10.07.2010

»спользование Microsoft baseline Security Analyzer в корпоративной среде

image

ќсновна€ задача данной статьи - предоставить материал администраторам, который позволит запускать MBSA периодически, в автоматическом режиме и отправл€ть отчеты на адреса электронной почты. Ёто позволит в значительной степени увеличить уровень информированности о состо€нии безопасности в корпоративной сети.

јвтор: ƒенис ¬асильев

¬ рамках корпоративной инфраструктуры требуетс€ иметь актуальную информацию о состо€нии уровн€ безопасности. Ќесмотр€ на то, что на рынке присутствуют достойные продукты, позвол€ющие производит автоматическое сканирование по заданным шаблонам, они обладают достаточно высокой ценой.  омпани€ Microsoft выпустила продукт под названием Microsot Baseline Security Analyzer, который производит проверку продуктов Microsoft на наличие у€звимостей.

ќсновна€ задача данной статьи - предоставить материал администраторам, который позволит запускать MBSA периодически, в автоматическом режиме и отправл€ть отчеты на адреса электронной почты. Ёто позволит в значительной степени увеличить уровень информированности о состо€нии безопасности в корпоративной сети.

¬ рамках MBSA существует возможность запуска сканировани€ через командную строку Ц mbsacli.exe.  оманда имеет р€д ключей которые позвол€т управл€ть сканированием.

/target

 

ѕроверка домена \ компьютера по имени

/target

IP адрес

ѕроверка по IP адресу

/r

Ќачальный IP адрес Ц конечный IP адрес

ѕроверка диапазона IP адресов

/listfile

»м€ файла.txt

ѕроверка по файлу со списком IP адресов

/d

»м€ домена

ѕроверка домена

/n

ќпции

¬ыбор какую проверку не выполн€ть. ¬арианты: "OS"(операционна€ система), "SQL"(SQL сервер), "IIS"(веб-сервер ISS), "Updates"(обновлени€), УPassword"(пароли). при наборе необходимо использовать У+Ф без пробела. ѕример: OS+SQL+ISS+Updates+Password

/wa

 

ѕоказывать только обновлени€, одобренные на WSUS.

/wi

 

ѕоказать все обновлени€, даже если они не прин€ты на WSUS.

/nvc

 

Ќе провер€ть новую верси€ MBSA

/o

»м€ файла

Ўаблон названи€ отчета. имеет параметры: %D% - им€ домена, %—% им€ компьютера, %T% - врем€, %IP% - IP адрес. ѕо умолчанию: %D% - %C% (%T%).

/qp

 

Ќе показывать процесс проверки.

/qt

 

Ќе показывать отчет при проверки одного компьютера.

/qe

 

Ќе показывать отчет ошибок.

/qr

 

Ќе показывать отчет.

/q

 

Ќе показывать все из вышеперечисленного

/unicode

 

ќтчет в ёЌ» ќƒе

/u

»м€ пользовател€

»м€ пользовател€ используемого при сканировании.

/p

ѕароль пользовател€

ѕароль пользовател€ используемого при сканировании.

/catalog

»м€ файла

”казывает источник данных который содержит информацию о доступных обновлений безопасности.

/ia

 

ќбновлени€ с учетом условий Windows Update Agent

/mu††††††††††††††††††††††††††††

 

ѕроверка с учетом обновлений сайта Microsoft Update.

/nd

 

Ќе скачивать обновлени€ с сайта Microsoft Update при проверке.

/xmlout

 

«апуск проверки в режиме только дл€ обновлени€ с использованием только mbsacli.exe и wusscan.dll. Ётот ключ может быть использован только с ключами:  /catalog, /wa, /wi, /nvc, /unicode.

/l

 

ѕоказать все отчеты.

/ls

 

ѕоказать отчеты за последнее сканирование

/lr

»м€ файла

ѕоказать общий отчет.

/ld

»м€ файла

ѕоказать детализированный отчет

/rd

»м€ директории

ƒиректори€ дл€ сохранени€ отчетов проверки.

»ме€ в распор€жении информацию по ключам, используемых командой mbsacli.exe., мы можем составить свой сценарий сканировани€ согласно нашим требовани€м. «адача ставитьс€ следующим образом: необходимо провести проверку компьютеров(диапазон IP адресов) с использованием данных службы WSUS и сохранением отчета в определенной директории формат отчета: им€ компьютера Ц врем€.  оманда будет выгл€деть следующим образом:

mbsacli.exe /r [начальный IP адрес]-[конечный IP адрес] /q /wa /o %IP%-%T% /u [ƒомен/им€ пользовател€]† /p [пароль пользовател€] /rd [директори€, куда будут сохран€тьс€ отчеты]

„ерез некоторое врем€ по€в€тс€ отчеты об узлах в диапазоне IP адресов.

¬ рамках данной задачи будут отображены основные проблемы, св€занные с безопасностью, которые будет необходимо изучить администраторам дл€ устранени€ у€звимостей.

Ќо очень часто в рамках WSUS отсутствуют некоторые достаточно критичные обновлени€ дл€ систем. MBSA позволит вы€вить эти проблемы. ƒостаточно выше приведенную команду запустить с ключом /mu вместо /wa. ¬ файлы отчета в Issue Ц Windows Security Updates будут показаны какие обновлени€ необходимы дл€ данного компьютера.

јвтоматизаци€ проверки

 ак было показано выше, необходимо иметь два отчета, которые показывают разницу между установленными обновлени€ми со службы WSUS и имеющимс€ обновлени€ми на сервере Microsoft Update. ƒл€ этого необходимо использовать две различные папки хранени€ отчетов разбитые по датам сканировани€.†

‘айл исполнени€ (.bat) дл€ проверки MBSA с использованием службы WSUS будет выгл€дет так:

@echo off
cdc:/{ѕапка хранени€ отчетов}/WSUS
MD %date:~-10%
cd "C:\Program Files\Microsoft Baseline Security Analyzer 2"
mbsacli.exe /r [начальныйIP]-[конечныйIP] /q /wa /rd c:/ {ѕапкахранени€отчетов}/WSUS/%date:~-10%
‘айл исполнени€ (.bat) дл€ проверки MBSA с использование сервера Microsoft Update будет выгл€деть так:
@echooff
cdc:/{ѕапка хранени€ отчетов}/MU
MD %date:~-10%
cd "C:\Program Files\Microsoft Baseline Security Analyzer 2"
mbsacli.exe /r [начальныйIP]-[конечныйIP] /q /mu /rd c:/ {ѕапкахранени€отчетов}/MU/%date:~-10%

Bat-файлы различны между собой ключами /wa или /mu, задающие область сравнени€ обновлений, и папками, в которые необходимо сохран€ть отчеты.

¬ bat-файлах отсутствуют ключи /u и /p с параметрами им€ пользовател€ и пароль. Ёто сделано по причине отсутстви€ необходимости хранени€ паролей в открытом виде в bat-файлах. ƒл€ безопасности необходимо использовать Ђѕланировщик задачї, в котором настраиваетс€: от имени какого пользовател€ будет исполн€тьс€ bat-файл.

¬ рамках системы Microsoft Windows присутствует Ђѕланировщик заданийї, который позвол€ет выполн€ть необходимые действи€ в определенное врем€. “акже он позвол€ет добавл€ть необходимые аргументы. ¬ нашем случае это два ключа /u и /p с параметрами »м€ пользовател€ и пароль

ƒл€ этого создаем новую задачу выбира€ пункт Ђ—оздать простую задачуї и даем описание к ней(рис. 1).

рис. 1

¬ окне Ђ“риггер задачиї устанавливаем периодичность проведени€ проверки (достаточно раз в неделю)(рис. 2).

рис. 2

¬ окне Ђ≈женедельної устанавливаем врем€ проведени€ проверки (врем€ должно быть рабочее, так как сканируемый компьютер должен быть включен.† (рис. 3).

рис. 3

¬ окне Ђƒействиеї выбираем действие Ђ«апустить программуї. (рис. 4).

рис. 4

¬ окне Ђ«апуск программыї выбираем через кнопку Ђќбзорї, bat-файл предназначенный дл€ сканировани€ с использованием WSUS (рис. 5).

рис. 5

ѕосле создани€ задачи необходимо открыть еЄ свойства и во вкладке Ђќбщиеї† указать пункт Ђ¬ыполн€ть вне зависимости от регистрации пользовател€ї, что позволит выполн€ть задачи без необходимости регистрации в системе, например на сервере (рис. 6)

рис. 6

ѕроделываем вышеперечисленные действи€ дл€ создани€ второй задачи проверки с использованием обновлений с сервера Microsoft Update и указанием соответствующего bat-файла.

«аключение. ѕродукт Microsoft Baseline Security Analyzer не обладает богатым функционалом из-за своей Ђбесплатностиї, но благодар€ использованию в командной строке различных ключей с параметрами, позвол€ет повысить уровень информативности о состо€нии безопасности† и получить информацию дл€ устранени€ у€звимостей в корпоративной среде.†

“акже управление через командную строку позвол€ет администраторам автоматизировать процесс получени€ необходимых отчетов о состо€нии безопасности.
или введите им€

CAPTCHA
user
12-07-2010 14:51:30
ѕолезна€ стать€, использую MBSA обычным образом, про ключи не знал. јвтору спасибо.
0 |
NoName
12-07-2010 22:39:19
%programfiles%\\Microsoft Baseline Security Analyzer 2
0 |