Fernzugriff-Terminal — Befehle und Parameter

Gilt für: WatchGuard Advanced EPDR

Auf der Terminal-Seite des Fernzugriff-Tools können Sie mit dem Interpreter cmd.exe kompatible Befehle auf den entfernten Windows-Computern ausführen. Sie können Programme starten, die eine Textausgabe erzeugen. Das Fernzugriff-Terminal läuft unter dem LOCAL_SYSTEM-Konto auf dem Remote-Computer und ist hier installiert:

C:\Program Files (x86)\Panda Security\Panda Aether Agent\Remote access\

Die Fernzugriffsfunktion ist auf Windows-, Linux- und Mac-Computern verfügbar. Diese Anweisungen sind nur für Windows-Computer geschrieben.

Ihre Operator-Rolle bestimmt, was Sie in WatchGuard Cloud anzeigen und tun können. Ihre Rolle muss die Berechtigung Computer-Fernzugriff haben, um diese Funktion anzuzeigen oder zu konfigurieren. Weitere Informationen finden Sie unter WatchGuard Cloud-Operatoren und -Rollen verwalten.

So öffnen Sie das Fernzugriff-Terminal auf der Seite Computer:

  1. Wählen Sie in WatchGuard Cloud Konfigurieren > Endpoints.
  2. Wählen Sie Computer.
  3. Wählen Sie im linken Fenster die Registerkarte Meine Organisation.
  4. Klicken Sie neben dem Computer oder der Gruppe von Computern, mit dem/der Sie eine Remote-Verbindung herstellen wollen, auf .
  5. Wählen Sie Fernzugriff.
    Das Fernzugriff-Fenster für den Computer wird auf der Terminal-Seite geöffnet.

Screen shot of Advanced EPDR, Remote Control Terminal page

Über RT.exe

Advanced EPDR unterstützt auch rt.exe. Dieses Programm bietet Zugriff auf einen Satz von Tools, mit denen Sie auf Sicherheitsvorfälle reagieren können. Mit diesen Tools können Sie Informationen wiederherstellen, um anschließend eine forensische Analyse durchzuführen, und durch einen Sicherheitsverstoß beeinträchtigte Geräte auf ihren Ursprungszustand zurücksetzen.

Sie können von der Remote-Befehlszeile aus auf das Programm rt.exe zugreifen. Das Programm hat die folgende Syntax:

rt.exe [command] [-h|--help]

Jeder Befehl gibt eine zu ergreifende Aktion an und jeder Befehl unterstützt andere Parameter. Einige Parameter erlauben eine Suche nach Teilzeichenfolgen am Anfang, in der Mitte oder am Ende einer Zeichenfolge. Beispielsweise könnten Sie für eine Suche nach "Malware" die folgenden Teilzeichenfolgen eingeben: "mal" oder "ware".

Sie sollten auch die folgenden Richtlinien beachten:

  • Die Platzhalter * und ? werden nicht unterstützt.
  • Unterstützt ein Befehl die Ausgabe des Ergebnisses in eine Datei, wird dies durch -f angezeigt.
  • Um mehrere Elemente desselben Typs zu trennen, geben Sie einen senkrechten Strich (|) ein.

Befehle

Wenn Sie eine Fernzugriffssitzung beginnen, können Sie auf der Terminal-Seite die folgenden Befehle in der Remote-Befehlszeile nutzen, um Informationen zu sammeln, die nützlich sind für Untersuchungen und für die Wiederherstellung von Daten für Forensik, Analyse und Behebung von Sicherheitsverstößen:

  • delete — Löscht Dateien von der Festplatte des Zielcomputers.
  • dump — Kopiert den Arbeitsspeicher, der Prozessen zugewiesen ist, auf ein Laufwerk.
  • netinfo — Zeigt Informationen über Netzwerkschnittstellen an.
  • pcap — Erfasst Netzwerkpakete und kopiert diese auf die Computerfestplatte.
  • ports — Zeigt Prozesse mit offenen Ports auf dem Computer.
  • process — Zeigt die im Arbeitsspeicher geladenen Prozesse und ihre Module an.
  • url — Zeigt einen Verlauf aller vom Computerbrowser geöffneten URLs an.

Delete-Befehl

Dieser Befehl löscht die mit den Parametern -n, -m oder -s vorgegebenen Dateien im vom Parameter -p angegebenen Pfad. Falls die Datei verwendet wird, meldet der Delete-Befehl einen Fehler.

Kurzform Langform Beschreibung Anmerkungen

-h

--help

Öffnet Hilfetext zum Befehl.

-f

--force

Löscht Dateien dauerhaft.

-r

--restore

Stellt ausgewählte Dateien aus dem Papierkorb wieder her.

Stellt Dateien an ihrem ursprünglichen Speicherort wieder her.

-p

--path

Absoluter Pfad vom Stammverzeichnis, wo Sie nach zu löschenden Dateien suchen wollen. Endpoint Security löscht nur Dateien im angegebenen Pfad.

Verwenden Sie den Backslash (\) als Trennzeichen für Ordner.

Platzhalter werden nicht unterstützt.

-n

--name

Namen der Dateien, die Sie löschen wollen.

Um mehrere Dateien anzugeben, trennen Sie die Dateinamen mit einem senkrechten Strich (|).

Platzhalter werden nicht unterstützt.

-m

--md5

MD5-Werte der Dateien, die Sie löschen wollen.

Um mehrere MD5-Werte anzugeben, trennen Sie die Werte mit einem senkrechten Strich (|).

Platzhalter werden nicht unterstützt.
-s --sha256 SHA256-Werte der Dateien, die Sie löschen wollen. Um mehrere SHA256-Werte anzugeben, trennen Sie die Werte mit einem senkrechten Strich (|). Platzhalter werden nicht unterstützt.

Dump-Befehl (Abbild erstellen)

Dieser Befehl erstellt auf einem Laufwerk ein Abbild des einem System- oder Benutzerprozess zugeordneten Speichers.

Kurzform Langform Beschreibung Anmerkungen

-h

--help

Öffnet Hilfetext zum Befehl.

-p

--pid

PID des Prozesses für das Abbild.

Informationen zum Erstellen eines Abbilds der Prozess-ID finden Sie unter Process-Befehl.

-s

--system

Kernel-Abbild.

Unterstützte Werte:

  • Ÿ mini: ŸKurzabbild des Stapelinhalts.
  • kernel: Vollständiges Abbild.
  • full: Abbild des gesamten physischen Arbeitsspeichers des Computers, selbst wenn dieser nicht in Verwendung ist.

-f

--filename

Name der Datei mit dem Abbild.

-z --zip Speichert das Abbild in einer ZIP-Datei.

Netinfo-Befehl

In Verbindung mit dem Parameter -a zeigt dieser Befehl die Einstellungen der auf dem Computer installierten Netzwerkschnittstellen an.

Kurzform Langform Beschreibung Anmerkungen

-h

--help

Öffnet Hilfetext zum Befehl.

-a

--all

Zeigt die Einstellungen der auf dem Computer installierten Netzwerkschnittstellen an.

-f

--filename

Name der Datei, die die Daten enthält.

-z

--zip

Speichert die Daten in einer ZIP-Datei.

Pcap-Befehl

Dieser Befehl erfasst den vom Remote-Computer gesendeten und empfangenen Netzwerk-Datenverkehr. Geben Sie Start und Ende der Erfassung mit den Parametern - a start| stop vor. Die Paketerfassung generiert temporäre Dateien auf dem Computer. Es muss also ausreichend Festplattenspeicherplatz vorhanden sein. Das Endergebnis ist eine PCAP-Datei, die vom Programm Wireshark/Ethereal direkt verwendet werden kann.

Kurz Lang Langform Beschreibung Anmerkungen
-h --help Öffnet Hilfetext zum Befehl.

-a

--action

Führt eine Aktion aus:

  • Ÿ start: ŸStartet den Erfassungsprozess.
  • Ÿ stop: ŸBeendet den Erfassungsprozess.
  • Ÿ queryStatus: ŸZeigt den Status des Erfassungsprozesses an.

-m

--maxsize

Maximale Größe des zu erfassenden Pakets, in Megabyte (MB).

Standardwert: 200 MB.

-i

--maxtime

Maximale Erfassungszeit, in Sekunden.

Ÿ Standardwert: 86400 Sekunden (1 Tag).

-f

--filename

Name der Datei, die die Daten enthält.

-z

--zip

Speichert die Daten in einer ZIP-Datei.

Ports-Befehl

In Verbindung mit dem Parameter - a zeigt dieser Befehl die auf dem Computer geöffneten Kommunikationsendpunkte (Sockets) und die Prozesse an, die diese geöffnet haben.

Kurzform Langform Beschreibung Anmerkungen
-h --help Öffnet Hilfetext zum Befehl.
-a --all Zeigt alle offenen Ports und die damit verbundenen Prozesse an.

-p

--pid

Filtert die Ergebnisse nach Prozess-PID.

-n

--name

Filtert die Ergebnisse nach Prozessname.

Sie können nur eine Teilzeichenfolge eingeben.

-f

--filename

Name der Datei, die die Daten enthält.

Process-Befehl

In Verbindung mit dem Parameter -a zeigt dieser Befehl alle im Speicher des Computers geladenen Prozesse und deren Module an.

Kurzform Langform Beschreibung
-h --help Hilfetext zum Befehl
-a -all Zeigt alle im Speicher des Computers geladenen Prozesse und deren Module an.
-p -pid Filtert die Ergebnisse nach PID und zeigt die Prozessmodule.
-u -user Zeigt die von einem Benutzer gestarteten Prozesse und deren Module.
-f -filename Name der Datei, die die Daten enthält.

Url-Befehl

In Verbindung mit dem Parameter -a any zeigt dieser Befehl alle URLs an, auf die Benutzer über den Webbrowser des Remote-Computers zugegriffen haben. Dieser Befehl erfordert, dass die Webzugriffskontrollfunktion aktiviert ist.

Kurzform Langform Beschreibung Anmerkungen

-h

--help

Öffnet Hilfetext zum Befehl.

-a

--action

Filtert die URL-Liste nach der von der Webzugriffskontrollfunktion ergriffenen Aktion

Aktionen:

  • Ÿ allow: Zeigt alle zugelassenen URLs.
  • Ÿ deny: Zeigt abgelehnte URLs.
  • Ÿ any: ŸZeigt alle besuchten URLs.

-c

--count

Maximale Anzahl der anzuzeigenden URLs.

Standardwert: unbegrenzt.

-g

--category

Filtert die URL-Liste nach der von der Webzugriffskontrollfunktion zugewiesenen Kategorie.

-b

--begindate

Erlaubt es Ihnen, das Startdatum anzugeben, ab dem die besuchten URLs angezeigt werden.

Ÿ Date format: “DD-MM-YYYY HH:mm“.

Ÿ Standardwert: 30 Tage vor dem Zeitpunkt, an dem Sie den Befehl ausführen.

-e

--enddate

Erlaubt es Ihnen, das Enddatum anzugeben, bis zu dem die besuchten URLs angezeigt werden.

Ÿ Date format: “DD-MM-YYYY HH:mm“.

Standardwert: Datum, an dem der Befehl ausgeführt wird.

-n

--urlpattern

Filtert URLs nach Teilzeichenfolge

-u

--userpattern

Filtert URLs nach Benutzer.

-f

--filename

Name der Datei, die die Daten enthält.

-z --zip Speichert die Daten in einer ZIP-Datei.

Ähnliche Themen

Über das Fernzugriffstool