3.1 Застосування MBSA
Аналізатор безпеки MBSA використовується для визначення наявності на серверах розгортання невідомих вразливостей. Деякі служби повинні бути активні і відкриті для доступу з мережі, наприклад служба загального доступу до файлів. Непотрібні ж уразливості, виявлені аналізатором безпеки MBSA, необхідно усунути.
Дії для запуску аналізатора безпеки MBSA
1.Завантажите аналізатор безпеки MBSA за адресою http://www.microsoft.com/mbsa і встановите його.
2.Запустите аналізатор безпеки MBSA.
3.Виконаєте вказівки майстра, вибравши сканування всієї мережі з відповідними обліковими даними.
4.На сторінці вітання клацніть напис Scan more than one computer (сканувати декілька компютерів).
5.На сторінці Pick Multiple Computers To Scan (вибір декількох компютерів для сканування) введіть діапазон IP-адресов серверів розгортання. Потім клацніть напис Start scan (почати сканування).
Коли сканування завершиться, в переліку результатів не повинно бути нічого, окрім інформаційних попереджень про загальні ресурси. На серверах, на яких розміщується служба каталогів Active Directory, необхідно уважно перевірити всі відкриті загальні теки і встановлені на них дозволи. За умовчанням створюються загальні ресурси Admin$, NETLOGON, SYSVOL, Cap_імя_домена і загальні ресурси кореневих розділів і томів (наприклад C$ і D$). Якщо на компютері встановлена служба SMS, то на нім також будуть створені загальні ресурси Smspkgc$, Sms_hq1, Sms_site і Sms_suiagent. Всі непотрібні загальні ресурси необхідно видалити.
Для серверів Windows DS також виводитиметься інформаційне попередження про загальні ресурси. Необхідно уважно перевірити всі загальні теки і встановлені на них дозволи. Засіб Deployment Workbench при оновленні членом групи розгортання точки розгортання автоматично створює приховану загальну теку з імям «Sharename$». Також створюються стандартний загальний ресурс Admin$ і загальні ресурси кореневих розділів і томів (наприклад C$ іd$). Необхідно обмежити доступ до дистрибутивних загальних ресурсів тільки користувачам, яким потрібний доступ до образів. Подальше обмеження доступу проводиться за допомогою настройки прав файлової системи NTFS, як це описано в додатку Е «Обмеження дозволів для файлів на серверах розгортання». Всі непотрібні загальні ресурси необхідно видалити. Необхідно позбавитися від всіх решті уязвімостей для зведення до мінімуму риски зараження знов встановлених клієнтських компютерів із-за скомпрометованого сервера розгортання. Зокрема, варто звернути увагу на наступні типи вразливостей (у випадку, якщо вони були виявлені).
Облікові записи з порожніми або простими паролями. Компрометація інфраструктури розгортання може дозволити зломщикові скомпрометувати все нові компютери, тому дуже важливо захистити всі облікові записи складними паролями. Додаткову інформацію про складні паролі можна отримати в керівництві Creating а Strong Password Policy (правила створення надійних паролів) за адресою http://technet2.microsoft.com/WindowsServer/en/library/041728b4-5ed9-44a8-99fe-c050333d42451033.mspx?mfr=true.
* Облікові записи з необмеженим терміном дії паролів. Необмежений термін дії пароля є загрозою безпеці з кількох причин.
У зломщиків є більше часу для підбору пароля методом повного перебору.
*У разі компрометації пароля користувача у зломщика є доступ до системи користувача протягом всього часу, поки користувач не поміняє свій пароль.
* Після звільнення у співробітників є доступ до системи до тих пір, поки не буде змінені їх паролі.
* Потрібна установка оновлень безпеки. Часто оновлення безпеки усувають недавно виявлені уразливості.
Встановлені непотрібні служби. Аналізатор безпеки MBSA не попереджає членів групи розгортання про наявність служб, які потрібні для функціонування середовища розгортання. Тому всі непотрібні служби можна видалити або відключити.
* Аудит відключений. За умовчанням включений тільки аудит успіхів входу в систему. Включення аудиту відмов входу в систему дозволить відстежувати спроби неуспіхів аутентифікації на сервер складок. Не дивлячись на те, що ведення журналу аудиту відмов піддає сервер потенційної небезпеки атак типу «відмова в обслуговуванні», вірогідність проведення такого типу атак в середовищі розповсюдження украй мала. Інструкції по зміні параметрів аудиту приведені в керівництві Define or modify auditing policy settings for an event category (визначення або зміна параметрів політики аудиту для категорії події) за адресою http://technet2.microsoft.com/WindowsServer/en/library/d9fea7ea-61e5-43b1-98cd-b02a09f101561033.mspx?mfr=true.
* Наявність непотрібних загальних ресурсів. Як було описано раніше, на сервері збірки повинен бути як мінімум один прихований дистрибутивний загальний ресурс. Всі непотрібні загальні ресурси слід видалити для зменшення погроз безпеці.
Детальні інструкції по використанню аналізатора безпеки MBSA, включаючи навчальні посібники, доступні за адресою http://www.microsoft.com/resources/sam/partnerguide/howto_inv_tool.aspx.
Запуск MBSA з командного рядка
Основна перевага MBSA - можливість запису результатів н текстовий файл для імпорту в електронну таблицю або БД з метою генерації звітів для оцінки ефективності установки виправлень. Для кожного компютера у фай- файлі звіту приводиться список відсутніх виправлень, дозволяючий визначити, чи на всіх компютерах успішно проходить завантаження і установка виправлень. Повний синтаксис команди mbsacli.exe див. в статті «Microsoft Baseline Security Analyzer (MBSA) Version 1.1 Is Available» за адресою hltp://suppon.microsoft, com/default.aspx?scid=kb;en-us;320454. Нижче наводяться приклади команд:
· перевірка компютерів по NetBIOS-именам:
Hbsacli.exe /hf -h computer"!, computed, computers, computed
· перевірка компютерів по IP-адресам: Hscacli /hf -i xxx.xxx.xxx.xxx, xxx.xxx.xxx.xxx
· перевірка компютерів з IP-адресами з файлу mycomputerip.txt: Mbsacli /hf -fip mycomputerip.txt
· виключення з перевірки виправлень за списком їх номерів в Knowledge Base, що завантажується з файлу notthese.txt: Mbsacli /hf notthese.txt
· вибір домена для перевірки: Hbsacli /hf -d tailspintoys
· завдання імені файлу (myscan.txt) для збереження вихідних даних: Hbsacli /hf -о tab -f myscan.txt
· введення пароля, використовуваного при перевірці. При цьому пароль не передається по мережі в чистому вигляді, використовується шифрування NTLM: Mbsacli /hf -i xxx.xxx.xxx.xxx -u administrator -p password
· |вибір сервера SUS для визначення дозволених виправлень: Hbsacli /hf -sus ?http://susserver?
· перевірка домена tailspintoys.com із записом результатів у файлі myscan.txt: Hbsacli /hf -d tailspintoys.com -о tab f myscan.txt
- Вступ
- I. Загальні поняття та принципи проектування системи оновлень
- 1.1 Вибір оптимальної комбінації методів оновлення
- 1.3 Захист сервера SUS
- 1.4 Застосування SUS при проектуванні системи оновлень
- II. Проектування клієнтської частини інфраструктури оновлення системи безпеки
- 2.1 Настройка SUS за допомогою групової політики
- 2.2 Настройки SUS специфічні для користувача
- 2.3 Настройка за допомогою системного реєстра
- III. Моніторинг та оптимізація оновлень системи безпеки
- 3.1 Застосування MBSA
- 3.2 Проведення аудиту встановлення виправлень
- 3.3 Перевірка виправлень за допомогою SUS і клієнтських журналів
- 3.4 Тестування виправлень
- 3.5 Моніторинг та оптимізація встановлення виправлень
- 1.3. Проектування кабельної системи мережевої інфраструктури
- 1. Етапи проектування операційної системи
- 11.1. Рівні управління проектування інформаційної системи
- Вкажіть вимоги пожежної безпеки, системи протипожежного захисту в готельному господарстві.
- Загальна характеристика процесу проектування операційної системи виробничої та невиробничої сфер
- 1.5. Фактори, які впливають на безпеку транспортних систем
- Лекція 2. Безпека мережевої інфраструктури
- 12.2. Проектування системи операційного менеджменту Навчальні цілі