Microsoft Baseline Security Analyzer (MBSA) – свободно распространяемое средство анализа защищенности операционных систем Windows и ряда программных продуктов компании Microsoft (Internet Information Services, SQL Server, Internet Explorer и др.). Термин " Baseline " в названии MBSA следует понимать как некоторый эталонный уровень, при котором безопасность ОС можно считать удовлетворительной. MBSA позволяет сканировать компьютеры под управлением операционных систем Windows на предмет обнаружения основных уязвимостей и наличия рекомендованных к установке обновлений системы безопасности. Критически важно знать, какие обновления установлены, а какие еще следует установить на вашей ОС. MBSA обеспечивает подобную проверку, обращаясь к постоянно пополняемой Microsoft базе данных в формате XML, которая содержит информацию об обновлениях, выпущенных для каждого из программных продуктов Microsoft]. Работать с программой MBSA можно через графический интерфейс и командную строку. На данном занятии будет рассмотрен только первый вариант работы.
Интерфейс MBSA выполнен на основе браузера Internet Explorer. Главное окно программы разбито на две области (рис. 2). Так как сеанс работы с MBSA настраивается с помощью мастера, то в левой области представлены шаги мастера, а в правой – основное окно с описанием действий каждого шага.
Рис. 2. Главное окно программы Microsoft Baseline Security Analyzer 2.0
На первом шаге "Welcome" необходимо выбрать одно из действий (см. рис. 2):
ü Сканировать данный компьютер (Scan a computer);
ü Сканировать несколько компьютеров (Scan more than one computer);
ü Просмотреть существующие отчеты, сделанные MBSA ранее (View existing security reports).
При первом запуске MBSA необходимо выбрать первый или второй вариант. На следующем шаге мастера в основном окне нужно задать параметры сканирования компьютера(ов) под управлением ОС Windows (рис. 3). Можно ввести имя или IP-адрес сканируемого компьютера (по умолчанию выбирается компьютер, на котором был запущен MBSA).
Пользователь, запустивший MBSA, должен обладать правами администратора данного компьютера или входить в группу администраторов системы. В случае сканирования нескольких компьютеров пользователь должен обладать правами администратора на каждом из компьютеров, а лучше – правами администратора домена.
Рис. 3. Выбор компьютера и опций сканирования в программе MBSA 2.0
Выбрав компьютер(ы) для сканирования, необходимо задать опции сканирования:
ü проверка ОС Windows;
ü проверка паролей;
ü проверка служб IIS;
ü проверка сервера SQL;
ü проверка установленных обновлений безопасности.
Более подробную информацию о проверках MBSA можно получить на официальном сайте Microsoft. Например, когда задана опция "проверка паролей", MBSA проверяет на компьютере учетные записи локальных пользователей, которые используют пустые или простые пароли (эта проверка не выполняется на серверах, выступающих в роли контроллеров домена) из следующих комбинаций:
ü пароль пустой;
ü пароль совпадает с именем учетной записи пользователя;
ü пароль совпадает с именем компьютера;
ü паролем служит слово "password";
ü паролем служат слова "admin" или "administrator".
Данная проверка также выводит сообщения о заблокированных учетных записях.
После того как все опции будут заданы, необходимо нажать на ссылку внизу "Start scan" (см. рис. 3). При первом сканировании MBSA необходимо подключение к Интернету, чтобы скачать с сайта Microsoft Download Center (https://www.microsoft.com/downloads) XML-файл, содержащий текущую справочную базу уязвимостей. MBSA сначала скачивает этот файл в архивированном cab-файле, затем, проверив его подпись, разархивирует его на компьютер, с которого будет запускаться.
Возможна также работа MBSA без подключения к Интернету в автономном режиме. Для этого нужно скачать выше описанный файл и разместить в соответствующем каталоге.
После того как cab-файл будет разархивирован, MBSA начнет сканировать заданный компьютер(ы) на предмет определения операционной системы, наборов обновлений и используемых программ. Затем MBSA анализирует XML-файл и определяет обновления системы безопасности, которые доступны для установленного ПО. Для того чтобы MBSA определил, какое обновление установлено на сканируемом компьютере, ему необходимо знать три пункта: ключ реестра, версию файла и контрольную сумму для каждого файла, установленного с обновлением.
В случае если какие-либо данные на сканируемом компьютере не совпадут с соответствующими пунктами в XML-файле, MBSA определит соответствующее обновление как отсутствующее, что будет отражено в итоговом отчете.
После сканирования единственного компьютера MBSA автоматически запустит окно "View security report" и отобразит результаты сканирования. Если было выполнено сканирование нескольких компьютеров, то следует выбрать режим "Pick a security report to view", чтобы увидеть результаты сканирования. Создаваемый MBSA отчет разбивается на пять секций:
ü Security Update Scan Results,
ü Windows Scan Results,
ü Internet Information Services (IIS) Scan Results,
ü SQL Server Scan Results,
ü Desktop Application Scan Results.
Некоторые секции разбиваются еще на разделы, посвященные определенным проблемам безопасности компьютера, и предоставляют системную информацию по каждой из проверок, указанных в таблице 1. Описание каждой проверки операционной системы отражается в отчете вместе с инструкцией по устранению обнаруженных уязвимостей.
Задание. Работа с Microsoft Baseline Security Analyzer 2.0
На этой лабораторной работе вы научитесь работать со средством анализа защищенности MBSA 2.0. Сначала вы выполните настройки на компьютере под управлением ОС Windows XP Professional, позволяющие работать MBSA без подключения к Интернету, а затем выполните сканирование и сгенерируете отчет о проделанной работе.
Упражнение 1. Подготовка компьютера под управлением ОС Windows XP Professional для работы MBSA в автономном режиме
Проверьте, есть ли на вашем рабочем столе ярлычок MBSA. Если ярлык найден то выполняйте упражнение 2.
Если ярлык отсутствует, то выполните следующие действия:
ü Запустите Internet Explorer или любой другой браузер и наберите следующий адрес в адресной строке:
https://download.windowsupdate.com/v6/windowsupdate/redist/standalone/windowsupdateagent20-x86.exe.
ü Скачайте автономный установщик обновленного агента обновления Windows и установите его на компьютер с ОС Windows XP Professional.
ü Далее необходимо скачать базу уязвимостей Wsusscn2.cab, доступную по адресу: https://go.microsoft.com/fwlink/?LinkID=74689.
ü Сохраните скачанный файл в следующую папку: C:\Documents and Settings\<username>\Local Settings\Application Data\Microsoft\MBSA \2.0\ Cache\wsusscn2.cab. В указанном пути под папкой <username> имеется в виду имя папки, содержащей профиль пользователя с администраторскими правами, под которым вы зарегистрировались в системе.
ü Установите средство MBSA 2.0. Ссылки на текущие версии MBSA содержатся на странице: https://www.microsoft.com/technet/security/tools/mbsahome.mspx.
ü На рабочем столе должен появиться ярлык программы Microsoft Baseline Security Analyzer 2.0
Упражнение 2. Проверка локального компьютера с помощью MBSA 2.0
1. На рабочем столе щелкните дважды на ярлык программы MBSA 2.0.
2. MBSA запустится в графическом режиме в режиме мастера, и появится первое окно "Welcome to the Microsoft Baseline Security Analyzer". Нажмите на ссылку "Scan a computer".
3. Загрузится следующее окно мастера MBSA, где необходимо задать опции сканирования. По умолчанию в поле "Computer name" отобразится имя текущего компьютера, на котором вы запустили MBSA. В опциях сканирования снимите флажок "Check for IIS administrative vulnerabilities" (проверка служб IIS).
4. Нажмите ссылку внизу "Start scan".
5. Так как соединение с Интернетом отсутствует, то под индикатором процесса выполнения сканирования сначала появится надпись "Filed to download security update database". Через несколько секунд MBSA начнет процесс сканирования в автономном режиме, при этом изменится надпись "Curently scanning <Имя компьютера>".
6. После окончания сканирования загрузится отчет с результатами.
7. Внимательно изучите отчет. Переведите его и покажите преподавателю.
Контрольные вопросы:
1. Что такое уязвимость?
2. Перечислите типичные уязвимости.
3. Поясните основные подходы обнаружения уязвимостей.
4. Что означает термин "Baseline"?
5. В каких режимах можно работать с MBSA?