Проверка состояния установленных обновлений и исправлений для системы безопасности
Готова ли сеть противостоять взломщикам? Насколько своевременно применяются к системам текущие обновления и исправления для системы безопасности? Известно ли администратору об ошибках в настройках безопасности, в частности, об отсутствующих паролях? Самый простой способ оценить степень соответствия защиты сетевых устройств рекомендациям компании Microsoft — воспользоваться инструментом Microsoft Baseline Security Analyzer (MBSA).
Microsoft выпустила новую версию этого широко распространенного бесплатного инструмента, MBSA 2.0 (загрузить программу можно по адресу http://www.microsoft.com/technet/security/tools/ mbsahome.mspx). В предлагаемой статье рассматриваются новые возможности инструмента.
Обзор
Этот выпуск — не простое обновление продукта; он дополнен новыми функциями и проектировался для безупречной интеграции с другими инструментами обновления, такими как Windows Server Update Services (WSUS) и Systems Management Server (SMS) Inventory Tool for Microsoft Updates (ITMU). В MBSA 2.0 используется агент Automatic Updates; продукт совместим с Windows 2000 Server Service Pack 3 (SP3) и более поздними версиями, Windows XP и Windows Server 2003 (как 32-, так и 64-разрядными). MBSA 1.2.1 совместим с Windows 2000 SP2 и более ранними версиями, а также с Windows NT 4.0. Полный перечень версий MBSA для проверки различных продуктов Microsoft приведен в статье Microsoft Baseline Security Analyzer (MBSA) 2.0 is available, опубликованной по адресу http://support.microsoft.com/?kbid=895660).
MBSA 2.0, как и предшествующая версия MBSA 1.2.1, поставляется в двух редакциях — с графическим интерфейсом (который напоминает страницу браузера) и с командной строкой. Обе версии проверяют сеть на предмет обновлений, которые установлены или отсутствуют на сетевых устройствах, явных уязвимых мест, например отсутствующих или слабых паролей, паролей с истекающим сроком действия и соответствия сетевых параметров оптимальным рекомендациям. MBSA 2.0 можно применять для проверки одной или нескольких машин, локальных или удаленных систем, но при дистанционном сканировании системы не всегда удается проверить параметры брандмауэра. Дополнительная информация о сканировании системы со встроенным брандмауэром приведена во врезке «MBSA 2.0 и Windows Firewall».
Microsoft Update
MBSA 2.0 использует агента Automatic Updates для получения данных от Microsoft Update (Web-службы Microsoft) вместо Windows Update (используется для MBSA 1.2.1). MBSA 2.0 также задействует инфраструктуру управления исправлениями, описанную во врезке «Использование MBSA 2.0 вместе со службой WSUS». MBSA 2.0 устанавливает соединение с агентом обновления для сканирования рабочей станции или сервера и подготовки отчета об имеющихся и отсутствующих исправлениях. В отличие от MBSA 1.2.1, MBSA 2.0 позволяет выбрать обновления и исправления, не обнаруженные в ходе сканирования, с помощью пиктограммы загрузки, а затем автоматически загружает соответствующее обновление или исправление от службы Microsoft Update.
Компания Microsoft будет периодически выпускать новую версию агента Automatic Updates с новой функциональностью и расширенными возможностями поиска уязвимых мест. MBSA 2.0 может размещать новейших агентов в обследуемых системах, чтобы максимально повысить точность проверки.
В некоторых случаях MBSA 1.2.1 обеспечивает поиск обновлений для серверных продуктов, недоступных для MBSA 2.0, поэтому администратору могут понадобиться обе версии, пока MBSA 2.0 не обеспечит поддержку большинства продуктов Microsoft. Однако следует учитывать, что в первом квартале 2006 г. Microsoft планирует прекратить поддержку и распространение MBSA 1.2.1.
Уровень критичности в бюллетене
Компания Microsoft указывает рейтинг критичности исправления в каждом выпускаемом бюллетене, чтобы администратору было проще определить приоритеты применения исправлений (если их вообще нужно применять). В отчете, составляемом MBSA 2.0, в ходе проверки устройства приводится список отсутствующих исправлений, каждому из которых присваивается рейтинг. Существует четыре уровня: критический, важный, умеренный и низкий. Критический рейтинг присваивается пробелам в системе безопасности, которые следует устранить немедленно: например, уязвимое место, через которое в сеть может незаметно проникнуть «червь» из Internet. Рейтинг «важно» указывает, что проблема может привести к нарушению целостности и процесса обработки данных. Умеренный уровень указывает на уязвимые места, воспользоваться которыми хакеру трудно (хотя и возможно). Злоупотребить пробелами с низким рейтингом чрезвычайно затруднительно, и даже в этом случае вред для сети будет минимальным. MBSA 2.0 также выдает идентификаторы (Common Vulnerabilities and Exposures Identifier, CVE-ID) типичных опасностей и уязвимых мест. В MBSA 1.2.1 уровни критичности не обрабатываются.
Новый файл каталога для обновлений
Файл каталога (mssecure.cab) используется в MBSA 1.2.1 и Windows Update для проверки последних обновлений. В файле каталога содержатся сведения об обновленных файлах и параметрах системы для операционных систем начиная с NT 4.0 и кончая Windows 2003 и для факультативных компонентов, таких как Internet Information Services (IIS) 6.0, SQL Server и Exchange Server. MBSA 1.2.1 и предшествующие версии программы подключались к удаленным системам и определяли примененные обновления, отыскивая файлы и элементы реестра с помощью файла каталога. Однако в прошлых версиях MBSA не удавалось обнаружить все обновления, необходимые для всех продуктов, из-за особенностей их архитектуры и формата файла mssecure.cab.
В MBSA 2.0 появился новый файла каталога, wsusscan.cab (этот же файл используется WSUS), который можно получить от службы Microsoft Update. MBSA 2.0 более не подключается к удаленным клиентским системам через разделяемые административные ресурсы (например, C$, D$, ADMIN$) и службу Remote Registry. MBSA 2.0 устанавливает связь с агентом Automatic Updates, который определяет состояние обновлений на основании данных в файле wsusscan.cab. Если MBSA 2.0 определяет, что в исследуемом устройстве не установлен экземпляр клиентского агента Automatic Updates, то его новейшая версия может быть установлена автоматически. Если режим автоматической установки отключен, MBSA 2.0 сообщает о невозможности поиска исправлений, но продолжает проверку оптимальных методов поддержания безопасности.
Выбор параметров сканирования
После того как программа MBSA 2.0 будет загружена и установлена на компьютере, в меню Start появляется соответствующий пункт. Щелчком на этом пункте запускается версия MBSA с графическим интерфейсом. В окне приветствия Baseline Security Analyzer требуется выбрать один из следующих параметров сканирования: Pick a computer to scan, Pick multiple computers to scan или Pick a security report to view.
Сканирование локального или удаленного компьютера. Если выбран режим Pick a computer to scan, то по умолчанию используемый компьютер появляется в поле Computer name. Для проверки удаленного устройства необходимо:
- ввести имя удаленного устройства в формате domainnamecomputername. Чтобы проверить удаленное устройство, нужно зарегистрироваться в сканирующей системе с использованием доменной учетной записи с административными полномочиями - например, учетной записи члена группы Domain Admins;
- выбрать назначенное имя устройства из раскрывающегося меню, если проверка повторная;
- ввести IP-адрес удаленного устройства.
В поле Security report name следует ввести переменные, перечисленные ниже поля, которые предполагается использовать в имени отчета. В разделе Options нужно выбрать параметры сканирования MBSA. На экране 1 показаны имя компьютера, имя отчета и выбранные параметры. Чтобы запустить проверку, следует щелкнуть на кнопке Start scan.
MBSA 2.0 загружает клиент Automatic Updates (если он отсутствует) и новейший файл wsusscan.cab от службы Microsoft Update. Этот файл каталога используется для поиска неполадок в системе безопасности.
Сканирование нескольких компьютеров. Это такой же процесс, как и сканирование одного компьютера, но выбирается режим Pick multiple computers to scan, и в поле Computer name вводится имя домена или диапазон проверяемых IP-адресов. Если указано имя домена, то для MBSA 2.0 необходимо подключиться и использовать главный браузер домена, чтобы составить в нем список устройств. Это значит, что MBSA может сканировать только устройства, которые подключены к сети и посылают сообщения в браузер. В результатах сканирования приведен список устройств, которые не были проверены, и все сведения о проблемах безопасности. С помощью кодов ошибок, приведенных в конце каждой записи, можно выяснить причины, по которым не удалось проверить удаленное устройство. Коды ошибок можно преобразовать в сообщения об ошибках с помощью команды
net helpmsg
Результаты сканирования сортируются в профиле пользователя в папке SystemScans. По умолчанию имя файла, в котором хранятся результаты сканирования, — Domainname Computername(MM-DD-YYYY HH:MMAM/PM).mbsa.
Просмотр отчетов безопасности. MBSA генерирует отдельный XML-файл для каждого проверяемого компьютера и сохраняет отчет (с именем, введенным администратором в окне выбора) в профиле пользователя (т. е. пользователя, запустившего MBSA) в папке SecurityScans. Не составляет труда выполнить разбор результирующего XML-файла или импортировать его в такое приложение, как Microsoft Excel. В большинстве случаев проще просмотреть отчет в версии MBSA с графическим интерфейсом.
После проверки единственного компьютера MBSA автоматически запускает окно View security report и отображает результаты сканирования (экран 2). Если выполнена проверка нескольких компьютеров, следует выбрать режим Pick a security report to view, чтобы увидеть результаты сканирования.
В столбце Result мы видим три ссылки: What was scanned, Result details и How to correct this. Ссылка Result details обеспечивает дополнительную информацию, в частности об отсутствующих исправлениях для системы безопасности. С помощью ссылки What was scanned можно получить из оперативной подсказки подробные сведения о цели поиска MBSA 2.0, а ссылка How to correct this отображает текстовую страницу Help с описанием способа устранения проблемы. На экране 3 показан тип информации, отображаемый при активизации ссылки Result details. Здесь перечислены обновления, отсутствующие в целевых устройствах. Можно выбрать идентификатор элемента, чтобы показать дополнительные сведения об отсутствующем исправлении или выбрать пиктограмму Download, чтобы загрузить исправление от службы Microsoft Update.
Использование версии с командной строкой. Для использования версии с командной строкой следует перейти в каталог C:program filesMicrosoft Baseline Security Analyzer 2 и запустить файл mbsacli.exe. Получить сведения о параметрах командной строки можно с помощью команды mbsacli.exe /?. Чтобы использовать альтернативные учетные данные при сканировании компьютера (локального или удаленного), можно использовать параметры /u (указывает имя пользователя) и /p (указывает пароль). Версия с командной строкой более гибкая, чем версия с графическим интерфейсом, так как позволяет управлять сканированием, задавая ключи. По умолчанию версия с командной строкой сохраняет результаты сканирования в виде XML-файла в профиле пользователя в папке SecurityScans под выбираемым по умолчанию именем Domainname-Computename(MM-DD-YYYY HH:MMAM/PM).mbsa.
Шагаем в ногу
Компания Microsoft планирует регулярно расширять поддержку продуктов на Web-узле Microsoft Update, чтобы обеспечить поиск обновлений с помощью MBSA для текущих операционных систем Microsoft и совместимых продуктов. Текущий список обновлений опубликован по адресу http://update.microsoft.com/microsoftupdate/v6/ default.aspx?ln=en-us. MBSA 2.0 не просто дополнена новой функциональностью, но и радикально переработана во многих отношениях, что повышает эффективность инструмента. Эта программа будет полезна каждому администратору безопасности.
Дополнительная информация о MBSA 1.2.1 приведена в статьях «Microsoft Baseline Security Analyzer» на сайте www.windowsitpro.ru (http://www.osp.ru/win2000/safety/603_28_1.htm) и «Автоматическая проверка с MBSA», опубликованной в Windows IT Pro/RE № 3 за 2005 год. Подробные сведения об MBSA 2.0 можно найти также в статье «MBSA 2.0 Frequently Asked Questions» по адресу http://www.microsoft.com/technet/security/tools/ mbsa2/qa.mspx
Джон Хоуи - Директор подразделения World Wide Services and IT Technical Community for Security в компании Microsoft. Имеет 15-летний опыт работы в области информационной безопасности и сертификаты CISSP, CISM и CISA. jhowie@microsoft.com
MBSA 2.0 и Windows Firewall
Для дистанционного сканирования системы необходимо обеспечить инструменту MBSA 2.0 доступ к нескольким портам и службам. Если развернута операционная система Windows XP Service Pack 2 (SP2) или Windows Server 2003 SP1 и активизирован брандмауэр Windows Firewall, то при использовании MBSA 2.0 для подключения к удаленным сетевым устройствам могут возникнуть затруднения. В оперативной справке MBSA содержится дополнительная информация о портах, которые необходимо открыть, чтобы успешно выполнить сканирование. Если MBSA 2.0 не может завершить данную операцию сканирования (например, из-за особенностей настройки брандмауэра), то будут предприняты повторные попытки сканирования, допустим, в поисках слабых паролей или экземпляров Microsoft IIS с некорректной конфигурацией. Один из вариантов добиться успешной работы MBSA 2.0 — централизованно настраивать Windows Firewall, используя Group Policy для разрешения трафика через порты и службы, указанные в файле справки MBSA. При настройке Windows Firewall рекомендуется указывать узел или подсеть, из которых запускается MBSA 2.0, запрещая другим системам подключаться к клиентам без достаточных оснований.
Использование MBSA 2.0 вместе со службой WSUS
Один из недостатков применения MBSA 2.0 совместно с Microsoft Update заключается в том, что инструмент сообщает о состоянии исследуемых систем относительно новейшего файла каталога WSUSSCAN.CAB. На крупных предприятиях можно организовать сложные процессы обновления и управления соответствиями, которые позволяют применять иные компоненты управления, помимо программных обновлений, для снижения риска, связанного с пробелами в системе безопасности. При использовании на таком предприятии MBSA 2.0 и Microsoft Update для поиска пробелов в системе безопасности MBSA может ошибочно указать устройства, не соответствующие рекомендациям по безопасности Microsoft, хотя эти устройства отвечают стандартам предприятия и не подвергаются риску. В этом случае при сканировании сетевых устройств можно настроить MBSA 2.0 на использование обновлений, разрешенных к установке, через WSUS вместо Microsoft Update.
Чтобы использовать WSUS в процессе сканирования, следует выбрать пункт Advanced Update Services options, а затем режим Scan using assigned Update Services servers only в окне Baseline Security Analyzer. Если выбран режим Scan using Microsoft Update only, то MBSA игнорирует обновления, одобренные для установки, и проверяет систему клиента на применимость всех обновлений, предложенных службой Microsoft Update. При использовании MBSA 2.0 в сочетании с WSUS программа MBSA 2.0 не изменяет параметров Update Server, даже если устанавливается новая версия агента Automatic Updates.