ВИЯВЛЕННЯ ВРАЗЛИВИХ ЗА ДОПОМОГОЮ MICROSOFT BASELINE SECURITY ANALYZER

Мета роботи.

Набуття практичних навичок виявлення вразливостей в ПО виробництва компанії Microsoft за допомогою спеціалізованого програмного засобу Baseline Security analyzer (BSA).

Програмні засоби.

Комп'ютер і / або віртуальна машина з ОС Microsoft і встановленою програмою BSA. Для виконання роботи потрібно мати права локального адміністратора.

Теоретичні відомості.

Microsoft Baseline Security analyzer - програма, що дозволяє перевірити рівень безпеки встановленої конфігурації операційної системи Windows, починаючи з версії Windows 2000. Також перевіряється і ряд інших додатків розробки Microsoft. Даний засіб можна віднести до розряду систем аналізу захищеності. Воно безоплатно розповсюджується через web-сервера Microsoft.

В процесі роботи BSA перевіряє наявність оновлень безпеки операційної системи, офісного пакету Microsoft Office (для версій ХР і більш пізніх), серверних додатків, таких як SQL Server, Exchange Server, Internet Information Server і т. Д. Крім того, перевіряється ряд налаштувань, що стосуються безпеки, наприклад, діюча політика паролів. Більш детальну інформацію можна отримати з статей TechNet, присвячених продукту: http://technet.microsoft.com/ru-ru/security/cc 184923.

Опис роботи.

Перейдемо до знайомства з програмним продуктом. Треба відзначити, що при підготовці опису даної лабораторної роботи використовувалася версія BSA 2.1, при використанні інших версій призначений для користувача інтерфейс може відрізнятися.

При запуску відкривається вікно, що дозволяє вибрати об'єкт перевірки - один комп'ютер (вибирається по імені або ip-адресою), кілька (задаються діапазоном ip-адрес або доменним ім'ям) або переглянути раніше зроблені звіти сканування системи. При виборі сканування окремого комп'ютера але замовчуванням підставляється ім'я локальної станції, але можна вказати ім'я або ip-адреса іншого комп'ютера.

Налаштування параметрів перевірки

Мал. 5.6. Налаштування параметрів перевірки

Можна задати перелік перевірених параметрів. На рис. 5.6 представлений вибір варіантів перевірки:

  • - перевірка на наявність вразливостей Windows, викликаних некоректним адмініструванням;
  • - перевірка на «слабкі» паролі (порожні паролі, відсутність обмежень на термін дії паролів і т. Д.);
  • - перевірка на наявність вразливостей web-сервера IIS, викликаних некоректним адмініструванням;
  • - аналогічна перевірка щодо СУБД MS SQL Server;
  • - перевірка на наявність оновлень безпеки.

Перед початком роботи програма звертається на сервер Microsoft для отримання переліку оновлень для ОС і описів відомих вразливостей.

Для успішної перевірки локальної системи необхідно, щоб програма виконувалася від імені облікового запису з правами локального адміністратора. Інакше перевірка не може бути проведена, про що буде видано відповідне повідомлення {па англ. You do not have sufficient permissions to perform this command . Make sure that you are running as the local administrator or have opened the command prompt using the 'Run as administrator' option).

За результатами сканування формується звіт, спочатку якого дається загальна оцінка рівня безпеки конфігурації перевіряється комп'ютера. У наведеному на рис. 5.7 прикладі рівень ризику оцінюється як «високий» {англ. Severe risk).

Заголовок звіту із зазначенням рівня ризику

Мал. 5.7. Заголовок звіту із зазначенням рівня ризику

Далі наводиться перелік виявлених вразливостей, розбитий на групи: результати перевірки установки оновлень, результати перевірки Windows і т. Д. Треба відзначити, що випускаються Microsoft поновлення бувають різних типів:

  • - Security updates - власне оновлення безпеки, як правило, присвячені виправленню однієї уразливості програмного продукту;
  • - Update rollups - набір виправлень безпеки, який дозволяє одночасно виправити кілька вразливостей. Це спрощує обслуговування процесу оновлення програмного забезпечення;
  • - Sen'ice packs - набір виправлень, як пов'язаних, так і не пов'язаних з безпекою. Установка Service pack, як правило, виправляє все уразливості, виявлені з моменту виходу попереднього Service pack, таким чином встановлювати проміжні оновлення вже не треба.

У вікні з описом результату перевірки можна вибрати посилання Result details і отримати більш детальну інформацію про знайдені проблеми (рис. 5.8, 5.9).

Перелік відсутніх оновлень (по групах)

Мал. 5.8. Перелік відсутніх оновлень (по групах)

Детальний опис відсутніх оновлень Microsoft Office

Мал. 5.9. Детальний опис відсутніх оновлень Microsoft Office

При наявності підключення до мережі Інтернет, перейшовши по наведеній в звіті посиланням, можна отримати інформацію про відсутній оновленні безпеки і завантажити його.

Потрібно відзначити, що установка оновлень для систем з високими вимогами в області безперервності роботи потребує попередньої ретельної перевірки сумісності оновлень з використовуються додатками. Подібна перевірка зазвичай проводиться на тестових системах з близької конфігурацією ПЗ. У той же час для невеликих організацій і користувачів домашніх комп'ютерів така перевірка часто нездійсненна. Тому треба бути готовим до того, щоб відновити систему після невдалого оновлення. Для ОС сімейства Windows, якщо після установки оновлень завантаження в нормальному режимі стала неможлива, можна використовувати спеціальні режими завантаження - безпечний режим або режим завантаження останньої вдалої конфігурації.

Також треба відзначити ще одну особливість. На даний момент Baseline Security analyzer не існує в локалізованої російськомовної версії. І що містяться там посилання на пакети оновлень можуть вказувати на інші мовні версії, що може створити проблеми при оновленні локалізованих продуктів.

Для зручності роботи зі звітом його матеріали можна роздрукувати або скопіювати в буфер обміну і через нього помістити звіт, наприклад, в документ Word.

Крім версії програми з графічним інтерфейсом, існує також утиліта з інтерфейсом командного рядка. Називається вона mbsacli ехе і знаходиться в тому ж каталозі, куди встановлювався Baseline Security analyzer, наприклад, «C: Program FilesMicrosoft Baseline Security Analyzer 2». У утиліти є досить багато параметрів, отримати інформацію про них можна при запуску з ключем "/?"?

Запуск без ключів призведе до сканування локального комп'ютера з виведенням результатів на консоль. Щоб зберегти результати сканування, можна перенаправити висновок в який-небудь файл. Наприклад: mbsacli> mylog.txt.

Ключ / xml out призводить до запуску утиліти в режимі перевірки оновлень: перевірка на уразливості, які з'явилися результатом невдалого адміністрування, проводитися не буде. Звіт формується в форматі xml. Наприклад: mbsacli / xmlout> c: myxmlog.xml.

Завдання.

Виконайте перевірку Вашого комп'ютера за допомогою Microsoft Baseline Security analyzer. У звіті про виконання лабораторної роботи вкажіть:

  • - як було оцінено рівень вразливості комп'ютера;
  • - які перевірки проводились, в якій області виявлено найбільшу кількість вразливостей;
  • - опишіть найбільш серйозні уразливості кожного типу, виявлені на комп'ютері.

Проведіть аналіз результатів: які уразливості можна усунути, які - не можна через особливості конфігурації ПО або використання комп'ютера.

Виконайте віддалену перевірку сусіднього комп'ютера з мережі лабораторії (або інший віртуальної машини). Опишіть найбільш серйозні уразливості.

Виконайте перевірку декількох комп'ютерів за допомогою утиліти mbsacli. Для цього, попередньо створіть текстовий файл з переліком імен комп'ютерів або ip-адрес і запускайте mbsacli з ключем / listfile, після якого вказується ім'я файлу з переліком комп'ютерів. В результаті має бути отримано повідомлення приблизно такого змісту:

Computer Name, IP Address, Assessment, Report Name

HOMEMYNBOOK, 127.0.0.1, Severe Risk, HOMEMYNBOOK (06.10.2013 13-51)

Для того щоб побачити детальні результати перевірки, треба повторно запустити mbsacli з ключем / Id, після якого вказується ім'я звіту. Висновок можна перенаправити в текстовий файл для подальшої обробки. наприклад:

mbsacli / Id "НОМЕ - MYNBOOK (06.10.2013 13-51)"> з: est eportl.txt

Після виконання завдання проаналізуйте результати, коротко опишіть їх в звіті по лабораторній роботі.

 
Переглянути оригінал
< Попер   ЗМІСТ   ОРИГІНАЛ   Наст >