Главная страница
Навигация по странице:

  • Security updates

  • "C:\Program Files\Microsoft Baseline Security Analyzer 2" . У утилиты есть достаточно много ключей, получить информацию о которых можно запустив ее с ключом "/"

  • Ответы на контрольные вопросы

  • 5 Лабораторная работа Анализатор ИБ. Лабораторная работа 5 Анализ уязвимостей компьютера с использованием Microsoft Baseline Security analyzer Microsoft Baseline Security


    Скачать 0.52 Mb.
    НазваниеЛабораторная работа 5 Анализ уязвимостей компьютера с использованием Microsoft Baseline Security analyzer Microsoft Baseline Security
    Дата31.05.2022
    Размер0.52 Mb.
    Формат файлаdocx
    Имя файла5 Лабораторная работа Анализатор ИБ.docx
    ТипЛабораторная работа
    #561016

    Лабораторная работа №5
    Анализ уязвимостей компьютера с использованием Microsoft Baseline Security analyzer

    MicrosoftBaselineSecurityanalyzer - программа, позволяющая проверить уровень безопасности установленной конфигурации операционной системы (ОС)

    В процессе работы MBSA проверяет наличие обновлений безопасности операционной системы, офисного пакета Microsoft Office , серверных приложений, таких как MS SQL Server, MS Exchange Server, Internet Information Server и т.д. Кроме того, проверяется ряд настроек, касающихся безопасности, например, действующая политика паролей.

    Ход работы
    К сожалению, продукт не локализован, поэтому использовалась англоязычная версия.

    При запуске открывается окно, позволяющее выбрать объект проверки - один компьютер (выбирается по имени или ip-адресу), несколько (задаваемых диапазоном ip-адресов или доменным именем) или просмотреть ранее сделанные отчеты сканирования системы. При выборе сканирования отдельного компьютера по умолчанию подставляется имя локальной станции, но можно указать имя или ip-адрес другого компьютера.



    Рис. 3.1  Выбор проверяемого компьютера



    Рис. 3.2  Задание параметров проверки

    Можно задать перечень проверяемых параметров. На рис. 3.2 представлен выбор вариантов проверки:

    • проверка на наличие уязвимостей Windows, вызванных некорректным администрированием;

    • проверка на "слабые" пароли (пустые пароли, отсутствие ограничений на срок действия паролей и т.д.);

    • проверка на наличие уязвимостей web-сервера IIS, вызванных некорректным администрированием;

    • аналогичная проверка в отношении СУБД MS SQL Server;

    • проверка на наличие обновлений безопасности.

    Перед началом работы программа обращается на сервер Microsoft для получения перечня обновлений для ОС и известных уязвимостей. Если на момент проведения проверки компьютер не подключен к Интернет, база уязвимостей не будет обновлена, программа об этом сообщит и дальнейшие проверки выполняться не будут. В подобных случаях нужно отключать проверку обновлении безопасности (сбросив соответствующую галочку на экране (Сheck for security updates)  или с помощью ключа при использовании утилиты командной строки, о чем речь пойдет ниже).

    Для успешной проверки локальной системы необходимо, чтобы программа выполнялась от имени учетной записи с правами локального администратора. Иначе проверка не может быть проведена и о чем будет выдано сообщение:

    "You do not have sufficient permissions to perform this command. Make sure that you are running as the local administrator or have opened the command prompt using the 'Run as administrator' option".

    По результатам сканирования формируется отчет, в начале которого дается общая оценка уровня безопасности конфигурации проверяемого компьютера. В приведенном на рис. 3.3 примере говорится: «Неполное сканирование (не удалось завершить одну или более запрошенных проверок».



    Рис. 3.3  Заголовок отчета

    Далее приводится перечень обнаруженных уязвимостей, разбитый на группы: результаты проверки установки обновлений, результаты проверки Windows и т.д. Надо отметить, что выпускаемые Microsoft обновления бывают различных типов:

    Security updates - собственно обновления безопасности, как правило, посвященные исправлению одной уязвимости программного продукта;

    Update rollups - набор исправлений безопасности, который позволяет одновременно исправить несколько уязвимостей. Это упрощает обслуживание процесса обновления программного обеспечения (ПО);

    Service packs - набор исправлений, как связанных, так и несвязанных с безопасностью. Установка Service pack, как правило, исправляет все уязвимости, обнаруженные с момента выхода предыдущего Service pack, таким образом устанавливать промежуточные обновления уже не надо.

    В описании рассматриваемого результата проверки рис. 3.4 можно выбрать ссылку Result details и получить более подробное описание найденных проблем данной группы. При наличии подключения к Интернет, перейдя по приводимой в отчете ссылке, можно получить информацию об отсутствующем обновлении безопасности и скачать его из сети.

    Нужно отметить, что установка обновлений для систем с высокими требованиями в области непрерывности работы, требует предварительной тщательной проверки совместимости обновлений с использующимися приложениями. Подобная проверка обычно производится на тестовых системах с близкой конфигурацией ПО. В то же время, для небольших организаций и пользователей домашних компьютеров такая проверка зачастую неосуществима. Поэтому надо быть готовым к тому, чтобы восстановить систему после неудачного обновления. Для современных ОС семейства Windows это можно сделать, например, используя специальные режимы загрузки ОС - безопасный режим или режим загрузки последней удачной конфигурации. Также надо отметить еще одну особенность. На данный момент baseline security analyzer не существует в локализованной русскоязычной версии. И содержащиеся там ссылки на пакеты обновлений могут указывать на иные языковые версии, что может создать проблемы при обновлении локализованных продуктов.



    Рис. 3.4  Перечень неустановленных обновлений (по группам)



    Рис. 3.5 Уязвимости, связанные с администрированием операционной системы

    Аналогичным образом проводится работа по анализу других групп уязвимостей рис. 3.5. Описывается уязвимость, указывается ее уровень критичности, даются рекомендации по исправлению. На рис. 3.6  представлено подробное описание результатов (ссылка result details) проверки паролей. Указывается, что 3 учетные записи имеют пароли, неограниченные по сроку действия



    Рис. 3.6.  Результаты проверку паролей

    Кроме версии программы с графическим интерфейсом, существует также утилита с интерфейсом командной строки. Называется она mbsacli.exe и находится в том же каталоге, куда устанавливался Baseline security analyzer, например, 

    "C:\Program Files\Microsoft Baseline Security Analyzer 2".

    У утилиты есть достаточно много ключей, получить информацию о которых можно запустив ее с ключом 

    "/?".

    Командную строку необходимо запускать запускать от имени администратора.

    cmd → cd c:\\program files\microsoft baseline security analyzer 2\

    Запуск без ключей приведет к сканированию локального компьютера с выводом результатов на консоль. Чтобы сохранить результаты сканирования, можно перенаправить вывод в какой-либо файл. Например: mbsacli > mylog.txt. Хотелось бы еще раз обратить внимание на то, что при настройках по умолчанию сначала утилита обращается на сайт Майкрософт за информацией об обновлениях. Если соединение с Интернет отсутствует, то утилиту надо запускать или с ключом /nd (указание "не надо скачивать файлы с сайта Майкрософт") или с ключом /n Updates (указание "не надо проводить проверку обновлений").

    Запуск с ключом /xmlout приводит к запуску утилиты в режиме проверки обновлений (т.е. проверка на уязвимости, явившиеся результатом неудачного администрирования, проводиться не будет), при этом, отчет формируется в формате xml. Например:

    mbsacli /xmlout > c:\myxmlog.xml

    На рисунке 3.7 приведен пример запуска из командной строки с ключом nd, говорящем о том, что не надо скачивать файлы с сайта Майкрософт, а на рис. 3.8 с перенаправленным выводом в текстовый файл mylog.txt. Соответственно, на рисунке 3.8 в текстовом файле mylog.txt будет та же информация, что и в командной строке на рисунке 3.7.



    Р ис. 3.7 Запуск из командной строки с ключом /nd





    Рис 3.8 Перенаправленный вывод в текстовый файл

    Задания

    1. Выполните проверку Вашего компьютера с помощью Microsoft Baseline security analyzer. В отчете о выполнении лабораторной укажите:

      • как оценен уровень уязвимости Вашего компьютера;

      • какие проверки проводились, в какой области обнаружено наибольшее количество уязвимостей;

      • опишите наиболее серьезные уязвимости каждого типа, выявленные на Вашем компьютере.

    Проведите анализ результатов - какие уязвимости можно устранить, какие - нельзя из-за особенностей конфигурации ПО или использования компьютера.

    1. Выполните удаленную проверку соседнего компьютера из сети лаборатории. Опишите наиболее серьезные уязвимости.

    2. Теперь выполните проверку нескольких компьютеров с помощью утилиты mbsacli. Для этого, предварительно создайте текстовый файл с перечнем имен компьютеров или ip-адресов и запускайте mbsacli с ключом /listfile, после которого указывается имя файла с перечнем компьютеров. В результате Вы получите сообщение примерно следующего содержания:

    3. Computer Name, IP Address, Assessment, Report Name

    4. -----------------------------------------------------

    5. HOME\MYNBOOK, 127.0.0.1, Severe Risk, HOME - MYNBOOK (06.12.2008 13-51)



    Для того, чтобы увидеть подробные результаты проверки, надо повторно запустить mbsacli с ключом /ld, после которого указывается имя отчета. Вывод можно перенаправить в текстовый файл для дальнейшей обработки. Например:

    mbsacli /ld "HOME - MYNBOOK (06.12.2008 13-51)" > c:\test\report1.txt

    После выполнения задания проанализируйте результаты, кратко опишите их в отчете по лабораторной работе.


    Ответы на контрольные вопросы:

    1. Опишите основные параметры программы Microsoft Baseline Security analyzer.

    Microsoft Baseline Security analyzer - программа, позволяющая проверить уровень безопасности установленной конфигурации операционной системы (ОС). Данное средство можно отнести к разряду систем анализа защищенности. В процессе работы BSA проверяет наличие обновлений безопасности операционной системы, офисного пакета Microsoft Office , серверных приложений, таких как MS SQL Server. Кроме того, проверяется ряд настроек, касающихся безопасности, например, действующая политика паролей.

    Можно задать перечень проверяемых параметров:

    1. проверка на наличие уязвимостей Windows, вызванных некорректным администрированием;

    2. проверка на "слабые" пароли (пустые пароли, отсутствие ограничений на срок действия паролей и т.д.);

    3. проверка на наличие уязвимостей web-сервера IIS, вызванных некорректным администрированием;

    4.аналогичная проверка в отношении СУБД MS SQL Server;

    5.проверка на наличие обновлений безопасности.
    2. Где используется проверка локальной системы?

    Проверка локальной системы необходима во всех сферах, где нужно соблюдать 3 необходимых условия защиты информации:

    1) Конфиденциальность — состояние информации, при котором доступ к ней осуществляют только субъекты, имеющие на неё право;

    2)Целостность — избежание несанкционированной модификации информации;

    3)Доступность — избежание временного или постоянного сокрытия информации от пользователей, получивших права доступа.

    Также данная проверка нужна для того, чтобы избежать уязвимостей информационной системы, которые в свою очередь могут привести к возникновению угрозы, которая может оказать нежелательное воздействие на компьютерную систему, а также информацию, хранящуюся и обрабатывающуюся в ней.


    написать администратору сайта