A segédprogram letölthető az Internetről az alábbi címről:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/tools/tools/mbsahome.asp
Mérete 2,6 MB. Letöltés után egy "mbsasetup.msi" nevű fájlt kapunk, amit a Windows Intézőben futtatva telepítsünk.
A program futtatása rendszergazdai jogosultságot igényel.
Működési háttér:
Windows NT 4.0, Windows 2000 minden verziója és Windows XP minden verziója, Windows -NET minden verziója. A Windows 9x sorozaton nem fut.
Mit ellenőriz az operációs rendszerben?
A túl egyszerű, könnyen kitalálható jelszavakat (üres jelszó, jelszó=felhasználónév, jelszó=gépnév, jelszó="password" - "admin" - "Administrator"). Ezeket onnan tudja meg, hogy megpróbál az adott szolgáltatásra bejelentkezni, ha sikerül neki, az súlyos biztonsági hiányosságot jelent. Vizsgálja a jelszavak lejárati dátumát és felhívja a figyelmet a gyakrabban történő jelszóváltoztatásra.
Felhasználói fiókok: elérhető-e a gép névtelen vagy vendég bejelentkezéssel? Egynél több rendszergazdai fiók van? Automatikus bejelentkezéssel indul-e a gép? Ha mindhárom kérdésre igen a válasz, találtunk három biztonsági hiányosságot.
Fájlrendszer: Az NTFS fájlrendszeren fájlszinten állíthatók a hozzáférési jogosultságok, ezért csak az NTFS fogadható el biztonságosnak, a FAT, FAT32 nem.
Javítócsomagok (hotfixes) megléte: egy korábbi cikkünkben bemutattunk a "hfnetchk" nevű eszközt. Lényege, hogy a Microsoft az Interneten elérhetővé tesz egy adatbázist, amelyben a feltárt biztonsági rések javításai találhatók. A "hfnetchk" összehasonlítja ennek az adatbázisnak a tartalmát a gépünkre telepített javításokkal és közli, hogy melyekre van szükségünk. A program futtatásához aktív Internet kapcsolatra van szükség. Az MBSA szintén tartalmazza ezt a szolgáltatást. A Windows NT/2000/XP, IIS 4.0, 5.0, SQL 7/2000 és IE 5.01+ javításainak meglétét ellenőrzi. A hiányosságok a Windows Update szolgáltatásával pótolhatók.
Megosztások: hány darab megosztott mappa érhető el a gépen? Ha a megosztás valamelyik ritkábban használt almappa mélyén húzódik meg, lehet, hogy nem is tudunk róla.
Naplózás: a rendszer megfelelő mennyiségű naplózási beállítással rendelkezik-e? A naplózás megkönnyíti a hibakeresést és a támadások nyomon követését. Kikapcsolt naplózás mellett, utólag nem tudjuk visszakövetni a történéseket.
Szolgáltatások: futnak-e potenciálisan veszélyes szolgáltatások? Ilyen az FTP, TELNET, RAS, WWW, SMTP. Nyilván egy Webszerveren futnia kell a WWW szolgáltatásnak, de már nem biztos, hogy a TELNET-re is szükség van.
Windows verzió: a Windows 2000/XP merőben új biztonsági szolgáltatásokkal van ellátva, a Windows NT nem. Az MBSA egy bejegyzés erejéig erre is felhívja a figyelmet.
Mit ellenőriz az IIS-ben?
Biztonsági javítások: Az operációs rendszerhez hasonlóan megvannak-e a biztonsági javítások (hot fixes)?
IIS Lockdown Tool telepítésének és működésének meglétét. Az IIS Lockdown Tool szintén egy a Microsoft által készített, Internetről letölthető segédprogram. Feladata az IIS biztonsági beállításainak megváltoztatása a lehetséges támadási felületként is szolgáló, általunk nem használt összetevők eltávolítása.
Mintaalkalmazások: számos mintaalkalmazás található az IIS-ben, melyek a rendszeradminisztráció különböző lehetőségeit mutatják be. Élesben használt szerveren veszélyes őket a gépen tartani.
Az IIS tartományvezérlőn fut-e? Szintén nagyon veszélyes, ha az IIS-t egy olyan gépen futtatjuk, amelyik egyben egy Active Directory tartománynak a tartományvezérlője. Mivel az IIS lényege, hogy az Internet felől elérhető legyen, az egész hálózat biztonságának szempontjából veszélyes, ha nem tűzfalak és egyéb védelmi megoldások választják el a belső hálózattól.
Naplózás be van-e kapcsolva? Az operációs rendszerhez hasonlóan az események nyomon követése szempontjából fontos a megfelelő naplózás.
Mit ellenőriz az SQL szerveren?
Jelszó: a "sa" jelszót ugyanúgy, mint az operációs rendszer jelszavait.
Az SQL szerver az elsődleges tartományvezérlőn fut-e? Hasonló okokból, mint az IIS-nél.
Mappa jogosultságok: az SQL szerver által használt mappák NTFS jogai kizárják-e a jogosulatlan hozzáféréseket?
Egynél több rendszeradminisztrátor számára biztosított a hozzáférés? Minél kevesebben kapnak kizárólagos jogot, annál kisebb a veszély. A rendszergazdákat több szempontból is ellenőrzi: összehasonlítja, hogy a rendszerben kapott jogosultságokat az SQL szerverben is tudják-e használni.
Az SQL Server és az SQL Server Agent szolgáltatások a helyi rendszergazda jogosultságával futnak vagy a rendszer fiók (LocalSystem) futtatja őket? Utóbbi biztonságosabb.
Vendéghozzáférés engedélyezve van-e valamelyik adatbázison?
Biztonsági javítások: az operációs rendszerhez hasonlóan megvannak-e a biztonsági javítások (hot fixes)?
A regisztrációs adatbázis bejegyzései megfelelő hozzáférési jogosultsággal vannak-e ellátva vagy bárki megváltozathatja őket?
A CMDEXEC futtatása csak az adminisztrátorok számára lehetséges?
Mit ellenőriz az Internet Explorer-ben?
Biztonsági zónák (IE Zones) beállításait. Minél magasabb értéket határozunk meg, annál biztonságosabb a böngészés. Teszi mindezt az összes IE-t használni képes felhasználók beállításait ellenőrizve.
Makró biztonságot. A makrózásra képes programok (pl.: Office) és az IE együttes használatával megfelelő beállítások hiányában táptalajt adunk a makróvírusok alá.
Az MBSA futtatása
Alapvetően két üzemmódban futtatható: az egyik csak a helyi gépet ellenőrzi (Scan a computer), a másik a hálózat általunk meghatározott gépeit (Scan more than one computer). Az "Options" mezőben választhatjuk ki, hogy milyen összetevők csoportjára terjedjen ki a vizsgálat. Alapértelmezésben mindegyik lehetőség be van kapcsolva, hagyjuk így. Helyi gépnél mást nem is kell tennünk, kattintsunk a "Start scan" ikonra és rövid várakozás után megkapjuk az eredményt. Ha a hálózat egy szegmensét ellenőrizzük, akkor vagy kiválasztjuk a teljes tartományt ("Domain name") vagy megadunk egy IP cím tartományt ("IP address range"), amelyen belül az összes gép vizsgálata megtörténik.