Използване на Microsoft baseline Security Analyzer в корпоративна среда
Основната цел на тази статия е да предостави на администраторите материал, който ще им позволи да изпълняват MBSA периодично в автоматичен режим и да изпращат отчети до имейл адреси. Това значително ще повиши нивото на информираност за състоянието на сигурността в корпоративната мрежа.
Като част от корпоративната инфраструктура се изисква наличието на актуална информация за състоянието на нивото на сигурност. Въпреки факта, че на пазара има достойни продукти, които ви позволяват автоматично да сканирате според определени шаблони, те имат доста висока цена. Microsoft пусна продукт, наречен Microsot Baseline Security Analyzer, който сканира продуктите на Microsoft за уязвимости.
Основната цел на тази статия е да предостави на администраторите материал, който ще им позволи да изпълняват MBSA периодично в автоматичен режим и да изпращат отчети до имейл адреси. Това значително ще повиши нивото на информираност за състоянието на сигурността в корпоративната мрежа.
В рамките на MBSA е възможно да стартирате сканиране чрез командния ред - mbsacli.exe. Командата има няколко клавиша, които ще ви позволят да управлявате сканирането.
Проверка на домейн \ компютър по име |
||
Проверка по IP адрес |
||
Начален IP адрес - краен IP адрес |
Проверка на диапазона от IP адреси |
|
Име на файла.txt |
Проверка срещу файл със списък от IP адреси |
|
име на домейн |
Проверка на домейна |
|
Изберете коя проверка да не се извършва. Опции: "OS" (операционна система), "SQL" (SQL сървър), "IIS" (ISS уеб сървър), "Актуализации" (актуализации), "Парола" (пароли). интервали Пример: OS+SQL+ISS+ Актуализации+Парола |
||
Показване само на актуализации, одобрени на WSUS. |
||
Показване на всички актуализации, дори ако не са приети от WSUS. |
||
Не проверявайте за нова версия на MBSA |
||
Име на файл |
Шаблон за заглавие на отчета. има параметри: %D% - име на домейн, %C% име на компютър, %T% - време, %IP% - IP адрес. По подразбиране: %D% - %C% (%T%). |
|
Не показвайте процеса на проверка. |
||
Не показвайте отчета при сканиране на един компютър. |
||
Не показвай отчет за грешка. |
||
Не показвай отчет. |
||
Не показвайте всичко по-горе |
||
Докладвайте в UNICODE |
||
Потребителско име |
Потребителско име, използвано за сканиране. |
|
Потребителска парола |
Паролата на потребителя, използвана за сканиране. |
|
Име на файл |
Указва източник на данни, който съдържа информация за наличните актуализации на защитата. |
|
Актуализациите са предмет на условията на Windows Update Agent |
||
Проверка за актуализации от сайта на Microsoft Update. |
||
Не изтегляйте актуализации от сайта на Microsoft Update, когато проверявате. |
||
Изпълнение на сканирането в режим само за актуализиране, като се използват само mbsacli.exe и wusscan.dll. Този ключ може да се използва само с ключовете /catalog, /wa, /wi, /nvc, /unicode. |
||
Показване на всички отчети. |
||
Показване на отчети за последното сканиране |
||
Име на файл |
Показване на общ отчет. |
|
Име на файл |
Показване на подробен отчет |
|
Име на директория |
Директория за запис на одиторските доклади. |
Разполагайки с информация за ключовете, използвани от командата mbsacli.exe, можем да създадем собствен скрипт за сканиране според нашите изисквания. Задачата е зададена по следния начин: необходимо е да се проверят компютри (диапазон от IP адреси) с помощта на данни от услугата WSUS и записване на отчета в определена директория Формат на отчета: име на компютър - време. Командата ще изглежда така:
mbsacli.exe /r [инициалIP адрес]-[крайIP адрес] /q /wa/o %IP%-%T% /u [домейн/потребителско име] /p [потребителска парола] /rd [директория, където ще се записват отчетите]
След известно време ще се появят отчети за хостове в обхвата на IP адресите.
Тази задача ще картографира основните проблеми със сигурността, които администраторите ще трябва да проучат, за да адресират уязвимостите.
Но много често някои доста критични системни актуализации липсват от WSUS. MBSA ще идентифицира тези проблеми. Достатъчно е да изпълните горната команда с ключа /mu вместо /wa. Файловете с отчети в Проблем - Актуализации за защита на Windows ще покажат кои актуализации са необходими за този компютър.
Проверете автоматизацията
Както е показано по-горе, трябва да имате два отчета, които показват разликата между инсталираните актуализации от WSUS и наличните актуализации на сървъра на Microsoft Update. За да направите това, трябва да използвате две различни папки за съхраняване на отчети, разделени по дати на сканиране.
Файлът за изпълнение (.bat) за проверка на MBSA с помощта на услугата WSUS ще изглежда така:
@echo изключено
cd° С:/(Папка за съхранение на отчети)/WSUS
MD %дата:~-10%
mbsacli.exe /rелементаренIP]-[краенIP] /q /wa /rd c:/ (Папкасъхранениедоклади)/WSUS/%дата:~-10%
Файлът за изпълнение (.bat) за проверка на MBSA с помощта на сървъра на Microsoft Update ще изглежда така:
@
ехоизключено
cd° С:/(Папка за съхранение на отчети)/MU
MD %
дата:~-10%
cd "C:\Program Files\Microsoft Baseline Security Analyzer 2"
mbsacli.exe /rелементаренIP]-[краенIP] /q /mu /rd c:/ (Папкасъхранениедоклади)/MU/%дата:~-10%
Bat-файловете се различават един от друг по ключовете /wa или /mu, които определят областта за сравнение на актуализациите и папките, в които трябва да се записват отчетите.
Файловете на bat не съдържат ключовете /u и /p с параметрите за потребителско име и парола. Това се прави, защото няма нужда да съхранявате пароли в обикновен текст в bat файлове. За сигурност трябва да използвате "Планировчик на задачи", който е конфигуриран: от името на кой потребител ще се изпълни bat файлът.
Като част от системата Microsoft Windows има "Планировчик на задачи", който ви позволява да извършвате необходимите действия в определено време. Освен това ви позволява да добавите необходимите аргументи. В нашия случай това са два ключа / u и / p с параметри потребителско име и парола
За да направите това, създайте нова задача, като изберете елемента „Създаване на проста задача“ и дайте описание за нея (фиг. 1).
В прозореца „Задействане на задачи“ задайте честотата на проверката (достатъчно е веднъж седмично) (фиг. 2).
В прозореца "Седмично" задайте времето за сканиране (времето трябва да е работно, тъй като сканираният компютър трябва да е включен (фиг. 3).
В прозореца "Действие" изберете действието "Изпълни програма". (фиг. 4).
В прозореца "Стартиране на програмата" изберете чрез бутона "Преглед" bat файла, предназначен за сканиране с WSUS (фиг. 5).
След като създадете задачата, трябва да отворите нейните свойства и в раздела „Общи“ изберете елемента „Изпълни независимо от регистрацията на потребителя“, което ще ви позволи да изпълнявате задачи без да е необходимо да се регистрирате в системата, например на сървъра (фиг. 6)
Изпълняваме горните стъпки, за да създадем втора задача за сканиране, като използваме актуализации от сървъра на Microsoft Update и посочваме подходящия bat файл.
Заключение. Продуктът Microsoft Baseline Security Analyzer няма богата функционалност поради своя "безплатен" характер, но благодарение на използването на различни превключватели с параметри в командния ред ви позволява да повишите нивото на информация за състоянието на сигурността и да получите информация за премахване на уязвимости в корпоративна среда.
Освен това управлението от командния ред позволява на администраторите да автоматизират процеса на получаване на необходимите отчети за състоянието на сигурността.