Använda Microsoft baseline Security Analyzer i en företagsmiljö
Huvudsyftet med den här artikeln är att förse administratörer med material som gör att de kan köra MBSA regelbundet, i automatiskt läge, och skicka rapporter till e-postadresser. Detta kommer att avsevärt öka medvetenheten om säkerhetsstatusen i företagsnätverket.
Som en del av företagets infrastruktur krävs att den har uppdaterad information om tillståndet för säkerhetsnivån. Trots att det finns värdiga produkter på marknaden som låter dig skanna automatiskt enligt specificerade mallar, har de ett ganska högt pris. Microsoft har släppt en produkt som heter Microsot Baseline Security Analyzer, som söker igenom Microsoft-produkter efter sårbarheter.
Huvudsyftet med den här artikeln är att förse administratörer med material som gör att de kan köra MBSA regelbundet, i automatiskt läge, och skicka rapporter till e-postadresser. Detta kommer att avsevärt öka medvetenheten om säkerhetsstatusen i företagsnätverket.
Inom MBSA är det möjligt att köra en skanning via kommandoraden - mbsacli.exe. Kommandot har ett antal nycklar som gör att du kan hantera skanningen.
Kontrollerar en domän \ dator med namn |
||
Kontrollerar med IP-adress |
||
Start IP-adress - slut IP-adress |
Kontrollerar intervallet för IP-adresser |
|
Filnamn.txt |
Kontrollerar mot en fil med en lista över IP-adresser |
|
domän namn |
Domänkontroll |
|
Välj vilken kontroll som inte ska utföras. Alternativ: "OS"(operativsystem), "SQL"(SQL-server), "IIS"(ISS webbserver), "Uppdateringar"(uppdateringar), "Lösenord"(lösenord). Mellanslag Exempel: OS+SQL+ISS+ Uppdateringar+Lösenord |
||
Visa endast uppdateringar som är godkända på WSUS. |
||
Visa alla uppdateringar även om de inte accepteras av WSUS. |
||
Kontrollera inte efter ny MBSA-version |
||
Filnamn |
Rapporttitelmall. har parametrar: %D% - domännamn, %C% datornamn, %T% - tid, %IP% - IP-adress. Standard: %D% - %C% (%T%). |
|
Visa inte verifieringsprocessen. |
||
Visa inte rapporten när du skannar en enskild dator. |
||
Visa inte felrapport. |
||
Visa inte rapport. |
||
Visa inte allt ovanstående |
||
Rapportera i UNICODE |
||
Användarnamn |
Användarnamn som används för skanning. |
|
Användarlösenord |
Lösenordet för användaren som används för skanning. |
|
Filnamn |
Anger en datakälla som innehåller information om tillgängliga säkerhetsuppdateringar. |
|
Uppdateringar omfattas av Windows Update Agent-villkor |
||
Kontrollerar mot uppdateringar från Microsoft Update-webbplatsen. |
||
Ladda inte ner uppdateringar från Microsoft Update-webbplatsen när du kontrollerar. |
||
Kör skanningen i endast uppdateringsläge med endast mbsacli.exe och wusscan.dll. Denna nyckel kan endast användas med /catalog, /wa, /wi, /nvc, /unicode-nycklarna. |
||
Visa alla rapporter. |
||
Visa rapporter för den senaste skanningen |
||
Filnamn |
Visa allmän rapport. |
|
Filnamn |
Visa detaljerad rapport |
|
Katalognamn |
Katalog för att spara revisionsrapporterna. |
Genom att ha till vårt förfogande information om nycklarna som används av kommandot mbsacli.exe, kan vi skapa vårt eget skanningsskript enligt våra krav. Uppgiften är inställd enligt följande: det är nödvändigt att kontrollera datorer (ett antal IP-adresser) med hjälp av WSUS-tjänstdata och spara rapporten i en specifik katalog Rapportformat: datornamn - tid. Kommandot kommer att se ut så här:
mbsacli.exe /r [initialIP-adress]-[slutIP-adress] /q /va/o %IP%-%T% /u [Domän/användarnamn] /p [användarlösenord] /rd [katalog där rapporter kommer att sparas]
Efter ett tag kommer rapporter om värdar i IP-adressintervallet att dyka upp.
Den här uppgiften kommer att kartlägga de viktigaste säkerhetsproblemen som administratörer måste undersöka för att åtgärda sårbarheter.
Men väldigt ofta saknas några ganska kritiska systemuppdateringar från WSUS. MBSA kommer att identifiera dessa problem. Det räcker att köra kommandot ovan med /mu-tangenten istället för /wa. Rapportfilerna i Issue - Windows Security Updates visar vilka uppdateringar som krävs för den här datorn.
Kontrollera automatiseringen
Som visas ovan måste du ha två rapporter som visar skillnaden mellan de installerade uppdateringarna från WSUS och de uppdateringar som är tillgängliga på Microsoft Update-servern. För att göra detta måste du använda två olika mappar för att lagra rapporter uppdelade på skanningsdatum.
Runtime-filen (.bat) för att kontrollera MBSA med WSUS-tjänsten kommer att se ut så här:
@eko av
CDc:/(Rapporterar lagringsmapp)/WSUS
MD %datum:~-10%
mbsacli.exe /relementärtIP]-[ändligIP] /q /wa /rd c:/ (Mapplagringrapporterar)/WSUS/%date:~-10%
Exekveringsfilen (.bat) för kontroll av MBSA med hjälp av Microsoft Update-servern kommer att se ut så här:
@
ekoav
CDc:/(Rapporterar lagringsmapp)/MU
MD %
datum:~-10%
cd "C:\Program Files\Microsoft Baseline Security Analyzer 2"
mbsacli.exe /relementärtIP]-[ändligIP] /q /mu /rd c:/ (Mapplagringrapporterar)/MU/%datum:~-10%
Bat-filer skiljer sig från varandra genom tangenterna /wa eller /mu, som anger området för uppdateringsjämförelse och i vilka mappar rapporterna ska sparas.
Bat-filerna innehåller inte växlarna /u och /p med parametrarna för användarnamn och lösenord. Detta görs eftersom det inte finns något behov av att lagra lösenord i vanlig text i bat-filer. Av säkerhetsskäl måste du använda "Task Scheduler", som är konfigurerad: på uppdrag av vilken användare bat-filen kommer att exekveras.
Som en del av Microsoft Windows-systemet finns det en "Task Scheduler" som låter dig utföra nödvändiga åtgärder vid en viss tidpunkt. Det låter dig också lägga till nödvändiga argument. I vårt fall är dessa två nycklar / u och / p med parametrarna Användarnamn och lösenord
För att göra detta, skapa en ny uppgift genom att välja "Skapa en enkel uppgift" och ge en beskrivning av den (Fig. 1).
I fönstret "Task trigger" ställer du in frekvensen för kontrollen (en gång i veckan räcker) (Fig. 2).
I fönstret "Veckovis" ställer du in tiden för skanningen (tiden måste fungera, eftersom den skannade datorn måste vara påslagen. (Fig. 3).
I fönstret "Åtgärd" väljer du åtgärden "Kör ett program". (Fig. 4).
I fönstret "Starta programmet" väljer du med knappen "Bläddra" den bat-fil som är avsedd för skanning med WSUS (Fig. 5).
Efter att ha skapat uppgiften måste du öppna dess egenskaper och på fliken "Allmänt" välj objektet "Kör oavsett användarregistrering", vilket gör att du kan utföra uppgifter utan att behöva registrera dig i systemet, till exempel på servern (fig. 6)
Vi utför stegen ovan för att skapa en andra skanningsuppgift med hjälp av uppdateringar från Microsoft Update-servern och ange lämplig bat-fil.
Slutsats. Microsoft Baseline Security Analyzer-produkten har inte rik funktionalitet på grund av sin "frihet", men tack vare användningen av olika switchar med parametrar på kommandoraden, låter den dig öka informationsnivån om säkerhetsstatus och få information för att eliminera sårbarheter i en företagsmiljö.
Dessutom tillåter kommandoradshantering administratörer att automatisera processen för att erhålla de nödvändiga säkerhetsstatusrapporterna.