Метода Анализ Защищенности

реев, изложил достаточно интересно и понятно весь материал, рассчитанный на обычных пользователей-непрофессионалов в области информационной безопасности.

Рис. 8.4. Главное окно сканера XSPider 7.0, появляющееся при его запуске.

Далее, чтобы не дублировать содержимое встроенного учебника,

будут изложены основные концепции, на которых базируется организация работы сканера безопасности XSpider 7.

XSpider 7 имеет многооконный интерфейс. Важно отметить, что каждое окно является интерфейсом к определенной задаче XSpider. Понятие «задача» является центральной концепцией сканера безопасности XSpider 7, она позволяет организовать и систематизировать процесс сканирования сети. Любое сканирование хостов всегда происходит в рамках определенной задачи, даже если для этого ничего специально не делалось: при первоначальном запуске XSpider всегда создается пустая задача.

Любая задача в XSpider определяется следующими атрибутами:

•список проверяемых хостов (в задачу объединяют хосты, которые планируется проверять сходным образом);

•журнал историй сканирований данной задачи;

• профиль сканирования.

Задача может быть сохранена в виде файла (по умолчанию каталог

Program Files\Positive Technologies\XSpider 7.0\Tasks), и первые два атри-

бута: список хостов и журнал истории сканирований будут записаны в ее структуру данных.

Рис. 8.5. Базовые профили, доступные в XSPider 7.0.

Профиль сканирования – это еще одна концепция сканера XSpider, представляющая набор настроек, которые определяют параметры сканирования хостов. Профиль можно назначить задаче, как только она сформирована. Если этого не сделать, то будет использоваться профиль по умолчанию (Default - Стандартный). После установки сканера безопасности XSpider 7 пользователю доступны 14 базовых профилей (см. рис. 8.5). Важно понимать, что с профилями можно работать независимо от задач, их можно редактировать, создавать новые и сохранять в отдельные файлы

(по умолчанию каталог Program Files\Positive Technologies\XSpider

7.0\Profiles). В задаче хранится только ссылка на тот профиль, из которого ей нужно брать параметры сканирования.

8.4.Лабораторная работа 1. Работа с Microsoft Baseline Security Analyzer 2.0

На этой лабораторной работе вы научитесь работать со средством анализа защищенности MBSA 2.0. Сначала вы выполните настройки на компьютере под управлением ОС Windows XP Professional, позволяющие работать MBSA без подключения к Internet, а затем выполните сканирование и сгенерируете отчет о выполненной работе.

8.4.1.Упражнение 1. Подготовка компьютера под управлением ОС Windows XP Professional для работы MBSA в автономном режиме

Упражнение выполняется на виртуальной машине с ОС Windows XP Professional. Цель этого упражнения обеспечить выполнение последующих упражнений по работе с MBSA 2.0 в автономном режиме, поэтому для его выполнения необходимо подключение к Internet. Более подробную информацию о настройке MBSA в автономном режиме смотрите источник [2].

1.Запустите виртуальную машину с ОС Windows XP Professional.

2.Зарегистрируйтесь в системе как пользователь с правами администратора.

3.Запустите Internet Explorer и наберите следующий адрес в адресной

строке: http://download.windowsupdate.com/v6/windowsupdate/redist/standalone/window supdateagent20-x86.exe

4.Скачайте автономный установщик обновленного агента обновления

Windows и установите его на компьютер с ОС Windows XP Professional.

5.Далее необходимо скачать базу уязвимостей Wsusscn2.cab доступную по адресу: http://go.microsoft.com/fwlink/?LinkID=74689

6.Сохраните скаченный файл в следующую папку: C:\Documents and Settings\<username>\Local Settings\Application Data\Microsoft\MBSA\2.0\ Cache\wsusscn2.cab В указанном пути под папкой <username> имеется ввиду имя папки, содержащей профиль пользователя с администраторскими правами, под которым вы зарегистрировались в системе.

7.Установите средство MBSA 2.0. Ссылки на текущие версии MBSA со-

держатся на странице: http://www.microsoft.com/technet/security/tools/mbsahome.mspx

8.На рабочем столе должен появиться ярлык программы Microsoft Baseline Security Analyzer 2.0

8.4.2.Упражнение 2. Проверка локального компьютера с помощью

MBSA 2.0

Упражнение выполняется на виртуальной машине с ОС Windows XP Professional.

1.Зарегистрируйтесь в системе как пользователь с правами администратора.

2.На рабочем столе щелкните дважды на ярлык программы MBSA 2.0.

3.MBSA запустится в графическом режиме в режиме мастера и появится первое окно «Welcome to the Microsoft Baseline Security Analyzer». Нажмите на ссылку «Scan a computer».

4.Загрузится следующее окно мастера MBSA, где необходимо задать опции сканирования. По умолчанию в поле «Computer name» отобразится имя текущего компьютера, на котором вы запустили MBSA. В опциях сканирования снимите флажок «Check for IIS administrative vulnerabilities» (проверка служб IIS).

5.Нажмите ссылку внизу «Start scan».

6.Так как соединение с Internet отсутствует, то под индикатором процесса выполнения сканирования сначала появится надпись «Filed to download security update database». Через несколько секунд MBSA начнет процесс сканирования в автономном режиме, при этом изменится надпись

«Curently scanning <Имя компьютера>».

7.После окончания сканирования загрузится отчет с результатами.

8.Внимательно изучите отчет.

8.5.Лабораторная работа 2. Работа с системой анализа защищен-

ности XSpider 7.0.

На этой лабораторной работе вы научитесь работать с XSpider 7.0. Сначала вы создадите профиль для сканирования уязвимостей ОС Windows XP Professional, затем выполните сканирование и сгенерируете отчет о выполненной работе. Перед выполнением данной работы обязательно обновите базу уязвимостей XSpider 7.0.

8.5.1.Упражнение 1. Создание профиля для сканирования уязвимостей ОС Windows XP Professional

Упражнение выполняется на виртуальной машине с ОС Windows XP Professional с предустановленным ПО (см. п. «Прежде всего»)

1.Запустите виртуальную машину с ОС Windows XP Professional.

2.Зарегистрируйтесь в системе как пользователь с правами администратора.

3.Запустите программу XSpider 7.0.

4.В меню «Профиль» выберите пункт «Редактировать текущий». Откроется окно для настройки профиля Default (базовый профиль).

5.Слева, в дереве настроек выберите пункт «Сканер портов» и в правой области окна появятся соответствующие настройки. По умолчанию выбран файл портов default.prt

6.Нажимаем кнопку . Откроется окно со списком файлов портов.

7.В верхней части открывшегося окна, на панели инструментов нажмите кнопку «Новый».

8.В появившемся окне оставьте вариант «Пустой файл» и нажмите кнопку «Выбрать».

9.Откроется окно «Новый файл портов». В области для комментария на-

пишите «LabWork ports».

10.В нижней части окна в строке для ввода «Добавить порт(ы)» введите следующие значения портов: 80, 123, 135, 137, 139, 3306. После ввода каждого номера порта нажимайте кнопку справа «Добавить».

11.Нажмите кнопку «Сохранить как» и назовите файл LabWork.prt. 12.В окне со списком файлов портов выберите только что созданный файл

портов.

13.Далее в дереве настроек выберите «Определение уязвимостей». В правой области настроек отметьте самый нижний флажок «проверять на новые Dos-атаки (эвристический метод)».

14.Найдите в дереве настроек пункт «Анализатор скриптов». Выбрав эту настройку отметьте в ней флажок «Сложная проверка прикладных скриптов».

15.Далее нажмите кнопку «Сохранить как» и назовите файл LabWork.prf. Таким образом, вы создали профиль для последующего сканирования.

8.5.2. Упражнение 2. Поиск уязвимостей ОС Windows XP Professional

В этом упражнении с помощью XSpider 7.0 вы выполните сканирование хоста с ОС Windows XP Professional для обнаружения имеющихся уязвимостей.

1.Запустите программу XSpider 7.0.

2.Находясь на вкладке «Сканирование», добавьте хост для сканирования. Для этого в панели инструментов нажмите соответствующую графическую кнопку «Добавить хост».

3.В появившемся окне введите IP-адрес или DNS-имя компьютера, на котором вы работаете, например: Client01.

4.С помощью меню «Профиль» / «Выбрать существующий» откройте окно выбора профиля для сканирования.

5.Пользовательские профили отображаются синим цветом. Щелкните два раза левой кнопкой мыши на профиль LabWork.prf.

6.В панели инструментов нажмите соответствующую графическую кнопку «Начать сканирование выделенных хостов».

7.Появится окно с предупреждением об использовании проверок DoSатаками. Нажмите кнопку «Продолжить»

8.Начнется процесс сканирования. В правой области главного окна программы XSpider 7.0 содержится информация о сканируемом хосте. Убедитесь, что имя хоста, полученное при обратном DNS-запросе такое же, как вы указали на шаге 3 этого упражнения, а также, что в параметрах сканирования используется ваш профиль LabWork.prf.

9.Внизу, в строке статуса синей полосой отображается степень общей завершенности процесса. Дождитесь окончания сканирования.

8.5.3.Упражнение 3. Просмотр и исправление обнаруженных уязвимостей

В этом упражнении вы просмотрите результаты сканирования хоста программой XSpider 7.0 и исправите некоторые обнаруженные уязвимости.

1.Перейдите на вкладку «Уязвимости» главного окна программы XSPider 7.0. Вы увидите, что по умолчанию обнаруженные уязвимости упорядочены по степени их опасности. Серьезные уязвимости находятся вверху списка (красные), предупреждения – внизу (зеленые). Рассмотрим и примем меры к устранению некоторых обнаруженных уязвимостей.

2.Нажмите на заголовок столбца «Порт», чтобы упорядочить соответствующим образом все найденные уязвимости. Рассмотрим уязвимости сервиса NetBIOS, который работает через порт 139 / TCP.

3.Найдите в списке уязвимость (оранжевая) «Неочищаемая виртуальная память». Щелкните два раза левой кнопкой мыши на нее.

4.Откроется окно с описанием уязвимости. Выполните действия по устранению данной уязвимости, описанные в области «Решение».

5.Повторите шаги 3, 4 для уязвимости «Слабое шифрование» (оранжевая)

и «Scheduler Service» (зеленая).

6.Далее найдите в списке уязвимость (красная) «Обновления Windows». Щелкните по ней два раза левой кнопкой мыши.

7.Откроется окно с описанием уязвимости. Вы увидите список обновлений, которые следует установить на данный компьютер. Если какие-то обновления из списка вам доступны для установки, то выйдите из программы XSpider 7.0 и установите их.

8.После установки некоторых обновлений компьютер требует перезагрузки. Установив обновления, снова запустите программу XSpider 7.0.

9.Повторите операцию сканирования хоста с использованием профиля

LabWork.prf.

10.Убедитесь, что исправленные вами уязвимости более не присутствуют в списке обнаруженных.

8.5.4.Упражнение 4. Сканирование удаленного хоста с ОС Windows 2003 Server

В этом упражнении с помощью XSpider 7.0 вы выполните сканирование удаленного хоста с ОС Windows 2003 Server для обнаружения имеющихся уязвимостей. Для выполнения данного упражнения необходим второй компьютер (виртуальная машина) с ОС Windows 2003 Server. Между компьютерами должно быть установлено сетевое подключение.

1.Включите компьютер с ОС Windows 2003 Server. Дождитесь его загрузки.

2.Перейдите на компьютер с ОС Windows XP Professional и убедитесь, что запущенный сервер доступен по сети (с помощью команды ping).

3.В программе XSpider 7.0 перейдите на вкладку «Сканирование» и добавьте новый хост для сканирования.

4.В появившемся окне введите IP-адрес или DNS-имя сервера, например: Server01.

5.С помощью меню «Профиль» / «Выбрать существующий» откройте окно выбора профиля для сканирования.

6.Выберите профиль Default.

7.Убедитесь, что в дереве сканирования (левая область главного окна) курсор установлен на удаленном хосте, который вы добавили на шаге 4. В панели инструментов нажмите кнопку «Начать сканирование выделенных хостов».

8.Появится окно с предупреждением об использовании проверок DoSатаками. Нажмите кнопку «Продолжить»

9.Начнется процесс сканирования.

10.Дождитесь окончания сканирования.

11.Перейдите на вкладку «Уязвимости» главного окна программы XSpider 7.0.

12.Нажмите на заголовок столбца «Хост», чтобы упорядочить соответствующим образом все найденные уязвимости. Обратите внимание, что количество уязвимостей обнаруженных на удаленном хосте значительно меньше, чем на том, где установлен сканер XSpider 7.0.

13.Найдите в списке уязвимость (красная) «Удаленное выполнение команд (ms04-012)» - порт 135/tcp, относящуюся к удаленному хосту. Щелкните два раза левой кнопкой мыши на нее. Откроется окно с описанием уязвимости. Для устранения этой уязвимости необходимо установить

обновление ms04-012.mspx. Если обновление не доступно, то отключите службу DCOM на сервере. Для этого выполните следующие шаги с

14 по 19.

14.Зарегистрируйтесь на сервере под учетной записью администратора. 15.Выберите «Пуск» / «Администрирование» / «Службы компонентов».

Откроется соответствующая консоль.

16.Убедитесь, что выделена оснастка «Служба компонентов» » и нажмите

кнопку «Настройка моего компьютера» на панели инструментов. 17.В открывшемся окне «Мой компьютер» перейдите на вкладку «Свойст-

ва по умолчанию».

18.Снимите флажок «Разрешить использование DCOM на этом компьютере» и нажмите кнопку «OK».

19.Вернитесь на компьютер с Windows XP Professional к программе

XSpider 7.0.

20.Найдите в списке уязвимость (красная) «Удаленное выполнение команд (ms04-045)» – порт 42/tcp, также относящуюся к удаленному хосту. Щелкните два раза левой кнопкой мыши на нее. Откроется окно с описанием уязвимости. Для устранения этой уязвимости необходимо установить обновление ms04-045.mspx. Если обновление не доступно, то остановите WINS-сервер. Для этого выполните следующие шаги с 21 по

23.

21.На сервере выберите «Пуск» / «Администрирование» / «WINS». Откроется соответствующая консоль.

22.В левом окне выберите ваш сервер WINS, например, Server01. 23.Выберите меню «Действие» / «Все задачи» / «Остановить». 24.Вернитесь на компьютер с Windows XP Professional к программе

XSpider 7.0 и перейдите на вкладку «Сканирование».

25.Убедитесь, что в дереве сканирования выделен удаленный хост. Просканируйте его повторно. Для этого нажмите кнопку «Начать сканирование выделенных хостов».

26.После окончания сканирования перейдите на вкладку «Уязвимости» главного окна программы XSPider 7.0.

27.Убедитесь, что устраненные вами уязвимости на сервере отсутствуют в списке.

28.Не закрывайте окно программы XSpider 7.0.

8.5.5. Упражнение 5. Создание отчетов и расписаний сканирования.

В этом упражнении средствами программы XSpider 7.0 вы создадите отчет о результатах сканирования хостов, а также научитесь задавать расписание сканирования задач с помощью встроенной утилиты «Планировщик».

1.После выполнения Упражнения 4, у вас были просканированы два хоста: локальный и удаленный сервер.

2.В главном меню программы XSpider 7.0 выберите «Сервис» / «Создать отчет».

3.Откроется первое окно диалога мастера создания отчета. Выберите степень детализации «Для системного администратора» и нажмите кнопку «Далее».

4.На следующем шаге необходимо указать результаты сканирований, которые будут добавлены в отчет. Нажмите кнопку «Добавить текущее сканирование».

5.В окно «Результаты сканирования…» добавится задача, в которую входят локальный и удаленный хост. Нажмите кнопку «Далее».

6.Далее мастер создания отчета предложит вам просмотреть, распечатать или сохранить отчет. Выберите вариант «сохранить», нажав соответствующую кнопку. Назовите отчет LabWork.

7.Далее нажмите кнопку «Закрыть», чтобы завершить работу мастера.

8.Просмотреть сохраненные отчеты в XSpider можно через меню «Сервис» / «Открыть отчет».

9.Далее зададим расписание сканирование хостов с помощью встроенной в XSpider утилиты «Планировщик». Для этого выберите меню «Сервис» / «Планировщик».

10.В окне «Планировщика» выберите меню «Расписание» / «Создать». Запустится мастер создания расписаний.

11.На первом шаге необходимо выбрать задачу, которая будет выполняться по расписанию. Выберите «Задача1» и нажмите кнопку «Далее».

12.В следующем окне мастера в поле комментария введите «Лабораторная работа» и установите переключатель «Выполнять выбранную задачу» в положение «Еженедельно». Нажмите кнопку «Далее».

13.Далее мастер предложить настроить детально расписание сканирования. Задайте время запуска на 5 минут позже от текущего времени. Даты начала и окончания расписания не меняйте (по умолчанию установлена текущая с разницей в год). Оставьте без изменения вариант сканирования каждую 1-ю неделю. Установите флажок только на текущий день недели и нажмите кнопку «Далее».

14.На последнем шаге необходимо настроить параметры создаваемого отчета. На вкладке «Создать отчет» выберите тип «Для системного администратора».

15.Ниже установите условие создания отчета - «Минимальная уязвимость» и выберите вариант «Уязвимость». Флажок «Сохранять отчет» должен быть включен. Путь сохранения файла-отчета оставьте без изменений. Нажмите кнопку «Готово».

16.В главном окне «Планировщика» появится строка «Задача1 Лабораторная работа». При наступлении времени, которое вы установили на шаге 13, начнет выполняться задача сканирования. При этом изменится значок задачи в строке «Планировщика».

17.Дождитесь когда Задача1 выполнится, после этого закройте «Планировщик».

18.В меню «Сервис» / «Открыть отчет» вы увидите, что после выполнения сканирования задачи был создан файл-отчет «Задача1 (текущая дата время)».

8.6. Закрепление материала

Приведенные ниже вопросы помогут вам лучше усвоить основные темы данного занятия. Если вы не сумеете ответить на вопрос, повторите соответствующий материал.

1. Что из ниже перечисленного можно отнести к типичным уязвимостям операционных систем:

a). отсутствие обновлений системы безопасности ОС; b). отсутствие пароля BIOS;

c). несоответствующие пароли пользователей, входящих в группу «Администраторы»;

d). неправильные настройки системного и прикладного ПО, установленного на ОС.

2.Для каких программных продуктов Microsoft выполняет проверки на наличие уязвимостей MBSA 2.0 ?

a). Windows Media Player; b). SQL Server;

c). Internet Information Server; d). Exchange Server.

3.Какие из перечисленных атрибутов являются внутренней структурой За-

дачи XSpider?

a). список хостов; b). планировщик;

c). истории сканирований; d). профиль сканирования.

4.Какие варианты отчетов позволяет создавать XSpider? a). для эксперта;

b). для системного администратора; c). для менеджера;

d). для руководителя.

5.Отметьте верные утверждения относительно MBSA и XSpider.