Ложников П.С., Михайлов Е.М. Программные средства защиты для операционных систем Microsoft Windows XP/2003

Подождите немного. Документ загружается.

161

6. Антивирус Касперского® 5.0 для Windows File Servers. Руково-

дство администратора // Лаборатория Касперского.– декабрь

2004.– 111 с.

7. Kaspersky® Administration Kit 5.0. Руководство администратора

// Лаборатория Касперского.– декабрь 2004.– 210 с.

8. Kaspersky® Administration Kit 5.0. Начало работы // Лаборатория

Касперского.– декабрь 2004.– 26 с.

9. Обновления антивирусных баз // Лаборатория Касперского.–

2007. (http://www.kaspersky.ru/avupdates)

162

4. Анализ защищенности компьютерных систем на основе

ОС Windows 2003/XP

Одними из главных элементов информационной безопасности се-

тевой инфраструктуры являются операционные системы компьюте-

ров, так как в них аккумулируется подавляющая часть используемых

механизмов защиты: средства разграничения доступа к ресурсам, ау-

тентификация пользователей, аудит событий и др. От эффективности

защиты операционных систем напрямую зависит

уровень безопасно-

сти сетевой инфраструктуры организации в целом.

На этом занятии будут рассмотрены программные средства для

анализа защищенности операционных систем Microsoft, такие как:

• Microsoft Baseline Security Analyzer (MBSA);

• Сканер безопасности XSpider 7.0 (производитель ООО «Позитив

Технолоджиз», Россия).

Прежде всего

Для выполнения лабораторных работ данного занятия необходимо

иметь два компьютера (можно виртуальные машины). На одном ком-

пьютере под управлением ОС Windows XP Professional необходимо

установить следующие программные продукты:

• Microsoft Baseline Security Analyzer (MBSA);

• XSpider 7.0;

• Microsoft SQL Server 2000;

• Программный комплекс Magnum v. 1.0.4 состоящий из следую-

щих программ: сервер MySQL, Web-сервер Apache, среда разра-

ботки Web-приложений PHP.

Последние два программных продукта устанавливаются для

обна-

ружения в них уязвимостей и не являются обязательными. На втором

компьютере (сервере) под управлением ОС Windows 2003 Server не-

обходимо добавить роли файлового сервера и WINS-сервера.

4.1. Принципы работы систем анализа защищенности

Для понимания принципов работы систем анализа защищенно-

сти, необходимо обозначить некоторые термины и определения. Клю-

чевое понятие данного занятия – это «уязвимость

». Под уязвимостью

защиты ОС понимается такое ее свойство (недостаток), которое может

быть использовано злоумышленником для осуществления несанкцио-

нированного доступа (НСД) к информации. Системы анализа защи-

щенности способны обнаруживать уязвимости в сетевой инфраструк-

туре, анализировать и выдавать рекомендации по их устранению, а

163

также создавать различного рода отчеты. К типичным уязвимостям

можно отнести:

• отсутствие обновлений системы безопасности ОС;

• неправильные настройки систем безопасности ОС;

• несоответствующие пароли;

• восприимчивость к проникновению из внешних систем;

• программные закладки;

• неправильные настройки системного и прикладного ПО, уста-

новленного на ОС.

Большинство систем анализа защищенности (XSpider, Internet

Scanner, LanGuard, Nessus) обнаруживают уязвимости не только в

операционных системах, но и в наиболее распространенном приклад-

ном ПО. Существуют два основных подхода, при помощи которых

системы анализа защищенности обнаруживают уязвимости: сканиро-

вание и зондирование[4]. Из-за первого подхода системы

анализа за-

щищенности еще называют «сканерами безопасности» или просто

«сканерами».

При сканировании система анализа защищенности пытается оп-

ределить наличие уязвимости по косвенным признакам, т.е. без фак-

тического подтверждения ее наличия – это пассивный анализ. Данный

подход является наиболее быстрым и простым в реализации. При зон-

дировании система анализа защищенности

имитирует ту атаку, кото-

рая использует проверяемую уязвимость, т.е. происходит активный

анализ. Данный подход медленнее сканирования, но позволяет убе-

диться, присутствует или нет на анализируемом компьютере уязви-

мость,

На практике эти два подхода реализуются в сканерах безопас-

ности через следующие методы проверки [4]:

1) Проверка заголовков (Banner check);

2) Активные зондирующие проверки (Active probing check);

3) Имитация атак (Exploit check).

Первый метод основан на подходе «сканирование» и позволяет де-

лать вывод об уязвимостях, опираясь на информацию в заголовке от-

вета на запрос сканера безопасности. Примером такой проверки мо-

жет быть анализ заголовков почтовой программы Sendmail, в резуль-

тате которого можно узнать её версию и сделать вывод о наличии в

ней уязвимости.

Активные зондирующие проверки также основаны на подходе

«сканирование». Данный метод сравнивает фрагменты сканируемого

программного обеспечения с сигнатурой известной уязвимости, хра-

164

нящейся в базе данных системы анализа защищенности. Разновидно-

стями этого метода являются, например, проверки контрольных сумм

или даты сканируемого программного обеспечения.

Метод имитации атак основан на использовании различных дефек-

тов в программном обеспечении, и реализует подход зондирования.

Существуют уязвимости, которые не могут быть обнаружены без бло-

кирования или нарушения функционирования сервисов

операционной

системы в процессе сканирования. При сканировании критичных сер-

веров корпоративной сети нежелательно использование данного ме-

тода, т.к. он может вывести их из строя. И в таком случае сканер безо-

пасности успешно реализует атаку «Denial of service» (отказ в обслу-

живании). Поэтому в большинстве систем анализа защищенности по

умолчанию такие проверки, основанные

на имитации атак, выключе-

ны. При их включении в процесс сканирования обычно выдается пре-

дупредительное сообщение (рис. 4.1).

Рис. 4.1. Предупредительное сообщение сканера безопасности

XSpider 7.0 о включении опасных проверок в процесс сканирования.

4.2. Microsoft Baseline Security Analyzer

Microsoft Baseline Security Analyzer (MBSA) – свободно распро-

страняемое средство анализа защищенности операционных систем

Windows и ряда программных продуктов компании Microsoft (Internet

Information Services, SQL Server, Internet Explorer и др.). Термин

«Baseline» в названии MBSA следует понимать как некоторый эта-

лонный уровень, при котором безопасность ОС можно считать удов-

летворительной. MBSA позволяет сканировать компьютеры под

управлением операционных систем Windows на предмет обнаружения

основных уязвимостей и

наличия рекомендованных к установке об-

новлений системы безопасности. Критически важно знать, какие об-

новления установлены, а какие еще следует установить на вашей ОС.

MBSA обеспечивает подобную проверку, обращаясь к постоянно по-

165

полняемой Microsoft базе данных в формате XML, содержащую ин-

формацию об обновлениях, выпущенных для каждого из программ-

ных продуктов Microsoft [8]. Работать с программой MBSA можно че-

рез графический интерфейс и командную строку. На данном занятии

будет рассмотрен только первый вариант работы.

Интерфейс MBSA выполнен на основе браузера Internet Explorer.

Главное окно программы разбито на две области (см. рис

. 4.2). Так как

сеанс работы с MBSA настраивается с помощью мастера, то в левой

области представлены шаги мастера, а в правой – основное окно с

описанием действий каждого шага.

Рис. 4.2. Главное окно программы Microsoft Baseline Security Analyzer 2.0

На первом шаге «Welcome» необходимо выбрать одно из действий

(см. рис. 4.2):

1) Сканировать данный компьютер (Scan a computer);

2) Сканировать несколько компьютеров (Scan more than one com-

puter);

3) Просмотреть существующие отчеты, сделанные MBSA ранее

(View existing security reports).

При первом запуске MBSA необходимо выбрать первый или вто-

рой вариант. На следующем шаге мастера в основном окне нужно за-

166

дать параметры сканирования компьютера(ов) под управлением ОС

Windows (см. рис. 4.3). Можно ввести имя или IP-адрес сканируемого

компьютера (по умолчанию выбирается компьютер, на котором был

запущен MBSA).

Пользователь, запустивший MBSA, должен обладать правами ад-

министратора данного компьютера или входить в группу администра-

торов системы. В случае сканирования нескольких компьютеров

пользователь должен обладать правами

администратора на каждом из

компьютеров, а лучше – правами администратора домена.

Рис. 4.3. Выбор компьютера и опций сканирования в программе MBSA 2.0

Выбрав компьютер(ы) для сканирования, необходимо задать оп-

ции сканирования:

• проверка ОС Windows;

• проверка паролей;

• проверка служб IIS;

• проверка сервера SQL;

• проверка установленных обновлений безопасности.

Более подробную информацию о проверках MBSA можно полу-

чить на официальном сайте Microsoft [1]. Например, задав опцию

«проверка паролей» MBSA проверяет на компьютере учетные записи

167

локальных пользователей, которые используют пустые или простые

пароли (эта проверка не выполняется на серверах, выступающих в ро-

ли контроллеров домена) из следующих комбинаций:

• пароль пустой;

• пароль совпадает с именем учетной записи пользователя;

• пароль совпадает с именем компьютера;

• паролем служит слово «password»;

• паролем служат слова «admin» или «administrator».

Данная проверка

также выводит сообщения о заблокированных

учетных записях.

После того как все опции будут заданы необходимо нажать на

ссылку внизу «Start scan» (см. рис. 4.3). При первом сканировании

MBSA необходимо подключение к Internet, чтобы скачать с сайта Mi-

crosoft Download Center (http://www.microsoft.com/ downloads

) XML-

файл, содержащий текущую справочную базу уязвимостей. MBSA

сначала скачивает этот файл в архивированном cab-файле, затем, про-

верив его подпись, разархивирует его на компьютер, с которого будет

запускаться.

Возможна также работа MBSA без подключения к Internet в авто-

номном режиме. Для этого нужно сначала скачать выше описанный

файл и разместить в соответствующем каталоге. Более

подробную

информацию об этой процедуре смотрите в Упражнении 1 Лабора-

торной работы №1.

После того, как cab-файл будет разархивирован, MBSA начнет

сканировать заданный компьютер(ы) на предмет определения опера-

ционной системы, наборов обновлений и используемых программ. За-

тем MBSA анализирует XML-файл и определяет обновления системы

безопасности, которые доступны для установленного ПО [9]. Для того

чтобы

MBSA определил, какое обновление установлено на сканируе-

мом компьютере, ему необходимо знать три пункта: ключ реестра,

версию файла и контрольную сумму для каждого файла, установлен-

ного обновлением.

В случае если какие-либо данные на сканируемом компьютере не

совпадут с соответствующими пунктами в XML-файле, MBSA опре-

делит соответствующее обновление как отсутствующее, что будет

от-

ражено в итоговом отчете.

После сканирования единственного компьютера MBSA автомати-

чески запустит окно «View security report» и отобразит результаты

сканирования. Если было выполнено сканирование нескольких ком-

пьютеров, то следует выбрать режим «Pick a security report to view»,

чтобы увидеть результаты сканирования. Создаваемый MBSA отчет

разбивается на пять секций:

168

• Security Update Scan Results,

• Windows Scan Results,

• Internet Information Services (IIS) Scan Results,

• SQL Server Scan Results,

• Desktop Application Scan Results.

Некоторые секции разбиваются еще на разделы, посвященные оп-

ределенным проблемам безопасности компьютера, и предоставляют

системную информацию по каждой из проверок, указанных в таблице

4.1. Описание каждой проверки операционной системы отражается в

отчете вместе с инструкцией по устранению обнаруженных уязвимо-

стей.

Таблица 4.1. Описание проверок выполняемых MBSA [8]

Проверка Описание

Administrators

Выводит список учетных записей локальных админи-

страторов компьютера

Auditing Выводит настройки аудита на локальном компьютере

Autologon Проверяет, включена ли функция Autologon

Domain Controller Test

Проверяет, не запущена ли служба IIS на контролле-

ре домена (DC)

Exchange Server

Security Updates

Проверяет пропущенные исправления для системы

безопасности Exchange Server

File System Проверяет тип файловой системы (например, NTFS)

Guest Account Проверяет, не активирована ли учетная запись Guest

IE Zones

Выводит зоны безопасности IE для каждого пользова-

теля

IIS Admin Virtual

Directory

Просматривает виртуальный каталог IISADMPWD

IIS Lockdown Tool

Проверяет, проведена ли процедура защиты IIS

Lockdown

IIS Logging Enabled

Выдает рекомендации по журналированию сайтов

HTTP и FTP

IIS Security Updates

Проверяет пропущенные исправления для системы

безопасности IIS

Local Account Password

Test

Проверяет наличие пустых или слабых паролей для

локальных учетных записей

Macro Security

Выводит установки для макросов Office по пользова-

телям

Msadc and Scripts Virtual

Directories

Просматривает виртуальный каталог MSADC и Scripts

Outlook Zones

Выводит зоны безопасности Outlook для каждого

пользователя

Parent Paths

Выводит информацию о наличии ссылок на каталоги

верхнего уровня от Web узлов или виртуальных ката-

логов

Password Expiration

Выводит учетные записи с неограниченным сроком

действия паролей, не перечисленные в NoExpireOk.txt

Restrict Anonymous

Выводит настройки реестра, запрещающие аноним-

ным пользователям просмотр списка учетных записей

169

Продолжение табл. 4.1

Проверка Описание

Sample Applications

Выводит установленные примеры приложений для IIS

(например, Default Web Site, IISHelp)

Services

Выводит список несущественных служб (например,

FTP, SMTP, Telnet, WWW), которые могут ослабить

безопасность

Проверяет и выводит список общих ресурсов, а также

их списки ACL

SQL Server Security

Updates

Проверяет пропущенные исправления для системы

безопасности SQL Server

SQL: CmdExec role

Проверяет ограничение на запуск CmdExec только

для SysAdmin

SQL: Domain Controller

Test

Проверяет, не запущен ли SQL Server на DC

SQL: Exposed SQL

Password

Проверяет, не присутсвует ли пароль администратора

(SA) в текством файле (например, setup.iss или

sqlstp.log)

SQL: Folder Permissions

Проверяет разрешения файлов в каталоге установки

SQL Server

SQL: Guest Account

Выводит базы данных с активной учетной записью

гостя

SQL: Registry

Permissions

Проверяет разрешения реестра на разделы SQL

Server

SQL: Service Accounts

Проверяет членство в группах учетных записей SQL

Server и SQL Server agent

SQL: SQL Account Pass-

word Test

Проверяет на пустые или слабые пароли локальных

учетных записей SQL

SQL: SQL Server Secu-

rity Mode

Проверяет запущен SQL Server в режиме Windows

Only или Mixed

SQL: SysAdmin Role

Members

Выводит членов роли SysAdmin

SQL: SysAdmins Выводит количество SysAdmins

Windows Media Player

Security Updates

Проверяет пропущенные исправления для системы

безопасности WMP

Windows Security

Updates

Проверяет пропущенные исправления для системы

безопасности Windows

Windows Version Выводит версию Windows

4.3. Сканер безопасности XSpider

В последнее время в России все большую популярность среди

специалистов по защите информации набирает сканер безопасности

XSpider версии 7.0, выпускаемый отечественной компанией Positive

Technologies.

Есть ряд особенностей, которые дают преимущества сканеру

XSpider как системе анализа защищенности, над другими продуктами

данного класса. Как подчеркивают сами разработчики, главная осо-

бенность XSpider 7 – это его сканирующее ядро

, которое способно

имитировать сценарий поведения потенциального злоумышленника.

170

Также следует отметить мощную «интеллектуальную начинку»

XSpider 7, которая реализуется во встроенных эвристических алго-

ритмах, позволяющих надежно идентифицировать еще неопублико-

ванные новые уязвимости.

Надежные и исчерпывающие проверки XSpider 7 базируются, в

частности, на следующих интеллектуальных подходах [5]:

• полная идентификация сервисов на случайных портах;

• эвристический метод определения типов и имен серверов

(HTTP, FTP, SMTP, POP3, DNS, SSH) вне зависимости от

их от-

вета на стандартные запросы;

• обработка RPC-сервисов с их полной идентификацией;

• проведение проверок на нестандартные DoS-атаки.

С момента выхода первой версии сканера XSpider прошло уже бо-

лее 6 лет. Версия 7.0, с которой мы познакомимся на этом занятии,

является коммерческой в отличие от предыдущих свободно распро-

страняемых версий (6.5 и ранее).

У компании Positive Technologies

существует гибкая система лицензирования сканера XSider 7. Стои-

мость лицензии зависит от количества проверяемых IP-адресов, коли-

чества рабочих мест, с которых проводится сканирование и срока дей-

ствия подписки на обновления. Более подробную информацию по

приобретению продукта можно получить на странице компании:

http://www.ptsecurity.ru/xs7rates.asp

Для изучения возможностей сканера XSider 7 достаточно приоб-

рести версию XSpider 7 Professional Edition с числом сканируемых IP-

адресов от 4 до 16. Устанавливается XSpider 7 на любую операцион-

ную систему Microsoft Windows в режиме мастера.

При запуске XSpider 7 на экран будет выведено главное окно про-

граммы (см. рис. 4.4), в котором отобразится информация о текущей

версии сканера и лицензии. В нижней части главного окна,

в разделе

«Документация» имеются ссылки на встроенные учебник и справоч-

ник по продукту XSpider. Данные разделы документации тоже можно

отнести к важным преимуществам XSpider. Во-первых, учебник и

справочник написаны на русском языке, что есть далеко не во всех

подобных системах. Во-вторых, автор учебника – директор по разви-

тию Positive Technologies Евгений Киреев, изложил

достаточно инте-

ресно и понятно весь материал, рассчитанный на обычных пользова-

телей-непрофессионалов в области информационной безопасности.

Далее, чтобы не дублировать содержимое встроенного учебни-

ка, будут изложены основные концепции, на которых базируется

организация работы сканера безопасности XSpider 7.

XSpider 7 имеет многооконный интерфейс. Важно отметить, что

каждое окно является интерфейсом к определенной задаче XSpider.