Microsoft Baseline Security Analyzer

Microsoft Baseline Security Analyzer (MBSA) - вільно поширюване засіб аналізу захищеності операційних систем Windows і ряду програмних продуктів компанії Microsoft (Internet Information Services, SQL Server, Internet Explorer та ін.) Термін "Baseline" в назві MBSA слід розуміти як деякий еталонний рівень, при якому безпека ОС можна вважати задовільною. MBSA дозволяє сканувати комп'ютери під управлінням операційних систем Windows на предмет виявлення основних вразливостей і наявності рекомендованих до установки оновлень системи безпеки. Критично важливо знати, які оновлення встановлені, а які ще слід встановити на вашій ОС. MBSA забезпечує подібну перевірку, звертаючись до постійно поповнюється Microsoft базі даних у форматі XML, яка містить інформацію про оновлення, випущених для кожного з програмних продуктів Microsoft. Працювати з програмою MBSA можна через графічний інтерфейс і командний рядок. На даному занятті буде розглянуто тільки перший варіант роботи.

Інтерфейс MBSA виконаний на основі браузера Internet Explorer. Головне вікно програми розбито на дві області. Так як сеанс роботи з MBSA налаштовується за допомогою майстра, то в лівій області представлені кроки майстра, а в правій - основне вікно з описом дій кожного кроку.

Головне вікно програми Microsoft Baseline Security Analyzer 2.0

На першому кроці "Welcome" необхідно вибрати одну з дій:

• Сканувати даний комп'ютер (Scan a computer);

• Сканувати декілька комп'ютерів (Scan more than one computer);

• Переглянути існуючі звіти, зроблені MBSA раніше (View existing security reports).

При першому запуску MBSA необхідно вибрати перший або другий варіант. На наступному кроці майстра в основному вікні потрібно задати параметри сканування комп'ютера(ів) під управлінням ОС Windows (рис. 6.3). Можна ввести ім'я або IP-адресу сканованого комп'ютера (за умовчанням вибирається комп'ютер, на якому був запущений MBSA).

Користувач, що запустив MBSA, повинен мати права адміністратора даного комп'ютера або входити до групи адміністраторів системи. У разі сканування декількох комп'ютерів користувач повинен мати права адміністратора на кожному з комп'ютерів, а краще - правами адміністратора домену.

Вибір комп'ютера і параметрів сканування в програмі MBSA 2.0

Вибравши комп'ютер (и) для сканування, необхідно задати параметри сканування:

• перевірка ОС Windows;

• перевірка паролів;

• перевірка служб IIS;

• перевірка сервера SQL;

• перевірка встановлених оновлень безпеки.

Більш детальну інформацію про перевірки MBSA можна отримати на офіційному сайті Microsoft. Наприклад, коли задана опція "перевірка паролів", MBSA перевіряє на комп'ютері облікові записи локальних користувачів, які використовують порожні або прості паролі (ця перевірка не виконується на серверах, які виступають в ролі контролерів домену) з наступних комбінацій:

• пароль порожній;

• пароль збігається з ім'ям облікового запису користувача;

• пароль збігається з ім'ям комп'ютера;

• паролем служить слово "password";

• паролем слугують слова "admin" або "administrator".

Дана перевірка також виводить повідомлення про заблокованих облікових записах.

Після того як всі опції будуть задані, необхідно натиснути на посилання внизу "Start scan". При першому скануванні MBSA необхідне підключення до Інтернету, щоб завантажити з сайту Microsoft Download Center (http://www.microsoft.com/downloads) XML-файл, що містить поточну довідкову базу вразливостей. MBSA спочатку викачує цей файл у архівувати cab-файлі, потім, перевіривши його підпис, розархівуйте його на комп'ютер, з якого буде запускатися.

Можлива також робота MBSA без підключення до Інтернету в автономному режимі. Для цього потрібно завантажити вище описаний файл і розмістити у відповідному каталозі.

Після того як cab-файл буде розархівувати, MBSA почне сканувати заданий комп'ютер (и) на предмет визначення операційної системи, наборів оновлень і використовуваних програм. Потім MBSA аналізує XML-файл і визначає оновлення системи безпеки, які доступні для встановленого ПЗ. Для того щоб MBSA визначив, яке оновлення встановлено на сканованого комп'ютері, йому необхідно знати три пункти: ключ реєстру, версію файлу і контрольну суму для кожного файлу, встановленого з оновленням.

У разі якщо будь-які дані на сканованого комп'ютері не співпадуть з відповідними пунктами в XML-файлі, MBSA визначить відповідне оновлення як відсутнє, що буде відображено в підсумковому звіті.

Після сканування єдиного комп'ютера MBSA автоматично запустить вікно "View security report" і відобразить результати сканування. Якщо було виконано сканування декількох комп'ютерів, то слід вибрати режим "Pick a security report to view", щоб побачити результати сканування. Створюваний MBSA звіт розбивається на п'ять секцій:

• Security Update Scan Results,

• Windows Scan Results,

• Internet Information Services (IIS) Scan Results,

• SQL Server Scan Results,

• Desktop Application Scan Results.

Деякі секції розбиваються ще на розділи, присвячені певним проблемам безпеки комп'ютера, і надають системну інформацію по кожній з перевірок, зазначених в таблиці 6.1. Опис кожної перевірки операційної системи відображається у звіті разом з інструкцією по усуненню виявлених вразливостей.