Ваш город: Москва
Microsoft Baseline Security Analyzer
На наши вопросы отвечает Майк Фэлэнд (Mike Fahland), главный инженер по безопасности программного обеспечения компании Shavlik. Далее мы зададим несколько вопросов представителю компании Microsoft.
TanaT: Расскажите в нескольких словах о Shavlik Technologies.
Майк Фэлэнд: Shavlik Technologies - один из ведущих разработчиков продуктов и услуг в сфере информационной безопасности. Штаб-квартира Shavlik Technologies расположена в городе Святого Павла (St. Paul), штат Миннесота, США. Компания помогает IT-специалистам и администраторам управлять системой безопасности предприятия, оценивать уровень защищенности серверов путем сканирования на предмет уязвимостей и устранять найденные проблемы. Чаще всего уязвимости возникают из-за недостатка патчей, уязвимых учетных записей и слабых паролей. Линейка продуктов Shavlik включает HFNetChkPro (промышленный стандарт для решений, позволяющих управлять security-патчами) и Enterprise Inspector (средство инспектирования сети). Эти продукты используются в тысячах компаний по всему миру. Также широко известен MBSA. Его создала тоже наша компания. Shavlik предоставляет не только продукты, а еще и услуги: своевременное обновление ПО, стратегию управления патчами и т.д. С компанией можно связаться по телефону +1 612-331-6737, по e-mail international@shavlik.com или через сайт http://www.shavlik.com.
TanaT: Что означает слово "baseline" в названии "Microsoft Baseline Security Analyzer"? Означает ли это, что MBSA может находить только простейшие уязвимости?
Майк Фэлэнд: "Baseline" обычно определяется как совокупность действий, которые должны быть выполнены на данной технологической платформе для ее адекватной защиты. MBSA находит не только простейшие уязвимости - некоторые проверки являются технически неочевидными.
TanaT: Какие уязвимости может находить MBSA?
Майк Фэлэнд:
Отсутствующие патчи для ОС Windows, IIS, SQL Server, Media Player и Exchange Server.
Еще использующиеся учетные записи с пустыми или слабыми паролями.
Избыточное число учетных записей администратора.
Незащищенные файловые системы.
Уязвимости, связанные с особенностями AutoLogon в Windows.
Разрешение учетной записи гостя.
Настройки для анонимного входа.
Ненужные службы.
Совместно используемые ресурсы.
Проверка, подтверждающая, что аудит и ведение журнала разрешены.
Определение, запущен ли IIS Lockdown.
Проверка, присутствуют ли IIS Sample Applications и виртуальные каталоги (уязвимые и в общем случае вовсе не обязательные).
Проверка, разрешен ли IIS Parent Path.
Проверка всех установленных копий SQL на наличие некоторые общих уязвимостей.
Проверка настроек безопасности для Internet Explorer, Office и Outlook.
TanaT: Расскажите подробнее о некоторых уязвимостях (смотрите текст ниже).
Майк Фэлэнд: EnterpriseInspector и MBSA создают мини-отчет ("что было отсканировано") для каждого отдельного элемента общего отчета. Подробности о любой проверке вы можете получить, щелкнув на соответствующий значок в отчете. Вот несколько примеров.
TanaT: "Избыточное число административных учетных записей".
Майк Фэлэнд: Эта проверка находит и выводит на экран все индивидуальные учетные записи, принадлежащие группе Локальных Администраторов (Local Administrators). Если обнаружено более двух индивидуальных учетных записей администратора, программа составит список учетных записей и пометит их как потенциально уязвимые. Вообще, рекомендуется, чтобы администраторов было как можно меньше, так как они имеют неограниченную власть над компьютером.
TanaT: "Незащищенные файловые системы".
Майк Фэлэнд: Эта проверка определяет, является ли NTFS файловой системой на каждом жестком диске. NTFS - это защищенная файловая система, позволяющая контролировать или ограничивать доступ к отдельным файлам и директориям. Например, если вы захотите сделать доступными ваши файлы для коллег так, чтобы файлы можно было просматривать, но не изменять, то это довольно просто сделать с помощью Списков Контроля Доступа (Access Control Lists), обеспечиваемых NTFS.
Замечание: Проверка будет возможна только тогда, когда диск экспортируется с привилегиями администратора.
TanaT: "Проверка, подтверждающая, что аудит и ведение журнала разрешены".
Майк Фэлэнд: АУДИТ. Эта проверка определяет, разрешен ли аудит на сканируемом компьютере. В Microsoft Windows реализована возможность аудита. Система следит за некоторыми специальными событиями (например, удавшиеся или не удавшиеся попытки входа в систему) и заносит соответствующую информацию о них в журнал системных событий. Проверяя этот журнал, вы можете с легкостью обнаружить злонамеренные действия и уязвимые места в вашей системе безопасности.
ВЕДЕНИЕ ЖУРНАЛА IIS. Эта проверка определяет, разрешено ли ведение журнала в Internet Information Services (IIS) и используется ли W3C Extended Log File Format. IIS ведет журнал, который можно использовать для того, чтобы всегда быть в курсе всех произошедших событий или чтобы контролировать выполнение функций, реализованных в Windows. Журнал регистрации содержит информацию о том, кто посещал ваш узел, что просматривал посетитель и что было просмотрено последним. Вы можете вывести на монитор все попытки (удавшиеся или нет) обращения к вашему web-сайту, виртуальным папкам или файлам (включая события чтения или записи). Вы также можете выбрать, какие именно события проверить для сайта, виртуальных папок или файлов. При постоянном анализе файла журнала вы можете обнаружить области сервера или сайтов, которые могут быть объектом атаки (попытки проникновения в защищенную систему) или вызвать другие проблемы. Можно вести журнал и отдельно для каждого web-сайта, а также выбрать формат файла журнала. Если вы включите ведение журнала, то будут протоколироваться события для всех папок сайта, но слежение за некоторыми директориями вы можете отключить на свое усмотрение.
TanaT: "Проверка, присутствуют ли IIS Sample Applications и виртуальные каталоги (уязвимые и в общем случае вовсе не обязательные)".
Майк Фэлэнд: Эта проверка определяет, запущен ли на сканируемом компьютере Internet Information Services (IIS) Lockdown 2.1, часть Microsoft Security Tool Kit. IIS Lockdown работает, если выключены все лишние возможности IIS, таким образом, для нападающих область, подверженная атаке, может быть уменьшена. При защите web-серверов администратор должен, в первую очередь, использовать инструменты IIS Lockdown.
Замечание: Инструменты IIS Lockdown разработаны для IIS 4.0, 5.0, and 5.1 и не нужны для нового Windows Server 2003 с установленной IIS 6.0. Если же вы перешли от IIS 5.0 к IIS 6.0, тогда lockdown-инструменты следует запустить.
TanaT: "Проверка, разрешена ли IIS Parent Path".
Майк Фэлэнд: Эта проверка определяет, установлена ли ASPEnableParentPaths на проверяемом компьютере. Родительские каталоги в Internet Information Services (IIS) позволяют страницам Active Server Pages (ASP) использовать относительный путь из родительского каталога в текущий (то есть синтаксис вида "..").
TanaT: MBSA разработан для сканирования серверов, не так ли? А домашние пользователи могут его использовать?
Майк Фэлэнд: Домашние пользователи обычно не устанавливают у себя IIS, SQL или Exchange, поэтому данные проверки вообще у них не запустятся. Домашним пользователям нужно следить, чтобы их компьютеры были правильно "пропатчены" и их учетную запись было непросто взломать.
TanaT: Можно ли использовать MBSA для удаленного сканирования? Такого как, например, сканирование портов?
Майк Фэлэнд: MBSA может сканировать все удаленные машины, если имеется доступ к учетной записи администратора. Не нужно устанавливать какое бы то ни было дополнительное ПО на удаленные машины.
MBSA на старте, здесь вы можете выбрать критерии сканирования
TanaT: Я могу сканировать "не мои" компьютеры (то есть те компьютеры, где у меня нет учетных записей) с помощью MBSA?
Майк Фэлэнд: MBSA попытается соединиться со всеми машинами домена или со всеми IP-адресами, которые вы зададите. Если соединение удается, то производится проверка, чтобы установить, обладает ли ваша учетная запись правами администратора на удаленной машине. Если нет, то сканирование не производится.
TanaT: Для работы MBSA нужен интернет? Требуется ли загрузка каких-то данных с сервера Microsoft?
Майк Фэлэнд: MBSA загружает последнюю информацию о патчах с сайта Microsoft. Если нет доступа в Интернет, то MBSA будет использовать последнюю копию такой информации, которая была загружена из сети или скопирована на машину.
TanaT: Как работает MBSA? Я думаю, что он имеет базу знаний, где хранится вся информация об уязвимостях, сервис паках, заплатках и т. п. В начале MBSA подключается к этой базе и загружает данные. База MBSA (так же, как и антивирусная база) нуждается в регулярном обновлении. Я прав?
Майк Фэлэнд: Как я уже говорил, MBSA использует файлы, содержащие информацию о доступных патчах и об их установке. Microsoft обновляет эти файлы почти каждую неделю.
TanaT: Как вы думаете, почему Microsoft попросила именно Shavlik Technologies разработать MBSA?
Майк Фэлэнд: Shavlik Technologies уже доказала в своем продукте HFNetChk высокий уровень надежности своих технологий сканирования и совместимости. HFNetChk первоначально разрабатывался именно для Microsoft. Этот и другие корпоративные проекты между Shavlik и Microsoft укрепляют совместное сотрудничество.
Enterprise Inspector за сканированием
TanaT: Какая разница между MBSA и Enterprise Inspector?
Майк Фэлэнд: MBSA записывает результаты в XML-файлы на локальный жесткий диск. Вы их можете просмотреть и отсортировать так, как захотите, но проанализировать информацию о домене или всем предприятии не удастся. Также, результаты старой проверки можно очистить только вручную, удаляя XML-файлы.
Shavlik Technologies разработала MBSA конкретно для Microsoft. Enterprise Inspector - это расширенная версия MBSA, которую предлагает уже Shavlik, а не Microsoft. Архитектура клиент-сервер сделала Enterprise Inspector пригодным для работы с большими корпоративными сетями. Также, в Enterprise Inspector больше полностью автоматизированных функций, а создаваемые после проверки отчеты более подробны, чем аналогичные в MBSA.
Shavlik Enterprise Inspector включает также и базу данных для хранения и обработки результатов. Вы можете проверять любое число компьютеров (от нескольких штук до целых доменов и организаций), используя общую базу данных. Помимо простого сканирования на предмет недостающих патчей, Enterprise Inspector совершает несколько других проверок, таких как проверка конфигурации Internet Explorer, Windows Media Player и Office XP. Сервера, использующие IIS, SQL или Exchange, можно проверить на наличие заплаток и проинспектировать конфигурацию этих служб.
Shavlik Enterprise Inspector содержит инструменты для работы с отчетами. Эти инструменты могут создавать отчеты различных видов. Например, можно анализировать безопасность всего предприятия, создавать самые общие отчеты, а также столь подробные отчеты, что можно будет увидеть, какая конкретно машина подвержена какой уязвимости. Также, можно установить, чтобы Enterprise Inspector автоматически удалял старые результаты сканирования из базы данных. Все результаты сканирования и исследования помещаются в запасную базу данных SQL, чтобы можно было впоследствии использовать уже созданные отчеты или создать краткую сводку по вашему требованию.
Каждый отчет Enterprise Inspector содержит "оценку" по 100-бальной шкале, которая отражает общее состояние системы. Чем выше оценка, тем выше уровень безопасности. Оценка ниже 50 говорит о значительной опасности. Многие отчеты содержат общую информацию, показывающую состояние защиты системы за определенный промежуток времени - улучшилось ли оно, ухудшилось или не поменялось.
Инструмент автономного создания отчетов в Enterprise Inspector предоставляет 10 предопределенных, но отлично настраиваемых отчетов. Вот они:
Полный отчет: Как любой хороший отчет, он начинается с красочного графика, на котором изображен обобщенный уровень риска для каждой инспектируемой категории. Другие графики проще, они выражают уровень риска численно для каждой категории или всей системы в целом.
Соответствие между администраторами и конкретным компьютером: Показывает тех администраторов, которые произвели сканирование данной системы.
Соответствие между компьютерами и конкретным администратором: Показывает все системы, которые подверглись сканированию со стороны конкретного администратора. Этот и предыдущий отчеты очень полезны для мониторинга автоматизации и производительности.
Список сканирований: Показывает список всех проведенных сканирований. Отчет может включать информацию о каком-то конкретном диапазоне IP-адресов, отсортирован по типам сканирования, администраторам, датам, доменам или самым "плохим" системам, согласно оценкам, которые выставил Enterprise Inspector.
Подробности о сканировании: Показывает подробности каждого сканирования и те моменты, на которые надо обратить внимание.
Машины с частичным сканированием: Показывает системы, в которых какие-то виды сканирования были отключены. Такие машины могут иметь искусственно завышенную оценку, так как при их сканировании учитываются уязвимости только проинспектированной части системы. Этот отчет выделяет такие системы и указывает на то, что они требуют дальнейшего анализа.
Общая сводка: Показывает машины, отсканированные по каждому домену и средний балл всех систем на данный период. Этот отчет удобен для долгосрочного анализа.
Конкретные особенности: Показывает каждую машину и списки всех выполненных сканирований, включая дату, средний балл и его изменение. Этот отчет полезен для более точного анализа каждой машины.
Соответствие между патчами и конкретным компьютером: Показывает каждую машину и патчи, которые необходимо установить.
Соответствие между компьютерами и определенным патчем: Показывает новые, еще не установленные патчи и машины, на которых они отстутствуют.
TanaT: Enterprise Inspector бесплатен, как и MBSA?
Майк Фэлэнд: Нет. Цена на Enterprise Inspector начинается с $1,199 для лицензии на 50 мест. На 1000 мест Enterprise Inspector стоит $11,299. Плата за ежегодное сопровождение составляет 25% прейскурантной цены.
Отчет, создаваемый Enterprise Inspector
TanaT: Расскажите об Office XP? Может ли он вызвать проблемы в безопасности?
Майк Фэлэнд: В плане уязвимости, такие приложения Microsoft, как Media Player или Office не отличаются от других. Например, любое приложение от любого производителя, которое не проверяет входящие параметры на корректность их длины и значения, может быть подвержено хакерским атакам. Если хакеру удастся использовать уязвимость такого приложения и выполнить свой код, то безопасность всей системы будет скомпрометирована.
TanaT: Вы не могли бы дать несколько рекомендаций администраторам о том, как более эффективно использовать MBSA и EnterpriseInspector.
Майк Фэлэнд: Вот несколько общих рекомендаций, хотя в каждом конкретном случае могут быть свои особенности.
Выделите небольшой набор компьютеров на вашем предприятии. Установите на них новые патчи, исправляющие ошибки в системе безопасности. Перед подключением данного набора компьютеров к общей сети, убедитесь, что все патчи установлены корректно и стабильность работы корпоративных приложений не нарушена. Такие инструменты, как Shavlik HFNetChkPro могут упростить эти процессы.
Перед тем, как установить те или иные патчи на конкретную машину, следует установить самый последний патч на машины из вашей тестовой группы. Только проверив патч таким образом, устанавливайте его на другие компьютеры.
Регулярно сканируйте машины вашего предприятия. Новые security-патчи выпускаются очень часто. Если у вас не будет четкой стратегии управления ними, новые приложения и сервисы смогут легко скомпрометировать конфигурацию ваших систем. Shavlik Enterprise Inspector и Shavlik HFNetChkPro позволяют автоматизировать и упростить процесс управления патчами.
Проверяйте почаще сайт Microsoft, чтобы вовремя отследить новые уязвимости. Подпишитесь на рассылку, чтобы получать уведомления по e-mail о новых патчах. Внедряйте пачти сразу же после того, как убедитесь, что они безопасны, на своих тестовых машинах. База данных Shavlik содержит информацию о самых новых security-патчах, она обновляется каждый час. Используйте HFNetChkPro и вы сможете, всего лишь несколькими кликами мышки, установить новые патчи там, где захотите. Хакеры не успеют даже эксплоит написать, а вы уже все залатаете.
TanaT: Спасибо за интервью.
На наши вопросы отвечает Владимир Мамыкин, менеджер по системам безопасности продуктов Microsoft.
TanaT: Это стандартная практика в Microsoft - заказывать программное обеспечение у сторонних разработчиков типа Shavlik Technologies? Почему Microsoft не обошлась собственными силами?
Владимир Мамыкин: Заказ программного обеспечения у сторонних компаний не является стандартной практикой Microsoft. Однако, как и каждая успешная компания, Microsoft выбирает оптимальные способы получения максимального результата при минимальных затратах. В случае заказа разработки Microsoft Baseline Security Analyzer, по-видимому, было решено, что оптимально заказать ее у внешнего разработчика - компании Shavlik Technologies, чем делать ее самостоятельно. Во многом это было обусловлено и тем, что MBSA не является базовым продуктом, он обеспечивает дополнительные сервисные функции по мониторингу безопасности сети и рабочего места.
Приобретение в собственность или лицензирование сторонних продуктов является обычной практикой для многих компаний. Это связано с тем, что наш мир становится все более и более миром узких специалистов. Поэтому невозможно все делать одинаково хорошо. Например, используемый в продуктах Microsoft модуль правописания на русском языке был разработан сторонней российской компанией. В ISA Server используются средства обнаружения вторжений, лицензируемые у лидера таких продуктов компании ISS. Мы сами делаем только то, что по нашему мнению делаем лучше других. Такая специализация - только на пользу потребителям.
TanaT: MBSA является частью инициативы Trustworthy Computing?
Владимир Мамыкин: Да, MBSA является частью реализации стратегии построения защищенных информационных систем (Trustworthy Computing). Стратегия построения защищенных информационных систем состоит из обеспечения безопасности таких систем, обеспечения их надежности и обеспечения деловой добросовестности поставщика таких систем. Обеспечение безопасности в свою очередь состоит из построения безопасной архитектуры, обеспечения безопасных настроек систем по умолчанию, обеспечения безопасной каждодневной работы с системой, и из отлаженного взаимодействия с потребителями и партнерами. Так как MBSA обеспечивает ряд дополнительных функций по проверке безопасной конфигурации системы, то этот продукт является частью обеспечения безопасной работы с системой.
Отчет MBSA после сканирования моего домашнего компьютера в offline
TanaT: Как часто, на ваш взгляд, требуется производить проверку системы с помощью MBSA?
Владимир Мамыкин: Так как MBSA пользуется при своей работе постоянно обновляемой базой данных по выявленным уязвимостям, то продуктом надо пользоваться регулярно.
Для системного администратора сети использование MBSA должно производиться после изменения любых настроек в сети, включая добавление/удаление пользователей и изменения их ролей. Необходимо использовать MBSA после установки нового ПО и updates. Но раз в неделю мы рекомендуем запускать MBSA, даже если все параметры сети остались прежними - для проверки соответствия вашей сети безопасным параметрам в обновляемой базе данных.
Для частного пользователя рекомендации те же, за исключением того, что при неизменности настроек компьютера MBSA надо запускать раз в месяц.
TanaT: Вы можете дать какие-нибудь рекомендации по эффективному использованию MBSA?
Владимир Мамыкин: Рекомендации по частоте использования MBSA описаны в предыдущем пункте. Процедуры проверки подробно приведены у нас на сайте. Для более эффективного использования MBSA надо более тщательно настраивать саму систему под ваши нужды. Например, если вы в описании ролей обяжете использовать сложные пароли для входа в систему, то пользователи не смогут пользоваться простыми паролями, и MBSA будет выдавать сообщения, что с паролями все нормально. Но если вы разрешите пользователям использовать легкие для взлома пароли, то, не смотря на предупреждения MBSA о слабых паролях, нарушений в вашей системе с точки зрения вашей политики нет. Для повышения безопасности более тщательно определяйте роли пользователей, а MBSA будет следить за их выполнением.
TanaT: На ваш взгляд, MBSA рассчитан на использование администраторами серверов, или и домашние пользователи могут найти ему хорошее применение?
Владимир Мамыкин: Это очень хороший продукт для частных пользователей, особенно если они используют дома Интернет. Мы об этом уже говорили выше.
TanaT: Что планируется изменить или улучшить в будущих версиях MBSA?
Владимир Мамыкин: В настоящий момент MBSA имеет только англоязычный интерфейс. Со временем планируется сделать интерфейс мультиязычным.
Что касается потребительских качеств, то продукт развивается. Например, в новой версии V1.1.1 добавлена работа с Windows Server 2003.
TanaT: Спасибо, что согласились ответить на наши вопросы.
© 1998-2023 fcenter.ru | Россия
© 1998-2023 fcenter.ru | Россия
