Системы анализа защищенности корпоративной сети (обнаружения уязвимостей) на примере продуктов: Microsoft Baseline Security Analyzer и XSpider

6.5. Лабораторная работа 2. Работа с системой анализа защищенности XSpider 7.0.

На этой лабораторной работе вы научитесь работать с XSpider 7.0. Сначала вы создадите профиль для сканирования уязвимостей ОС Windows XP Professional, затем выполните сканирование и сгенерируете отчет о выполненной работе. Перед выполнением данной работы обязательно обновите базу уязвимостей XSpider 7.0.

6.5.1. Упражнение 1. Создание профиля для сканирования уязвимостей ОС Windows XP Professional

Упражнение выполняется на виртуальной машине с ОС Windows XP Professional с предустановленным ПО (см. п. "Прежде всего").

1. Запустите виртуальную машину с ОС Windows XP Professional.
2. Зарегистрируйтесь в системе как пользователь с правами администратора.
3. Запустите программу XSpider 7.0.
4. В меню "Профиль" выберите пункт "Редактировать текущий". Откроется окно для настройки профиля Default (базовый профиль).
5. Слева в дереве настроек выберите пункт "Сканер портов", и в правой области окна появятся соответствующие настройки. По умолчанию выбран файл портов default.prt.
6. Нажмите кнопку. Откроется окно со списком файлов портов.
7. В верхней части открывшегося окна на панели инструментов нажмите кнопку "Новый".
8. В появившемся окне оставьте вариант "Пустой файл" и нажмите кнопку "Выбрать".
9. Откроется окно "Новый файл портов". В области для комментария напишите "LabWork ports".
10. В нижней части окна в строке для ввода "Добавить порт(ы)" введите следующие значения портов: 80, 123, 135, 137, 139, 3306. После ввода каждого номера порта нажимайте кнопку справа "Добавить".
11. Нажмите кнопку "Сохранить как" и назовите файл LabWork.prt.
12. В окне со списком файлов портов выберите только что созданный файл портов.
13. Далее в дереве настроек выберите "Определение уязвимостей". В правой области настроек отметьте самый нижний флажок "проверять на новые Dos-атаки (эвристический метод)".
14. Найдите в дереве настроек пункт "Анализатор скриптов". Выбрав эту настройку, отметьте в ней флажок "Сложная проверка прикладных скриптов".
15. Далее нажмите кнопку "Сохранить как" и назовите файл LabWork.prf. Таким образом, вы создали профиль для последующего сканирования.

6.5.2. Упражнение 2. Поиск уязвимостей ОС Windows XP Professional

В этом упражнении с помощью XSpider 7.0 вы выполните сканирование хоста с ОС Windows XP Professional для обнаружения имеющихся уязвимостей.

1. Запустите программу XSpider 7.0.
2. Находясь на вкладке "Сканирование", добавьте хост для сканирования. Для этого в панели инструментов нажмите соответствующую графическую кнопку "Добавить хост".
3. В появившемся окне введите IP-адрес или DNS-имя компьютера, на котором вы работаете, например: Client01.
4. С помощью меню "Профиль" / "Выбрать существующий" откройте окно выбора профиля для сканирования.
5. Пользовательские профили отображаются синим цветом. Щелкните два раза левой кнопкой мыши на профиль LabWork.prf.
6. В панели инструментов нажмите соответствующую графическую кнопку "Начать сканирование выделенных хостов".
7. Появится окно с предупреждением об использовании проверок DoS-атаками. Нажмите кнопку "Продолжить".
8. Начнется процесс сканирования. В правой области главного окна программы XSpider 7.0 содержится информация о сканируемом хосте. Убедитесь, что имя хоста, полученное при обратном DNS-запросе, такое же, как вы указали на шаге 3 этого упражнения, а также, что в параметрах сканирования используется ваш профиль LabWork.prf.
9. Внизу в строке статуса синей полосой отображается степень общей завершенности процесса. Дождитесь окончания сканирования.

6.5.3. Упражнение 3. Просмотр и исправление обнаруженных уязвимостей

В этом упражнении вы просмотрите результаты сканирования хоста программой XSpider 7.0 и исправите некоторые обнаруженные уязвимости.

1. Перейдите на вкладку "Уязвимости" главного окна программы XSPider 7.0. Вы увидите, что по умолчанию обнаруженные уязвимости упорядочены по степени их опасности. Серьезные уязвимости находятся вверху списка (красные), предупреждения - внизу (зеленые). Рассмотрим и примем меры к устранению некоторых обнаруженных уязвимостей.
2. Нажмите на заголовок столбца "Порт", чтобы упорядочить соответствующим образом все найденные уязвимости. Рассмотрим уязвимости сервиса NetBIOS, который работает через порт 139 / TCP.
3. Найдите в списке уязвимость (оранжевая) "Неочищаемая виртуальная память". Щелкните два раза левой кнопкой мыши на нее.
4. Откроется окно с описанием уязвимости. Выполните действия по устранению данной уязвимости, описанные в области "Решение".
5. Повторите шаги 3, 4 для уязвимости "Слабое шифрование" (оранжевая) и "Scheduler Service" (зеленая).
6. Далее найдите в списке уязвимость (красная) "Обновления Windows". Щелкните по ней два раза левой кнопкой мыши.
7. Откроется окно с описанием уязвимости. Вы увидите список обновлений, которые следует установить на данный компьютер. Если какие-то обновления из списка вам доступны для установки, то выйдите из программы XSpider 7.0 и установите их.
8. После установки некоторых обновлений компьютер требует перезагрузки. Установив обновления, снова запустите программу XSpider 7.0.
9. Повторите операцию сканирования хоста с использованием профиля LabWork.prf.
10. Убедитесь, что исправленные вами уязвимости более не присутствуют в списке обнаруженных.

6.5.4. Упражнение 4. Сканирование удаленного хоста с ОС Windows 2003 Server

В этом упражнении с помощью XSpider 7.0 вы выполните сканирование удаленного хоста с ОС Windows 2003 Server для обнаружения имеющихся уязвимостей. Для выполнения данного упражнения необходим второй компьютер (виртуальная машина) с ОС Windows 2003 Server. Между компьютерами должно быть установлено сетевое подключение.

1. Включите компьютер с ОС Windows 2003 Server. Дождитесь его загрузки.
2. Перейдите на компьютер с ОС Windows XP Professional и убедитесь, что запущенный сервер доступен по сети (с помощью команды ping).
3. В программе XSpider 7.0 перейдите на вкладку "Сканирование" и добавьте новый хост для сканирования.
4. В появившемся окне введите IP-адрес или DNS-имя сервера, например Server01.
5. С помощью меню "Профиль" / "Выбрать существующий" откройте окно выбора профиля для сканирования.
6. Выберите профиль Default.
7. Убедитесь, что в дереве сканирования (левая область главного окна) курсор установлен на удаленном хосте, который вы добавили на шаге 4. В панели инструментов нажмите кнопку "Начать сканирование выделенных хостов".
8. Появится окно с предупреждением об использовании проверок DoS-атаками. Нажмите кнопку "Продолжить".
9. Начнется процесс сканирования.
10. Дождитесь окончания сканирования.
11. Перейдите на вкладку "Уязвимости" главного окна программы XSpider 7.0.
12. Нажмите на заголовок столбца "Хост", чтобы упорядочить соответствующим образом все найденные уязвимости. Обратите внимание, что количество уязвимостей, обнаруженных на удаленном хосте, значительно меньше, чем на том, где установлен сканер XSpider 7.0.
13. Найдите в списке уязвимость (красная) "Удаленное выполнение команд (ms04-012)" - порт 135/tcp, относящуюся к удаленному хосту. Щелкните два раза левой кнопкой мыши на нее. Откроется окно с описанием уязвимости. Для устранения этой уязвимости необходимо установить обновление ms04-012.mspx. Если обновление недоступно, то отключите службу DCOM на сервере. Для этого выполните следующие шаги с 14 по 19.
14. Зарегистрируйтесь на сервере под учетной записью администратора.
15. Выберите "Пуск" / "Администрирование" / "Службы компонентов". Откроется соответствующая консоль.
16. Убедитесь, что выделена оснастка "Служба компонентов", и нажмите кнопку "Настройка моего компьютера"на панели инструментов.
17. В открывшемся окне "Мой компьютер" перейдите на вкладку "Свойства по умолчанию".
18. Снимите флажок "Разрешить использование DCOM на этом компьютере" и нажмите кнопку "OK".
19. Вернитесь на компьютер с Windows XP Professional к программе XSpider 7.0.
20. Найдите в списке уязвимость (красная) "Удаленное выполнение команд (ms04-045)" - порт 42/tcp, также относящуюся к удаленному хосту. Щелкните два раза левой кнопкой мыши на нее. Откроется окно с описанием уязвимости. Для устранения этой уязвимости необходимо установить обновление ms04-045.mspx. Если обновление недоступно, то остановите WINS-сервер. Для этого выполните следующие шаги с 21 по 23.
21. На сервере выберите "Пуск" / "Администрирование" / "WINS". Откроется соответствующая консоль.
22. В левом окне выберите ваш сервер WINS, например, Server01.
23. Выберите меню "Действие" / "Все задачи" / "Остановить".
24. Вернитесь на компьютер с Windows XP Professional к программе XSpider 7.0 и перейдите на вкладку "Сканирование".
25. Убедитесь, что в дереве сканирования выделен удаленный хост. Просканируйте его повторно. Для этого нажмите кнопку "Начать сканирование выделенных хостов".
26. После окончания сканирования перейдите на вкладку "Уязвимости" главного окна программы XSpider 7.0.
27. Убедитесь, что устраненные вами уязвимости на сервере отсутствуют в списке.
28. Не закрывайте окно программы XSpider 7.0.

6.5.5. Упражнение 5. Создание отчетов и расписаний сканирования.

В этом упражнении средствами программы XSpider 7.0 вы создадите отчет о результатах сканирования хостов, а также научитесь задавать расписание сканирования задач с помощью встроенной утилиты "Планировщик".

1. После выполнения Упражнения 4, у вас были просканированы два хоста: локальный и удаленный сервер.
2. В главном меню программы XSpider 7.0 выберите "Сервис" / "Создать отчет".
3. Откроется первое окно диалога мастера создания отчета. Выберите степень детализации "Для системного администратора" и нажмите кнопку "Далее".
4. На следующем шаге необходимо указать результаты сканирований, которые будут добавлены в отчет. Нажмите кнопку "Добавить текущее сканирование".
5. В окно "Результаты сканирования..." добавится задача, в которую входят локальный и удаленный хост. Нажмите кнопку "Далее".
6. Далее мастер создания отчета предложит вам просмотреть, распечатать или сохранить отчет. Выберите вариант "сохранить", нажав соответствующую кнопку. Назовите отчет LabWork.
7. Далее нажмите кнопку "Закрыть", чтобы завершить работу мастера.
8. Просмотреть сохраненные отчеты в XSpider можно через меню "Сервис" / "Открыть отчет".
9. Далее зададим расписание сканирования хостов с помощью встроенной в XSpider утилиты "Планировщик". Для этого выберите меню "Сервис" / "Планировщик".
10. В окне "Планировщика" выберите меню "Расписание" / "Создать". Запустится мастер создания расписаний.
11. На первом шаге необходимо выбрать задачу, которая будет выполняться по расписанию. Выберите "Задача1" и нажмите кнопку "Далее".
12. В следующем окне мастера в поле комментария введите "Лабораторная работа" и установите переключатель "Выполнять выбранную задачу" в положение "Еженедельно". Нажмите кнопку "Далее".
13. Далее мастер предложит настроить детально расписание сканирования. Задайте время запуска на 5 минут позже от текущего времени. Даты начала и окончания расписания не меняйте (по умолчанию установлена текущая с разницей в год). Оставьте без изменения вариант сканирования каждую 1-ю неделю. Установите флажок только на текущий день недели и нажмите кнопку "Далее".
14. На последнем шаге необходимо настроить параметры создаваемого отчета. На вкладке "Создать отчет" выберите тип "Для системного администратора".
15. Ниже установите условие создания отчета - "Минимальная уязвимость" и выберите вариант "Уязвимость". Флажок "Сохранять отчет" должен быть включен. Путь сохранения файла-отчета оставьте без изменений. Нажмите кнопку "Готово".
16. В главном окне "Планировщика" появится строка "Задача1 Лабораторная работа". При наступлении времени, которое вы установили на шаге 13, начнет выполняться задача сканирования. При этом изменится значок задачи в строке "Планировщика".
17. Дождитесь когда Задача1 выполнится, после этого закройте "Планировщик".
18. В меню "Сервис" / "Открыть отчет" вы увидите, что после выполнения сканирования задачи был создан файл-отчет "Задача1 (текущая дата / время)".

6.7. Резюме

От эффективности защиты операционных систем напрямую зависит уровень безопасности сетевой инфраструктуры организации в целом. В процессе эксплуатации операционных систем выявляются уязвимости их защиты, которые потенциально могут быть использованы злоумышленниками для осуществления несанкционированного доступа (НСД) к информации. Системы анализа защищенности способны обнаруживать уязвимости в сетевой инфраструктуре, анализировать и выдавать рекомендации по их устранению, а также создавать различного рода отчеты.

Microsoft Baseline Security Analyzer (MBSA) - свободно распространяемое средство анализа защищенности операционных систем Windows и ряда программных продуктов компании Microsoft. MBSA позволяет обнаружить основные уязвимости и проверяет наличие рекомендованных к установке обновлений системы безопасности. Работать с программой MBSA можно через графический интерфейс и командную строку.

Сканер безопасности XSpider 7.0 - мощное средство анализа защищенности, выпускаемое отечественной компанией Positive Technologies. XSpider 7.0 базируется на применении концепций задач и профилей, имеет гибкий планировщик заданий для автоматизации работы, менеджер обновлений, встроенный учебник на русском языке. XSpider 7.0 позволяет генерировать отчеты с различными уровнями детализации. Сканер безопасности XSpider работает под управлением операционных систем Microsoft Windows, но он может проверять уязвимости на узлах, имеющих другую программную или аппаратную платформы.