21305

Системы анализа защищенности корпоративной сети (обнаружения уязвимостей) на примере продуктов: Microsoft Baseline Security Analyzer и XSpider

Лекция

Информатика, кибернетика и программирование

Лекция: Системы анализа защищенности корпоративной сети обнаружения уязвимостей на примере продуктов: Microsoft Baseline Security Analyzer и XSpider От эффективности защиты операционных систем напрямую зависит уровень безопасности сетевой инфраструктуры организации в целом. В данной лекции мы познакомимся с такими программными средствами для анализа защищенности ОС как Microsoft Baseline Security Analyzer и сканер безопасности XSpider 7. На этом занятии будут рассмотрены программные средства для анализа защищенности операционных систем...

Русский

2013-08-02

527.5 KB

23 чел.

6. Лекция: Системы анализа защищенности корпоративной сети (обнаружения уязвимостей) на примере продуктов: Microsoft Baseline Security Analyzer и XSpider

От эффективности защиты операционных систем напрямую зависит уровень безопасности сетевой инфраструктуры организации в целом. Системы анализа защищенности способны обнаруживать уязвимости в сетевой инфраструктуре, анализировать и выдавать рекомендации по их устранению, а также создавать различного рода отчеты. В данной лекции мы познакомимся с такими программными средствами для анализа защищенности ОС, как Microsoft Baseline Security Analyzer и сканер безопасности XSpider 7.0

Одними из главных элементов информационной безопасности сетевой инфраструктуры являются операционные системы компьютеров, так как в них аккумулируется подавляющая часть используемых механизмов защиты: средства разграничения доступа к ресурсам, аутентификация пользователей, аудит событий и др. От эффективности защиты операционных систем напрямую зависит уровень безопасности сетевой инфраструктуры организации в целом.

На этом занятии будут рассмотрены программные средства для анализа защищенности операционных систем Microsoft, такие как:

Microsoft Baseline Security Analyzer (MBSA);

Сканер безопасности XSpider 7.0 (производитель ООО "Позитив Технолоджиз", Россия).

Прежде всего Для выполнения лабораторных работ данного занятия необходимо иметь два компьютера (можно виртуальные машины). На одном компьютере под управлением ОС Windows XP Professional необходимо установить следующие программные продукты:

Microsoft Baseline Security Analyzer (MBSA);

XSpider 7.0;

Microsoft SQL Server 2000;

Программный комплекс Magnum v. 1.0.4, состоящий из следующих программ: сервер MySQL, Web-сервер Apache, среда разработки Web-приложений PHP.

Последние два программных продукта устанавливаются для обнаружения в них уязвимостей и не являются обязательными. На втором компьютере (сервере) под управлением ОС Windows 2003 Server необходимо добавить роли файлового сервера и WINS-сервера.

6.1. Принципы работы систем анализа защищенности

Для понимания принципов работы систем анализа защищенности необходимо обозначить некоторые термины и определения. Ключевое понятие данного занятия – это "уязвимость". Под уязвимостью защиты ОС понимается такое ее свойство (недостаток), которое может быть использовано злоумышленником для осуществления несанкционированного доступа (НСД) к информации. Системы анализа защищенности способны обнаруживать уязвимости в сетевой инфраструктуре, анализировать и выдавать рекомендации по их устранению, а также создавать различного рода отчеты. К типичным уязвимостям можно отнести:

отсутствие обновлений системы безопасности ОС;

неправильные настройки систем безопасности ОС;

несоответствующие пароли;

восприимчивость к проникновению из внешних систем;

программные закладки;

неправильные настройки системного и прикладного ПО, установленного на ОС.

Большинство систем анализа защищенности (XSpider, Internet Scanner, LanGuard, Nessus) обнаруживают уязвимости не только в операционных системах, но и в наиболее распространенном прикладном ПО. Существуют два основных подхода, при помощи которых системы анализа защищенности обнаруживают уязвимости: сканирование и зондирование [[48]]. Из-за первого подхода системы анализа защищенности еще называют "сканерами безопасности" или просто "сканерами".

При сканировании система анализа защищенности пытается определить наличие уязвимости по косвенным признакам, т.е. без фактического подтверждения ее наличия – это пассивный анализ. Данный подход является наиболее быстрым и простым в реализации. При зондировании система анализа защищенности имитирует ту атаку, которая использует проверяемую уязвимость, т.е. происходит активный анализ. Данный подход медленнее сканирования, но позволяет убедиться, присутствует или нет на анализируемом компьютере уязвимость.

На практике эти два подхода реализуются в сканерах безопасности через следующие методы проверки [[48]]:

Проверка заголовков (Banner check);

Активные зондирующие проверки (Active probing check);

Имитация атак (Exploit check).

Первый метод основан на подходе "сканирование" и позволяет делать вывод об уязвимостях, опираясь на информацию в заголовке ответа на запрос сканера безопасности. Примером такой проверки может быть анализ заголовков почтовой программы Sendmail, в результате которого можно узнать ее версию и сделать вывод о наличии в ней уязвимости.

Активные зондирующие проверки также основаны на подходе "сканирование". Данный метод сравнивает фрагменты сканируемого программного обеспечения с сигнатурой известной уязвимости, хранящейся в базе данных системы анализа защищенности. Разновидностями этого метода являются, например, проверки контрольных сумм или даты сканируемого программного обеспечения.

Метод имитации атак основан на использовании различных дефектов в программном обеспечении и реализует подход зондирования. Существуют уязвимости, которые не могут быть обнаружены без блокирования или нарушения функционирования сервисов операционной системы в процессе сканирования. При сканировании критичных серверов корпоративной сети нежелательно применение данного метода, т. к. он может вывести их из строя – и в таком случае сканер безопасности успешно реализует атаку "Denial of service" (отказ в обслуживании). Поэтому в большинстве систем анализа защищенности по умолчанию такие проверки, основанные на имитации атак, выключены. При их включении в процесс сканирования обычно выдается предупредительное сообщение (рис. 6.1).

Рис. 6.1.  Предупредительное сообщение сканера безопасности XSpider 7.0 о включении опасных проверок в процесс сканирования

6.2. Microsoft Baseline Security Analyzer

Microsoft Baseline Security Analyzer (MBSA) – свободно распространяемое средство анализа защищенности операционных систем Windows и ряда программных продуктов компании Microsoft (Internet Information Services, SQL Server, Internet Explorer и др.). Термин "Baseline" в названии MBSA следует понимать как некоторый эталонный уровень, при котором безопасность ОС можно считать удовлетворительной. MBSA позволяет сканировать компьютеры под управлением операционных систем Windows на предмет обнаружения основных уязвимостей и наличия рекомендованных к установке обновлений системы безопасности. Критически важно знать, какие обновления установлены, а какие еще следует установить на вашей ОС. MBSA обеспечивает подобную проверку, обращаясь к постоянно пополняемой Microsoft базе данных в формате XML, которая содержит информацию об обновлениях, выпущенных для каждого из программных продуктов Microsoft [[52]]. Работать с программой MBSA можно через графический интерфейс и командную строку. На данном занятии будет рассмотрен только первый вариант работы.

Интерфейс MBSA выполнен на основе браузера Internet Explorer. Главное окно программы разбито на две области (рис. 6.2). Так как сеанс работы с MBSA настраивается с помощью мастера, то в левой области представлены шаги мастера, а в правой – основное окно с описанием действий каждого шага.

Рис. 6.2.  Главное окно программы Microsoft Baseline Security Analyzer 2.0

На первом шаге "Welcome" необходимо выбрать одно из действий (см. рис. 6.2):

Сканировать данный компьютер (Scan a computer);

Сканировать несколько компьютеров (Scan more than one computer);

Просмотреть существующие отчеты, сделанные MBSA ранее (View existing security reports).

При первом запуске MBSA необходимо выбрать первый или второй вариант. На следующем шаге мастера в основном окне нужно задать параметры сканирования компьютера(ов) под управлением ОС Windows (рис. 6.3). Можно ввести имя или IP-адрес сканируемого компьютера (по умолчанию выбирается компьютер, на котором был запущен MBSA).

Пользователь, запустивший MBSA, должен обладать правами администратора данного компьютера или входить в группу администраторов системы. В случае сканирования нескольких компьютеров пользователь должен обладать правами администратора на каждом из компьютеров, а лучше – правами администратора домена.

Рис. 6.3.  Выбор компьютера и опций сканирования в программе MBSA 2.0

Выбрав компьютер(ы) для сканирования, необходимо задать опции сканирования:

проверка ОС Windows;

проверка паролей;

проверка служб IIS;

проверка сервера SQL;

проверка установленных обновлений безопасности.

Более подробную информацию о проверках MBSA можно получить на официальном сайте Microsoft [[45]]. Например, когда задана опция "проверка паролей", MBSA проверяет на компьютере учетные записи локальных пользователей, которые используют пустые или простые пароли (эта проверка не выполняется на серверах, выступающих в роли контроллеров домена) из следующих комбинаций:

пароль пустой;

пароль совпадает с именем учетной записи пользователя;

пароль совпадает с именем компьютера;

паролем служит слово "password";

паролем служат слова "admin" или "administrator".

Данная проверка также выводит сообщения о заблокированных учетных записях.

После того как все опции будут заданы, необходимо нажать на ссылку внизу "Start scan" (см. рис. 6.3). При первом сканировании MBSA необходимо подключение к Интернету, чтобы скачать с сайта Microsoft Download Center (http://www.microsoft.com/downloads) XML-файл, содержащий текущую справочную базу уязвимостей. MBSA сначала скачивает этот файл в архивированном cab-файле, затем, проверив его подпись, разархивирует его на компьютер, с которого будет запускаться.

Возможна также работа MBSA без подключения к Интернету в автономном режиме. Для этого нужно скачать выше описанный файл и разместить в соответствующем каталоге. Более подробную информацию об этой процедуре смотрите в Упражнении 1 Лабораторной работы № 1.

После того как cab-файл будет разархивирован, MBSA начнет сканировать заданный компьютер(ы) на предмет определения операционной системы, наборов обновлений и используемых программ. Затем MBSA анализирует XML-файл и определяет обновления системы безопасности, которые доступны для установленного ПО [[53]]. Для того чтобы MBSA определил, какое обновление установлено на сканируемом компьютере, ему необходимо знать три пункта: ключ реестра, версию файла и контрольную сумму для каждого файла, установленного с обновлением.

В случае если какие-либо данные на сканируемом компьютере не совпадут с соответствующими пунктами в XML-файле, MBSA определит соответствующее обновление как отсутствующее, что будет отражено в итоговом отчете.

После сканирования единственного компьютера MBSA автоматически запустит окно "View security report" и отобразит результаты сканирования. Если было выполнено сканирование нескольких компьютеров, то следует выбрать режим "Pick a security report to view", чтобы увидеть результаты сканирования. Создаваемый MBSA отчет разбивается на пять секций:

Security Update Scan Results,

Windows Scan Results,

Internet Information Services (IIS) Scan Results,

SQL Server Scan Results,

Desktop Application Scan Results.

Некоторые секции разбиваются еще на разделы, посвященные определенным проблемам безопасности компьютера, и предоставляют системную информацию по каждой из проверок, указанных в таблице 6.1. Описание каждой проверки операционной системы отражается в отчете вместе с инструкцией по устранению обнаруженных уязвимостей.

Таблица 6.1. Описание проверок, выполняемых MBSAПроверка Описание

Administrators Выводит список учетных записей локальных администраторов компьютера

Auditing Выводит настройки аудита на локальном компьютере

Autologon Проверяет, включена ли функция Autologon

Domain Controller Test Проверяет, не запущена ли служба IIS на контроллере домена (DC)

Exchange Server Security Updates Проверяет пропущенные исправления для системы безопасности Exchange Server

File System Проверяет тип файловой системы (например, NTFS)

Guest Account Проверяет, не активирована ли учетная запись Guest

IE Zones Выводит зоны безопасности IE для каждого пользователя

IIS Admin Virtual Directory Просматривает виртуальный каталог IISADMPWD

IIS Lockdown Tool Проверяет, проведена ли процедура защиты IIS Lockdown

IIS Logging Enabled Выдает рекомендации по журналированию сайтов HTTP и FTP

IIS Security Updates Проверяет пропущенные исправления для системы безопасности IIS

Local Account Password Test Проверяет наличие пустых или слабых паролей для локальных учетных записей

Macro Security Выводит установки для макросов Office по пользователям

Msadc and Scripts Virtual Directories Просматривает виртуальный каталог MSADC и Scripts

Outlook Zones Выводит зоны безопасности Outlook для каждого пользователя

Parent Paths Выводит информацию о наличии ссылок на каталоги верхнего уровня от Web-узлов или виртуальных каталогов

Password Expiration Выводит учетные записи с неограниченным сроком действия паролей, не перечисленные в NoExpireOk.txt

Restrict Anonymous Выводит настройки реестра, запрещающие анонимным пользователям просмотр списка учетных записей

Sample Applications Выводит установленные примеры приложений для IIS (например, Default Web Site, IISHelp)

Services Выводит список несущественных служб (например, FTP, SMTP, Telnet, WWW), которые могут ослабить безопасность

Shares Проверяет и выводит список общих ресурсов, а также их списки ACL

SQL Server Security Updates Проверяет пропущенные исправления для системы безопасности SQL Server

SQL: CmdExec role Проверяет ограничение на запуск CmdExec только для SysAdmin

SQL: Domain Controller Test Проверяет, не запущен ли SQL Server на DC

SQL: Exposed SQL Password Проверяет, не присутсвует ли пароль администратора (SA) в текством файле (например, setup.iss или sqlstp.log)

SQL: Folder Permissions Проверяет разрешения файлов в каталоге установки SQL Server

SQL: Guest Account Выводит базы данных с активной учетной записью гостя

SQL: Registry Permissions Проверяет разрешения реестра на разделы SQL Server

SQL: Service Accounts Проверяет членство в группах учетных записей SQL Server и SQL Server agent

SQL: SQL Account Password Test Проверяет на пустые или слабые пароли локальных учетных записей SQL

SQL: SQL Server Security Mode Проверяет, запущен SQL Server в режиме Windows Only или Mixed

SQL: SysAdmin Role Members Выводит членов роли SysAdmin

SQL: SysAdmins Выводит количество SysAdmins

Windows Media Player Security Updates Проверяет пропущенные исправления для системы безопасности WMP

Windows Security Updates Проверяет пропущенные исправления для системы безопасности Windows

Windows Version Выводит версию Windows

6.3. Сканер безопасности XSpider

В последнее время в России все большую популярность среди специалистов по защите информации набирает сканер безопасности XSpider версии 7.0, выпускаемый отечественной компанией Positive Technologies.

Есть ряд особенностей, которые дают преимущества сканеру XSpider как системе анализа защищенности над другими продуктами данного класса. Как подчеркивают сами разработчики, главная особенность XSpider 7 - это его сканирующее ядро, которое способно имитировать сценарий поведения потенциального злоумышленника. Также следует отметить мощную "интеллектуальную начинку" XSpider 7, которая реализуется во встроенных эвристических алгоритмах, позволяющих надежно идентифицировать еще не опубликованные новые уязвимости.

Надежные и исчерпывающие проверки XSpider 7 базируются, в частности, на следующих интеллектуальных подходах [[49]]:

полная идентификация сервисов на случайных портах;

эвристический метод определения типов и имен серверов (HTTP, FTP, SMTP, POP3, DNS, SSH) вне зависимости от их ответа на стандартные запросы;

обработка RPC-сервисов с их полной идентификацией;

проведение проверок на нестандартные DoS-атаки.

С момента выхода первой версии сканера XSpider прошло уже более 6 лет. Версия 7.0, с которой мы познакомимся на этом занятии, является коммерческой в отличие от предыдущих свободно распространяемых версий (6.5 и ранее). У компании Positive Technologies существует гибкая система лицензирования сканера XSider 7. Стоимость лицензии зависит от количества проверяемых IP-адресов, количества рабочих мест, с которых проводится сканирование, и срока действия подписки на обновления. Более подробную информацию по приобретению продукта можно получить на странице компании: http://www.ptsecurity.ru/xs7rates.asp.

Для изучения возможностей сканера XSider 7 достаточно приобрести версию XSpider 7 Professional Edition с числом сканируемых IP-адресов от 4 до 16. Устанавливается XSpider 7 на любую операционную систему Microsoft Windows в режиме мастера.

При запуске XSpider 7 на экран будет выведено главное окно программы (рис. 6.4), в котором отобразится информация о текущей версии сканера и лицензии.

Рис. 6.4.  Главное окно сканера XSpider 7.0, появляющееся при его запуске

В нижней части главного окна, в разделе "Документация" имеются ссылки на встроенные учебник и справочник по продукту XSpider. Данные разделы документации тоже можно отнести к важным преимуществам XSpider. Во-первых, учебник и справочник написаны на русском языке, что имеется далеко не во всех подобных системах. Во-вторых, автор учебника - директор по развитию Positive Technologies Евгений Киреев - изложил достаточно интересно и понятно весь материал, с расчетом на обычных пользователей-непрофессионалов в области информационной безопасности.

Далее, чтобы не дублировать содержимое встроенного учебника, будут изложены основные концепции, на которых базируется организация работы сканера безопасности XSpider 7.

XSpider 7 имеет многооконный интерфейс. Важно отметить, что каждое окно служит интерфейсом определенной задаче XSpider. Понятие "задача" является центральной концепцией сканера безопасности XSpider 7, она позволяет организовать и систематизировать процесс сканирования сети. Любое сканирование хостов всегда происходит в рамках определенной задачи, даже если для этого ничего специально не делалось: при первоначальном запуске XSpider всегда создается пустая задача.

Любая задача в XSpider определяется следующими атрибутами:

список проверяемых хостов (в задачу объединяют хосты, которые планируется проверять сходным образом);

журнал историй сканирований данной задачи;

профиль сканирования.

Задача может быть сохранена в виде файла (по умолчанию каталог Program Files\Positive Technologies\XSpider 7.0\Tasks), и первые два атрибута - список хостов и журнал истории сканирований - будут записаны в ее структуру данных.

Профиль сканирования - это еще одна концепция сканера XSpider, представляющая набор настроек, которые определяют параметры сканирования хостов. Профиль можно назначить задаче, как только она сформирована. Если этого не сделать, то будет использоваться профиль по умолчанию (Default - Стандартный). После установки сканера безопасности XSpider 7 пользователю доступны 14 базовых профилей (рис. 6.5). Важно понимать, что с профилями можно работать независимо от задач, их можно редактировать, создавать новые и сохранять в отдельные файлы (по умолчанию каталог Program Files\Positive Technologies\XSpider 7.0\Profiles). В задаче хранится ссылка только на тот профиль, из которого ей нужно брать параметры сканирования.

Рис. 6.5.  Базовые профили, доступные в XSPider 7.0

6.4. Лабораторная работа 1. Работа с Microsoft Baseline Security Analyzer 2.0

На этой лабораторной работе вы научитесь работать со средством анализа защищенности MBSA 2.0. Сначала вы выполните настройки на компьютере под управлением ОС Windows XP Professional, позволяющие работать MBSA без подключения к Интернету, а затем выполните сканирование и сгенерируете отчет о проделанной работе.

6.4.1. Упражнение 1. Подготовка компьютера под управлением ОС Windows XP Professional для работы MBSA в автономном режиме

Упражнение выполняется на виртуальной машине с ОС Windows XP Professional. Цель этого упражнения - обеспечить решение последующих задач по работе с MBSA 2.0 в автономном режиме, поэтому нам необходимо подключение к Интернету. Более подробную информацию о настройке MBSA в автономном режиме смотрите в источнике [[46]].

Запустите виртуальную машину с ОС Windows XP Professional.

Зарегистрируйтесь в системе как пользователь с правами администратора.

Запустите Internet Explorer и наберите следующий адрес в адресной строке: http://download.windowsupdate.com/v6/windowsupdate/redist/standalone/windowsupdateagent20-x86.exe.

Скачайте автономный установщик обновленного агента обновления Windows и установите его на компьютер с ОС Windows XP Professional.

Далее необходимо скачать базу уязвимостей Wsusscn2.cab, доступную по адресу: http://go.microsoft.com/fwlink/?LinkID=74689.

Сохраните скачанный файл в следующую папку: C:\Documents and Settings\<username>\Local Settings\Application Data\Microsoft\MBSA \2.0\ Cache\wsusscn2.cab. В указанном пути под папкой <username> имеется в виду имя папки, содержащей профиль пользователя с администраторскими правами, под которым вы зарегистрировались в системе.

Установите средство MBSA 2.0. Ссылки на текущие версии MBSA содержатся на странице: http://www.microsoft.com/technet/security/tools/mbsahome.mspx.

На рабочем столе должен появиться ярлык программы Microsoft Baseline Security Analyzer 2.0

6.4.2. Упражнение 2. Проверка локального компьютера с помощью MBSA 2.0

Упражнение выполняется на виртуальной машине с ОС Windows XP Professional.

Зарегистрируйтесь в системе как пользователь с правами администратора.

На рабочем столе щелкните дважды на ярлык программы MBSA 2.0.

MBSA запустится в графическом режиме в режиме мастера, и появится первое окно "Welcome to the Microsoft Baseline Security Analyzer". Нажмите на ссылку "Scan a computer".

Загрузится следующее окно мастера MBSA, где необходимо задать опции сканирования. По умолчанию в поле "Computer name" отобразится имя текущего компьютера, на котором вы запустили MBSA. В опциях сканирования снимите флажок "Check for IIS administrative vulnerabilities" (проверка служб IIS).

Нажмите ссылку внизу "Start scan".

Так как соединение с Интернетом отсутствует, то под индикатором процесса выполнения сканирования сначала появится надпись "Filed to download security update database". Через несколько секунд MBSA начнет процесс сканирования в автономном режиме, при этом изменится надпись "Curently scanning <Имя компьютера>".

После окончания сканирования загрузится отчет с результатами.

Внимательно изучите отчет.

6.5. Лабораторная работа 2. Работа с системой анализа защищенности XSpider 7.0.

На этой лабораторной работе вы научитесь работать с XSpider 7.0. Сначала вы создадите профиль для сканирования уязвимостей ОС Windows XP Professional, затем выполните сканирование и сгенерируете отчет о выполненной работе. Перед выполнением данной работы обязательно обновите базу уязвимостей XSpider 7.0.

6.5.1. Упражнение 1. Создание профиля для сканирования уязвимостей ОС Windows XP Professional

Упражнение выполняется на виртуальной машине с ОС Windows XP Professional с предустановленным ПО (см. п. "Прежде всего").

Запустите виртуальную машину с ОС Windows XP Professional.

Зарегистрируйтесь в системе как пользователь с правами администратора.

Запустите программу XSpider 7.0.

В меню "Профиль" выберите пункт "Редактировать текущий". Откроется окно для настройки профиля Default (базовый профиль).

Слева в дереве настроек выберите пункт "Сканер портов", и в правой области окна появятся соответствующие настройки. По умолчанию выбран файл портов default.prt.

Нажмите кнопку . Откроется окно со списком файлов портов.

В верхней части открывшегося окна на панели инструментов нажмите кнопку "Новый".

В появившемся окне оставьте вариант "Пустой файл" и нажмите кнопку "Выбрать".

Откроется окно "Новый файл портов". В области для комментария напишите "LabWork ports".

В нижней части окна в строке для ввода "Добавить порт(ы)" введите следующие значения портов: 80, 123, 135, 137, 139, 3306. После ввода каждого номера порта нажимайте кнопку справа "Добавить".

Нажмите кнопку "Сохранить как" и назовите файл LabWork.prt.

В окне со списком файлов портов выберите только что созданный файл портов.

Далее в дереве настроек выберите "Определение уязвимостей". В правой области настроек отметьте самый нижний флажок "проверять на новые Dos-атаки (эвристический метод)".

Найдите в дереве настроек пункт "Анализатор скриптов". Выбрав эту настройку, отметьте в ней флажок "Сложная проверка прикладных скриптов".

Далее нажмите кнопку "Сохранить как" и назовите файл LabWork.prf. Таким образом, вы создали профиль для последующего сканирования.

6.5.2. Упражнение 2. Поиск уязвимостей ОС Windows XP Professional

В этом упражнении с помощью XSpider 7.0 вы выполните сканирование хоста с ОС Windows XP Professional для обнаружения имеющихся уязвимостей.

Запустите программу XSpider 7.0.

Находясь на вкладке "Сканирование", добавьте хост для сканирования. Для этого в панели инструментов нажмите соответствующую графическую кнопку "Добавить хост".

В появившемся окне введите IP-адрес или DNS-имя компьютера, на котором вы работаете, например: Client01.

С помощью меню "Профиль" / "Выбрать существующий" откройте окно выбора профиля для сканирования.

Пользовательские профили отображаются синим цветом. Щелкните два раза левой кнопкой мыши на профиль LabWork.prf.

В панели инструментов нажмите соответствующую графическую кнопку "Начать сканирование выделенных хостов".

Появится окно с предупреждением об использовании проверок DoS-атаками. Нажмите кнопку "Продолжить".

Начнется процесс сканирования. В правой области главного окна программы XSpider 7.0 содержится информация о сканируемом хосте. Убедитесь, что имя хоста, полученное при обратном DNS-запросе, такое же, как вы указали на шаге 3 этого упражнения, а также, что в параметрах сканирования используется ваш профиль LabWork.prf.

Внизу в строке статуса синей полосой отображается степень общей завершенности процесса. Дождитесь окончания сканирования.

6.5.3. Упражнение 3. Просмотр и исправление обнаруженных уязвимостей

В этом упражнении вы просмотрите результаты сканирования хоста программой XSpider 7.0 и исправите некоторые обнаруженные уязвимости.

Перейдите на вкладку "Уязвимости" главного окна программы XSPider 7.0. Вы увидите, что по умолчанию обнаруженные уязвимости упорядочены по степени их опасности. Серьезные уязвимости находятся вверху списка (красные), предупреждения - внизу (зеленые). Рассмотрим и примем меры к устранению некоторых обнаруженных уязвимостей.

Нажмите на заголовок столбца "Порт", чтобы упорядочить соответствующим образом все найденные уязвимости. Рассмотрим уязвимости сервиса NetBIOS, который работает через порт 139 / TCP.

Найдите в списке уязвимость (оранжевая) "Неочищаемая виртуальная память". Щелкните два раза левой кнопкой мыши на нее.

Откроется окно с описанием уязвимости. Выполните действия по устранению данной уязвимости, описанные в области "Решение".

Повторите шаги 3, 4 для уязвимости "Слабое шифрование" (оранжевая) и "Scheduler Service" (зеленая).

Далее найдите в списке уязвимость (красная) "Обновления Windows". Щелкните по ней два раза левой кнопкой мыши.

Откроется окно с описанием уязвимости. Вы увидите список обновлений, которые следует установить на данный компьютер. Если какие-то обновления из списка вам доступны для установки, то выйдите из программы XSpider 7.0 и установите их.

После установки некоторых обновлений компьютер требует перезагрузки. Установив обновления, снова запустите программу XSpider 7.0.

Повторите операцию сканирования хоста с использованием профиля LabWork.prf.

Убедитесь, что исправленные вами уязвимости более не присутствуют в списке обнаруженных.

6.5.4. Упражнение 4. Сканирование удаленного хоста с ОС Windows 2003 Server

В этом упражнении с помощью XSpider 7.0 вы выполните сканирование удаленного хоста с ОС Windows 2003 Server для обнаружения имеющихся уязвимостей. Для выполнения данного упражнения необходим второй компьютер (виртуальная машина) с ОС Windows 2003 Server. Между компьютерами должно быть установлено сетевое подключение.

Включите компьютер с ОС Windows 2003 Server. Дождитесь его загрузки.

Перейдите на компьютер с ОС Windows XP Professional и убедитесь, что запущенный сервер доступен по сети (с помощью команды ping).

В программе XSpider 7.0 перейдите на вкладку "Сканирование" и добавьте новый хост для сканирования.

В появившемся окне введите IP-адрес или DNS-имя сервера, например Server01.

С помощью меню "Профиль" / "Выбрать существующий" откройте окно выбора профиля для сканирования.

Выберите профиль Default.

Убедитесь, что в дереве сканирования (левая область главного окна) курсор установлен на удаленном хосте, который вы добавили на шаге 4. В панели инструментов нажмите кнопку "Начать сканирование выделенных хостов".

Появится окно с предупреждением об использовании проверок DoS-атаками. Нажмите кнопку "Продолжить".

Начнется процесс сканирования.

Дождитесь окончания сканирования.

Перейдите на вкладку "Уязвимости" главного окна программы XSpider 7.0.

Нажмите на заголовок столбца "Хост", чтобы упорядочить соответствующим образом все найденные уязвимости. Обратите внимание, что количество уязвимостей, обнаруженных на удаленном хосте, значительно меньше, чем на том, где установлен сканер XSpider 7.0.

Найдите в списке уязвимость (красная) "Удаленное выполнение команд (ms04-012)" - порт 135/tcp, относящуюся к удаленному хосту. Щелкните два раза левой кнопкой мыши на нее. Откроется окно с описанием уязвимости. Для устранения этой уязвимости необходимо установить обновление ms04-012.mspx. Если обновление недоступно, то отключите службу DCOM на сервере. Для этого выполните следующие шаги с 14 по 19.

Зарегистрируйтесь на сервере под учетной записью администратора.

Выберите "Пуск" / "Администрирование" / "Службы компонентов". Откроется соответствующая консоль.

Убедитесь, что выделена оснастка "Служба компонентов", и нажмите кнопку "Настройка моего компьютера"  на панели инструментов.

В открывшемся окне "Мой компьютер" перейдите на вкладку "Свойства по умолчанию".

Снимите флажок "Разрешить использование DCOM на этом компьютере" и нажмите кнопку "OK".

Вернитесь на компьютер с Windows XP Professional к программе XSpider 7.0.

Найдите в списке уязвимость (красная) "Удаленное выполнение команд (ms04-045)" - порт 42/tcp, также относящуюся к удаленному хосту. Щелкните два раза левой кнопкой мыши на нее. Откроется окно с описанием уязвимости. Для устранения этой уязвимости необходимо установить обновление ms04-045.mspx. Если обновление недоступно, то остановите WINS-сервер. Для этого выполните следующие шаги с 21 по 23.

На сервере выберите "Пуск" / "Администрирование" / "WINS". Откроется соответствующая консоль.

В левом окне выберите ваш сервер WINS, например, Server01.

Выберите меню "Действие" / "Все задачи" / "Остановить".

Вернитесь на компьютер с Windows XP Professional к программе XSpider 7.0 и перейдите на вкладку "Сканирование".

Убедитесь, что в дереве сканирования выделен удаленный хост. Просканируйте его повторно. Для этого нажмите кнопку "Начать сканирование выделенных хостов".

После окончания сканирования перейдите на вкладку "Уязвимости" главного окна программы XSpider 7.0.

Убедитесь, что устраненные вами уязвимости на сервере отсутствуют в списке.

Не закрывайте окно программы XSpider 7.0.

6.5.5. Упражнение 5. Создание отчетов и расписаний сканирования.

В этом упражнении средствами программы XSpider 7.0 вы создадите отчет о результатах сканирования хостов, а также научитесь задавать расписание сканирования задач с помощью встроенной утилиты "Планировщик".

После выполнения Упражнения 4, у вас были просканированы два хоста: локальный и удаленный сервер.

В главном меню программы XSpider 7.0 выберите "Сервис" / "Создать отчет".

Откроется первое окно диалога мастера создания отчета. Выберите степень детализации "Для системного администратора" и нажмите кнопку "Далее".

На следующем шаге необходимо указать результаты сканирований, которые будут добавлены в отчет. Нажмите кнопку "Добавить текущее сканирование".

В окно "Результаты сканирования..." добавится задача, в которую входят локальный и удаленный хост. Нажмите кнопку "Далее".

Далее мастер создания отчета предложит вам просмотреть, распечатать или сохранить отчет. Выберите вариант "сохранить", нажав соответствующую кнопку. Назовите отчет LabWork.

Далее нажмите кнопку "Закрыть", чтобы завершить работу мастера.

Просмотреть сохраненные отчеты в XSpider можно через меню "Сервис" / "Открыть отчет".

Далее зададим расписание сканирования хостов с помощью встроенной в XSpider утилиты "Планировщик". Для этого выберите меню "Сервис" / "Планировщик".

В окне "Планировщика" выберите меню "Расписание" / "Создать". Запустится мастер создания расписаний.

На первом шаге необходимо выбрать задачу, которая будет выполняться по расписанию. Выберите "Задача1" и нажмите кнопку "Далее".

В следующем окне мастера в поле комментария введите "Лабораторная работа" и установите переключатель "Выполнять выбранную задачу" в положение "Еженедельно". Нажмите кнопку "Далее".

Далее мастер предложит настроить детально расписание сканирования. Задайте время запуска на 5 минут позже от текущего времени. Даты начала и окончания расписания не меняйте (по умолчанию установлена текущая с разницей в год). Оставьте без изменения вариант сканирования каждую 1-ю неделю. Установите флажок только на текущий день недели и нажмите кнопку "Далее".

На последнем шаге необходимо настроить параметры создаваемого отчета. На вкладке "Создать отчет" выберите тип "Для системного администратора".

Ниже установите условие создания отчета - "Минимальная уязвимость" и выберите вариант "Уязвимость". Флажок "Сохранять отчет" должен быть включен. Путь сохранения файла-отчета оставьте без изменений. Нажмите кнопку "Готово".

В главном окне "Планировщика" появится строка "Задача1 Лабораторная работа". При наступлении времени, которое вы установили на шаге 13, начнет выполняться задача сканирования. При этом изменится значок задачи в строке "Планировщика".

Дождитесь когда Задача1 выполнится, после этого закройте "Планировщик".

В меню "Сервис" / "Открыть отчет" вы увидите, что после выполнения сканирования задачи был создан файл-отчет "Задача1 (текущая дата / время)".

6.7. Резюме

От эффективности защиты операционных систем напрямую зависит уровень безопасности сетевой инфраструктуры организации в целом. В процессе эксплуатации операционных систем выявляются уязвимости их защиты, которые потенциально могут быть использованы злоумышленниками для осуществления несанкционированного доступа (НСД) к информации. Системы анализа защищенности способны обнаруживать уязвимости в сетевой инфраструктуре, анализировать и выдавать рекомендации по их устранению, а также создавать различного рода отчеты.

Microsoft Baseline Security Analyzer (MBSA) - свободно распространяемое средство анализа защищенности операционных систем Windows и ряда программных продуктов компании Microsoft. MBSA позволяет обнаружить основные уязвимости и проверяет наличие рекомендованных к установке обновлений системы безопасности. Работать с программой MBSA можно через графический интерфейс и командную строку.

Сканер безопасности XSpider 7.0 - мощное средство анализа защищенности, выпускаемое отечественной компанией Positive Technologies. XSpider 7.0 базируется на применении концепций задач и профилей, имеет гибкий планировщик заданий для автоматизации работы, менеджер обновлений, встроенный учебник на русском языке. XSpider 7.0 позволяет генерировать отчеты с различными уровнями детализации. Сканер безопасности XSpider работает по


 

А также другие работы, которые могут Вас заинтересовать

9970. Экономические основы прогнозирования и планирования 77 KB
  Экономические основы прогнозирования и планирования Функционирование экономики в условиях рынка. В доиндустриальном мире средний уровень жизни был чрезвычайно низок. Экономический рост был незначителен он почти не изменялся в период жизни одного поколения. В те...
9972. Методология прогнозирования и планирования 73.5 KB
  Методология прогнозирования и планирования Теоретические стратегии. Методы прогнозирования. Методы планирования. Проблемы прогнозирования и планирования в течение последних десятилетий XX в. стали особенно сложными вследствие быстрых изменений в э...
9975. Информационное обеспечение прогнозирования и планирования 85 KB
  Информационное обеспечение прогнозирования и планирования 1. Информация для прогнозирования и планирования 2. Методы получения вторичной информации 3. Методы получения первичной информации 4. Планирование выборочных исследований Вопрос № 1. Информация для пр...
9976. Прогнозирование рядов экономической динамики 82.5 KB
  Прогнозирование рядов экономической динамики Виды и методы анализа временных рядов Корреляционный анализ Спектральный анализ Модели авторегрессии Вопрос № 1. Виды и методы анализа временных рядов Временной ряд представляет собой совокупность