17303

Засоби адаптивного управління інформаційною безпекою. Система виявлення уразливостей захисту

Лекция

Информатика, кибернетика и программирование

Лекція 13. Засоби адаптивного управління інформаційною безпекою. Система виявлення уразливостей захисту Основні рішення В умовах обмежених ресурсів використання засобів SAFEsuite є проблематичним ізза їх високої ціни. Основною задачею є пошук безкоштовних засобів адап...

Украинкский

2013-06-30

119.5 KB

1 чел.

Лекція 13. Засоби адаптивного управління інформаційною безпекою. Система виявлення уразливостей захисту

Основні рішення

В умовах обмежених ресурсів використання засобів SAFEsuite є проблематичним із-за їх високої ціни.

Основною задачею є пошук безкоштовних засобів адаптивного управління інформаційною безпекою, їх одержання, настроювання та кофігурування.

В результаті пошуку  були знайдені наступні основні рішення:

  •  В якості системи виявлення уразливостей захисту пропонується використовувати безкоштовний продукт Microsoft Baseline Security Analyzer (MBSA);
  •  В якості системи виявлення порушень безпеки (атак) пропонується використовувати безкоштовний продукт Snort одноіменної корпорації;
  •  Адаптивний компонент забезпечується службою оновлень корпорації Microsoft.

Система виявлення уразливостей захисту - Microsoft Baseline Security Analyzer

Можливості MBSA

MBSA був розроблений для сканування комп'ютерів, що працюють під управлінням операційних систем MBSA може сканувати і  запускатися з  комп'ютерів, працюючих під управлінням Windows .NET Server.

Уразливості в  системі захисту ОС  Windows

Украй важливим елементом забезпечення безпечної роботи системи є наявність найсвіжіших оновлень (патчів) системи безпеки. Критично важливо знати, які патчі встановлені на  вашій системі, і, що ще більш важливо, яких немає. MBSA забезпечує подібну перевірку, звертаючись до  постійно поповнюваної Microsoft бази даних у  форматі XML, для чого використовується популярна програма «HFNetChk», випущена Microsoft  в  серпні 2001  року.

XML-файл містить інформацію про  оновлення, випущені для кожного з  продуктів Microsoft. Цей файл містить назву бюлетеня по  безпеці, заголовок і  докладну інформацію про  кожне оновлення, яка включає: назву файлів в  кожному оновленні, їх  версії і  контрольні суми; ключі реєстру, які використовуються при установці оновлень; інформацію про  заміну старих патчів новими; номери відповідної статі в  бази знань Microsoft і  т.ін.

XML-файл знаходиться на  сайті Microsoft Download Center в  компресованому вигляді (.cab-файл з  цифровим підписом). MBSA викачує .cab-файл, перевіряє підпис і потім декомпресує його на  локальний комп'ютер, з  якого MBSA запускається сам. Пам'ятайте, що .cab-файл, це звичайний компресований файл, такий  же, як і  файл з  розширенням .zip.   .CAB-файл має цифровий підпис корпорації Microsoft. MBSA перевіряє цифровий підпис, щоб точно ідентифікувати файл і  уникнути копіювання підробленого або зіпсованого файла. Правом цифрового підпису подібних файлів володіють лише вибрані співробітники Центру підтримки Microsoft по  інформаційній безпеці.

Після того, як .CAB-файл декомпресован, MBSA сканує комп'ютер (або вибрані комп'ютери) на  предмет визначення операційної системи, наборів оновлень і  використовуваних програм. Потім MBSA аналізує XML-файл і  визначає патчі системи безпеки, які доступні для встановленого ПО.

Для того щоб MBSA визначив, який патч інстальований на  сканованому комп'ютері, йому необхідно знати три пункти: ключ реєстру, версію файла і  контрольну суму для кожного файла, встановленого патчем.

В базовій конфігурації MBSA порівнює ці три пункти з  XML-файла з  відповідними даними на  комп'ютері, на  якому буде проводитися сканування. У  випадку якщо які-небудь дані на  комп'ютері не співпадуть з  відповідними пунктами в  XML-файлі, система визначить відповідний патч як відсутній, що буде негайно відображено в  звіті по  безпеці. Також в  даному звіті буде вказаний номер відповідної статті бази знань Microsoft.

Взагалі, MBSA сканує такі вразливі місця в  операційних системах сімейства Windows, як статус «гостьового» облікового запису, тип файлової системи, наявність файлів в  загальному доступі, число членів групи «Адміністратори» і  т.ін. Опис кожної перевірки операційної системи відображається в  звіті по  безпеці разом з  інструкцією по  усуненню знайдених уразливостей.

Перевірка оновлень системи безпеки

MBSA перевіряє не тільки оновлення системи безпеки Windows, але і  оновлення, пов'язані з  іншими продуктами. MBSA перевіряє наявність оновлень для наступних продуктів:

  •  Windows NT  4.0
  •  Windows 2000 /2003
  •  Windows XP і  більш пізні версії
  •  Всі системні сервіси, включаючи IIS 4.0 і  5.0
  •  SQL Server 7.0 і  2000  (включаючи Microsoft Data Engine)
  •  Internet Explorer 5.01 і  більш пізні версії.

Перевірка простих паролів

В процесі сканування, MBSA перевіряє комп'ютери на  предмет порожніх і  простих паролів. Програма перевіряє кожний комп'ютер на наявність будь-якої з  нижченаведених комбінацій:

  •  пароль порожній
  •  пароль = імені користувача (облікового запису користувача)
  •  пароль = імені комп'ютера
  •  пароль = «password»
  •  пароль = «admin»
  •  пароль = «Administrator».

MBSA намагається змінити пароль на  комп'ютері, що перевіряється, на  один з  вищезгаданих. У разі успіху програма показує, який з  перевірених паролів використовується на  комп'ютері. MBSA лише повідомляє про  те, що пароль дуже простий, але  у жодному випадку не видаляє і  не змінює існуючі паролі!

Час проведення даного тесту залежить від  числа користувачів на  комп'ютері, що перевіряється. Адміністратори системи можуть відключити даний тест перед скануванням контроллерів доменів власної мережі.

Перевірка Internet Information Server

Дана група тестів перевіряє такі уразливості в  IIS, як додатки-приклади і  віртуальні директорії, існуючі на  комп'ютері, що перевіряється. Програма також перевіряє виконання програми IIS Lockdown, яка допомагає Адміністратору конфігурувати свої IIS сервери і  забезпечувати їх  безпеку. Опис кожної перевірки IIS відображається в  звіті по  безпеці разом з  інструкціями по  виправленню знайдених уразливостей.

Перевірка Microsoft SQL Server

Дана група тестів перевіряє такі уразливості в  SQL Server, як спосіб авторизації, статус пароля системного адміністратора і  облікові записи обслуговування. Опис кожної перевірки відображається в  звіті по  безпеці разом з  інструкціями по  виправленню знайдених уразливостей.

Режими роботи

Окремий комп'ютер

В найпростішому випадку MBSA сканує окремий комп'ютер. При виборі комп'ютера для сканування (опція «сканування окремого комп'ютера») ви  можете ввести ім'я або IP-адресу сканованої машини. За умовчанням вибирається комп'ютер, з  якого запускається MBSA («самосканування»).

Декілька комп'ютерів

Для того щоб просканувати більше одного комп'ютера, необхідно вибрати опцію «сканування декількох комп'ютерів». При цьому ви  дістаєте можливість просканувати весь домен, вказавши доменне ім'я або, вказавши блок IP-адрес, протестувати всі комп'ютери з  ОС  Windows, що мають адреси у  вказаному блоку. У разі тестування домена або блоку IP-адрес, MBSA пінгує всі комп'ютери групи і  сканує тільки ті машини, що відповіли. Комп'ютери, що не відповіли, вказуються в  окремому списку.

Необхідність в  адміністраторському доступі

Для того щоб просканувати комп'ютер необхідно володіти правами адміністратора. У разі «самосканування», користувач, що запустив MBSA, повинен володіти правами адміністратора даного комп'ютера або входити до  групи адміністраторів системи. У разі сканування декількох комп'ютерів, ви  повинні володіти правами адміністратора на  кожну з  систем або правами адміністратора домена.

Проглядання звіту безпеки

Кожного разу при скануванні комп'ютера або групи комп'ютерів, для кожної машини генерується звіт по  безпеці, який зберігається на  комп'ютері, з  якого був запущений MBSA. Звіти зберігаються в  XML-форматі в  особистій директорії користувача, їх  місце знаходження указується зверху робочого екрану програми.

Ви можете сортувати звіти на ім'я комп'ютера, даті сканування, IP-адресі або рівню безпеки, що дозволяє спростити порівняння перевірок, зроблених системою за  вибраний період часу.

Опис перевірок уразливостей системи

Члени групи адміністраторів

Ця перевірка визначає і  виводить на  екран список користувачів, що належать до  групи адміністраторів комп'ютера. У  випадку якщо виявляється більше двох індивідуальних користувачів, що входять до  даної групи, програма указує їх  і  відзначає даний факт як потенційну уразливість в  системі захисту. Взагалі, рекомендується звести число користувачів з  правами адміністратора системи до  мінімуму, оскільки адміністратор за умовчанням володіє повним контролем над комп'ютером.

Аудит

Цей тест визначає, чи запущена  на  сканованому комп'ютері система аудиту. ОС  Microsoft Windows володіє можливістю аудиту, яка дозволяє відстежувати і  записувати ключові події, що відбуваються з  комп'ютером, такі як вдалі/не вдалі спроби входу в  систему. Моніторинг журналу подій системи допоможе у  виявленні потенційних уразливостей і  спроб проникнення.

Автоматичний вхід в  систему

Ця перевірка визначає, чи включений  на  сканованому комп'ютері режим автоматичного входу в  систему і  чи зберігається  при цьому пароль доступу в  незашифрованому вигляді або ж він  зашифрований в  реєстрі. У  випадку якщо режим автоматичного входу в  систему включений і  пароль збережений в  незашифрованому вигляді, даний факт відображається в  звіті по  безпеці як украй висока уразливість системи захисту. Якщо режим автоматичного входу в  систему включений і  пароль зашифрований в  реєстрі, звіт по  безпеці відзначає це як потенційний пролом в  захисті.

Режим автоматичного входу в  систему зберігає ім'я користувача і  пароль в  реєстрі і  дозволяє вам автоматично входити в  операційну систему Windows 2000  або Windows NT, не вводячи імені і  пароля. Проте режим автоматичного входу в  систему дає іншим користувачам можливість доступу до  ваших файлів і  здійснення зловмисних дій з  системою (наприклад, будь-хто, що має фізичний доступ до  вашого комп'ютера може перезавантажити його і  автоматично увійти до  системи). Тому, якщо у  вас включений даний режим і  ви  не хочете від  нього відмовлятися, упевніться, що на  комп'ютері немає ніякої важливої інформації. Оскільки будь-хто, що має нагоду фізичного доступу до  вашого комп'ютера, може скористатися режимом автоматичного входу в  систему, бажано використовувати цю функцію виключно в  надійному і  безпечному середовищі.

Ви можете зберегти пароль, який використовується для автоматичного входу в  систему в  реєстрі в  незашифрованому вигляді або ж зашифрувати його за допомогою LSA (Local Security Authority).

Перевірка непотрібних сервісів

Цей тест перевіряє наявність на  комп'ютері запущених сервісних програм із  списку services.txt. У  файлі services.txt міститься список програм, які не повинні бути запущені на  сканованому комп'ютері. Файл services.txt інсталюється MBSA і  зберігається в  інсталяційній теці програми. Користувач програми може самостійно додати в  список services.txt додаткові програми для сканування. За умовчанням файл містить наступні сервісні програми:

В Microsoft Windows  сервісною програмою називається програма, яка виконується на  комп'ютері з  працюючою операційною системою без необхідності запуску її  користувачем (у ряді випадків користувачу навіть немає необхідності входити в  систему). Ці програми необхідні для виконання незалежних від  користувача програм, наприклад, програми прийому факсів, що знаходяться в  режимі очікування вхідних повідомлень.

Контроллер домену

Цей тест визначає, чи виступає  сканований комп'ютер в ролі контролера домену.

Для доменів Windows контролером домену називається комп'ютер, який авторизує входи в  домен, управляє політикою безпеки домену і  основною базою даних облікових записів користувачів домену. Контролери домену управляють доступом користувачів в  домен, що включає вхід користувачів в  домен, їх  авторизацію, доступ до  загальних тек і  ресурсів. Також в  контролерах доменів зберігаються всі дані облікових записів користувачів, включаючи облікові записи адміністраторів. Контролери доменів повинні забезпечувати високий рівень захисту для всіх ключових ресурсів. Якщо ви  дійсно упевнені, що комп'ютер, що тестується, повинен виступати в ролі контролера домену, вам необхідно прийняти необхідні кроки для забезпечення безпечного доступу до  даної машини.

Файлова система

Цей тест перевіряє файлову систему, встановлену на  кожному жорсткому диску, щоб упевнитися, що на  комп'ютері використовується система NTFS. Файлова система NTFS володіє високим рівнем безпеки, який дозволяє вам контролювати і  обмежувати доступ до  файлів і  директорій. Наприклад, зробивши необхідні записи в  листах контролю доступу (Access Control Lists, ACLs) ви  можете дозволити своїм колегам бачити файли на  вашому комп'ютері, але  не змінювати їх.

Увага: Для проходження даного тесту диск повинен бути доступний для адміністраторів.

Гостьовий доступ

Цей тест визначає, чи включений  на  сканованому комп'ютері режим гостьового доступу.

Гостьовий доступ в  операційних системах Windows служить для входу користувачів в  систему у випадку, якщо користувач не має власного профайлу на  комп'ютері, домені або в  доменах, з  яких дозволений доступ до  даного комп'ютера.

MSADC і  віртуальні директорії в  IIS

Ця перевірка визначає, чи існують  на  сканованому комп'ютері з  Internet Information Services (IIS) такі сервіси, як MSADC (sample data access scripts) і  віртуальні директорії, що містять скріпти (Scripts virtual directories). Якщо дані скріпти не є необхідними для роботи системи, вони повинні бути видалені, щоб зменшити можливість атак на  комп'ютер.

Програма IIS Lockdown відключає зайві сервіси в  IIS і  цим зменшує уразливість системи.

Віртуальна директорія IISADMPWD

Цей тест визначає, чи існує  на  сканованому комп'ютері директорія IISADMPWD. IIS 4.0  дає можливість користувачам змінювати їх  паролі в  ОС  Windows і  повідомляє користувачів про  закінчення терміну дії паролів. Віртуальна директорія IISADMPWD, яка інсталюється за умовчанням в  IIS 4.0  як частина веб-сайту, містить файли, що використовуються для даної функції. Функція виконується набором .htr-файлів з  директорії \System32\Inetsrv\Iisadmpwd і  ISAPI-розширенням Ism.dll.

Функціонування IIS на  контролері домену

Цей тест визначає, чи є  комп'ютер із  запущеними Internet Information Services (IIS) контролером домену. У  випадку якщо це так і  комп'ютер не виступає в ролі серверу для малого бізнесу (Small Business Server), звіт по  безпеці відзначає даний факт як украй небезпечну уразливість.

Рекомендується ніколи не запускати IIS сервер на  контролері домену. Контролери доменів містять дуже важливу інформацію (таку, як облікові записи користувачів) і  не повинні суміщати декілька функцій. Якщо ви  намагаєтеся використовувати контролер домену як web-сервер, ви  збільшуєте складність захисту системи і  підвищуєте її  уразливість.

Сервісна програма IIS Lockdown

Ця перевірка визначає виконання на  сканованому комп'ютері сервісу IIS Lockdown версії 2.1  (сервіс IIS Lockdown є частиною набору рішень Microsoft по  безпеці Microsoft Security Tool Kit). Програма IIS Lockdown відключає зайві сервіси IIS і  зменшує можливості для атаки системи.

Режим реєстрації інформації в  IIS

Цей тест визначає, чи запущений  режим реєстрації інформації в  Internet Information Services (IIS) і  чи використовується  при цьому формат W3C Extended Log File Format.

Функція реєстрації інформації в  IIS має набагато більше нагоди, ніж сервіси запису службової інформації і  моніторингу продуктивності в  Windows. Звіти можуть містити дані про  те, хто і  коли відвідував ваш сайт, яку інформацію проглядав. Ви  можете відстежувати як успішні, так і  безуспішні спроби доступу користувачів до  сайту, директоріям, файлам, їх  дії над файлами, запис нової інформації у  файли. Сервіс реєстрації інформації може бути запущений для будь-якого сайту, віртуальної директорії або окремого файлу. За допомогою нього ви  зможете визначити ті  місця на  сервері або сайті, які схильні до більшого ризику нападу або ж мають інші проблеми з  безпекою. Для кожного окремого web-сайту можна вибрати свій власний формат надання звітності. За умовчанням, у разі використовування даного сервісу, режим реєстрації інформації включається для всіх директорій сайту, проте список директорій, що перевіряються, можна настроїти вручну.

Шляхи доступу до  директорій в  IIS

Цей тест визначає, чи включена  на  сканованому комп'ютері функція ASPEnableParentPaths. Завдяки цій функції в  IIS, ASP (Active Server Pages) сторінки можуть мати доступ в  кореневий каталог своєї директорії без вказівки всього шляху.

Додатки-приклади в  IIS

Цей тест перевіряє наявність на  комп'ютері з  IIS наступних директорій, що містять файли-приклади:

\Inetpub\iissamples

\Winnt\help\iishelp

\Program Files\common files\system\msadc

Звичайно додатки-приклади інсталюються спільно з  IIS для ілюстрації прикладів роботи динамічного HTML (DHTML) і  ASP-скриптів, а також для надання онлайнової документації.

Зони безпеки в  оглядачі Internet Explorer

Цей тест перераховує існуючі установки по  безпеці для зон оглядача Internet Explorer і  вносить рекомендації по  їх  зміні для кожного користувача на  сканованому комп'ютері.

Користувач може виставити вручну набагато більш безпечні установки для зон, ніж рекомендовані MBSA. У  випадку якщо програма повідомляє про  знайдені призначені для користувача настройки, вона не може визначити, чи є  вони більш менш безпечними, ніж що рекомендуються.

Функція зон інтернету оглядача Microsoft Internet Explorer розділяє інтернет і  інтранет на  зони з  різним рівнем безпеки. Це дає вам можливість використовуючи загальні установки оглядача одержувати всю інформацію з  довірених веб-сайтів або ж заборонити виконання ряду додатків (наприклад, Java-аплетів або ActiveX®-элементов) з  неперевірених сайтів.

Оглядач Internet Explorer за умовчанням має чотири зони: «інтернет», «місцева інтрамережа», «надійні вузли» (сайти) і  «обмежені вузли» (сайти). В  діалоговому вікні «Властивості оглядача» (Internet Options) ви  можете зробити настройки для кожної зони і, залежно від  рівня довір'я, додати і  видалити сайти в  кожну із  зон (за винятком зони «інтернет»). Установки для зон також можуть виконати адміністратори системи. Крім того адміністратори можуть додати або видалити сертифікати видавців програмного забезпечення, яким вони довіряють (або не довіряють) і  звільнити користувачів в  їх  повсякденному житті від  необхідності ухвалення рішень по  інформаційній безпеці.

Для кожної зони ви  можете вибрати «високий», «середній» і  «низький» рівень безпеки або ж зробити власні призначені для користувача установки. Microsoft рекомендує встановити «високий» рівень безпеки для сайтів в  зоні з  невизначеною надійністю. Призначені для користувача настройки дають досвідченим користувачам і  адміністраторам більший контроль над такими функціями безпеки, як:

  •  Доступ до  файлів, елементів і  скриптів ActiveX.
  •  Рівень продуктивності Java-аплетів.
  •  Використовування для ідентифікації протоколу Secure Socket Layer (SSL).
  •  Авторизація за допомогою NTLM  — залежно від  зони, до  якої відноситься сервер, Internet Explorer може посилати пароль автоматично, запрошувати користувача про  введення імені і  пароля або ж просто заборонити запити на  авторизацію, що поступають з  серверу.

Паролі локальних облікових записів

Ця перевірка визначає облікові записи локальних користувачів, які використовують порожні або прості паролі. Даний тест не проводиться на  комп'ютерах, виступаючих в ролі контролерів домену. Як обов'язкової міри безпеки, операційні системи Windows  вимагають від  користувачів авторизації шляхом введення паролів. Проте безпека будь-якої системи залежить не тільки від  технології, але і  від  способу, яким управляється і  настроюється система. Даний тест сканує всі облікові записи користувачів даного комп'ютера і  перевіряє їх  на  предмет використовування наступних паролів:

  •  Пароль порожній
  •  Пароль співпадає з  ім'ям облікового запису користувача
  •  Пароль співпадає з  ім'ям комп'ютера
  •  Паролем служить слово «password»
  •  Паролем служать слова «admin» або «administrator»

Крім того, тест виводить повідомлення про  заблоковані облікові записи і  про  тих користувачів, яким надалі закритий доступ в  систему.

Користувачі, що мають ролі Sysadmin

Цей тест визначає і  відображає в  звіті по  безпеці число користувачів, що мають ролі Sysadmin.

В продукті Microsoft SQL Server поняття ролі (role) використовуються для групи логінів (logins), які мають однакові права на  виконання дій. Фіксована роль Sysadmin дає права системного адміністратора всім членам цієї групи.

Захист від  макросів в  Microsoft Office

Цей тест визначає рівень безпеки, що використовується для захисту від  макросів в  Microsoft Office. MBSA перевіряє такі складові компоненти Microsoft Office, як PowerPoint, Word, Excel і  Outlook.

Макроси є задачами, що автоматично повторюються, які економлять час користувача при роботі. Проте макроси також можуть використовуватися для перенесення вірусів у випадку, якщо користувач відкрив документ, що містить макрос від  зловмисника. Робота і  обмін зараженими документами можуть дозволити макросу-шкіднику розповсюдитися як в  інші документи на  комп'ютері користувача, так і  на  всі комп'ютери локальної мережі.

Зони безпеки Outlook

Цей тест визначає рівень безпеки для наступних зон в  Microsoft Outlook:

  •  Місцева інтрамережа
  •  Надійні вузли (сайти)
  •  Обмежені вузли (сайти)
  •  Інтернет

Більшість програм електронної пошти дозволяють користувачам включати в  свої повідомлення дані у  форматі HTML (наприклад, веб-сторінки). Хоча ця можливість украй зручна для роботи, вона може виявитися помітним проломом в  захисті системи. Outlook дозволяє користувачу настроїти рівень безпеки так, щоб захистити свою систему від  будь-яких руйнівних скриптів, які можуть бути включені у  веб-сторінки, що присилаються.

Терміни дії паролів

Цей тест визначає наявність в  системі облікових записів користувачів, які мають паролі без обмеження терміну дії. В цілях підвищення безпеки системи рекомендується регулярно змінювати наявні паролі, з цієї причини в  звіті по  безпеці MBSA відображається кожний обліковий запис з  паролем без обмеження терміну дії.

Обмеження анонімних користувачів

Цей тест визначає, чи використовується  ключ реєстру RestrictAnonymous для обмеження анонімних під'єднувань до  сканованого комп'ютера.

Анонімні користувачі можуть проглядати певний набір системної інформації, включаючи імена і  описи існуючих користувачів, політики доступу і  загальні імена. Для підвищення безпеки системи рекомендується обмежити дану функцію і  закрити анонімним користувачам доступ до  істотної інформації.

Обмеження прав на  виконання сервісу CmdExec

Даний тест перевіряє наявність прав на  виконання сервісу CmdExec виключно в  системного адміністратора. В  звіті по  безпеці наголошуються всі інші облікові записи, яким дозволено виконання даного сервісу.

Сервіс SQL Server Agent працює в  операційних системах Windows. Він  запускає завдання, відстежує і  повідомляє про  роботу SQL Server. За допомогою SQL Server Agent ви  можете автоматизувати певні задачі по  адмініструванню, використовуючи сценарії виконання завдань (де під завданням розуміється певний набір дій, послідовно виконуваних сервісом SQL Server Agent). Ці дії можуть носити самий різний характер: запуск сценаріїв Transact-SQL, додатків командного рядка, сценаріїв Microsoft ActiveX. Завдання можуть використовуватися для запуску програм, що часто повторюються, або програм, що підкоряються чіткому розкладу, і  автоматично видавати повідомлення користувачам про  стан виконуваних програм.

Набори для оновлення (service packs) і  оновлення (hotfixes)

Набори для оновлення (service packs), це ретельно протестовані набори оновлень, випущені на підставі аналізу проблем, що виникли в  користувачів з  тією або іншою розробкою Microsoft. Як правило, вони виправляють невідповідності, виявлені в  продукті з моменту його запуску в  широкий продаж. Набори для оновлення кумулятивні  — в  доповненні до  нових виправлень, кожний подальший набір містить в  собі попередній. Набори забезпечують сумісність продуктів з  новими версіями драйверів і  програмного забезпечення і  виправляють проблеми, виявлені в процесі експлуатації або додаткового тестування.

У свою чергу оновленням (hotfix) називається оперативне виправлення певного дефекту або уразливості в  системі захисту. Розрізнені оновлення включаються потім у  видавані набори для оновлень. Кожному оновленню в  системі безпеки, знайденому MBSA, ставиться у  відповідність відповідний випуск бюлетеня по  безпеці Microsoft, в  якому міститься розгорнена інформація про  дане оновлення. В результаті перевірки виявляються оновлення, для яких видаються посилання на  відповідні бюлетені по  безпеці Microsoft.

Для успішного проходження даного тесту, MBSA необхідно отримати інформацію з  бази даних, що знаходиться на  сайті Microsoft.com. У  випадку якщо програмі не вдалося отримати дані з  сайту Microsoft.com, програма використовує базу, що зберігається на  локальному комп'ютері.

Спільно використовувані ресурси

Цей тест визначає наявність на  сканованому комп'ютері будь-яких директорій, відкритих для загального доступу. Тест видає список всіх загальних ресурсів, які є на  комп'ютері, відповідно до  дозволів по  рівню користування загальними ресурсами і  дозволами, вказаними для файлової системи NTFS.

Ви можете відключити можливість сумісного доступу до  зайвих ресурсів або ж забезпечити їх, обмеживши, за допомогою відповідних дозволів, коло користувачів.

Паролі локальних облікових записів SQL Server

Ця перевірка визначає всі локальні облікові записи SQL Server, що використовують прості і  порожні паролі. Тест сканує всі облікові записи і  перевіряє наявність наступних паролів:

  •  Пароль порожній
  •  Пароль співпадає з  ім'ям облікового запису користувача
  •  Пароль співпадає з  ім'ям комп'ютера
  •  Паролем служить слово «password»
  •  Паролем служить поєднання «sa»
  •  Паролем служать слова «admin» або «administrator»

Крім того, тест виводить повідомлення про  заблоковані облікові записи і  про  тих користувачів, яким надалі закритий доступ в  систему.

Способи авторизації SQL Server

Цей тест визначає спосіб, використовуваний для авторизації в  SQL Server.

Microsoft SQL Server надає два способи безпечного доступу до  інформації: за допомогою авторизації операційною системою Windows (Windows Authentication Mode) і  за допомогою змішаної авторизації (Mixed Mode).

В першому випадку Microsoft SQL Server залежить виключно від  авторизації користувача ОС  Windows  — доступ до  SQL Server дістають тільки користувачі або групи користувачів, авторизованих операційною системою. В  другому випадку користувачі можуть бути авторизовані як Windows, так і  безпосередньо SQL Server. Користувачі, авторизовані SQL Server одержують імена і  паролі, які зберігаються безпосередньо усередині SQL Server. Microsoft настійно рекомендує завжди використовувати режим авторизації операційною системою Windows.

Режим авторизації ОС  Windows (Windows Authentication Mode)

В даному режимі безпеки SQL Server, також як і  будь-який інший додаток, довіряє авторизацію користувачів безпосередньо Windows. З'єднання, що проходять з  сервером в  даному режимі, називаються «надійними з'єднаннями» (trusted connections).

У разі використовування режиму авторизації операційною системою, адміністратор бази даних надає користувачам право входу на  комп'ютер з  працюючим SQL Server. Авторизовані користувачі відстежуються операційною системою за допомогою кодів безпеки Windows (SIDs). Використовуючи коди безпеки Windows, адміністратор бази даних може надавати доступ до  серверу безпосередньо користувачам або групам користувачів Windows.

Режим змішаної авторизації (Mixed Mode)

В даному режимі SQL Server покладається на  авторизацію користувача операційною системою лише у разі, коли і  клієнт і  сервер використовують протоколи авторизації NTML або Kerberos. Якщо яка-небудь із  сторін не підтримує жоден з  цих протоколів, SQL Server вимагає введення імені користувача і  пароля і  порівнює отриману інформацію з  тією, що зберігається в  його системних таблицях. З'єднання, які залежать від  введення імені користувача і  пароля, називаються «ненадійними з'єднаннями» (non-trusted connections).

Режим змішаної авторизації доданий в  SQL Server із  двох причин:

1) для зворотної сумісності з  ранніми версіями SQL Server;

2) для забезпечення нормальної роботи у разі, коли SQL Server працює на  комп'ютерах з  операційними системами Windows 95  або Windows 98  («надійні з'єднання» не підтримуються серверами, працюючими під управлінням цих операційних систем).

SQL Server BUILTIN\Administrators в ролі бази даних Sysadmin

Цей тест перевіряє наявність вбудованої групи адміністраторів, що мають роль бази даних Sysadmin.

В SQL Server роллю бази даних називається захищений обліковий запис, що є набором інших облікових записів. Цей обліковий запис розглядається як окрема одиниця для встановлення дозволів. Роль може містити в  собі набір дозволів на  вхід в  SQL Server, набір інших ролей, а також облікові записи користувачів Windows (як груп, так і  окремих користувачів).

Область дії ролей, заведених сервером за умовчанням, розповсюджується на  весь сервер і  виходить за  рамки окремої бази даних. Кожний член подібної групи може додати будь-який інший обліковий запис до  своєї ролі. Всі члени групи Windows BUILTIN\Administrators (групи локальних адміністраторів комп'ютера) за умовчанням входять в  роль sysadmin, що дає їм  повний доступ до  всіх баз даних, що зберігаються на  сервері.

Доступ до  директорій SQL Server

Цей тест перевіряє те, що доступ до  директорій SQL Server відкритий тільки для локальних адміністраторів і  облікових записів сервісних служб SQL.

MBSA перевіряє список контролю доступу (ACL) кожну з  цих директорій і  перераховує користувачів, що містяться у  відповідних списках контролю. В  звіті по  безпеці наголошується будь-який користувач, що не входить до  дозволеної групи і  має права читання або зміни цих директорій. Дане порушення наголошується як уразливість в  системі захисту.

Незахищеність пароля облікового запису системного адміністратора SQL  Server

В рамках даної перевірки виявляється зберігання пароля облікового запису системного адміністратора SQL Server у вигляді незашифрованого тексту у  файлах %temp%\sqlstp.log і  %temp%\setup.iss.

У випадку якщо для установки пакетів оновлень SQL Server 7.0  використовується режим SQL Server Authentication, під назвою Standard Security, пароль системного адміністратора зберігається у вигляді незашифрованого тексту у  файлах Setup.iss директорії %winnt% і  Sqlstp.log тимчасової директорії.

Гостьовий обліковий запис SQL Server

Цей тест визначає, до  яких баз даних (виключаючи головну базу даних, а також бази даних tempdb і  msdb) мають доступ користувачі з  обліковим записом Гість (Guest). В  звіті по  безпеці перераховуються всі бази даних, до  яких мають доступ користувачі з  подібним обліковим записом.

В SQL Server обліковий запис користувача повинен бути авторизований для доступу до  бази даних і  об'єктів, що містяться в  ній одним з  наступних способів:

  •  Обліковий запис для входу в  систему може бути заданий як користувач бази даних.
  •  Обліковий запис для входу в  систему може використовувати гостьовий вхід в  базу даних.
  •  Група користувачів Windows може відповідати ролі в  базі даних. У такому разі облікові записи з  цієї групи можуть зв'язуватися з  базою даних.

Члени ролей бази даних db owner і  db accessadmin, а також члени ролі Sysadmin створюють ролі облікових записів користувачів бази даних. Обліковий запис може включати такі параметри, як: визначник входу в  SQL Server, ім'я користувача бази даних, до  одного імені ролі. Ім'я користувача бази даних не обов'язково співпадає з  вхідним визначником (logon ID) користувача  — збіг відбувається тільки у випадку, якщо ім'я користувача бази даних не надається із самого початку. Після створення користувача бази даних, йому може бути привласнено стільки ролей, скільки необхідно. Якщо ім'я ролі не надається, користувач бази даних є виключно членом загальної ролі бази даних.

Функціонування SQL Server на  контролері домену

Цей тест визначає, чи є  комп'ютер із  запущеним SQL Server контролером домену. Рекомендується ніколи не запускати SQL Server на  контролері домену. Контролери доменів містять дуже важливу інформацію (таку, як облікові записи користувачів) і  не повинні суміщати декілька функцій. Якщо ви  намагаєтеся використовувати контролер домену як SQL Server, ви  збільшуєте складність захисту системи і  підвищуєте її  уразливість.

Безпека ключів реєстру SQL Server

Цей тест перевіряє, що група «Користувачі» (Everyone) має права тільки на  читання наступних ключів реєстру:

  •  HKLM\Software\Microsoft\Microsoft SQL Server
  •  HKLM\Software\Microsoft\MSSQLServer

У випадку якщо група «Користувачі» має інші права на  вказані ключі реєстру, даний факт наголошується в  звіті безпеки як украй небезпечна уразливість.

Облікові записи обслуговування SQL Server

Цей тест визначає, чи є  облікові записи обслуговування SQL Server членами локальної групи адміністраторів (групи адміністраторів домену) або ж ці облікові записи виконуються в  контексті безпеки LocalSystem.

На сканованому комп'ютері перевіряються облікові записи обслуговування MSSQLServer і  SQLServerAgent.


 

А также другие работы, которые могут Вас заинтересовать

67080. Конспект уроку з міжпредметними зв’язками (Я і Україна, рідна мова) «У царстві тварин» 170 KB
  Мета: ознайомити учнів з різноманітним світом тварин; формувати поняття комахи птахи звірі навчати їх розпізнавати за істотними зовнішніми ознаками; розвивати логічне мислення через завдання на порівняння доведення вилучення зайвого встановлення взаємозв’язку між рослинами і тваринами між самими тваринами...
67081. Зима щедра святами. Інтегрований урок з курсу «Я і України» та позакласного читання 98 KB
  Сьогодні ми з вами більш детальніше зупинимося на дні Святого Миколая, Новому році та Різдві Христовому. У кожного з вас є картка із зображенням або ялинкових прикрас, або зірочок, або чобітків. Я пропоную вам пересісти за той стіл, де назва свята пов'язана, на вашу думку, із зображенням на картці.
67082. Я і Україна та математика. У царстві тварин 150.5 KB
  Продовжити знайомство учнів з різноманітним світом тварин; формувати поняття комахи птахи звірі навчати їх розпізнавати за істотними зовнішніми ознаками;продовжити формувати навички та вміння розпізнавати серед чотирикутників прямокутники розв'язування складених задач на знаходження невідомого доданку; знаходити значення буквених виразів...
67084. Різноманітність тваринного світу. Інтегрований урок (природознавство, математика, трудове навчання) 174.5 KB
  Учити розрізняти групи тварин: хребетні безхребетні; формувати вміння визначити істотні ознаки тварин. Закріплювати знання нумерації багатоцифрових чисел: читати записувати представляти число у вигляді суми розрядних доданків; удосконалювати обчислювальні навички вміння розв’язувати задачі та знаходження площі і периметру...
67085. Інтегрований урок мови й мовлення. «Мелодія осіннього саду» 45 KB
  Мета: закріплювати знання учнів з теми Речення та члени речення; розширювати узагальнювати знання учнів з теми Осінь; розвивати вміння добирати виразні мовні засоби для передання того що вразило уяву усно вміння висловлювати свої почуття збагачувати словниковий запас...
67086. Курс «Я і Україна. Природознавство». Південний берег Криму. Математика. Додавання та віднімання багатоцифрових чисел 70.5 KB
  Мета: курс « Я і Україна. Природознавство »: ознайомити дітей із розташуванням, кліматом, рослинним і тваринним світом Південного берегу Криму, представити Крим як всеукраїнську здравницю; розвивати усне мовлення, увагу, уяву; виховувати дбайливе ставлення до багатства природи України; математика: повторити прийоми додавання та віднімання багатоцифрових чисел...
67087. Счастливый случай интеллектуальная игра 55.5 KB
  За одну минуту каждая команда должна дать наибольшее количество ответов. команда у капусты лист у мандарина долька у чеснока зубок морской разбойник пират 1 4 часа 15 минут дерево у Лукоморья дуб зубной врач стоматолог рыбная похлебка уха сказочная обувь кота сапоги усатая рыба сом край воды...