Identifikujte slabé miesta pomocou Microsoft Baseline Security Analyzer. Nastavenie lokálnej politiky hesiel

Laboratórne práce №3.

Microsoft Baseline Security analyzer je program, ktorý vám umožňuje skontrolovať úroveň zabezpečenia nainštalovanej konfigurácie operačného systému (OS) Windows 2000, XP, Server 2003, Vista Server 2008, Windows 7. K dispozícii je aj množstvo ďalších vývojových aplikácií spoločnosti Microsoft skontrolované. Tento nástroj možno klasifikovať ako systémy bezpečnostnej analýzy. Je distribuovaný bezplatne a je k dispozícii na stiahnutie z webového servera spoločnosti Microsoft (http://technet.microsoft.com/ru-ru/security/cc184924(en-us).aspx).

Počas prevádzky BSA kontroluje bezpečnostné aktualizácie pre operačný systém, balík Microsoft Office (pre verzie XP a novšie), serverové aplikácie ako MS SQL Server, MS Exchange Server, Internet Information Server atď. Okrem toho sa kontroluje množstvo nastavení súvisiacich so zabezpečením, ako napríklad aktuálna politika hesiel.

Zoznámime sa so softvérovým produktom. Je potrebné poznamenať, že pri príprave popisu tohto laboratória bola použitá verzia BSA 2.1. Žiaľ, produkt nie je lokalizovaný, preto bola použitá anglická verzia.

Po spustení sa otvorí okno, ktoré vám umožní vybrať objekt kontroly – jeden počítač (vybraný podľa názvu alebo ip adresy), niekoľko (určených rozsahom ip adries alebo názvom domény) alebo zobraziť predtým vytvorené správy o kontrole systému. Pri výbere kontroly jednotlivého počítača sa štandardne nahradí názov lokálnej stanice, ale môžete zadať názov alebo IP adresu iného počítača.

Obr.1. Výber počítača, ktorý sa má skontrolovať.

Obr.2. Určenie možností skenovania.

Môžete zadať zoznam kontrolovaných parametrov. Obrázok 2 zobrazuje výber možností overenia:

  • kontrola zraniteľností systému Windows spôsobených nesprávnou správou;
  • kontrola „slabých“ hesiel (prázdne heslá, žiadne obmedzenia platnosti hesiel a pod.);
  • kontrola zraniteľností na webovom serveri IIS spôsobených nesprávnou správou;
  • podobná kontrola pre MS SQL Server DBMS;
  • skontrolujte aktualizácie zabezpečenia.

Pred začatím práce program kontaktuje server spoločnosti Microsoft, aby získal zoznam aktualizácií operačného systému a známych zraniteľností. Ak počítač nie je v čase kontroly pripojený na internet, databáza zraniteľností sa neaktualizuje, program vás na to upozorní a ďalšie kontroly sa nevykonajú. V takýchto prípadoch je potrebné zakázať kontrolu bezpečnostných aktualizácií (zrušením začiarknutia príslušného políčka na obrazovke na Obr. 2 alebo pomocou klávesu pri používaní nástroja príkazového riadka, ktorý bude popísaný nižšie).


Ak chcete úspešne skenovať lokálny systém, program musí byť spustený pod účtom s právami lokálneho správcu. V opačnom prípade nebude možné vykonať kontrolu a zobrazí sa hlásenie: „Nemáte dostatočné oprávnenia na vykonanie tohto príkazu. Uistite sa, že ste spustený ako lokálny správca alebo ste otvorili príkazový riadok pomocou možnosti „Spustiť ako správca“.

Na základe výsledkov kontroly sa vygeneruje správa, na začiatku ktorej je uvedené celkové posúdenie úrovne bezpečnosti konfigurácie skenovaného počítača. V príklade znázornenom na obr. 3 je úroveň rizika hodnotená ako „vážna“ (vážne riziko).

Obr.3. Názov správy.

Nasleduje zoznam zistených zraniteľností rozdelených do skupín: výsledky kontroly inštalácie aktualizácie, výsledky kontroly systému Windows atď. Je potrebné poznamenať, že aktualizácie vydané spoločnosťou Microsoft sú rôznych typov:

bezpečnostné aktualizácie- samotné bezpečnostné aktualizácie, zvyčajne určené na opravu jednej zraniteľnosti v softvérovom produkte;

Aktualizujte súhrny je sada bezpečnostných opráv, ktorá vám umožňuje opraviť niekoľko zraniteľností súčasne. To zjednodušuje údržbu procesu aktualizácie softvéru;

servisných balíkov– súbor opráv, súvisiacich s bezpečnosťou aj nesúvisiacich s bezpečnosťou. Inštalácia balíka Service Pack zvyčajne opraví všetky slabé miesta objavené od vydania predchádzajúceho balíka Service Pack, takže nie je potrebné inštalovať dočasné aktualizácie.

V popise príslušného výsledku kontroly (obr. 4) môžete vybrať odkaz Podrobnosti o výsledku a získať podrobnejší popis problémov zistených v tejto skupine. Ak máte internetové pripojenie, môžete kliknutím na odkaz v správe zistiť chýbajúcu aktualizáciu zabezpečenia a stiahnuť si ju z webu.

Je potrebné poznamenať, že inštalácia aktualizácií pre systémy s vysokými požiadavkami v oblasti kontinuity prevádzky vyžaduje predbežnú dôkladnú kontrolu kompatibility aktualizácií s používanými aplikáciami. Takáto kontrola sa zvyčajne vykonáva na testovacích systémoch s podobnou konfiguráciou softvéru. Zároveň je pre malé organizácie a používateľov domácich počítačov takáto kontrola často nerealizovateľná. Preto musíte byť pripravený na obnovenie systému po neúspešnej aktualizácii. V prípade moderných operačných systémov rodiny Windows to možno vykonať napríklad pomocou špeciálnych režimov zavádzania OS – núdzového režimu alebo režimu spúšťania poslednej známej dobrej konfigurácie.

Tiež je potrebné poznamenať ešte jednu vlastnosť. V súčasnosti neexistuje základný bezpečnostný analyzátor v lokalizovanej ruskej verzii. A odkazy na servisné balíky, ktoré sa tam nachádzajú, môžu poukazovať na iné jazykové verzie, čo môže spôsobiť problémy pri aktualizácii lokalizovaných produktov.

Obr.4. Zoznam odinštalovaných aktualizácií (podľa skupín).

Obr.5. Chyby súvisiace so správou operačného systému.

Podobne sa pracuje na analýze ďalších skupín zraniteľností (obr. 5). Zraniteľnosť je opísaná, je uvedená jej úroveň kritickosti, sú uvedené odporúčania na nápravu. Na obr. 6 je zobrazený podrobný popis výsledkov (podrobnosti o výsledku odkazu) kontroly hesiel. Uvádza sa, že 3 účty majú heslá, ktorých platnosť nevyprší.

Obr.6. Výsledky kontroly hesla.

Okrem GUI verzie programu existuje aj utilita s rozhraním príkazového riadku. Volá sa mbsacli.exe a nachádza sa v rovnakom adresári, kde bol nainštalovaný analyzátor zabezpečenia Baseline, napríklad „C:\Program Files\Microsoft Baseline Security Analyzer 2“. Pomôcka má veľa kľúčov, informácie o ktorých možno získať spustením pomocou klávesu „/?“.

Spustenie bez kľúčov naskenuje lokálny počítač a výsledky vypíše do konzoly. Ak chcete uložiť výsledky kontroly, môžete výstup presmerovať do súboru. Napríklad: mbsacli > mylog.txt Chcel by som ešte raz upozorniť na skutočnosť, že s predvolenými nastaveniami obslužný program najprv kontaktuje webovú stránku spoločnosti Microsoft, aby získal informácie o aktualizáciách. Ak nie je k dispozícii pripojenie na internet, pomôcku je potrebné spustiť pomocou kľúča /nd (označenie „nesťahovať súbory z webovej lokality spoločnosti Microsoft“) alebo pomocou kľúča /n Updates (označenie „nekontrolovať aktualizácie“ ).

Spustenie pomocou kľúča /xmlout spustí obslužný program v režime kontroly aktualizácií (to znamená, že nebude kontrolovať zraniteľnosti vyplývajúce z neúspešnej administrácie), pričom správa je generovaná vo formáte xml. Napríklad:
mbsacli /xmlout > c:\myxmllog.xml