4.2. Microsoft Baseline Security Analyzer
Microsoft Baseline Security Analyzer (MBSA) – свободно распро-
страняемое средство анализа защищенности операционных систем Windows и ряда программных продуктов компании Microsoft (Internet Information Services, SQL Server, Internet Explorer и др.). Термин
«Baseline» в названии MBSA следует понимать как некоторый эта-лонный уровень, при котором безопасность ОС можно считать удов-летворительной. MBSA позволяет сканировать компьютеры под управлением операционных систем Windows на предмет обнаружения основных уязвимостей и наличия рекомендованных к установке об-новлений системы безопасности. Критически важно знать , какие об-новления установлены, а какие еще следует установить на вашей ОС. MBSA обеспечивает подобную проверку, обращаясь к постоянно по-
164
полняемой Microsoft базе данных в формате XML, содержащую ин-формацию об обновлениях, выпущенных для каждого из программ-ных продуктов Microsoft [8]. Работать с программой MBSA можно че-рез графический интерфейс и командную строку . На данном занятии будет рассмотрен только первый вариант работы.
Интерфейс MBSA выполнен на основе браузера Internet Explorer. Главное окно программы разбито на две области ( см. рис. 4.2). Так как сеанс работы с MBSA настраивается с помощью мастера, то в левой области представлены шаги мастера, а в правой – основное окно с описанием действий каждого шага.
Рис. 4.2. Главное окно программы Microsoft Baseline Security Analyzer 2.0
На первом шаге «Welcome» необходимо выбрать одно из действий
(см. рис. 4.2):
Сканировать данный компьютер (Scan a computer);
Сканировать несколько компьютеров (Scan more than one com-puter);
Просмотреть существующие отчеты, сделанные MBSA ранее
(View existing security reports).
При первом запуске MBSA необходимо выбрать первый или вто-рой вариант. На следующем шаге мастера в основном окне нужно задать
165
параметры сканирования компьютера(ов) под управлением ОС Windows (см. рис. 4.3). Можно ввести имя или IP-адрес сканируемого компьютера (по умолчанию выбирается компьютер, на котором был запущен MBSA).
Пользователь, запустивший MBSA, должен обладать правами ад-министратора данного компьютера или входить в группу администра-торов системы. В случае сканирования нескольких компьютеров пользователь должен обладать правами администратора на каждом из компьютеров, а лучше – правами администратора домена.
Рис. 4.3. Выбор компьютера и опций сканирования в программе MBSA 2.0
Выбрав компьютер(ы) для сканирования, необходимо задать оп-ции сканирования:
проверка ОС Windows;
проверка паролей;
проверка служб IIS;
проверка сервера SQL;
проверка установленных обновлений безопасности.
Более подробную информацию о проверках MBSA можно полу-чить на официальном сайте Microsoft [1]. Например, задав опцию «проверка паролей» MBSA проверяет на компьютере учетные записи
166
локальных пользователей, которые используют пустые или простые пароли (эта проверка не выполняется на серверах, выступающих в ро-ли контроллеров домена) из следующих комбинаций:
пароль пустой;
пароль совпадает с именем учетной записи пользователя;
пароль совпадает с именем компьютера;
паролем служит слово «password»;
паролем служат слова «admin» или «administrator».
Данная проверка также выводит сообщения о заблокированных учетных записях.
После того как все опции будут заданы необходимо нажать на ссылку внизу «Start scan» (см. рис. 4.3). При первом сканировании MBSA необходимо подключение к Internet, чтобы скачать с сайта Mi-crosoft Download Center (http://www.microsoft.com/ downloads) XML-
файл, содержащий текущую справочную базу уязвимостей. MBSA сначала скачивает этот файл в архивированном cab-файле, затем, про-верив его подпись, разархивирует его на компьютер, с которого будет запускаться.
Возможна также работа MBSA без подключения к Internet в авто-номном режиме. Для этого нужно сначала скачать выше описанный файл и разместить в соответствующем каталоге. Более подробную информацию об этой процедуре смотрите в Упражнении 1 Лабора-торной работы №1.
После того, как cab-файл будет разархивирован, MBSA начнет сканировать заданный компьютер(ы) на предмет определения опера-ционной системы, наборов обновлений и используемых программ. За-тем MBSA анализирует XML-файл и определяет обновления системы безопасности, которые доступны для установленного ПО [9]. Для того чтобы MBSA определил, какое обновление установлено на сканируе-мом компьютере, ему необходимо знать три пункта: ключ реестра, версию файла и контрольную сумму для каждого файла, установлен-ного обновлением.
В случае если какие-либо данные на сканируемом компьютере не совпадут с соответствующими пунктами в XML-файле, MBSA опре-делит соответствующее обновление как отсутствующее, что будет от-ражено в итоговом отчете.
После сканирования единственного компьютера MBSA автомати-чески запустит окно «View security report» и отобразит результаты сканирования . Если было выполнено сканирование нескольких ком-пьютеров, то следует выбрать режим «Pick a security report to view», чтобы увидеть результаты сканирования. Создаваемый MBSA отчет разбивается на пять секций:
167
Security Update Scan Results,
Windows Scan Results,
Internet Information Services (IIS) Scan Results,
SQL Server Scan Results,
Desktop Application Scan Results.
Некоторые секции разбиваются еще на разделы, посвященные оп-ределенным проблемам безопасности компьютера, и предоставляют системную информацию по каждой из проверок, указанных в таблице 4.1. Описание каждой проверки операционной системы отражается в отчете вместе с инструкцией по устранению обнаруженных уязвимо-стей.
|
Таблица 4.1. Описание проверок выполняемых MBSA [8] |
|
|
Проверка |
|
Описание |
|
Administrators |
|
Выводит список учетных записей локальных админи- |
|
|
страторов компьютера |
|
|
|
|
|
|
Auditing |
|
Выводит настройки аудита на локальном компьютере |
|
Autologon |
|
Проверяет, включена ли функция Autologon |
|
Domain Controller Test |
|
Проверяет, не запущена ли служба IIS на контролле- |
|
|
ре домена (DC) |
|
|
|
|
|
|
Exchange Server |
|
Проверяет пропущенные исправления для системы |
|
Security Updates |
|
безопасности Exchange Server |
|
File System |
|
Проверяет тип файловой системы (например, NTFS) |
|
Guest Account |
|
Проверяет, не активирована ли учетная запись Guest |
|
IE Zones |
|
Выводит зоны безопасности IE для каждого пользова- |
|
|
теля |
|
|
|
|
|
|
IIS Admin Virtual |
|
Просматривает виртуальный каталог IISADMPWD |
|
Directory |
|
|
|
|
|
|
|
IIS Lockdown Tool |
|
Проверяет, проведена ли процедура защиты IIS |
|
|
Lockdown |
|
|
|
|
|
|
IIS Logging Enabled |
|
Выдает рекомендации по журналированию сайтов |
|
|
HTTP и FTP |
|
|
|
|
|
|
IIS Security Updates |
|
Проверяет пропущенные исправления для системы |
|
|
безопасности IIS |
|
|
|
|
|
|
Local Account Password |
|
Проверяет наличие пустых или слабых паролей для |
|
Test |
|
локальных учетных записей |
|
Macro Security |
|
Выводит установки для макросов Office по пользова- |
|
|
телям |
|
|
|
|
|
|
Msadc and Scripts Virtual |
|
Просматривает виртуальный каталог MSADC и Scripts |
|
Directories |
|
|
|
Outlook Zones |
|
Выводит зоны безопасности Outlook для каждого |
|
|
пользователя |
|
|
|
|
|
|
|
|
Выводит информацию о наличии ссылок на каталоги |
|
Parent Paths |
|
верхнего уровня от Web узлов или виртуальных ката- |
|
|
|
логов |
|
Password Expiration |
|
Выводит учетные записи с неограниченным сроком |
|
|
действия паролей, не перечисленные в NoExpireOk.txt |
|
|
|
|
|
|
Restrict Anonymous |
|
Выводит настройки реестра, запрещающие аноним- |
|
|
ным пользователям просмотр списка учетных записей |
|
|
|
|
|
|
|
168 |
|
|
Продолжение табл. 4.1
Проверка |
Описание |
|
Sample Applications |
Выводит установленные примеры приложений для IIS |
|
(например, Default Web Site, IISHelp) |
|
|
|
|
|
|
Выводит список несущественных служб (например, |
|
Services |
FTP, SMTP, Telnet, WWW), которые могут ослабить |
|
|
безопасность |
|
Shares |
Проверяет и выводит список общих ресурсов, а также |
|
их списки ACL |
|
|
|
|
|
SQL Server Security |
Проверяет пропущенные исправления для системы |
|
Updates |
безопасности SQL Server |
|
SQL: CmdExec role |
Проверяет ограничение на запуск CmdExec только |
|
для SysAdmin |
|
|
|
|
|
SQL: Domain Controller |
Проверяет, не запущен ли SQL Server на DC |
|
Test |
|
|
SQL: Exposed SQL |
Проверяет, не присутсвует ли пароль администратора |
|
(SA) в текством файле (например, setup.iss или |
|
|
Password |
|
|
sqlstp.log) |
|
|
|
|
|
SQL: Folder Permissions |
Проверяет разрешения файлов в каталоге установки |
|
|
SQL Server |
|
SQL: Guest Account |
Выводит базы данных с активной учетной записью |
|
гостя |
|
|
|
|
|
SQL: Registry |
Проверяет разрешения реестра на разделы SQL |
|
Permissions |
Server |
|
SQL: Service Accounts |
Проверяет членство в группах учетных записей SQL |
|
Server и SQL Server agent |
|
|
|
|
|
SQL: SQL Account Pass- |
Проверяет на пустые или слабые пароли локальных |
|
word Test |
учетных записей SQL |
|
SQL: SQL Server Secu- |
Проверяет запущен SQL Server в режиме Windows |
|
rity Mode |
Only или Mixed |
|
SQL: SysAdmin Role |
Выводит членов роли SysAdmin |
|
Members |
|
|
|
|
|
SQL: SysAdmins |
Выводит количество SysAdmins |
|
Windows Media Player |
Проверяет пропущенные исправления для системы |
|
Security Updates |
безопасности WMP |
|
Windows Security |
Проверяет пропущенные исправления для системы |
|
Updates |
безопасности Windows |
|
Windows Version |
Выводит версию Windows |
|