Používanie nástroja Microsoft Baseline Security Analyzer v podnikovom prostredí
Hlavným účelom tohto článku je poskytnúť správcom materiál, ktorý im umožní pravidelne spúšťať nástroj MBSA v automatickom režime a odosielať prehľady na e-mailové adresy. To výrazne zvýši úroveň povedomia o stave bezpečnosti v podnikovej sieti.
V rámci firemnej infraštruktúry sa vyžaduje mať aktuálne informácie o stave úrovne zabezpečenia. Napriek tomu, že na trhu existujú hodnotné produkty, ktoré umožňujú automatické skenovanie podľa špecifikovaných šablón, majú pomerne vysokú cenu. Spoločnosť Microsoft vydala produkt s názvom Microsot Baseline Security Analyzer, ktorý skenuje produkty spoločnosti Microsoft a hľadá zraniteľné miesta.
Hlavným účelom tohto článku je poskytnúť správcom materiál, ktorý im umožní pravidelne spúšťať nástroj MBSA v automatickom režime a odosielať prehľady na e-mailové adresy. To výrazne zvýši úroveň povedomia o stave bezpečnosti v podnikovej sieti.
V rámci MBSA je možné spustiť kontrolu cez príkazový riadok – mbsacli.exe. Príkaz má niekoľko kláves, ktoré vám umožnia spravovať kontrolu.
Kontrola domény \ počítača podľa názvu |
||
Kontrola podľa IP adresy |
||
Počiatočná IP adresa – koncová IP adresa |
Kontrola rozsahu IP adries |
|
Názov súboru.txt |
Kontrola proti súboru so zoznamom IP adries |
|
doménové meno |
Kontrola domény |
|
Vyberte, ktorá kontrola sa nemá vykonať. Možnosti: „OS“ (operačný systém), „SQL“ (SQL server), „IIS“ (webový server ISS), „Aktualizácie“ (aktualizácie), „Heslo“ (heslá). medzery Príklad: OS+SQL+ISS+ Aktualizácie + heslo |
||
Zobraziť iba aktualizácie schválené na WSUS. |
||
Zobraziť všetky aktualizácie, aj keď ich služba WSUS neprijme. |
||
Nehľadajte novú verziu MBSA |
||
Názov súboru |
Šablóna názvu správy. má parametre: %D% - názov domény, %C% názov počítača, %T% - čas, %IP% - IP adresa. Predvolené: %D% - %C% (%T%). |
|
Nezobrazovať proces overovania. |
||
Nezobrazovať správu pri skenovaní jedného počítača. |
||
Nezobrazovať chybové hlásenie. |
||
Nezobrazovať prehľad. |
||
Nezobrazujte všetko vyššie uvedené |
||
Správa v UNICODE |
||
Používateľské meno |
Používateľské meno používané na skenovanie. |
|
Používateľské heslo |
Heslo používateľa používané na skenovanie. |
|
Názov súboru |
Určuje zdroj údajov, ktorý obsahuje informácie o dostupných aktualizáciách zabezpečenia. |
|
Aktualizácie podliehajú podmienkam Windows Update Agent |
||
Kontrola aktualizácií z lokality Microsoft Update. |
||
Pri kontrole nesťahujte aktualizácie z lokality Microsoft Update. |
||
Spustenie kontroly v režime iba aktualizácie pomocou iba mbsacli.exe a wusscan.dll. Tento kľúč je možné použiť iba s kľúčmi /catalog, /wa, /wi, /nvc, /unicode. |
||
Zobraziť všetky prehľady. |
||
Zobraziť správy o poslednom skenovaní |
||
Názov súboru |
Zobraziť všeobecný prehľad. |
|
Názov súboru |
Zobraziť podrobnú správu |
|
Názov adresára |
Adresár na ukladanie revíznych správ. |
Keďže máme k dispozícii informácie o kľúčoch používaných príkazom mbsacli.exe, môžeme si vytvoriť vlastný skenovací skript podľa našich požiadaviek. Úloha je nastavená nasledovne: je potrebné skontrolovať počítače (rozsah IP adries) pomocou údajov služby WSUS a uložiť zostavu do konkrétneho adresára Formát zostavy: názov počítača - čas. Príkaz bude vyzerať takto:
mbsacli.exe /r [počiatočnéIP adresa]-[koniecIP adresa] /q /wa/o %IP %-%T% /u [doména/používateľské meno] /p [heslo používateľa] /rd [adresár, do ktorého sa budú ukladať prehľady]
Po chvíli sa objavia správy o hostiteľoch v rozsahu IP adries.
Táto úloha zmapuje hlavné bezpečnostné problémy, ktoré budú musieť správcovia preskúmať, aby odstránili slabé miesta.
Veľmi často však v službe WSUS chýbajú niektoré pomerne dôležité aktualizácie systému. MBSA identifikuje tieto problémy. Stačí spustiť vyššie uvedený príkaz s kľúčom /mu namiesto /wa. Súbory správ v časti Problém – Aktualizácie zabezpečenia systému Windows zobrazia, ktoré aktualizácie sú potrebné pre tento počítač.
Skontrolujte automatizáciu
Ako je uvedené vyššie, musíte mať dve zostavy, ktoré zobrazujú rozdiel medzi nainštalovanými aktualizáciami zo služby WSUS a aktualizáciami dostupnými na serveri Microsoft Update. Ak to chcete urobiť, musíte použiť dva rôzne priečinky na ukladanie správ rozdelené podľa dátumov kontroly.
Runtime súbor (.bat) na kontrolu MBSA pomocou služby WSUS bude vyzerať takto:
@echo vypnuté
cdc:/(Priečinok úložiska prehľadov)/WSUS
MD %date:~-10%
mbsacli.exe /relementárneIP]-[konečnýIP] /q /wa /rd c:/ (Priečinokskladovaniesprávy)/WSUS/%date:~-10%
Spúšťací súbor (.bat) na kontrolu MBSA pomocou servera Microsoft Update bude vyzerať takto:
@
ozvenavypnuté
cdc:/(Priečinok úložiska prehľadov)/MU
MUDr %
dátum:~-10%
cd "C:\Program Files\Microsoft Baseline Security Analyzer 2"
mbsacli.exe /relementárneIP]-[konečnýIP] /q /mu /rd c:/ (Priečinokskladovaniesprávy)/MU/%date:~-10%
Bat-súbory sa od seba líšia kľúčmi /wa alebo /mu, ktoré určujú oblasť porovnávania aktualizácií a priečinky, do ktorých sa majú ukladať správy.
Súbory bat neobsahujú prepínače /u a /p s parametrami používateľského mena a hesla. Deje sa tak preto, že nie je potrebné ukladať heslá vo formáte obyčajného textu v súboroch bat. Z bezpečnostných dôvodov musíte použiť "Plánovač úloh", ktorý je nakonfigurovaný: v mene ktorého používateľa sa vykoná súbor bat.
Ako súčasť systému Microsoft Windows existuje „Plánovač úloh“, ktorý umožňuje vykonávať potrebné akcie v konkrétnom čase. Umožňuje tiež pridať potrebné argumenty. V našom prípade sú to dva kľúče / u a / p s parametrami Používateľské meno a heslo
Za týmto účelom vytvorte novú úlohu výberom položky „Vytvoriť jednoduchú úlohu“ a uveďte jej popis (obr. 1).
V okne „Task trigger“ nastavte frekvenciu kontroly (stačí raz týždenne) (obr. 2).
V okne "Týždenne" nastavte čas kontroly (čas musí byť funkčný, pretože kontrolovaný počítač musí byť zapnutý. (obr. 3).
V okne „Akcia“ vyberte akciu „Spustiť program“. (obr. 4).
V okne „Spustiť program“ vyberte cez tlačidlo „Prehľadávať“ súbor bat určený na skenovanie pomocou WSUS (obr. 5).
Po vytvorení úlohy je potrebné otvoriť jej vlastnosti a v záložke „Všeobecné“ vybrať položku „Spustiť bez ohľadu na registráciu používateľa“, ktorá vám umožní vykonávať úlohy bez nutnosti registrácie v systéme, napr. server (obr. 6)
Vyššie uvedené kroky vykonáme na vytvorenie druhej úlohy kontroly pomocou aktualizácií zo servera Microsoft Update a zadaní príslušného súboru bat.
Záver. Produkt Microsoft Baseline Security Analyzer nemá bohatú funkcionalitu vďaka svojej „voľnosti“, ale vďaka použitiu rôznych prepínačov s parametrami v príkazovom riadku umožňuje zvýšiť úroveň informácií o stave zabezpečenia a získať informácie na odstránenie zraniteľností v podnikovom prostredí.
Správa príkazového riadku tiež umožňuje správcom automatizovať proces získavania potrebných správ o stave zabezpečenia.