استفاده از Microsoft Baseline Security Analyzer در یک محیط شرکتی
هدف اصلی این مقاله ارائه مطالبی به مدیران است که به آنها امکان می دهد MBSA را به صورت دوره ای، در حالت خودکار اجرا کنند و گزارش ها را به آدرس های ایمیل ارسال کنند. این امر به میزان زیادی سطح آگاهی از وضعیت امنیتی در شبکه شرکتی را افزایش می دهد.
به عنوان بخشی از زیرساخت شرکت، لازم است اطلاعات به روز در مورد وضعیت سطح امنیتی داشته باشید. با وجود این واقعیت که محصولات ارزشمندی در بازار وجود دارد که به شما امکان می دهد طبق قالب های مشخص شده به طور خودکار اسکن کنید، قیمت نسبتاً بالایی دارند. مایکروسافت محصولی به نام Microsot Baseline Security Analyzer منتشر کرده است که محصولات مایکروسافت را از نظر آسیب پذیری اسکن می کند.
هدف اصلی این مقاله ارائه مطالبی به مدیران است که به آنها امکان می دهد MBSA را به صورت دوره ای، در حالت خودکار اجرا کنند و گزارش ها را به آدرس های ایمیل ارسال کنند. این امر به میزان زیادی سطح آگاهی از وضعیت امنیتی در شبکه شرکتی را افزایش می دهد.
در MBSA، امکان اجرای اسکن از طریق خط فرمان - mbsacli.exe وجود دارد. این دستور دارای تعدادی کلید است که به شما امکان می دهد اسکن را مدیریت کنید.
بررسی یک دامنه \ رایانه بر اساس نام |
||
بررسی با آدرس IP |
||
آدرس IP شروع - آدرس IP پایان |
بررسی محدوده آدرس های IP |
|
نام فایل.txt |
بررسی فایل با لیستی از آدرس های IP |
|
نام دامنه |
بررسی دامنه |
|
انتخاب کنید کدام چک انجام نشود. گزینهها: «OS» (سیستم عامل)، «SQL» (سرور SQL)، «IIS» (سرور وب ISS)، «بهروزرسانیها» (بهروزرسانیها)، «گذرواژه» (گذرواژهها). فضاها مثال: OS+SQL+ISS+ به روز رسانی + رمز عبور |
||
فقط بهروزرسانیهای تأیید شده در WSUS را نشان دهید. |
||
نمایش تمام به روز رسانی ها حتی اگر توسط WSUS پذیرفته نشده باشند. |
||
نسخه جدید MBSA را بررسی نکنید |
||
نام فایل |
قالب عنوان گزارش. دارای پارامترهای: %D% - نام دامنه، %C% نام رایانه، %T% - زمان، %IP% - آدرس IP. پیشفرض: %D% - %C% (%T%). |
|
روند تأیید را نشان ندهید. |
||
هنگام اسکن یک رایانه، گزارش را نشان ندهید. |
||
گزارش خطا نشان داده نشود. |
||
گزارش نمایش داده نشود |
||
همه موارد بالا را نشان ندهید |
||
گزارش در یونیکد |
||
نام کاربری |
نام کاربری مورد استفاده برای اسکن. |
|
رمز عبور کاربر |
رمز عبور کاربر مورد استفاده برای اسکن. |
|
نام فایل |
منبع داده ای را مشخص می کند که حاوی اطلاعاتی درباره به روز رسانی های امنیتی موجود است. |
|
بهروزرسانیها تابع شرایط Windows Update Agent هستند |
||
بررسی بهروزرسانیهای سایت Microsoft Update. |
||
هنگام بررسی، بهروزرسانیها را از سایت Microsoft Update دانلود نکنید. |
||
اجرای اسکن در حالت فقط به روز رسانی فقط با استفاده از mbsacli.exe و wusscan.dll. این کلید فقط با کلیدهای /catalog، /wa، /wi، /nvc، /unicode قابل استفاده است. |
||
نمایش همه گزارش ها |
||
نمایش گزارش برای آخرین اسکن |
||
نام فایل |
نمایش گزارش کلی |
|
نام فایل |
نمایش گزارش تفصیلی |
|
نام دایرکتوری |
دایرکتوری برای ذخیره گزارش های حسابرسی. |
با داشتن اطلاعاتی در مورد کلیدهای استفاده شده توسط دستور mbsacli.exe، می توانیم اسکریپت اسکن خود را مطابق با نیاز خود ایجاد کنیم. وظیفه به شرح زیر تنظیم شده است: لازم است رایانه ها (محدوده ای از آدرس های IP) را با استفاده از داده های سرویس WSUS بررسی کنید و گزارش را در یک فهرست خاص ذخیره کنید.قالب گزارش: نام رایانه - زمان. دستور به شکل زیر خواهد بود:
mbsacli.exe /r [ابتداییآدرس IP]-[پایانآدرس آی پی] /q /وا/o %IP%%T% /u [دامنه/نام کاربری] /p [گذرواژه کاربر] /rd [دایرکتوری که در آن گزارشها ذخیره میشوند]
پس از مدتی، گزارش هایی در مورد میزبان ها در محدوده آدرس IP ظاهر می شود.
این وظیفه مهمترین مسائل امنیتی را ترسیم می کند که مدیران باید برای رسیدگی به آسیب پذیری ها بررسی کنند.
اما اغلب، برخی از بهروزرسانیهای سیستم نسبتاً حیاتی در WSUS وجود ندارد. MBSA این مشکلات را شناسایی خواهد کرد. کافی است دستور بالا را با کلید /mu به جای /wa اجرا کنید. فایل های گزارش در Issue - Windows Security Updates نشان می دهد که کدام به روز رسانی برای این رایانه لازم است.
اتوماسیون را بررسی کنید
همانطور که در بالا نشان داده شده است، باید دو گزارش داشته باشید که تفاوت بین به روز رسانی های نصب شده از WSUS و به روز رسانی های موجود در سرور Microsoft Update را نشان دهد. برای انجام این کار، باید از دو پوشه مختلف برای ذخیره گزارش ها تقسیم بر تاریخ اسکن استفاده کنید.
فایل زمان اجرا (.bat) برای بررسی MBSA با استفاده از سرویس WSUS به شکل زیر خواهد بود:
@echo خاموش
سی دیج:/(پوشه ذخیره گزارشات)/WSUS
MD %date:~-10%
mbsacli.exe /rابتداییIP]-[محدود، فانیIP] /q /wa /rd c:/ (پوشهذخیره سازیگزارش ها)/WSUS/%date:~-10%
فایل اجرایی (bat.) برای بررسی MBSA با استفاده از سرور Microsoft Update به شکل زیر خواهد بود:
@
اکوخاموش
سی دیج:/(پوشه ذخیره گزارشات)/MU
MD %
تاریخ:~-10%
سی دی "C:\Program Files\Microsoft Baseline Security Analyzer 2"
mbsacli.exe /rابتداییIP]-[محدود، فانیIP] /q /mu /rd c:/ (پوشهذخیره سازیگزارش ها)/MU/%تاریخ:~-10%
فایلهای Bat با کلیدهای /wa یا /mu که منطقه مقایسه بهروزرسانی را مشخص میکنند و پوشههایی که گزارشها باید در آنها ذخیره شوند، با یکدیگر متفاوت هستند.
فایل های bat حاوی سوئیچ های /u و /p با پارامترهای نام کاربری و رمز عبور نیستند. این کار به این دلیل انجام می شود که نیازی به ذخیره رمزهای عبور به صورت متن ساده در فایل های bat وجود ندارد. برای امنیت، باید از "Task Scheduler" استفاده کنید که پیکربندی شده است: فایل bat از طرف کدام کاربر اجرا می شود.
به عنوان بخشی از سیستم مایکروسافت ویندوز، یک "Task Scheduler" وجود دارد که به شما امکان می دهد اقدامات لازم را در یک زمان خاص انجام دهید. همچنین به شما اجازه می دهد تا آرگومان های لازم را اضافه کنید. در مورد ما، این دو کلید / u و / p با پارامترهای نام کاربری و رمز عبور هستند
برای انجام این کار، با انتخاب آیتم "ایجاد یک کار ساده" یک کار جدید ایجاد کنید و برای آن توضیح دهید (شکل 1).
در پنجره "Task trigger"، فرکانس بررسی را تنظیم کنید (یک بار در هفته کافی است) (شکل 2).
در پنجره "هفتگی"، زمان اسکن را تنظیم کنید (زمان باید کار کند، زیرا کامپیوتر اسکن شده باید روشن باشد. (شکل 3).
در پنجره "Action"، عمل "Run a program" را انتخاب کنید. (شکل 4).
در پنجره "شروع برنامه"، از طریق دکمه "Browse" فایل bat را که برای اسکن با استفاده از WSUS در نظر گرفته شده است انتخاب کنید (شکل 5).
پس از ایجاد کار، باید ویژگی های آن را باز کنید و در برگه "عمومی"، مورد "اجرا بدون توجه به ثبت نام کاربر" را انتخاب کنید، که به شما امکان می دهد بدون نیاز به ثبت نام در سیستم، به عنوان مثال، کارهایی را انجام دهید. سرور (شکل 6)
ما مراحل بالا را برای ایجاد یک کار اسکن دوم با استفاده از بهروزرسانیهای سرور Microsoft Update و مشخص کردن فایل bat مناسب انجام میدهیم.
نتیجه. محصول Microsoft Baseline Security Analyzer به دلیل "آزاد بودن" از عملکرد غنی برخوردار نیست، اما به لطف استفاده از سوئیچ های مختلف با پارامترهای موجود در خط فرمان، به شما امکان می دهد سطح اطلاعات مربوط به وضعیت امنیتی را افزایش دهید و اطلاعاتی را به دست آورید. از بین بردن آسیب پذیری ها در یک محیط شرکتی
همچنین، مدیریت خط فرمان به مدیران این امکان را می دهد که فرآیند به دست آوردن گزارش های وضعیت امنیتی لازم را به طور خودکار انجام دهند.