Microsoft Baseline Security Analyzer (MBSA) – свободно распространяемое средство анализа защищенности операционных систем Windows и ряда программных продуктов компании Microsoft (Internet Information Services, SQL Server, Internet Explorer и др.). Термин " Baseline " в названии MBSA следует понимать как некоторый эталонный уровень, при котором безопасность ОС можно считать удовлетворительной. MBSA позволяет сканировать компьютеры под управлением операционных систем Windows на предмет обнаружения основных уязвимостей и наличия рекомендованных к установке обновлений системы безопасности. Критически важно знать, какие обновления установлены, а какие еще следует установить на вашей ОС. MBSA обеспечивает подобную проверку, обращаясь к постоянно пополняемой Microsoft базе данных в формате XML, которая содержит информацию об обновлениях, выпущенных для каждого из программных продуктов Microsoft]. Работать с программой MBSA можно через графический интерфейс и командную строку. На данном занятии будет рассмотрен только первый вариант работы.
Интерфейс MBSA выполнен на основе браузера Internet Explorer. Главное окно программы разбито на две области (рис. 2). Так как сеанс работы с MBSA настраивается с помощью мастера, то в левой области представлены шаги мастера, а в правой – основное окно с описанием действий каждого шага.
Рис. 2. Главное окно программы Microsoft Baseline Security Analyzer 2.0
На первом шаге "Welcome" необходимо выбрать одно из действий (см. рис. 2):
ü Сканировать данный компьютер (Scan a computer);
ü Сканировать несколько компьютеров (Scan more than one computer);
ü Просмотреть существующие отчеты, сделанные MBSA ранее (View existing security reports).
При первом запуске MBSA необходимо выбрать первый или второй вариант. На следующем шаге мастера в основном окне нужно задать параметры сканирования компьютера(ов) под управлением ОС Windows (рис. 3). Можно ввести имя или IP-адрес сканируемого компьютера (по умолчанию выбирается компьютер, на котором был запущен MBSA).
Пользователь, запустивший MBSA, должен обладать правами администратора данного компьютера или входить в группу администраторов системы. В случае сканирования нескольких компьютеров пользователь должен обладать правами администратора на каждом из компьютеров, а лучше – правами администратора домена.
Рис. 3. Выбор компьютера и опций сканирования в программе MBSA 2.0
Выбрав компьютер(ы) для сканирования, необходимо задать опции сканирования:
ü проверка ОС Windows;
ü проверка паролей;
ü проверка служб IIS;
ü проверка сервера SQL;
ü проверка установленных обновлений безопасности.
Более подробную информацию о проверках MBSA можно получить на официальном сайте Microsoft. Например, когда задана опция "проверка паролей", MBSA проверяет на компьютере учетные записи локальных пользователей, которые используют пустые или простые пароли (эта проверка не выполняется на серверах, выступающих в роли контроллеров домена) из следующих комбинаций:
ü пароль пустой;
ü пароль совпадает с именем учетной записи пользователя;
ü пароль совпадает с именем компьютера;
ü паролем служит слово "password";
ü паролем служат слова "admin" или "administrator".
Данная проверка также выводит сообщения о заблокированных учетных записях.
После того как все опции будут заданы, необходимо нажать на ссылку внизу "Start scan" (см. рис. 3). При первом сканировании MBSA необходимо подключение к Интернету, чтобы скачать с сайта Microsoft Download Center (http://www.microsoft.com/downloads) XML-файл, содержащий текущую справочную базу уязвимостей. MBSA сначала скачивает этот файл в архивированном cab-файле, затем, проверив его подпись, разархивирует его на компьютер, с которого будет запускаться.
Возможна также работа MBSA без подключения к Интернету в автономном режиме. Для этого нужно скачать выше описанный файл и разместить в соответствующем каталоге.
После того как cab-файл будет разархивирован, MBSA начнет сканировать заданный компьютер(ы) на предмет определения операционной системы, наборов обновлений и используемых программ. Затем MBSA анализирует XML-файл и определяет обновления системы безопасности, которые доступны для установленного ПО. Для того чтобы MBSA определил, какое обновление установлено на сканируемом компьютере, ему необходимо знать три пункта: ключ реестра, версию файла и контрольную сумму для каждого файла, установленного с обновлением.
В случае если какие-либо данные на сканируемом компьютере не совпадут с соответствующими пунктами в XML-файле, MBSA определит соответствующее обновление как отсутствующее, что будет отражено в итоговом отчете.
После сканирования единственного компьютера MBSA автоматически запустит окно "View security report" и отобразит результаты сканирования. Если было выполнено сканирование нескольких компьютеров, то следует выбрать режим "Pick a security report to view", чтобы увидеть результаты сканирования. Создаваемый MBSA отчет разбивается на пять секций:
ü Security Update Scan Results,
ü Windows Scan Results,
ü Internet Information Services (IIS) Scan Results,
ü SQL Server Scan Results,
ü Desktop Application Scan Results.
Некоторые секции разбиваются еще на разделы, посвященные определенным проблемам безопасности компьютера, и предоставляют системную информацию по каждой из проверок, указанных в таблице 1. Описание каждой проверки операционной системы отражается в отчете вместе с инструкцией по устранению обнаруженных уязвимостей.
Задание. Работа с Microsoft Baseline Security Analyzer 2.0
На этой лабораторной работе вы научитесь работать со средством анализа защищенности MBSA 2.0. Сначала вы выполните настройки на компьютере под управлением ОС Windows XP Professional, позволяющие работать MBSA без подключения к Интернету, а затем выполните сканирование и сгенерируете отчет о проделанной работе.
Упражнение 1. Подготовка компьютера под управлением ОС Windows XP Professional для работы MBSA в автономном режиме
Проверьте, есть ли на вашем рабочем столе ярлычок MBSA. Если ярлык найден то выполняйте упражнение 2.
Если ярлык отсутствует, то выполните следующие действия:
ü Запустите Internet Explorer или любой другой браузер и наберите следующий адрес в адресной строке:
http://download.windowsupdate.com/v6/windowsupdate/redist/standalone/windowsupdateagent20-x86.exe.
ü Скачайте автономный установщик обновленного агента обновления Windows и установите его на компьютер с ОС Windows XP Professional.
ü Сохраните скачанный файл в следующую папку: C:\Documents and Settings\
ü На рабочем столе должен появиться ярлык программы Microsoft Baseline Security Analyzer 2.0
Упражнение 2. Проверка локального компьютера с помощью MBSA 2.0
1. На рабочем столе щелкните дважды на ярлык программы MBSA 2.0.
2. MBSA запустится в графическом режиме в режиме мастера, и появится первое окно "Welcome to the Microsoft Baseline Security Analyzer". Нажмите на ссылку "Scan a computer".
3. Загрузится следующее окно мастера MBSA, где необходимо задать опции сканирования. По умолчанию в поле "Computer name" отобразится имя текущего компьютера, на котором вы запустили MBSA. В опциях сканирования снимите флажок "Check for IIS administrative vulnerabilities" (проверка служб IIS).
5. Так как соединение с Интернетом отсутствует, то под индикатором процесса выполнения сканирования сначала появится надпись "Filed to download security update database". Через несколько секунд MBSA начнет процесс сканирования в автономном режиме, при этом изменится надпись "Curently scanning <Имя компьютера>".
6. После окончания сканирования загрузится отчет с результатами.
7. Внимательно изучите отчет. Переведите его и покажите преподавателю.
Контрольные вопросы:
1. Что такое уязвимость?
2. Перечислите типичные уязвимости.
3. Поясните основные подходы обнаружения уязвимостей.
4. Что означает термин "Baseline"?
5. В каких режимах можно работать с MBSA?
©2015-2019 сайт
Все права принадлежать их авторам. Данный сайт не претендует на авторства, а предоставляет бесплатное использование.
Дата создания страницы: 2016-04-12
Microsoft Baseline Security Analyzer (MBSA) – свободно распро-
страняемое средство анализа защищенности операционных систем Windows и ряда программных продуктов компании Microsoft (Internet Information Services, SQL Server, Internet Explorer и др.). Термин
«Baseline » в названии MBSA следует понимать как некоторый эта-лонный уровень, при котором безопасность ОС можно считать удов-летворительной. MBSA позволяет сканировать компьютеры под управлением операционных систем Windows на предмет обнаружения основных уязвимостей и наличия рекомендованных к установке об-новлений системы безопасности. Критически важно знать, какие об-новления установлены, а какие еще следует установить на вашей ОС. MBSA обеспечивает подобную проверку, обращаясь к постоянно по-
полняемой Microsoft базе данных в формате XML, содержащую ин-формацию об обновлениях, выпущенных для каждого из программ-ных продуктов Microsoft . Работать с программой MBSA можно че-рез графический интерфейс и командную строку. На данном занятии будет рассмотрен только первый вариант работы.
Интерфейс MBSA выполнен на основе браузера Internet Explorer. Главное окно программы разбито на две области (см. рис. 4.2). Так как сеанс работы с MBSA настраивается с помощью мастера, то в левой области представлены шаги мастера, а в правой – основное окно с описанием действий каждого шага.
Рис. 4.2. Главное окно программы Microsoft Baseline Security Analyzer 2.0
На первом шаге «Welcome» необходимо выбрать одно из действий
(см. рис. 4.2):
1) Сканировать данный компьютер (Scan a computer);
2) Сканировать несколько компьютеров (Scan more than one com-puter);
3) Просмотреть существующие отчеты, сделанные MBSA ранее
(View existing security reports).
При первом запуске MBSA необходимо выбрать первый или вто-рой вариант. На следующем шаге мастера в основном окне нужно задать
параметры сканирования компьютера(ов) под управлением ОС Windows (см. рис. 4.3). Можно ввести имя или IP-адрес сканируемого компьютера (по умолчанию выбирается компьютер, на котором был запущен MBSA).
Пользователь, запустивший MBSA, должен обладать правами ад-министратора данного компьютера или входить в группу администра-торов системы. В случае сканирования нескольких компьютеров пользователь должен обладать правами администратора на каждом из компьютеров, а лучше – правами администратора домена.
Рис. 4.3. Выбор компьютера и опций сканирования в программе MBSA 2.0
Выбрав компьютер(ы) для сканирования, необходимо задать оп-ции сканирования:
Проверка ОС Windows;
Проверка паролей;
Проверка служб IIS;
Проверка сервера SQL;
Проверка установленных обновлений безопасности.
Более подробную информацию о проверках MBSA можно полу-чить на официальном сайте Microsoft . Например, задав опцию «проверка паролей» MBSA проверяет на компьютере учетные записи
локальных пользователей, которые используют пустые или простые пароли (эта проверка не выполняется на серверах, выступающих в ро-ли контроллеров домена) из следующих комбинаций:
Пароль пустой;
Пароль совпадает с именем учетной записи пользователя;
Пароль совпадает с именем компьютера;
Паролем служит слово «password»;
Паролем служат слова «admin» или «administrator».
Данная проверка также выводит сообщения о заблокированных учетных записях.
После того как все опции будут заданы необходимо нажать на ссылку внизу «Start scan» (см. рис. 4.3). При первом сканировании MBSA необходимо подключение к Internet, чтобы скачать с сайта Mi-crosoft Download Center (http://www.microsoft.com/ downloads ) XML-
Возможна также работа MBSA без подключения к Internet в авто-номном режиме. Для этого нужно сначала скачать выше описанный файл и разместить в соответствующем каталоге. Более подробную информацию об этой процедуре смотрите в Упражнении 1 Лабора-торной работы №1.
После того, как cab-файл будет разархивирован, MBSA начнет сканировать заданный компьютер(ы) на предмет определения опера-ционной системы, наборов обновлений и используемых программ. За-тем MBSA анализирует XML-файл и определяет обновления системы безопасности, которые доступны для установленного ПО . Для того чтобы MBSA определил, какое обновление установлено на сканируе-мом компьютере, ему необходимо знать три пункта: ключ реестра, версию файла и контрольную сумму для каждого файла, установлен-ного обновлением.
В случае если какие-либо данные на сканируемом компьютере не совпадут с соответствующими пунктами в XML-файле, MBSA опре-делит соответствующее обновление как отсутствующее, что будет от-ражено в итоговом отчете.
После сканирования единственного компьютера MBSA автомати-чески запустит окно «View security report» и отобразит результаты сканирования. Если было выполнено сканирование нескольких ком-пьютеров, то следует выбрать режим «Pick a security report to view», чтобы увидеть результаты сканирования. Создаваемый MBSA отчет разбивается на пять секций:
Security Update Scan Results,
Windows Scan Results,
Internet Information Services (IIS) Scan Results,
SQL Server Scan Results,
Desktop Application Scan Results.
Некоторые секции разбиваются еще на разделы, посвященные оп-ределенным проблемам безопасности компьютера, и предоставляют системную информацию по каждой из проверок, указанных в таблице 4.1. Описание каждой проверки операционной системы отражается в отчете вместе с инструкцией по устранению обнаруженных уязвимо-стей.
| Таблица 4.1. Описание проверок выполняемых MBSA | |||
| Проверка | Описание | ||
| Administrators | Выводит список учетных записей локальных админи- | ||
| страторов компьютера | |||
| Auditing | Выводит настройки аудита на локальном компьютере | ||
| Autologon | Проверяет, включена ли функция Autologon | ||
| Domain Controller Test | Проверяет, не запущена ли служба IIS на контролле- | ||
| ре домена (DC) | |||
| Exchange Server | |||
| Security Updates | безопасности Exchange Server | ||
| File System | Проверяет тип файловой системы (например, NTFS) | ||
| Guest Account | Проверяет, не активирована ли учетная запись Guest | ||
| IE Zones | Выводит зоны безопасности IE для каждого пользова- | ||
| теля | |||
| IIS Admin Virtual | Просматривает виртуальный каталог IISADMPWD | ||
| Directory | |||
| IIS Lockdown Tool | Проверяет, проведена ли процедура защиты IIS | ||
| Lockdown | |||
| IIS Logging Enabled | Выдает рекомендации по журналированию сайтов | ||
| HTTP и FTP | |||
| IIS Security Updates | Проверяет пропущенные исправления для системы | ||
| безопасности IIS | |||
| Local Account Password | Проверяет наличие пустых или слабых паролей для | ||
| Test | локальных учетных записей | ||
| Macro Security | Выводит установки для макросов Office по пользова- | ||
| телям | |||
| Msadc and Scripts Virtual | Просматривает виртуальный каталог MSADC и Scripts | ||
| Directories | |||
| Outlook Zones | Выводит зоны безопасности Outlook для каждого | ||
| пользователя | |||
| Выводит информацию о наличии ссылок на каталоги | |||
| Parent Paths | верхнего уровня от Web узлов или виртуальных ката- | ||
| логов | |||
| Password Expiration | Выводит учетные записи с неограниченным сроком | ||
| действия паролей, не перечисленные в NoExpireOk.txt | |||
| Restrict Anonymous | Выводит настройки реестра, запрещающие аноним- | ||
| ным пользователям просмотр списка учетных записей | |||
Продолжение табл. 4.1
| Проверка | Описание | |
| Sample Applications | Выводит установленные примеры приложений для IIS | |
| (например, Default Web Site, IISHelp) | ||
| Выводит список несущественных служб (например, | ||
| Services | FTP, SMTP, Telnet, WWW), которые могут ослабить | |
| безопасность | ||
| Shares | Проверяет и выводит список общих ресурсов, а также | |
| их списки ACL | ||
| SQL Server Security | Проверяет пропущенные исправления для системы | |
| Updates | безопасности SQL Server | |
| SQL: CmdExec role | Проверяет ограничение на запуск CmdExec только | |
| для SysAdmin | ||
| SQL: Domain Controller | Проверяет, не запущен ли SQL Server на DC | |
| Test | ||
| SQL: Exposed SQL | Проверяет, не присутсвует ли пароль администратора | |
| (SA) в текством файле (например, setup.iss или | ||
| Password | ||
| sqlstp.log) | ||
| SQL: Folder Permissions | Проверяет разрешения файлов в каталоге установки | |
| SQL Server | ||
| SQL: Guest Account | Выводит базы данных с активной учетной записью | |
| гостя | ||
| SQL: Registry | Проверяет разрешения реестра на разделы SQL | |
| Permissions | Server | |
| SQL: Service Accounts | Проверяет членство в группах учетных записей SQL | |
| Server и SQL Server agent | ||
| SQL: SQL Account Pass- | Проверяет на пустые или слабые пароли локальных | |
| word Test | учетных записей SQL | |
| SQL: SQL Server Secu- | Проверяет запущен SQL Server в режиме Windows | |
| rity Mode | Only или Mixed | |
| SQL: SysAdmin Role | Выводит членов роли SysAdmin | |
| Members | ||
| SQL: SysAdmins | Выводит количество SysAdmins | |
| Windows Media Player | Проверяет пропущенные исправления для системы | |
| Security Updates | безопасности WMP | |
| Windows Security | Проверяет пропущенные исправления для системы | |
| Updates | безопасности Windows | |
| Windows Version | Выводит версию Windows |
Лабораторная работа №3.
Microsoft Baseline Security analyzer – программа, позволяющая проверить уровень безопасности установленной конфигурации операционной системы (ОС) Windows 2000, XP, Server 2003, Vista Server 2008, Windows 7. Также проверяется и ряд других приложений разработки Microsoft. Данное средство можно отнести к разряду систем анализа защищенности. Оно распространяется бесплатно и доступно для скачивания с web-сервера Microsoft (адрес страницы данной утилиты: http://technet.microsoft.com/ru-ru/security/cc184924(en-us).aspx).
В процессе работы BSA проверяет наличие обновлений безопасности операционной системы, офисного пакета Microsoft Office(для версий XP и более поздних), серверных приложений, таких как MS SQL Server, MS Exchange Server, Internet Information Server и т.д. Кроме того, проверяется ряд настроек, касающихся безопасности, например, действующая политика паролей.
Перейдем к знакомству с программным продуктом. Надо отметить, что при подготовке описания данной лабораторной работы использовалась версия BSA 2.1. К сожалению, продукт не локализован, поэтому использовалась англоязычная версия.
При запуске открывается окно, позволяющее выбрать объект проверки – один компьютер (выбирается по имени или ip-адресу), несколько (задаваемых диапазоном ip-адресов или доменным именем) или просмотреть ранее сделанные отчеты сканирования системы. При выборе сканирования отдельного компьютера по умолчанию подставляется имя локальной станции, но можно указать имя или ip-адрес другого компьютера.
Рис.1. Выбор проверяемого компьютера.
Рис.2. Задание параметров проверки.
Можно задать перечень проверяемых параметров. На рис.2 представлен выбор вариантов проверки:
- проверка на наличие уязвимостей Windows, вызванных некорректным администрированием;
- проверка на «слабые» пароли (пустые пароли, отсутствие ограничений на срок действия паролей и т.д.);
- проверка на наличие уязвимостей web-сервера IIS, вызванных некорректным администрированием;
- аналогичная проверка в отношении СУБД MS SQL Server;
- проверка на наличие обновлений безопасности.
Перед началом работы программа обращается на сервер Microsoft для получения перечня обновлений для ОС и известных уязвимостей. Если на момент проведения проверки компьютер не подключен к Интернет, база уязвимостей не будет обновлена, программа об этом сообщит и дальнейшие проверки выполняться не будут. В подобных случаях нужно отключать проверку обновлении безопасности (сбросив соответствующую галочку на экране рис.2 или с помощью ключа при использовании утилиты командной строки, о чем речь пойдет ниже).
Для успешной проверки локальной системы необходимо, чтобы программа выполнялась от имени учетной записи с правами локального администратора. Иначе проверка не может быть проведена и о чем будет выдано сообщение: «You do not have sufficient permissions to perform this command. Make sure that you are running as the local administrator or have opened the command prompt using the "Run as administrator" option».
По результатам сканирования формируется отчет, в начале которого дается общая оценка уровня безопасности конфигурации проверяемого компьютера. В приведенном на рис.3 примере уровень риска оценивается как «серьезный» (Severe risk).
Рис.3. Заголовок отчета.
Далее приводится перечень обнаруженных уязвимостей, разбитый на группы: результаты проверки установки обновлений, результаты проверки Windows и т.д. Надо отметить, что выпускаемые Microsoft обновления бывают различных типов:
Security updates – собственно обновления безопасности, как правило, посвященные исправлению одной уязвимости программного продукта;
Update rollups – набор исправлений безопасности, который позволяет одновременно исправить несколько уязвимостей. Это упрощает обслуживание процесса обновления программного обеспечения (ПО);
Service packs – набор исправлений, как связанных, так и несвязанных с безопасностью. Установка Service pack, как правило, исправляет все уязвимости, обнаруженные с момента выхода предыдущего Service pack, таким образом устанавливать промежуточные обновления уже не надо.
В описании рассматриваемого результата проверки (рис.4) можно выбрать ссылку Result details и получить более подробное описание найденных проблем данной группы. При наличии подключения к Интернет, перейдя по приводимой в отчете ссылке, можно получить информацию об отсутствующем обновлении безопасности и скачать его из сети.
Нужно отметить, что установка обновлений для систем с высокими требованиями в области непрерывности работы, требует предварительной тщательной проверки совместимости обновлений с использующимися приложениями. Подобная проверка обычно производится на тестовых системах с близкой конфигурацией ПО. В то же время, для небольших организаций и пользователей домашних компьютеров такая проверка зачастую неосуществима. Поэтому надо быть готовым к тому, чтобы восстановить систему после неудачного обновления. Для современных ОС семейства Windows это можно сделать, например, используя специальные режимы загрузки ОС – безопасный режим или режим загрузки последней удачной конфигурации.
Также надо отметить еще одну особенность. На данный момент baseline security analyzer не существует в локализованной русскоязычной версии. И содержащиеся там ссылки на пакеты обновлений могут указывать на иные языковые версии, что может создать проблемы при обновлении локализованных продуктов.
Рис.4. Перечень неустановленных обновлений (по группам).
Рис.5. Уязвимости, связанные с администрированием операционной системы.
Аналогичным образом проводится работа по анализу других групп уязвимостей (рис.5). Описывается уязвимость, указывается ее уровень критичности, даются рекомендации по исправлению. На рис. 6 представлено подробное описание результатов (ссылка result details) проверки паролей. Указывается, что 3 учетные записи имеют пароли, неограниченные по сроку действия.
Рис.6. Результаты проверку паролей.
Кроме версии программы с графическим интерфейсом, существует также утилита с интерфейсом командной строки. Называется она mbsacli.exe и находится в том же каталоге, куда устанавливался Baseline security analyzer, например, “C:\Program Files\Microsoft Baseline Security Analyzer 2”. У утилиты есть достаточно много ключей, получить информацию о которых можно запустив ее с ключом “/?”.
Запуск без ключей приведет к сканированию локального компьютера с выводом результатов на консоль. Чтобы сохранить результаты сканирования, можно перенаправить вывод в какой-либо файл. Например: mbsacli > mylog.txt Хотелось бы еще раз обратить внимание на то, что при настройках по умолчанию сначала утилита обращается на сайт Майкрософт за информацией об обновлениях. Если соединения с Интернет отсутсвует, то утилиту надо запускать или с ключом /nd (указание «не надо скачивать файлы с сайта Майкрософт») или с ключом /n Updates (указание «не надо проводить проверку обновлений»).
Запуск с ключом /xmlout приводит к запуску утилиты в режиме проверки обновлений (т.е. проверка на уязвимости, явившиеся результатом неудачного администрирования, проводиться не будет), при этом, отчет формируется в формате xml. Например:
mbsacli /xmlout > c:\myxmlog.xml
Национальный Открытый Университет "ИНТУИТ": www.intuit.ru Павел Ложников, Евгений Михайлов Лекция 7. Системы анализа защищенности корпоративной сети
(обнаружения уязвимостей) на примере продуктов: Microsoft Baseline Security Analyzer и XSpider
Одними из главных элементов информационной безопасности сетевой инфраструктуры являются операционные системы компьютеров, так как в них аккумулируется подавляющая часть используемых механизмов защиты: средства разграничения доступа к ресурсам, аутентификация пользователей, аудит событий и др. От эффективности защиты операционных систем напрямую зависит уровень безопасности сетевой инфраструктуры организации в целом.
На этом занятии будут рассмотрены программные средства для анализа защищенности операционных систем Microsoft, такие как:
Microsoft Baseline Security Analyzer (MBSA);
Сканер безопасности XSpider 7.0 (производитель ООО "Позитив Технолоджиз", Россия).
Прежде всего
Для выполнения лабораторных работ данного занятия необходимо иметь два компьютера (можно виртуальные машины). На одном компьютере под управлением ОС Windows XP Professional необходимо установить следующие программные продукты:
Microsoft Baseline Security Analyzer (MBSA); XSpider 7.0;
Microsoft SQL Server 2000;
Программный комплекс Magnum v. 1.0.4, состоящий из следующих программ: сервер MySQL, Webсервер Apache, среда разработки Web-приложений PHP.
Последние два программных продукта устанавливаются для обнаружения в них уязвимостей и не являются обязательными. На втором компьютере (сервере) под управлением ОС Windows 2003 Server необходимо добавить роли файлового сервера и WINS-сервера.
6.1. Принципы работы систем анализа защищенности
Для понимания принципов работы систем анализа защищенности необходимо обозначить некоторые термины и определения. Ключевое понятие данного занятия – это " уязвимость ". Под уязвимостью защиты ОС понимается такое ее свойство (недостаток), которое может быть использовано злоумышленником для осуществления несанкционированного доступа (НСД) к информации. Системы анализа защищенности способны обнаруживать уязвимости в сетевой инфраструктуре, анализировать и выдавать рекомендации по их устранению, а также создавать различного рода отчеты. К типичным уязвимостям можно отнести:
отсутствие обновлений системы безопасности ОС; неправильные настройки систем безопасности ОС; несоответствующие пароли; восприимчивость к проникновению из внешних систем; программные закладки;
неправильные настройки системного и прикладного ПО, установленного на ОС.
Большинство систем анализа защищенности (XSpider, Internet Scanner, LanGuard, Nessus) обнаруживают уязвимости не только в операционных системах, но и в наиболее распространенном прикладном ПО. Существуют два основных подхода, при помощи которых системы анализа защищенности обнаруживают уязвимости: сканирование и зондирование [ [ 6.4 ] ]. Из-за первого подхода системы анализа защищенности еще называют "сканерами безопасности" или просто "сканерами".
При сканировании система анализа защищенности пытается определить наличие уязвимости по косвенным признакам, т.е. без фактического подтверждения ее наличия – это пассивный анализ. Данный подход является наиболее быстрым и простым в реализации. При зондировании система анализа защищенности имитирует ту атаку, которая использует проверяемую уязвимость, т.е. происходит активный анализ. Данный подход медленнее сканирования, но позволяет убедиться, присутствует или нет на анализируемом
9.10.2014 Системы анализа защищенности корпоративной сети (обнаружения уязвимостей) на примере продуктов: Microsoft Baseline Securit…
компьютере уязвимость.
На практике эти два подхода реализуются в сканерах безопасности через следующие методы проверки [ [ 6.4 ] ]:
1. Проверка заголовков (Banner check);
2. Активные зондирующие проверки (Active probing check);
3. Имитация атак (Exploit check).
Первый метод основан на подходе "сканирование" и позволяет делать вывод об уязвимостях, опираясь на информацию в заголовке ответа на запрос сканера безопасности. Примером такой проверки может быть анализ заголовков почтовой программы Sendmail, в результате которого можно узнать ее версию и сделать вывод о наличии в ней уязвимости.
Активные зондирующие проверки также основаны на подходе "сканирование". Данный метод сравнивает фрагменты сканируемого программного обеспечения с сигнатурой известной уязвимости, хранящейся в базе данных системы анализа защищенности. Разновидностями этого метода являются, например, проверки контрольных сумм или даты сканируемого программного обеспечения.
Метод имитации атак основан на использовании различных дефектов в программном обеспечении и реализует подход зондирования. Существуют уязвимости, которые не могут быть обнаружены без блокирования или нарушения функционирования сервисов операционной системы в процессе сканирования. При сканировании критичных серверов корпоративной сети нежелательно применение данного метода, т. к. он может вывести их из строя – и в таком случае сканер безопасности успешно реализует атаку "Denial of service" (отказ в обслуживании). Поэтому в большинстве систем анализа защищенности по умолчанию такие проверки, основанные на имитации атак, выключены. При их включении в процесс сканирования обычно выдается предупредительное сообщение (рис. 6.1 ).
Рис. 6.1. Предупредительное сообщение сканера безопасности XSpider 7.0 о включении опасных проверок в процесс сканирования
6.2. Microsoft Baseline Security Analyzer
Microsoft Baseline Security Analyzer (MBSA) – свободно распространяемое средство анализа защищенности операционных систем Windows и ряда программных продуктов компании Microsoft (Internet Information Services, SQL Server, Internet Explorer и др.). Термин " Baseline " в названии MBSA следует понимать как некоторый эталонный уровень, при котором безопасность ОС можно считать удовлетворительной. MBSA позволяет сканировать компьютеры под управлением операционных систем Windows на предмет обнаружения основных уязвимостей и наличия рекомендованных к установке обновлений системы безопасности. Критически важно знать, какие обновления установлены, а какие еще следует установить на вашей ОС. MBSA обеспечивает подобную проверку, обращаясь к постоянно пополняемой Microsoft базе данных в формате XML, которая содержит информацию об обновлениях, выпущенных для каждого из программных продуктов Microsoft [ [ 6.8 ] ]. Работать с программой MBSA можно через графический интерфейс и командную строку. На данном занятии будет рассмотрен только первый вариант работы.
Интерфейс MBSA выполнен на основе браузера Internet Explorer. Главное окно программы разбито на две области (рис. 6.2 ). Так как сеанс работы с MBSA настраивается с помощью мастера, то в левой области представлены шаги мастера, а в правой – основное окно с описанием действий каждого шага.
http://www.intuit.ru/studies/courses/1003/203/print_lecture/5271 |
9.10.2014 Системы анализа защищенности корпоративной сети (обнаружения уязвимостей) на примере продуктов: Microsoft Baseline Securit…
увеличить изображение
Рис. 6.2. Главное окно программы Microsoft Baseline Security Analyzer 2.0
На первом шаге "Welcome" необходимо выбрать одно из действий (см. рис. 6.2 ): Сканировать данный компьютер (Scan a computer);
Сканировать несколько компьютеров (Scan more than one computer);
Просмотреть существующие отчеты, сделанные MBSA ранее (View existing security reports).
При первом запуске MBSA необходимо выбрать первый или второй вариант. На следующем шаге мастера в основном окне нужно задать параметры сканирования компьютера(ов) под управлением ОС Windows (рис. 6.3 ). Можно ввести имя или IP-адрес сканируемого компьютера (по умолчанию выбирается компьютер, на котором был запущен MBSA).
Пользователь, запустивший MBSA, должен обладать правами администратора данного компьютера или входить в группу администраторов системы. В случае сканирования нескольких компьютеров пользователь должен обладать правами администратора на каждом из компьютеров, а лучше – правами администратора домена.
http://www.intuit.ru/studies/courses/1003/203/print_lecture/5271 |
9.10.2014 Системы анализа защищенности корпоративной сети (обнаружения уязвимостей) на примере продуктов: Microsoft Baseline Securit…
Рис. 6.3. Выбор компьютера и опций сканирования в программе MBSA 2.0
Выбрав компьютер(ы) для сканирования, необходимо задать опции сканирования: проверка ОС Windows;
проверка паролей; проверка служб IIS; проверка сервера SQL;
проверка установленных обновлений безопасности.
Более подробную информацию о проверках MBSA можно получить на официальном сайте Microsoft [ [ 6.1 ] ]. Например, когда задана опция "проверка паролей", MBSA проверяет на компьютере учетные записи локальных пользователей, которые используют пустые или простые пароли (эта проверка не выполняется на серверах, выступающих в роли контроллеров домена) из следующих комбинаций:
пароль пустой; пароль совпадает с именем учетной записи пользователя;
пароль совпадает с именем компьютера; паролем служит слово "password";
паролем служат слова "admin" или "administrator".
Данная проверка также выводит сообщения о заблокированных учетных записях.
После того как все опции будут заданы, необходимо нажать на ссылку внизу "Start scan" (см. рис. 6.3 ). При первом сканировании MBSA необходимо подключение к Интернету, чтобы скачать с сайта Microsoft Download Center (http://www.microsoft.com/downloads ) XML-файл, содержащий текущую справочную базу уязвимостей. MBSA сначала скачивает этот файл в архивированном cab-файле, затем, проверив его подпись, разархивирует его на компьютер, с которого будет запускаться.
Возможна также работа MBSA без подключения к Интернету в автономном режиме. Для этого нужно скачать выше описанный файл и разместить в соответствующем каталоге. Более подробную информацию об этой процедуре смотрите в Упражнении 1 Лабораторной работы № 1.
После того как cab-файл будет разархивирован, MBSA начнет сканировать заданный компьютер(ы) на предмет определения операционной системы, наборов обновлений и используемых программ. Затем MBSA
http://www.intuit.ru/studies/courses/1003/203/print_lecture/5271 |
9.10.2014 Системы анализа защищенности корпоративной сети (обнаружения уязвимостей) на примере продуктов: Microsoft Baseline Securit…
анализирует XML-файл и определяет обновления системы безопасности, которые доступны для установленного ПО [[ 6.9 ] ]. Для того чтобы MBSA определил, какое обновление установлено на сканируемом компьютере, ему необходимо знать три пункта: ключ реестра, версию файла и контрольную сумму для каждого файла, установленного с обновлением.
В случае если какие-либо данные на сканируемом компьютере не совпадут с соответствующими пунктами в XML-файле, MBSA определит соответствующее обновление как отсутствующее, что будет отражено в итоговом отчете.
После сканирования единственного компьютера MBSA автоматически запустит окно "View security report" и отобразит результаты сканирования. Если было выполнено сканирование нескольких компьютеров, то следует выбрать режим "Pick a security report to view", чтобы увидеть результаты сканирования. Создаваемый MBSA отчет разбивается на пять секций:
Security Update Scan Results, Windows Scan Results,
Internet Information Services (IIS) Scan Results, SQL Server Scan Results,
Desktop Application Scan Results.
Некоторые секции разбиваются еще на разделы, посвященные определенным проблемам безопасности компьютера, и предоставляют системную информацию по каждой из проверок, указанных в таблице 6.1 . Описание каждой проверки операционной системы отражается в отчете вместе с инструкцией по устранению обнаруженных уязвимостей.
Таблица 6.1. Описание проверок, выполняемых MBSA
Проверка | Описание |
Выводит список учетных записей локальных |
|
администраторов компьютера |
|
Выводит настройки аудита на локальном компьютере |
|
Проверяет, включена ли функция Autologon |
|
Domain Controller | Проверяет, не запущена ли служба IIS на контроллере |
домена (DC) |
|
Security Updates | безопасности Exchange Server |
Проверяет тип файловой системы (например, NTFS) |
|
Проверяет, не активирована ли учетная запись Guest |
|
Выводит зоны безопасности IE для каждого пользователя |
|
IIS Admin Virtual | Просматривает виртуальный каталог IISADMPWD |
IIS Lockdown Tool | Проверяет, проведена ли процедура защиты IIS Lockdown |
IIS Security Updates Проверяет пропущенные исправления для системы безопасности IIS
Local Account Проверяет наличие пустых или слабых паролей для Password Test локальных учетных записей
Macro Security Выводит установки для макросов Office по пользователям
Msadc and Scripts Просматривает виртуальный каталог MSADC и Scripts Virtual Directories
Outlook Zones Выводит зоны безопасности Outlook для каждого
http://www.intuit.ru/studies/courses/1003/203/print_lecture/5271 |
9.10.2014 Системы анализа защищенности корпоративной сети (обнаружения уязвимостей) на примере продуктов: Microsoft Baseline Securit…
пользователя |
|
Выводит информацию о наличии ссылок на каталоги |
|
верхнего уровня от Web-узлов или виртуальных каталогов |
|
Password Expiration | Выводит учетные записи с неограниченным сроком |
действия паролей, не перечисленные в NoExpireOk.txt |
|
Restrict Anonymous | Выводит настройки реестра, запрещающие анонимным |
пользователям просмотр списка учетных записей |
|
Sample Applications | Выводит установленные примеры приложений для IIS |
(например, Default Web Site, IISHelp) |
|
Выводит список несущественных служб (например, FTP, |
|
SMTP, Telnet, WWW), которые могут ослабить безопасность |
|
Проверяет и выводит список общих ресурсов, а также их |
|
списки ACL |
|
SQL Server Security | Проверяет пропущенные исправления для системы |
безопасности SQL Server |
|
SQL: CmdExec role | Проверяет ограничение на запуск CmdExec только для |
Проверяет, не запущен ли SQL Server на DC |
|
SQL: Exposed SQL | Проверяет, не присутсвует ли пароль администратора (SA) |
в текством файле (например, setup.iss или sqlstp.log) |
|
Проверяет разрешения файлов в каталоге установки SQL |
|
SQL: Guest Account | Выводит базы данных с активной учетной записью гостя |
Проверяет разрешения реестра на разделы SQL Server |
|
Проверяет членство в группах учетных записей SQL Server |
|
и SQL Server agent |
|
SQL: SQL Account | Проверяет на пустые или слабые пароли локальных |
учетных записей SQL |
|
Проверяет, запущен SQL Server в режиме Windows Only или |
|
SQL: SysAdmin Role Выводит членов роли SysAdmin |
|
Выводит количество SysAdmins |
|
Проверяет пропущенные исправления для системы |
|
безопасности WMP |
|
Windows Security | Проверяет пропущенные исправления для системы |
безопасности Windows |
|
Выводит версию Windows |
|
6.3. Сканер безопасности XSpider
В последнее время в России все большую популярность среди специалистов по защите информации набирает сканер безопасности XSpider версии 7.0, выпускаемый отечественной компанией Positive
http://www.intuit.ru/studies/courses/1003/203/print_lecture/5271 |
9.10.2014 Системы анализа защищенности корпоративной сети (обнаружения уязвимостей) на примере продуктов: Microsoft Baseline Securit…
Есть ряд особенностей, которые дают преимущества сканеру XSpider как системе анализа защищенности над другими продуктами данного класса. Как подчеркивают сами разработчики, главная особенность XSpider 7 - это его сканирующее ядро, которое способно имитировать сценарий поведения потенциального злоумышленника. Также следует отметить мощную "интеллектуальную начинку" XSpider 7, которая реализуется во встроенных эвристических алгоритмах, позволяющих надежно идентифицировать еще не опубликованные новые уязвимости.
Надежные и исчерпывающие проверки XSpider 7 базируются, в частности, на следующих интеллектуальных подходах [ [ 6.5 ] ]:
полная идентификация сервисов на случайных портах;
эвристический метод определения типов и имен серверов (HTTP, FTP, SMTP, POP3, DNS, SSH) вне зависимости от их ответа на стандартные запросы;
обработка RPC-сервисов с их полной идентификацией; проведение проверок на нестандартные DoS-атаки.
С момента выхода первой версии сканера XSpider прошло уже более 6 лет. Версия 7.0, с которой мы познакомимся на этом занятии, является коммерческой в отличие от предыдущих свободно распространяемых версий (6.5 и ранее). У компании Positive Technologies существует гибкая система лицензирования сканера XSider 7. Стоимость лицензии зависит от количества проверяемых IP-адресов, количества рабочих мест, с которых проводится сканирование, и срока действия подписки на обновления. Более подробную информацию по приобретению продукта можно получить на странице компании:http://www.ptsecurity.ru/xs7rates.asp .
Для изучения возможностей сканера XSider 7 достаточно приобрести версию XSpider 7 Professional Edition с числом сканируемых IP-адресов от 4 до 16. Устанавливается XSpider 7 на любую операционную систему Microsoft Windows в режиме мастера.
При запуске XSpider 7 на экран будет выведено главное окно программы (рис. 6.4 ), в котором отобразится информация о текущей версии сканера и лицензии.
увеличить изображение
Рис. 6.4. Главное окно сканера XSpider 7.0, появляющееся при его запуске
В нижней части главного окна, в разделе "Документация" имеются ссылки на встроенные учебник и
http://www.intuit.ru/studies/courses/1003/203/print_lecture/5271 |
9.10.2014 Системы анализа защищенности корпоративной сети (обнаружения уязвимостей) на примере продуктов: Microsoft Baseline Securit…
справочник по продукту XSpider. Данные разделы документации тоже можно отнести к важным преимуществам XSpider. Во-первых, учебник и справочник написаны на русском языке, что имеется далеко не во всех подобных системах. Во-вторых, автор учебника - директор по развитию Positive Technologies Евгений Киреев - изложил достаточно интересно и понятно весь материал, с расчетом на обычных пользователей-непрофессионалов в области информационной безопасности.
XSpider 7 имеет многооконный интерфейс. Важно отметить, что каждое окно служит интерфейсом определенной задаче XSpider. Понятие "задача" является центральной концепцией сканера безопасности XSpider 7, она позволяет организовать и систематизировать процесс сканирования сети. Любое сканирование хостов всегда происходит в рамках определенной задачи, даже если для этого ничего специально не делалось: при первоначальном запуске XSpider всегда создается пустая задача.
Любая задача в XSpider определяется следующими атрибутами:
список проверяемых хостов (в задачу объединяют хосты, которые планируется проверять сходным образом);
журнал историй сканирований данной задачи; профиль сканирования.
Задача может быть сохранена в виде файла (по умолчанию каталог Program Files\Positive Technologies\XSpider 7.0\Tasks), и первые два атрибута - список хостов и журнал истории сканирований - будут записаны в ее структуру данных.
Профиль сканирования - это еще одна концепция сканера XSpider, представляющая набор настроек, которые определяют параметры сканирования хостов. Профиль можно назначить задаче, как только она сформирована. Если этого не сделать, то будет использоваться профиль по умолчанию (Default - Стандартный). После установки сканера безопасности XSpider 7 пользователю доступны 14 базовых профилей (рис. 6.5 ). Важно понимать, что с профилями можно работать независимо от задач, их можно редактировать, создавать новые и сохранять в отдельные файлы (по умолчанию каталог Program Files\Positive Technologies\XSpider 7.0\Profiles). В задаче хранится ссылка только на тот профиль, из которого ей нужно брать параметры сканирования.
http://www.intuit.ru/studies/courses/1003/203/print_lecture/5271 |
9.10.2014 Системы анализа защищенности корпоративной сети (обнаружения уязвимостей) на примере продуктов: Microsoft Baseline Securit…
Рис. 6.5. Базовые профили, доступные в XSPider 7.0
6.4. Лабораторная работа 1. Работа с Microsoft Baseline Security Analyzer 2.0
На этой лабораторной работе вы научитесь работать со средством анализа защищенности MBSA 2.0. Сначала вы выполните настройки на компьютере под управлением ОС Windows XP Professional, позволяющие работать MBSA без подключения к Интернету, а затем выполните сканирование и сгенерируете отчет о проделанной работе.
6.4.1. Упражнение 1. Подготовка компьютера под управлением ОС Windows XP Professional для работы MBSA в автономном режиме
Упражнение выполняется на виртуальной машине с ОС Windows XP Professional. Цель этого упражнения - обеспечить решение последующих задач по работе с MBSA 2.0 в автономном режиме, поэтому нам необходимо подключение к Интернету. Более подробную информацию о настройке MBSA в автономном режиме смотрите в источнике [ [ 6.2 ] ].
3. Запустите Internet Explorer и наберите следующий адрес в адресной строке: http://download.windowsupdate.com/v6/windowsupdate/redist/standalone/windowsupdateagent20-x86.exe .
4. Скачайте автономный установщик обновленного агента обновления Windows и установите его на компьютер с ОС Windows XP Professional.
6.
Сохраните скачанный файл в следующую папку: C:\Documents and Settings\
http://www.intuit.ru/studies/courses/1003/203/print_lecture/5271 |
9.10.2014 Системы анализа защищенности корпоративной сети (обнаружения уязвимостей) на примере продуктов: Microsoft Baseline Securit…
Settings\Application Data\Microsoft\MBSA \2.0\ Cache\wsusscn2.cab. В указанном пути под папкой
7. Установите средство MBSA 2.0. Ссылки на текущие версии MBSA содержатся на странице: http://www.microsoft.com/technet/security/tools/mbsahome.mspx .
8. На рабочем столе должен появиться ярлык программы Microsoft Baseline Security Analyzer 2.0
6.4.2. Упражнение 2. Проверка локального компьютера с помощью MBSA 2.0
Упражнение выполняется на виртуальной машине с ОС Windows XP Professional.
1. Зарегистрируйтесь в системе как пользователь с правами администратора.
2. На рабочем столе щелкните дважды на ярлык программы MBSA 2.0.
3. MBSA запустится в графическом режиме в режиме мастера, и появится первое окно "Welcome to the Microsoft Baseline Security Analyzer". Нажмите на ссылку "Scan a computer".
4. Загрузится следующее окно мастера MBSA, где необходимо задать опции сканирования. По умолчанию в поле "Computer name" отобразится имя текущего компьютера, на котором вы запустили MBSA. В опциях сканирования снимите флажок "Check for IIS administrative vulnerabilities" (проверка служб IIS).
6. Так как соединение с Интернетом отсутствует, то под индикатором процесса выполнения сканирования сначала появится надпись "Filed to download security update database". Через несколько секунд MBSA
начнет процесс сканирования в автономном режиме, при этом изменится надпись "Curently scanning <Имя компьютера>".
7. После окончания сканирования загрузится отчет с результатами.
8. Внимательно изучите отчет.
6.5. Лабораторная работа 2. Работа с системой анализа защищенности
На этой лабораторной работе вы научитесь работать с XSpider 7.0. Сначала вы создадите профиль для сканирования уязвимостей ОС Windows XP Professional, затем выполните сканирование и сгенерируете отчет о выполненной работе. Перед выполнением данной работы обязательно обновите базу уязвимостей
6.5.1. Упражнение 1. Создание профиля для сканирования уязвимостей ОС
Windows XP Professional
Упражнение выполняется на виртуальной машине с ОС Windows XP Professional с предустановленным ПО (см. п. "Прежде всего").
1. Запустите виртуальную машину с ОС Windows XP Professional.
2. Зарегистрируйтесь в системе как пользователь с правами администратора.
3. Запустите программу XSpider 7.0.
4. В меню "Профиль" выберите пункт "Редактировать текущий". Откроется окно для настройки профиля Default (базовый профиль).
5. Слева в дереве настроек выберите пункт "Сканер портов", и в правой области окна появятся соответствующие настройки. По умолчанию выбран файл портов default.prt.
6. Нажмите кнопку . Откроется окно со списком файлов портов.
7. В верхней части открывшегося окна на панели инструментов нажмите кнопку "Новый".
8. В появившемся окне оставьте вариант "Пустой файл" и нажмите кнопку "Выбрать".
9. Откроется окно "Новый файл портов". В области для комментария напишите "LabWork ports".
10. В нижней части окна в строке для ввода "Добавить порт(ы)" введите следующие значения портов: 80, 123, 135, 137, 139, 3306. После ввода каждого номера порта нажимайте кнопку справа "Добавить".
12. В окне со списком файлов портов выберите только что созданный файл портов.
http://www.intuit.ru/studies/courses/1003/203/print_lecture/5271 |
Основная задача данной статьи - предоставить материал администраторам, который позволит запускать MBSA периодически, в автоматическом режиме и отправлять отчеты на адреса электронной почты. Это позволит в значительной степени увеличить уровень информированности о состоянии безопасности в корпоративной сети.
В рамках корпоративной инфраструктуры требуется иметь актуальную информацию о состоянии уровня безопасности. Несмотря на то, что на рынке присутствуют достойные продукты, позволяющие производит автоматическое сканирование по заданным шаблонам, они обладают достаточно высокой ценой. Компания Microsoft выпустила продукт под названием Microsot Baseline Security Analyzer, который производит проверку продуктов Microsoft на наличие уязвимостей.
Основная задача данной статьи - предоставить материал администраторам, который позволит запускать MBSA периодически, в автоматическом режиме и отправлять отчеты на адреса электронной почты. Это позволит в значительной степени увеличить уровень информированности о состоянии безопасности в корпоративной сети.
В рамках MBSA существует возможность запуска сканирования через командную строку – mbsacli.exe. Команда имеет ряд ключей которые позволят управлять сканированием.
Проверка домена \ компьютера по имени |
||
Проверка по IP адресу |
||
Начальный IP адрес – конечный IP адрес |
Проверка диапазона IP адресов |
|
Имя файла.txt |
Проверка по файлу со списком IP адресов |
|
Имя домена |
Проверка домена |
|
Выбор какую проверку не выполнять. Варианты: "OS"(операционная система), "SQL"(SQL сервер), "IIS"(веб-сервер ISS), "Updates"(обновления), “Password"(пароли). при наборе необходимо использовать “+” без пробела. Пример: OS+SQL+ISS+Updates+Password |
||
Показывать только обновления, одобренные на WSUS. |
||
Показать все обновления, даже если они не приняты на WSUS. |
||
Не проверять новую версия MBSA |
||
Имя файла |
Шаблон названия отчета. имеет параметры: %D% - имя домена, %С% имя компьютера, %T% - время, %IP% - IP адрес. По умолчанию: %D% - %C% (%T%). |
|
Не показывать процесс проверки. |
||
Не показывать отчет при проверки одного компьютера. |
||
Не показывать отчет ошибок. |
||
Не показывать отчет. |
||
Не показывать все из вышеперечисленного |
||
Отчет в ЮНИКОДе |
||
Имя пользователя |
Имя пользователя используемого при сканировании. |
|
Пароль пользователя |
Пароль пользователя используемого при сканировании. |
|
Имя файла |
Указывает источник данных который содержит информацию о доступных обновлений безопасности. |
|
Обновления с учетом условий Windows Update Agent |
||
Проверка с учетом обновлений сайта Microsoft Update. |
||
Не скачивать обновления с сайта Microsoft Update при проверке. |
||
Запуск проверки в режиме только для обновления с использованием только mbsacli.exe и wusscan.dll. Этот ключ может быть использован только с ключами: /catalog, /wa, /wi, /nvc, /unicode. |
||
Показать все отчеты. |
||
Показать отчеты за последнее сканирование |
||
Имя файла |
Показать общий отчет. |
|
Имя файла |
Показать детализированный отчет |
|
Имя директории |
Директория для сохранения отчетов проверки. |
Имея в распоряжении информацию по ключам, используемых командой mbsacli.exe., мы можем составить свой сценарий сканирования согласно нашим требованиям. Задача ставиться следующим образом: необходимо провести проверку компьютеров(диапазон IP адресов) с использованием данных службы WSUS и сохранением отчета в определенной директории формат отчета: имя компьютера – время. Команда будет выглядеть следующим образом:
mbsacli. exe / r [начальный IP адрес]-[конечный IP адрес] / q / wa / o % IP%-% T% / u [Домен/имя пользователя] / p [пароль пользователя] / rd [директория, куда будут сохраняться отчеты]
Через некоторое время появятся отчеты об узлах в диапазоне IP адресов.
В рамках данной задачи будут отображены основные проблемы, связанные с безопасностью, которые будет необходимо изучить администраторам для устранения уязвимостей.
Но очень часто в рамках WSUS отсутствуют некоторые достаточно критичные обновления для систем. MBSA позволит выявить эти проблемы. Достаточно выше приведенную команду запустить с ключом /mu вместо /wa. В файлы отчета в Issue – Windows Security Updates будут показаны какие обновления необходимы для данного компьютера.
Автоматизация проверки
Как было показано выше, необходимо иметь два отчета, которые показывают разницу между установленными обновлениями со службы WSUS и имеющимся обновлениями на сервере Microsoft Update. Для этого необходимо использовать две различные папки хранения отчетов разбитые по датам сканирования.
Файл исполнения (.bat) для проверки MBSA с использованием службы WSUS будет выглядет так:
@echo off
cd
c
:/{Папка хранения отчетов}/
WSUS
MD %date:~-10%
mbsacli.exe /r [
начальный
IP]-[
конечный
IP] /q /wa /rd c:/ {
Папка
хранения
отчетов
}/WSUS/%date:~-10%
Файл исполнения (.bat) для проверки MBSA с использование сервера Microsoft Update будет выглядеть так:
@
echo
off
cd
c
:/{Папка хранения отчетов}/
MU
MD
%
date
:~-10%
cd "C:\Program Files\Microsoft Baseline Security Analyzer 2"
mbsacli.exe /r [
начальный
IP]-[
конечный
IP] /q /mu /rd c:/ {
Папка
хранения
отчетов
}/MU/%date:~-10%
Bat-файлы различны между собой ключами /wa или /mu, задающие область сравнения обновлений, и папками, в которые необходимо сохранять отчеты.
В bat-файлах отсутствуют ключи /u и /p с параметрами имя пользователя и пароль. Это сделано по причине отсутствия необходимости хранения паролей в открытом виде в bat-файлах. Для безопасности необходимо использовать «Планировщик задач», в котором настраивается: от имени какого пользователя будет исполняться bat-файл.
В рамках системы Microsoft Windows присутствует «Планировщик заданий», который позволяет выполнять необходимые действия в определенное время. Также он позволяет добавлять необходимые аргументы. В нашем случае это два ключа /u и /p с параметрами Имя пользователя и пароль
Для этого создаем новую задачу выбирая пункт «Создать простую задачу» и даем описание к ней(рис. 1).
В окне «Триггер задачи» устанавливаем периодичность проведения проверки (достаточно раз в неделю)(рис. 2).
В окне «Еженедельно» устанавливаем время проведения проверки (время должно быть рабочее, так как сканируемый компьютер должен быть включен. (рис. 3).
В окне «Действие» выбираем действие «Запустить программу». (рис. 4).
В окне «Запуск программы» выбираем через кнопку «Обзор», bat-файл предназначенный для сканирования с использованием WSUS (рис. 5).
После создания задачи необходимо открыть её свойства и во вкладке «Общие» указать пункт «Выполнять вне зависимости от регистрации пользователя», что позволит выполнять задачи без необходимости регистрации в системе, например на сервере (рис. 6)
Проделываем вышеперечисленные действия для создания второй задачи проверки с использованием обновлений с сервера Microsoft Update и указанием соответствующего bat-файла.
Заключение. Продукт Microsoft Baseline Security Analyzer не обладает богатым функционалом из-за своей «бесплатности», но благодаря использованию в командной строке различных ключей с параметрами, позволяет повысить уровень информативности о состоянии безопасности и получить информацию для устранения уязвимостей в корпоративной среде.
Также управление через командную строку позволяет администраторам автоматизировать процесс получения необходимых отчетов о состоянии безопасности.
