آسیب پذیری ها را با Microsoft Baseline Security Analyzer شناسایی کنید. تنظیم یک خط مشی رمز عبور محلی

کار آزمایشگاهی شماره 3.

Microsoft Baseline Security Analyser برنامه ای است که به شما امکان می دهد سطح امنیتی پیکربندی نصب شده سیستم عامل (OS) Windows 2000, XP, Server 2003, Vista Server 2008, Windows 7 را بررسی کنید. تعدادی دیگر از برنامه های توسعه مایکروسافت نیز هستند. بررسی شد. این ابزار را می توان به عنوان سیستم های تحلیل امنیتی طبقه بندی کرد. این به صورت رایگان توزیع شده است و برای دانلود از سرور وب مایکروسافت (http://technet.microsoft.com/ru-ru/security/cc184924(en-us).aspx) در دسترس است.

در حین کار، BSA به‌روزرسانی‌های امنیتی سیستم عامل، مجموعه Microsoft Office (برای نسخه‌های XP و نسخه‌های جدیدتر)، برنامه‌های کاربردی سرور مانند MS SQL Server، MS Exchange Server، Internet Information Server و غیره را بررسی می‌کند. علاوه بر این، تعدادی از تنظیمات مربوط به امنیت، مانند خط مشی رمز عبور فعلی، بررسی می شوند.

بیایید با محصول نرم افزاری آشنا شویم. لازم به ذکر است در تهیه توضیحات این آزمایشگاه از BSA نسخه 2.1 استفاده شده است. متأسفانه محصول بومی سازی نشده است، بنابراین از نسخه انگلیسی استفاده شده است.

هنگام راه‌اندازی، پنجره‌ای باز می‌شود که به شما امکان می‌دهد یک شیء اسکن را انتخاب کنید - یک رایانه (انتخاب شده با نام یا آدرس IP)، چندین (مشخص شده توسط طیف وسیعی از آدرس‌های IP یا نام دامنه) یا گزارش‌های اسکن سیستمی ساخته‌شده قبلی را مشاهده کنید. هنگام انتخاب اسکن یک کامپیوتر جداگانه، نام ایستگاه محلی به طور پیش فرض جایگزین می شود، اما می توانید نام یا آدرس IP رایانه دیگری را مشخص کنید.

عکس. 1. انتخاب رایانه ای که باید بررسی شود.

شکل 2. تعیین گزینه های اسکن

می توانید لیستی از پارامترهای بررسی شده را مشخص کنید. شکل 2 مجموعه ای از گزینه های تأیید را نشان می دهد:

  • بررسی آسیب‌پذیری‌های ویندوز ناشی از مدیریت نادرست؛
  • بررسی رمزهای عبور "ضعیف" (گذرواژه های خالی، بدون محدودیت در اعتبار رمز عبور و غیره)؛
  • بررسی آسیب‌پذیری‌ها در وب سرور IIS ناشی از مدیریت نادرست؛
  • یک بررسی مشابه برای MS SQL Server DBMS.
  • به روز رسانی های امنیتی را بررسی کنید

قبل از شروع کار، برنامه با سرور مایکروسافت تماس می گیرد تا لیستی از به روز رسانی های سیستم عامل و آسیب پذیری های شناخته شده را دریافت کند. اگر کامپیوتر در زمان اسکن به اینترنت متصل نباشد، پایگاه داده آسیب پذیری به روز نمی شود، برنامه به شما اطلاع می دهد و هیچ اسکن دیگری انجام نمی شود. در چنین مواردی، باید بررسی به‌روزرسانی امنیتی را غیرفعال کنید (با برداشتن علامت چک باکس مربوطه روی صفحه در شکل 2 یا استفاده از کلید هنگام استفاده از ابزار خط فرمان، که در زیر مورد بحث قرار خواهد گرفت).


برای اسکن موفقیت آمیز سیستم محلی، برنامه باید تحت یک حساب کاربری با حقوق مدیر محلی اجرا شود. در غیر این صورت، بررسی نمی تواند انجام شود و پیامی نمایش داده می شود: «شما مجوز کافی برای اجرای این دستور را ندارید. مطمئن شوید که به عنوان مدیر محلی در حال اجرا هستید یا خط فرمان را با استفاده از گزینه "Run as administrator" باز کرده اید.

بر اساس نتایج اسکن، گزارشی تولید می شود که در ابتدای آن ارزیابی کلی از سطح امنیتی پیکربندی رایانه اسکن شده ارائه می شود. در مثال نشان داده شده در شکل 3، سطح ریسک به عنوان "جدی" (ریسک شدید) ارزیابی شده است.

شکل 3. عنوان گزارش

در زیر لیستی از آسیب پذیری های شناسایی شده است که به گروه هایی تقسیم می شوند: نتایج بررسی نصب به روز رسانی، نتایج اسکن ویندوز و غیره. لازم به ذکر است که به روز رسانی های منتشر شده توسط مایکروسافت انواع مختلفی دارند:

به روز رسانی های امنیتی- خود به روز رسانی های امنیتی، معمولاً به رفع یک آسیب پذیری در یک محصول نرم افزاری اختصاص داده شده است.

به روز رسانی مجموعه هامجموعه ای از اصلاحات امنیتی است که به شما امکان می دهد چندین آسیب پذیری را همزمان برطرف کنید. این امر نگهداری فرآیند به روز رسانی نرم افزار را ساده می کند.

بسته های خدماتی– مجموعه ای از اصلاحات، هم مرتبط با امنیت و هم غیرمرتبط با امنیت. نصب یک سرویس پک معمولاً تمام آسیب‌پذیری‌های کشف شده از زمان انتشار سرویس بسته قبلی را برطرف می‌کند، بنابراین نیازی به نصب به‌روزرسانی‌های موقت نیست.

در توضیح نتیجه اسکن مورد نظر (شکل 4) می توانید پیوند Result details را انتخاب کرده و توضیحات دقیق تری از مشکلات موجود در این گروه دریافت کنید. اگر به اینترنت متصل هستید، می‌توانید روی پیوند موجود در گزارش کلیک کنید تا از به‌روزرسانی امنیتی گمشده مطلع شوید و آن را از وب دانلود کنید.

لازم به ذکر است که نصب به روز رسانی برای سیستم های با الزامات بالا در زمینه تداوم کسب و کار مستلزم بررسی اولیه و کامل سازگاری به روز رسانی ها با برنامه های کاربردی در حال استفاده است. چنین بررسی معمولاً در سیستم های آزمایشی با پیکربندی نرم افزار مشابه انجام می شود. در عین حال، برای سازمان های کوچک و کاربران رایانه های خانگی، چنین بررسی اغلب امکان پذیر نیست. بنابراین، باید برای بازیابی سیستم پس از به روز رسانی ناموفق آماده باشید. برای سیستم عامل های مدرن خانواده ویندوز، این کار را می توان انجام داد، به عنوان مثال، با استفاده از حالت های بوت ویژه سیستم عامل - حالت ایمن یا آخرین حالت بوت پیکربندی خوب شناخته شده.

همچنین باید به یک ویژگی دیگر نیز اشاره کرد. در حال حاضر، تحلیلگر امنیتی پایه در نسخه روسی بومی سازی شده وجود ندارد. و پیوندهای بسته‌های خدمات موجود در آنجا ممکن است به نسخه‌های زبان دیگری اشاره داشته باشد که می‌تواند هنگام به‌روزرسانی محصولات بومی‌سازی شده مشکلاتی ایجاد کند.

شکل 4. فهرست به‌روزرسانی‌های حذف‌شده (بر اساس گروه‌ها).

شکل 5. آسیب پذیری های مربوط به مدیریت سیستم عامل

به طور مشابه، کار برای تجزیه و تحلیل سایر گروه های آسیب پذیری در حال انجام است (شکل 5). آسیب پذیری توضیح داده شده است، سطح بحرانی آن نشان داده شده است، توصیه هایی برای اصلاح ارائه شده است. روی انجیر 6 شرح مفصلی از نتایج (جزئیات نتیجه پیوند) بررسی رمزهای عبور را نشان می دهد. مشخص شده است که 3 حساب دارای رمز عبور هستند که منقضی نمی شوند.

شکل 6. نتایج بررسی رمز عبور

علاوه بر نسخه رابط کاربری گرافیکی برنامه، یک ابزار با رابط خط فرمان نیز وجود دارد. mbsacli.exe نامیده می شود و در همان فهرستی قرار دارد که تحلیلگر امنیتی Baseline در آن نصب شده است، به عنوان مثال، "C:\Program Files\Microsoft Baseline Security Analyzer 2". این ابزار دارای کلیدهای زیادی است که با اجرای آن با کلید "/؟" می توان اطلاعات مربوط به آنها را به دست آورد.

اجرای بدون کلید کامپیوتر محلی را اسکن کرده و نتایج را به کنسول ارسال می کند. برای ذخیره نتایج اسکن، می توانید خروجی را به یک فایل هدایت کنید. به عنوان مثال: mbsacli > mylog.txt من می خواهم یک بار دیگر توجه را به این واقعیت جلب کنم که با تنظیمات پیش فرض، ابزار ابتدا با وب سایت مایکروسافت تماس می گیرد تا درباره به روز رسانی ها اطلاعاتی کسب کند. اگر اتصال به اینترنت وجود ندارد، ابزار باید یا با کلید /nd (نماد "فایل ها را از وب سایت مایکروسافت دانلود نکنید") یا با کلید /n به روز رسانی (نماد "برای به روز رسانی ها بررسی نکنید" راه اندازی شود. ).

راه‌اندازی با کلید xmlout/، ابزار را در حالت بررسی به‌روزرسانی راه‌اندازی می‌کند (یعنی آسیب‌پذیری‌های ناشی از مدیریت ناموفق را بررسی نمی‌کند)، در حالی که گزارش در قالب xml تولید می‌شود. مثلا:
mbsacli /xmlout > c:\myxmllog.xml