h1

Microsoft Baseline Security Analyser.

Luty 11, 2007

MBSA to narzędzie do analizy stanu zabezpieczeń naszego systemu. Narzędzie które wytyka błędy, pokazuje potencjalne zagrożenia i podpowiada jak rozwiązać problemy ze znalezionymi

w skrócie:

  • Nie działa w polskich wersjach systemów.**
  • Działa na : Windows nt 4.0/2000/XP ( w tym wersje 64 bitowe i embeeded) /Server 2003/Vista (nie obsługuje sprawdzania błędów, Microsoft tłumaczy to brakiem wpisu o viscie w licencji MBSA), IE od 5.01 w zwyż, IIS od 4.0 w zwyż, SQL Server 7.0 w zwyż, Office od 2000 w zwyż.
  • Wymaga praw administratora.
  • Umożliwia zeskanowanie wielu stacji.
  • Można używać z wiersza poleceń. ***
  • Informuje o miejscu w którym możemy znaleźć ew. poprawki oraz przedstawia scenariusze postępownia w przypadku wykrycia jakiejś słabości.
  • istnieje w 2 wersjach – online i offline.

w rozszerzeniu :

Sprawdzanie systemu składa się z następujących punktów:

  • Stan update’u systemu (Security Update Scan Results)
  • Stan samego systemu (Windows Scan Results)
    • File System ( sprawdza system plików, wyrzuca Warning gdy np nasze partycje nie sa NTFS’owe)
    • Incomplete Updates (sprawdza czy nie mamy nie kompletnych updateów)
    • Windows Firewall (informuje o stanie PFW, czy jest włączony, na jakich połączeniach, jakie są ustawione exceptiony ( w szczegółach wyników wszystko jest dokładnie wylistowane)).
    • Local Account Password Test (sprawdza poziom skomplikowania haseł na lokalu)
    • Automatic Updates (sprawdza czy są włączone czy też nie)
    • Guest Account (sprawdza czy jest disabled czy enable, czyli jak wyżej :) jednak się zdziwiłem bo u mnie jest enabled i nie zaznaczyło tego jako warning… weird..choć dowiedziałem się że konto mimo że istnieje i jest enabled to ma defaultowo w XPku ustawiony „zakaz” logowania.)
    • Restrict Anonymous

Restrict Anonymous. Tu się na chwilkę zatrzymam i powiem coś więcej o tej opcji. W rejestrze systemów Windows istnieje taka wartość o nazwie RestrictAnonymous wyglądająca jak widać poniżej. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
Value: RestrictAnonymous
Value Type: REG_DWORD
Value Data: 0x2 (Hex)

służy ona do ograniczenia dostępu anonimom (ciężko się domyślić co ? :] ) ustawią się ją przez

  1. rejestr (regedit) ,
  2. mmc => local security policy => security settings => local policies => security options = > Additional restrictions for anonymous connections.

i może ona przyjąć jedną z 3 wartości.

  1. Polegaj na zezwoleniach domyślnych
  2. Nie zezwalaj na wyliczanie kont i udziałów SAM
  3. Brak dostępu bez wyraźnych zezwoleń anonimowych

no ale wracamy do MBSA. Po sprawdzeniu Restrict Anonymous następuje sprawdzenie :

    • Administrators (sprawdza ilu jest użytkowników należących do grupy Local Administrators, w szczegółach wyników są wylistowane nazwy tych użytkowników, w defaultowym widoku tylko ich ilość)
    • Autologon (sprawdza czy opcja automatycznego logowania jest ustawiona na enabled na danej stacji. Dane do automatycznego logowania możemy przechowywać plain-tekstem (wartości : AutoAdminLogon REG_SZ 0/1, DefaultUserName REG_SZ Username, DefaultPassword REG_SZ Password) w rejestrze HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
      bądź jeśli użyjemy LSA to dane znajdziemy w :
      HKEY_LOCAL_MACHINE\SECURITY\Policy\Secrets\DefaultPassword\CurrVal
      HKEY_LOCAL_MACHINE\SECURITY\Policy\Secrets\DefaultPassword\OldVal
    • Password Expiration (sprawdza czy któryś z lokalnych użytkowników ma odchaczone w profilu że jego hasło nie wygasa i jeśli takiego delikwenta znajdzie to wrzuca jego uid na liste…chyba że… zostanie on umieszczony w pliku NoExpireOk.txt znajdującym się w katalogu MBSA
  • Dodatkowe informacje nt. systemu
    • Auditing ( sprawdza czy opcja audytowania wydarzeń w systemie jest włączona)
    • Services ( sprawdza czy któryś z serwisów umieszczonych na liście w pliku Services.txt nie smiga w systemie i jaki jest jego ew. status ). Standardowo plik services zawiera :
      MSFTPSVC (FTP)
      TlntSvr (Telnet)
      W3SVC (WWW)
      SMTPSVC (SMTP)
    • Shares (sprawdza co i komu jest udostępnione w systemie włączając zarówno zabezpieczenia ntfs’owe, sieciowe jak i nawet share’y administratorskie. Korzysta z ACL)
    • Windows Version (sprawdza wersję systemu).
  • Desktop Application Scan Results
    • IE Zones (sprawdza ustawienia zon w IE)

Poza tym wszystkim w SQL i IIS otrzymałem informację że takowych nie posiadam więc nie potrafię zbyt wiele o nich napisać. Z tego co wyczytałem w sieci porównywane są update’y (te które są zainstalowane z tymi które są dostępne), sprawdzane najczęstsze błędy konfiguracyjne i ew. opisy stanu poszczególnych opcji tych serwisów.

Uruchamianie z wiersza poleceń. MBSA można uruchomić z wiersza poleceń. Aby to zrobić należy się upewnić że naszym folderem bieżącym jest folder MBSA ( czyli zgodnie z aktualną wersją było by to
C:\Program Files\Microsoft Baseline Security Analyzer 2
aby uruchomić MBSA wpisujemy komendę mbsacli. Możemy skorzystać z jednego z następujących parametrów.

Wybór komputera do skanowania (bez wybrania którejkolwiek z tych opcji zostanie przeskanowany komptuer lokalny) :

  • /c domena\komputer – dane komputera który chcemy zeskanować przez użycie nazwy
  • /i xxx.xxx.xxx.xxx : dane komputera który chcemy zeskanować przez użycie IP
  • /r xxx.xxx.xxx.xxx-xxx.xxx.xxx.xxx : dane komputerów które chcemy zeskanować za pomocą zakresu IP
  • /d nazwa domeny : skanowanie wszystkich stacji w podanej domenie

Po wpisaniu /n ustalamy pomijanie wybranych elementów podczas skanowania. Lista opcji (można wpisać kilka opcji dodająć + między nimi) :

  • Hotfix – bez sprawdzania obecności poprawek
  • IIS – bez sprawdzania IIS
  • OS – bez sprawdzania systemu
  • Password – bez sprawdzania haseł
  • SQL – bez sprawdzani SQL Servera

Opcja /u i /p umożliwia nam skanowanie jako inny użytkownik ( /u Administrator /p P@ssw0rd )

Opcja /nvc wyłączy sprawdzanie czy jest nowa wersja MBSA.

Opcja /nd sprawi że podczas skanowania nie zostaną pobrane żadne pliki z witryny microsoftu.

Myśle że nie ma sensu wypisywać wszystkich parametrów, dostępne są one po wpisaniu mbsacli /? .

Generalnie polecam MBSA, można się szybko dużo dowiedzieć w ładnej przejrzystej formie bez bawienia się w skrypty czy korzystanie z technologii firm trzecich. Zastanawia mnie jednak jedna rzecz.. nie można tego było dać defaultowo we wszystkich systemach Microsoftu?

3 uwag

  1. Witam!

    Na wss.pl pisałeś o tym, że chcesz opublikować artykuł o MBSA i czy ktoś może go przeczytać. Akurat z MBSA trochę pracowałem, więc jeżeli chciałbyś – znajdę chwilę by go przejrzeć, podzielić się jakimiś komentarzami ;)

    Jak na razie z tego co tutaj piszesz warto by dodać, że w kwestii weryfikacji zainstalowanych poprawek można w MBSA korzystać zarówno ze stron microsoftu (tzn. update.microsoft.com) jak działającego serwera SUS, czy raczej aktualnie WSUS. Moim zdaniem warto wspomnieć o tej opcji ;)


  2. ..rozpisałeś….ale dzięki :) przyda mi się to.


  3. w tej chwili juz pisze rozszerzona wersje bo duzo mi tu zabraklo, no ale jak wiemy to jest blog :)

    w razie gdyby ktos chciale zerknac na aktualny stan to zapraszam na priv :)



Skomentuj

Wprowadź swoje dane lub kliknij jedną z tych ikon, aby się zalogować:

Logo WordPress.com

Komentujesz korzystając z konta WordPress.com. Log Out / Zmień )

Zdjęcie z Twittera

Komentujesz korzystając z konta Twitter. Log Out / Zmień )

Facebook photo

Komentujesz korzystając z konta Facebook. Log Out / Zmień )

Google+ photo

Komentujesz korzystając z konta Google+. Log Out / Zmień )

Connecting to %s

%d bloggers like this: