发 明的一些实施方式,无代理才莫块230的多个线程可适合于同时调用多个远 程访问程序260。作为调用所述远程访问程序一部分,无代理才莫块230的 各线程可适合于配置至少一个远程程序260。根据本发明的进一步的实施 方式,无代理模块230的各线程可适合于配置至少一远程访问程序260以 访问(和询问)一或更多特定的计算机化设备的至少注册表内的一或更多 特定的位置。根据本发明的一些实施方式,询问模块220可适合于并行使 用无代理模块230的多个线程来调用多个远程访问程序260,以根据所选 择的询问主题并行且不使用代理地询问指定的计算机化设备的至少注册 表。根据本发明的一些实施方式,作为使用或激活无代理模块230的线程 的一部分,询问模块220可适合于配置无代理模块230的每一线程,其用
于引起以根据一或更多询问主题不使用代理远程访问 一或更多计算机化设备的至少注册表的方式来调用 一或更多远程访问程序260,所述计算机 化设备分配到无代理模块230的此线程,所述询问主题在此或这些计算机 化设备上被选择以待询问,以及其(选择用于此计算机化设备的询问主题) 已浮皮分配到无代理模230的此线程(方框150 )。作为本发明的一些实施方式的一部分,各远程访问程序260可配置成 为一或更多计算机化设备上要被询问的一或更多询问主题产生合适的查 询以及使用通信模块210来根据所述询问主题远程询问所述计算机化设 备。作为本发明的进一步的实施方式的一部分,通信模块210可以被多个 远程访问程序使用以并行询问所述指定的计算机化设备的至少注册表。作 为本发明的进一步的实施方式的一部分,各远程访问程序260可适合于自 正询问的远程计算机化设备提取与在与询问主题有关的特定位置所具有 的数据(或其的缺乏)相应的任何相关指示。作为提取所述数据的一部分, 各远程访问程序260可配置成将自与询问主题有关的远程计算机化设备 所提取的所述指示返回给设备200或任何其的部件。作为本发明的进一步 实施方式的一部分,在所述远程访问程序260配置期间,所述远程访问程 序寻找所述数据(或缺乏其)的所述特定位置可通过无代理模块230的线 程之一提供给所述远程访问程序。应注意,作为本发明的一些实施方式的 一部分,各远程访问程序可适合于使用任何已知或在将来设计的工具来询 问远程计算机化设备上的指定的目标,包括但并不局限于作为目前市场上 销售的一些操作系统的一部分的多种工具。还应注意,本发明的一些实施 方式并不局限于任何特定的远程访问程序的使用。根据本发明的一些实施方式,上述程序可以被手动启动和/或可以自才艮据进一步的实施例,所述程序可以响应于预定的事件而自动开始。图3显示作为本发明的一些实施方式的一部分的典型的组织网络的 方框图,其包括用于询问组织网络内的计算机化设备的设备。在图3中, 显示组织网络IO包括几个LNA20,使用不同类型的连接(例如专用线、 互联网)连接在一起,形成WAN30,其例如可服务于所述组织的两个(或
更多)不同位置或分部。应注意,本发明并不局限于任何特定的网络体系 结构,而是,根据本发明的一些实施方式,形成组织网络的任何计算机化 设备组可被认为是"组织网络"。作为本发明的一些实施方式的一部分,用于询问组织网络10内的计 算机化设备的设备200可连接到组织网络10。例如,如图3所示,设备 200可以为LAN20之一的一部分,以及可操作地连接到WAN30以及与 LAN20连接的远程计算机化设备(以及其至少部分受组织网络10管理的 控制)。现在返回到图1,根据本发明的一些实施方式,设备200可操作连接 到通信模块210或可包括通信模块210。通信模块210可例如为安全管理 器计算机202的网络接口卡(NIC),所述设备200可操作连接到其或包 括在其内。通信模块210可配置成使设备200能够与组织网络10内的至 少一些以及一般所有的计算机化设备通信。应注意,根据设备200的可选 的实施方式,通信模块210可包括作为设备200的一部分,以及根据本发 明的一些实施方式,通信模块210可从设备200省略,以及外部通信接口 或模块可由i殳备200或由设备200的一或更多部件使用以与组织网络10 中的计算机化设备通信。根据本发明的一些实施方式,设备200可包括存储设备240。存储设 备240可用于存储与组织网络内的计算机化设备有关的预定数据和/或与 预定的询问主题有关的数据。存储设备240内的数据可在任何数据结构中 组织,包括但不局限于一或更多数据库。根据本发明的进一步的实施方式, 设备200可包括一用户接口或多个接口 250。用户接口 250可用于实现自 设备200的用户接收数据,和/或向所述用户输出数据(例如,显示结果 或打印报告)。例如,用户可使用用户接口 250来输入与要被询问的计算 机化设备有关的数据和/或产生新的询问主题或更新指定的计算机化设备 上要被询问的现有询问主题,或选择指定的计算机化设备上要被询问的现 有的询问主题。根据本发明的进一步的实施方式,设备200可连接到外部 数据源,例如组织主域控制器(prime domain controller, PDC )、组织活 动目录(active directory, AD)或多种文件,与要被询问的计算机化设备
和/或要被询问的询问主题有关的数据可自其输入。各以上数据源可替换 使用和或彼此组合使用以指定要备询问的计算机化设备和/或选择或产生 指定的计算机化设备上要被询问的询问主题。例如,可自组织活动目录获 得组织网络IO内'的所有用户的基本完全的列表,以及所述用户可使用用 户接口来指定要询问这些计算机化设备的哪些设备。根据本发明的一些实施方式, 一旦指定要被询问的计算机化设备,若必要,询问^^块220可适于自一或更多上述的数据源(或数据输入4^口) 获得与要被询问的计算机化设备的ID有关的数据。然而,在一些或所有 指定的计算机化设备的ID提供给询问模块220作为其说明的 一部分的情 况下,对于这些计算机化设备,可不必独立获得一 ID。所述要被询问的 计算机化设备可由其网络地址(例如IP地址)和/或由所述网络内的计算 机化设备的名称(主机名)指定。然而,根据本发明的一些实施方式,可 以使用目前已知或将来要设计的任何其它合适的识别数据。根据本发明的 一些实施方式,要被询问的计算机化设备的列表可暂时存储在存储介质 中,例如设备200的存储介质240中。4艮据本发明的一些实施方式,作为 使用无代理模块230的多个线程的一部分,询问模块220可向无代理模块 230的各线程提供已经或正在被分配到无代理模块230的所述线程的计算 机化设备的ID。根据本发明的一些实施方式, 一或更多以及可能所有的询问主题与计 算机化设备的至少注册表内的特定位置(以及可能多于一个位置)有关。 现在参照图2,根据本发明的一些实施方式, 一旦选择了指定的计算机化 设备上要被询问的询问主题,询问模块220可适合于对于各所选的询问主 题获得指向远程计算机化设备的至少注册表内的一特定位置或多个特定 位置的数据(或提供到特定位置的路径的数据)(方框122)。所述指向 远程计算机化设备的至少注册表内的 一位置或多个特定位置的数据可指 示在计算机化设备上何处可发现或期望发现与询问主题有关的数据。根据本发明的进一步的实施方式,另外,对于一或更多所选的询问主 题,通过询问模块220还可获得与在特定的位置可发现的特定数据(例如 特定的值)有关的数据(方框124)。根据本发明的进一步的实施方式,
若在特定位置发现指示,与在特定位置可发现的特定指示数据有关的数据 可指示安全威胁。根据本发明的一些实施方式,对于各所选的询问主题或仅对于其一 些,所述指向远程计算机化设备一特定位置或多个特定位置的数据和/或 与在所述特定位置可发现的特定数据有关的数据可被预分类和可自动获 得。然而,根据本发明的进一步的实施方式,在选择之后,对于一或更多 所选的询问主题,所述指向远程计算机化设备一特定位置或多个特定位置 的数据和/或与在所述特定位置可发现的特定数据有关的数据可由用户手 动提供。根据本发明的一些实施方式,作为使用无代理模块230的多个线程的 一部分,根据分配到无代理模块230的每一线程的询问主题,询问模块 220可向无代理模块230的所述线程提供指向远程计算机化设备上的一特 定位置或多个特定位置的相关数据和/或与在所述特定位置可发现的特定 数据有关的相关数据。根据本发明的进 一 步的实施方式,作为调用 一 或更多远程访问程序 260的一部分,无代理模块230的每一线程可适合于配置或编程远程访问 程序260,以确定所述计算机化设备是否包括与所述询问主题有关的位置 上的数据,作为询问所述远程计算机化设备的一部分。根据本发明的进一 步的实施方式,作为对于询问主题询问远程计算机化设备的一部分,用于 询问的远程访问程序260可配置成使所述远程计算机化设备返回关于在 与询问主题有关的特定位置上数据存在或其缺乏的指示,以及在发现数据 的情况下,作为所述询问的另一部分,返回与在所述特定位置发现的实际 数据有关的指示。可与所迷指示有关的所述位置可以为与所述计算机化设 备上被询问的询问主题有联系的位置。根据本发明的进一步的实施方式,合适的指示。应注意,根据本发明的一些实施方式,远程访问程序可以例 如为,但并不局限于多种API,.其可使用任何必要的工具以产生合适的查 询来根据所述询问主题询问所述远程计算机化设备。根据本发明的进一步的实施方式,作为调用一或更多远程访问程序的 一部分,无代理模块230的每一线程可适合于配置或编程远程访问程序 260以确定在远程计算机化设备上所发现的与确定的询问主题有关的实际 数据是否满足和与所述询问主题相联系的预定值的预定关系(或是否所发 现的数据为确定的类型)。根据本发明的进一步的实施方式,作为调用一 或更多远程访问程序的一部分,无代理模块230的每一线程可适合于配置 或编程远程访问程序260以确定所述在计算机化i殳备的注册表内的特定 位置所发现数据是否满足和预定的注册表项(key)名、注册表值名和/或 注册表值数据的预定关系,其与所述询问主题相关联,所述询问主题与所 述特定的位置相关联。应注意,为了使所述远程访问程序能够确定在与确 定的询问主题有关的远程计算机化设备上所发现的实际数据是否满足与 预定的值的预定关系, 一些目前已知的远程访问程序可需要一些更改和/ 或增强,这对于本领域的普通技术人员是容易显而易见的。应进一步注意, 将结果与预定值比较的过程可以可选地执行,作为结果分析过程的 一部分,或作为备选,或加到上述比较。下面更详细地论述询问结果的处理。才艮据本发明的进一 步的实施方式,作为调用 一 或更多远程访问程序的 一部分,无代理模块230的每一线程可适合于配置或编程正被所述线程调 用的远程访问程序260,以根据分配到所述线程的计算机化设备的ID,以 及根据指向与已被分配到所述线程的询问主题相应的一特定位置或多个 特定位置的数据,来为了 一或更多询问主题而询问一或更多指定的计算机 化设备。根据本发明的进一步可选的实施方式,作为调用一或更多远程访 问程序的一部分,无代理模块230的一或更多线程可适合于配置或编程正 被此(或这些)线程调用的远程访问程序260,以将在远程计算机化设备 上的特定位置所发现的实际数据和与在所述特定位置可发现的 一或更多 特定的指示有关的所预分类的数据进行比较。根据本发明的进一步的实施 方式,作为调用一或更多远程访问程序的一部分,无代理模块230的一或 更多线程可适合于配置或编程正被此(或这些)线程调用的远程访问程序 260,以在所述特定位置所发现的实际数据和所预分类的数据满足确定的 关系的情况下,返回确定的预定的指示。可以预定多于一个关系,以及不 同的指示可以与各关系关联。因此,无代理模块230的线程可配置远程访 问程序。
根据本发明的一些实施方式,要被询问的指定的计算机化设备可以被 预定或可以对于每一扫描具体地选择。根据本发明的进一步的实施方式, 在每一扫描之前,可提供计算机化设备的列表,例如,包括与组织网络 10连接或联系的所有计算机化设备的列表,以及可从全面的列表选择要 被询问的计算机化设备。在要被询问的计算机化设备的列表是预定的情况 下,所述列表可存储在数据库中或任何其它数据结构中,其可存储在存储器或存储设备240 (例如硬盘)上。根据本发明的进一步的实施方式,在 计算机化设备的列表是对于所述计算机化设备的每一扫描而具体产生的根据预定的标准可自动选择要被询问的计算机化设备,和/或要被询问的 计算机化设备可以由用户例如通过用户接口 250而手动选择。上述的任何计算机化设备的列表。根据本发明的一些实施方式,询问模块220可适合于给要被询问的各 所指定的计算机化设备分配在所述计算机化设备上要被询问的一或更多 询问主题。根据本发明的一些实施方式,对于各询问过程,各计算机化设 备上要被询问的询问主题可以被提前预先选择,或可以对每一询问过程由 用户手动选择。根据本发明的一些实施方式,所述询问主题可与安全威胁 有关,例如各询问主题可以与一或更多特定的威胁有关。根据本发明的进 一步的实施方式,所述询问主题可以与各种应用程序、服务和/或硬件服 务(一般,但不一定为辅助硬件设备,如USB存储设备)有关,若在与 组织网络连接或联系的计算机上被发现,其或其的确定的组合的显示 (evidence )可以指示安全威胁。根据本发明的一些实施方式,所述询问主题可以#皮预先确定和/或可 由用户手动或半手动定义。在确定的询问主题由用户定义的情况下,所述 用户可以使用用户接口 250来可能除了与询问主题有关的所预分类数据 外,还向询问模块220提供关于询问主题的数据。根据本发明的一些实施 方式,与预定的询问主题有关的数据可以在存储介质例如存储介质240中 分类,以及当所选的计算机化设备上的要被询问的询问主题被选择时,可
自所述存储介质检索有关数据。例如,根据本发明的一些实施方式,存储介质240可用于存储包括与多个预定的询问主题有关的数据的数据结构 或数据库。根据本发明的一些实施方式,所述存储在所述数据库中的数据 可以但不一定与已知的安全威胁有关。图4A示出可能的询问主题数据库的实施例,所述数据库包括与询问 主题有关的数据,现在参照图4A。各询问主题可以由确定的名称识别。 例如,所述主题的名称可以为通常用于指出与所述主题有关的威胁的名 称,然而可以使用任何名称。除了所述主题的名称外,如图4A所示,对 于各询问主题,可提供指向远程计算机化设备上的一特定位置或多个特定 位置的一或更多路径。根据本发明的一些实施方式,所述多个路径或一路 径可以与远程计算机化设备上的一位置或多个位置关联,在例如与询问主 题有关的安全威胁出现在计算机化设备上的情况下,在其中可发现或可预 期发现与询问主题有关的数据。例如,所述多个路径或一路径可以与远程 计算机化设备上的一位置或多个位置关联,在此位置,可以发现应用程序、 服务或硬件设备存在的指示,以及若发现(例如在所述特定位置)其指示 可以指示已知的安全威胁。根据本发明的进一步的实施方式,询问主题数据库对于其中的 一或更 多询问主题可包括与在提供给这个或这些询问主题的特定位置可发现的 特定指示(数据)或值有关的数据。例如,若在计算机化设备内的特定位 置^皮发现,所述指示可以指示已知的安全威胁,或在已知的安全威胁出现 在正被询问的计算机化设备上的情况下,可预期发现所述指示。这样的指 示一可能的例子可以为状态指示。例如,所述状态指示可以指示已知的安 全威胁是否出现在已发现所述指示的计算机化设备上,和/或其是否已安 装在已发现所述状态指示的计算机化设备上,和/或与所述指示有关的安 全威胁是否在已发现所述指示的计算机化设备上活动。根据本发明的一些 实施方式, 一或更多询问主题可以与计算机化设备的注册表内的 一或更多 位置有关,和/或所述计算机化设备上的其它一位置或多个位置有关。根据本发明的一些实施方式,对于至少一个询问主题,所述数据库可 包括与计算机化设备的注册表内的、预期会发现与所述询问主题有关的数
据的一或更多位置有关的数据。根据本发明的进一步的实施方式,除了所 述与计算机化设备的注册表内的、预期会发现与所述询问主题有关的数据 的 一或更多位置有关的数据外,所述数据库可包括指向计算机化设备内 的、预期会发现与所述询问主题有关的数据的其它位置的数据。这样的位 置可包括但不局限于计算机化设备的添力。/删除列表、服务列表、进程列 表、最近所使用的文件以及其它。应注意,可与 一个询问主题或与 一组询问主题有关的附加凄史据也可包 括在询问主题数据库中。例如,这样的数据可包括与多种询问主题有关的 各种独特的特征、图标、所述主题的描述、可以与所述主题有联系的范畴、 与可以在与所述询问主题有关的计算机化设备内的所述位置发现的信息 (例如,特定的注册表项或注册表值)有关的数据、在与所述主题联系的 计算机设备内的所述位置的许可值和/或未许可值。根据本发明的一些实施方式,如上所述,作为使用无代理模块230的 线程的一部分,询问模块220可适合于配置正被使用的无代理模块230的 各线程以引起调用一或更多远程访问程序260,使得根据已分配给所述线 程的且在一或更多计算机化设备已被选择要被询问的询问主题,不使用代 理地远程询问分配给所述线程的这个或这些计算机化设备的至少注册表。 可以被无代理模块230的线程调用来询问所述指定的计算机化设备的至 少注册表的远程访问程序260的一例子可包括一或更多应用程序设计接 口 (API),包括能够远程询问远程计算机化设备的注册表的API。本领 域的普通4支术人员应理解,包括多种API的多种远程访问程序260可以为 一些在市场上销售的操作系统的集成部件,然而,也可使用其它API。根 据本发明的进一步的实施方式,无代理模块230的线程可以调用各种API, 使得根据所述询问主题询问指定的计算机化设备的至少注册表,但可能为 在预期会发现与所述询问主题有关的数据的计算机化设备内的其它位置, 例如添力口/删除列表、服务列表、最近所使用的文件或活动进程列表。应 理解,无代理模块230的线程可配置成调用不同的远程访问程序和各种 API,使得? 1起所述远程访问程序来询问要被询问的指定的计算机化设备 上的多个位置和/或数据源。
为了说明,根据本发明的一实施方式,在所述无代理模块的线程之一确定注册表API用于询问一或更多计算机化设备的注册表的情况下,无代 理模块230可调用所述注册表API。接下来,所述无代理模块的线程可请 求操作系统以命令所述注册表API开启与确定的询问主题有关的确定的 路径、项或库。所述无代理模块的线程可请求操作系统以命令所述注册表 API向所述设备返回关于在所述指定位置是否发现数据的指示,或所述无 代理模块可请求操作系统以命令所述注册表API向所述设备返回关于在 所述指定位置所发现的实际数据的指示。根据本发明的一些实施方式,询问模块220可适合于确定并行使用的 无代理模块的线程数。根据预定的参数,例如网络性能或可用的带宽参数, 可以由用户手动选择或可以自动确定无代理模块230的线程数。根据本发 明的一实施方式,询问模块220可预先配置成使用无代理模块230的多个 数目的线程,以及例如,用户可通过选择期望的操作速度(例如-很慢、 慢、中等、高和很高)来选择所期望的无代理模块230的线程数。根据本发明的一些实施方式,当询问模块220确定并行使用的无代理 模块230的线程数时,询问模块220可适合于向无代理模块230的各线程 分配一或更多指定的计算机化设备。根据本发明的一些实施方式,询问模 块220可适合于确定哪一指定的计算机化设备将被分配给无代理模块230 的哪一线程,和/或多少数目的指定的计算机化设备将被分配给无代理才莫 块230的各线程。根据本发明的一些实施方式,要被询问的指定的计算机 化设备可在要被使用的无代理模块230的线程之间随机地和平等地分配。 根据本发明的进一步的实施方式,要被询问的指定的计算机化设备可根据 预定的规则和/或基于预定的参数,例如可用于自设备200到要被询问的 确定的计算机化设备通信的带宽数,而在要被使用的无代理模块230的线 程中间分配,以及可不必在无代理模块230的线程中间平等分配。然而, 本发明并不局限于此方面,以及询问模块220可配置成以其他方式确定哪 一指定的计算机化设备将被分配给无代理模块230的哪一线程,和/或多 少数目的指定的计算机化设备将被分配给无代理模块230的各线程。例 如,根据本发明的一实施方式,询问模块220可配置成在将被使用的无代
理模块230的所有线程之间基本平均分配要被询问的指定的计算机化设 备。现在参照图4B,其中显示根据本发明的一些实施方式的表的图示, 所述表包括用于要被使用的无代理模块的各线程的项目和与所述计算机 化设备和分配给所述线程的询问主题相应的数据。根据本发明的一些实施 方式,作为无代理模块230配置的一部分,询问模块220可适合于产生包 括用于要被使用的无代理模块的各线程的项目的表,其由询问模块220确 定。根据本发明的一些实施方式,对于要被使用的无代理模块230的每一 线程,询问模块220可适合于在所述表中记录与计算机化设备和与分配给 所述线程的询问主题相应的数据。上面已较详细地论述了由询问模块220 做出的关于无代理模块230的线程数的决定。根据任何预定的规则和/或 基于任何预定的参数,包括但并不局限于各种相等分配的方案,可得出由 询问模块220做出的关于哪一计算机化设备和/或哪一询问主题分配给无 代理模块230的哪一线程的决定。根据本发明的进一步的实施方式,询问模块220可适合于在用于无代 理模块230的各线程的所述表中记录通过所述线程识别要被询问的计算 机化设备的数据。询问模块220可适合于在用于无代理模块230的各线程 的所述表中记录指向远程计算机化设备上的一特定位置或多个特定位置 的数据,其中与分配给所述线程的询问主题相应的数据可在计算机化设备 上发现。根据本发明的进一步的实施方式,询问模块220可适合于在用于 无代理模块230的一或更多线程的所述表中记录与一或更多特定的指示 (数据)或值相应的数据,可在一特定位置或多个特定位置发现所述指示 或值,以及若在所述一特定位置或多个特定位置^皮发现,那么其可例如指 示安全威胁。询问模块220可适合于在用于无代理模块230的各线程的所 述表中记录任何其它数据,包括但不局限于下述数据,其可由无代理模块 230使用来配置一或更多远程访问程序260,以根据指定的计算机化设备 上要被询问的询问主题,远程询问一或更多指定的计算机化设备。根据本发明的一些实施方式,对于每一询问过程,可产生包括用于要 被使用的无代理模块230的各进程的项目的表,以及其可(暂时)存储在 存储介质240中。根据本发明的进一步的实施方式,询问模块220可使用 所述表中的数据来配置无代理模块230的各线程具有各无代理模块230用 于调用和配置远程访问程序260所必要的数据,以及配置各所述程序以根 据分配给所述无代理模块的该线程的一或更多计算机化设备上要被选为 的询问主题,不使用代理地远程询问这个或这些计算机化设备的至少注册 表。根据本发明的一些实施方式,无代理模块230的各线程可适合于使用 所述表(例如如图4B所示的表,或任何其它类似的表)中的数据,以调 用和配置一或更多远程访问程序260来根据在分配到所述线程的多个计 算机化设备之一上被选择询问的一或更多询问主题,远程询问所述计算机 化设备的至少注册表。无代理模块230可包括必要的数据,例如用于调用 和配置一或更多远程访问程序260以根据选择用于一或更多计算机化设 备的询问主题来询问所述计算机化设备的至少注册表所需要的必要的逻 辑。例如,在远程访问程序260包括开放API (openAPI)之一的情况下, 其中所述API可作为微软视窗(Microsoft Windows )操作系统之一的一部 分而被包括,无代理模块230可包括用于使无代理模块230的一或更多线 程能够调用所述API和配置所述API以根据一或更多询问主题来远程询 问一或更多计算机化设备的必要的数据或逻辑。例如,无代理模块230可 包括用于产生合适的查询来引起API产生远程扫描程序的必要的数据或 逻辑,所述远程扫描程序用于根据一或更多询问主题来询问 一或更多计算 机化设备。应理解,根据本发明的一些实施方式,所述远程访问程序的调 用和配置可以为上述操作的一部分。根据本发明的一些实施方式,无代理模块230的多个线程可同时调用 远程访问程序260。例如,每一线程可产生一或更多查询,所述查询旨在 引起远程访问程序260根据已被分配给所述线程以及计算机化设备上要 -故询问的 一或更多询问主题来远程且不使用代理地询问所述计算机化设 备的至少注册表。来自多个线程的无代理模块230的多个查询可引起多个 远程访问程序260被调用。根据本发明的进一步的实施方式,来自多个线 程的无代理模块230的多个查询可引起多个远程访问程序260根据被选择 用于指定的计算机化设备的询问主题来并行且不使用代理地询问所述指 定的计算机化设备的至少注册表。才艮据本发明的一些实施方式,可以由一或更多远程访问程序260以引 起存储在各指定的计算机化设备内的一或更多预定位置的数据被检索(根 据选择用于所述计算机化设备的询问主题)的方式产生一或更多查询。根 据本发明的进一步的实施方式,至少一个查询可配置成引起(一或更多) 远程访问程序根据选择用于指定的计算机化设备的询问主题来询问所述 计算机化设备的注册表内的一或更多预定位置。根据本发明的一些实施方 式, 一或更多远程访问程序可配置成将存储在一或更多计算机化设备内特 定位置的数据或值与预定值或预定数据进行比较。根据本发明的一些实施方式,所述查询可配置成引起远程访问程序 250根据选择用于各指定的计算机化设备的询问主题来询问各所述计算机 化设备内的一或更多预定位置。根据本发明的进一步实施方式,所述查询 可被产生以引起与各计算机化设备的询问结果相应的数据返回给设备 200,例如询问模块220。根据本发明的进一步实施方式,所述结果可与 各计算机化设备上被询问的各询问主题有关。根据本发明的一些实施方式,作为询问过程的一部分,远程访问程序 260可产生一或更多查询使得引起与根据指定的计算机化设备上被询问的 询问主题在所述计算机化设备选定位置内所发现的数据(或其的缺乏)相 应的数据被返回。与根据计算机化设备上被询问的询问主题在所述计算机 化设备内发现的数据相应的所返回的数据可以在设备200,例如在询问才莫 块220处被接收(方框160)。下面详细地描述根据本发明的一些实施方 式处理从计算机化设备所接收的数据。根据本发明的一些实施方式,询问模块220可包括结果分析模块225。 根据本发明的一些实施方式,结果分析模块225可适合于接收在设备200 所接收的查询结构以响应于所述查询。根据本发明的一些实施方式,结果 分析模块25可适合于收集一些或所有查询结果,以及可产生包括与所述 结果相应的各种数据的报告。所述报告可包括关于查询结果的各种细节, 例如,其可包括一或更多项目,每一项目包括与指定的计算机化设备上在
特定位置被发现的数据有关的细节,所述特定位置与所述计算机化设备上 被询问的确定的主题联系。所述报告可包括附加数据,例如关于与确定的 结果联系的计算机化设备和/或与确定的结果联系的询问主题的数据,以 及附加数据。根据本发明的进一步实施方式,所述报告可仅包括关于不和 一或更多条件一致的查询结果的数据,所述条件与 一或更多询问主题联 系,而所述询问主题与所述查询耳关系。任何技术可用于产生所述才艮告,以 及所述报告可以为许多格式和许多形式。根据本发明的进一步实施方式,相应于所述查询结果的数据可开始经 历处理,以及处理的数据可用于产生所述报告。例如,关于确定的计算机 化设备内确定的位置数据存在/不存在的数据可以与预定的规则相比较, 所述预定的规则与询问主题有关,所述询问主题与所述数据联系,例如, 根据规定数据被允许存储在计算机化设备内哪些位置和数据不被允许存 储在哪些位置的规则。在这种情况下,若在被指明不被允许的地方发现数 据,所述报告可包括对此结果的指示,但否则没有说明可出现在所述报告 中。然而,本发明并不局限于此方面,任何其它的规则可应用于所述查询 结果。根据本发明的一些实施方式,询问模块220以及尤其结果分析模块 225可存储来自结果报告的特定记录或其全部的结果报告。作为存储所述 结果的一部分,结果分析模块225可为每一结果记录时间戳(timestamp ), 所述时间戳与接收所述结果的时间相应。结果分析模块225可将各报告的 结果与任何一或更多在先报告的结果相比较。根据本发明的进一步的实施 方式,结果分析模块225可为每一计算机化设备存储所述设备的询问结 果。因此,例如,所述结果可反映在确定的时期被询问的一或更多设备上 的活动。此外,根据本发明的一些实施方式,可以由结果分析模块225分析所 述查询结果,以及基于所述分析结果,结果分析模块225可适合于例如在 一或更多结果并不符合一或更多预定规则的情况下,执行一或更多预定的 操作(或不)。根据本发明的一些实施方式, 一或更多所述结果可涉及在 远程计算机化设备上发现或未发现的在先数据。可用于分析所述结果的规则的一些例子可包括,但不局限于,关于确定的位置数据的存在、确定的 位置数据的删除、确定的位置数据的添加、关于特定位置数据的类型和/或值等的规则。可以由结果分析模块225执行的所述操作可包括,例如向 使用确定的计算机化设备的用户发送电子邮件消息,自组织网络断开确定 的计算机化设备、关闭确定的进程、删除确定的应用程序等。此外,根据 本发明的一些实施方式,结果分析模块225可适合于使用无代理模块230 的一或更多线程来调用一或更多远程访问程序260 (例如,用于询问指定 的计算机的远程访问程序),以及配置远程访问程序260以修改(写、重 写、修改、删除等)远程计算机化设备上的确定的数据。例如,结果分析 模块225可适合于使用无代理模块230的一或更多线程来调用 一或更多远 程访问程序260和配置所述远程访问程序以将新数据写在一或更多计算 机化设备上的特定位置,所述计算机化设备例如为被询问以及已被确定包 括不符合所述预定规则的数据的计算机化设备。尽管在此已说明和描述了本发明的一些特征,然而本领域的技术人员 可想到许多更改、替换、改变和等同物。因此应理解,所附权利要求旨在 覆盖落在本发明的实际范围内的所有这样的更改和改变。
权利要求
1.一种用于询问组织网络内的计算机化设备的设备,所述设备包括询问模块,其适合于接收指定要被询问的多个计算机化设备的数据,和接收指示在所述所指定的计算机化设备上选择哪一或更多询问主题来询问的数据;和无代理模块,其适合于调用和配置至少一远程访问程序来询问远程计算机化设备的至少注册表;其中所述询问模块适合于使用所述无代理模块的多个线程来调用和配置多个远程访问程序,以根据所述所选的询问主题来并行且不使用代理地询问所述所指定的计算机化设备的至少注册表。
2. 根据权利要求1所述的设备,其中所述询问主题与安全威胁有关。
3. 根据权利要求2所述的设备,其中所述询问主题与计算机化设备 的至少注册表内的一或更多特定位置有关,在询问期间,在此位置可发现 安全威胁的指示。
4. 根据权利要求1所述的设备,其中所述询问模块适合于并行使用 所述无代理模块的相当大数量的线程。
5. 根据权利要求1所述的设备,其中所述询问模块适合于选择在各 所述计算机化设备上哪一或更多所述询问主题要被询问。
6. 根据权利要求5所述的设备,进一步包括用户接口,其使用户能 够直接或间接选择一或更多所述要被询问的计算机化设备。
7. 根据权利要求6所述的设备,其中所述用户接口可进一步使用户 能够直接或间接选择在一或更多所述要被询问的所指定的计算机化设备 上要询问哪一或更多询问主题。
8. 根据权利要求1所述的设备,其中所述询问模块适合于确定询问 所述所指定的计算机化设备所使用的所述无代理模块的线程数。
9. 根据权利要求8所述的设备,其中所述询问模块适合于根据一或 更多下列各项来确定所使用的所述无代理模块的线程数,所述下列各项为要被询问的计算机化设备数、所期望的扫描速度、 一或更多网络性能 参数、要被询问的主题和/或威胁的严重性。
10. 根据权利要求1所述的设备,其中所述询问模块适合于向所述无 代理模块的每一线程分配一或更多所述所指定的计算机化设备。
11. 根据权利要求10所述的设备,其中所述询问模块适合于向所述 无代理模块的每一线程分配一或更多询问主题,所述询问主题在被分配给 所述无代理模块的所述线程的一或更多所述所指定的计算机化设备上被 选择来询问。
12. 根据权利要求11所述的设备,其中所述无代理模块的每一线程 适合于配置各所述所调用的远程访问程序,以根据在分配到所述线程的所 述计算机化设备上被选择来询问的所述询问主题,来询问所述计算机化设 备内的一或更多特定位置。
13. 根据权利要求12所述的设备,其中所述无代理模块的每一线程 适合于配置各所述所调用的远程访问程序,以根据被选择用于被分配到所 述线程的各所述计算机化设备的且已分配给所述线程的所述询问主题,来 询问被分配到所述线程的所述计算机化设备的至少注册表内的一或更多 特定位置。
14. 根据权利要求12所述的设备,其中所述询问模块适合于向所述 无代理模块的一或更多线程分配预定的数据,所述预定的数据与可在一或 更多所述特定位置发现的确定数据相应,所述特定位置与分配给此线程或 这些线程的一或更多所述询问主题有关。
15. 根据权利要求14所述的设备,其中一或更多所述无代理模块适 合于配置一或更多所述所调用的远程访问程序以比较实际数据与预定的 数据,所述实际数据在所述计算机化设备内的 一或更多特定位置上被发 现,其与分配到此或这些线程的一或更多所述询问主题有关,所述预定数 据与一或更多所述询问主题有关,其与所述可在一或更多所述特定位置发 现的lt据相应。
16. 根据权利要求7所述的设备,进一步包括一或更多数据库,其包 括与 一或更多计算机化设备相应的预存储的数据,以及其中作为指定所述 要被询问的计算机化设备的一部分,与计算机化设备相应的预存储的数据 可自所述数据库获得。
17. 根据权利要求7所述的设备,进一步包括一或更多数据库,其包 括与 一或更多询问主题相应的预存储的数据,以及其中作为在所述所指定 的计算机化设备上选择要被询问的一或更多询问主题的 一部分,与 一或更 多询问主题相应的预存储的数据可自所述数据库获得。
18. 根据权利要求1所述的设备,进一步包括结果分析模块,其适合 于处理所接收的结果,以响应所述所指定的计算机化设备的至少所述注册 表的询问,以及产生与所述结果相应的报告。
19. 根据权利要求18所述的设备,其中作为处理所述结果的一部分, 所述结果分析模块可适合于将涉及所述实际数据的一或更多所述结果与 预定数据相比较,所述实际数据被发现作为 一或更多所述所指定的计算机 化i殳备的询问的一部分。
20. 根据权利要求19所述的设备,其中所述结果分析模块适合于基 于一或更多所述所接收的结果来执行一或更多预定的操作或过程。
21. 根据权利要求20所述的设备,其中所述结果分析模块适合于使 用所述无代理模块的一或更多线程来调用和配置一或更多远程访问程序, 以修改或删除被询问的一或更多所述远程计算机化设备上的确定数据。
22. —种询问组织网络内的计算4几化i殳备的方法,所述方法包4舌下面 的步骤指定要被询问的多个计算机化设备;选择在所述要被询问的所指定的计算机化设备上要被询问的一或更 多询问主题;以及并4亍调用和配置多个远程访问程序以才艮据所述所选的询问主题来并 行且不使用代理地询问所述所指定的计算机化设备的至少注册表。
23. 根据权利要求22所述的方法,其中所述选择一或更多询问主题 的步骤进一步包括选择在各所述所指定的计算机化设备上询问哪一或更 多所述询问主题。
24. 根据权利要求23所述的方法,进一步包括并行使用无代理模块 的多个线程的步骤,各所述线程适合于代用和配置至少一个所述远程访问 程序来询问远程计算机化设备的至少注册表。
25. 根据权利要求24所述的方法,其中所述使用的步骤进一步包括 向所述无代理模块的所述多个线程的每一线程分配一或更多所述所指定 的计算机化设备,以及在所述一或更多计算机化设备上要被询问的一或更 多所述询问主题。
26. 根据权利要求25所述的方法,进一步包括根据一或更多下列各 项来确定被并行调用的远程访问程序的数量的步骤,所述下列各项为要 被询问的计算机化设备数、所期望的扫描速度、 一或更多网络性能参数、 要被询问的主题和/或威胁的严重性。
27. 根据权利要求25所述的方法,其中所述分配步骤进一步包括根 据在所述计算机化设备上被选择来询问的一或更多所述询问主题,来向所 述无代理模块的一或更多所述线程分配与所述计算机化设备内一或更多 特定位置相应的数据,所述计算机化设备被分配到此或这些线程。
28. 根据权利要求22所述的方法,进一步包括下面的步骤接收结果以响应于所述所指定的计算机化设备的至少所述注册表的 询问;和产生与所述所接收的结果相应的报告,以响应于所述所指定的计算机 化设备的询问。
29. 根据权利要求28所述的方法,进一步包括基于一或更多所述所 接收的结果来执行一或更多预定操作或过程。
30. 根据权利要求29所述的方法,进一步包括下面的步骤使用所 述无代理^莫块的一或更多线程来调用和配置一或更多远程访问程序,以》务 改或删除被询问的一或更多所述远程计算机化设备上的确定数据。
全文摘要
本发明的一些实施方式可涉及一种询问组织网络内的计算机化设备的设备和方法。根据本发明的一些实施方式,所述设备可包括询问模块和无代理模块。所述询问模块可适合于接收指定要被询问的多个计算机化设备的数据,和接收指示在所述所指定的计算机化设备上选择哪一或更多询问对象来询问的数据。所述无代理模块可适合于调用和配置至少一远程访问程序来询问远程计算机化设备的至少注册表。根据本发明的一些实施方式,所述询问模块可适合于使用所述无代理模块的多个线程来调用和配置多个远程访问程序,以根据所述所选的询问主题来并行且不使用代理地询问所述所指定的计算机化设备的至少注册表。
文档编号G06F21/00GK101133398SQ200580041447
公开日2008年2月27日 申请日期2005年9月29日 优先权日2004年10月4日
发明者海利克·科特勒, 罗恩·塞·科沃斯基 申请人:普若米赛克有限公司