Смарт ТВ 

Выявление уязвимостей с помощью Microsoft Baseline Security Analyzer. Настройка локальной политики паролей

Оригинал: Create And Restore Partition Images With Partimage
Автор: Christian Schmalfeld
Дата публикации: 5 мая 2012 г.
Перевод: А. Рыженко
Дата перевода: июль 2012 г.

Существует два основных способа выполнения резервного копирования: копирование отдельных файлов (при этом, часто предусматривается синхронизация копий и используются внешние носители) и создание образа целого раздела диска, со всем его содержимым. В данной статье описан второй способ резервного копирования при помощи программы Partimage.

Отмечу, что я не гарантирую работоспособность описанного ниже способа.

Введение

Partimage можно найти на многофункциональном диске для восстановления системы SystemRescueCD . Данный загрузочный диск используется при работе с операционными системами Linux и Windows и предоставляет live-среду со множеством инструментов для создания разделов жесткого диска, их редактирования и т.д. Загрузите образ и запишите его на CD.

Partimage не поддерживает файловую систему ext4, а ntfs - лишь частично. С полным списком поддерживаемых файловых систем можно ознакомиться на сайте программы .

В данном руководстве я буду использовать жесткий диск, с тремя разделами: sda1 - swap раздел, sda2 - корневой раздел Ubuntu Linux 12.04 и sda3 - пустой раздел, на котором достаточно свободного места для образа sda2 .

Загрузка SystemRescueCD

Загрузитесь с CD, на котором записан SystemRescueCD. Появится следующее меню:

Я предпочитаю графический интерфейс, к тому же, с этого диска он загружается быстро, поэтому выберу пункт 5) . Во время загрузки будет предложено выбрать раскладку клавиатуры - за 20 секунд введите имя или соответствующий номер из предложенного списка:

Ниже показан вид графического интерфейса после загрузки. Сразу откроется терминал с правами root.

Создание образа раздела

Я создам образ раздела с Ubuntu, sda2 , и сохраню его на sda3 . Если не знаете на какие разделы разбит Ваш диск, введите в терминале команду:

У меня вывод этой команды имеет вид (три последние строки - описания разделов):

Disk /dev/sda: 34.5 GB, 34527510528 bytes 255 heads, 63 sectors/track, 4197 cylinders, total 67436544 sectors Units = sectors of 1 * 512 = 512 bytes Sector size (logical/physical): 512 bytes / 512 bytes I/O size (minimum/optimal): 512 bytes / 512 bytes Disk identifier: 0x0001b9b7 Device Boot Start End Blocks Id System /dev/sda1 2048 7999487 3998720 82 Linux swap / Solaris /dev/sda2 * 7999488 28565503 10283008 83 Linux /dev/sda3 28565504 67436543 19435520 83 Linux

Запустите Partimage - в главном меню (кнопка в левом нижнем углу рабочего стола) выберите пункты System > Partimage. Программа откроется в новом окне терминала:

Сначала смонтируйте раздел, на который будет сохранен образ, в отдельную папку, например в /mnt/save . Я буду сохранять образ на sda3 , а вы можете выбрать раздел подходящий Вам:

# mkdir /mnt/save # mount /dev/sda3 /mnt/save

Перейдите в окно Partimage. Для управления программой и перемещения по элементам окна используйте клавиши Tab , Enter , Space и стрелки. Выберите раздел, резервную копию которого необходимо сделать, и перейдите в следующее поле, нажав Tab . В нем введите полный путь к файлу-образу, вместе с именем. Также можно выбрать файл-образ, нажав звездочку справа от поля ввода. Я указал путь /mnt/save/Ubuntu.gz (файл имеет расширение.gz , потому что я буду использовать уровень сжатия gzip. Можно также выбрать bz2):

Выполняя обычное резервное копирование, остальные опции изменять не нужно. Нажав F5 , перейдите на следующую страницу. Заданные на ней настройки по умолчанию тоже можно не изменять, просто ознакомьтесь с их назначением:

Нажав F5 , перейдите далее и введите описание создаваемой копии, которое будет показано перед восстановлением и позволит убедиться, что выбран правильный файл-образ. Лучше указать какое-нибудь осмысленное имя и дату создания копии. Для примера, я введу просто:

После перехода на следующую страницу Partimage выполнит подготовку к созданию копии. Может быть выдано сообщение об ошибке: Can"t read bitmap block 0 from image . Ошибка бывает вызвана тем, что на разделе, где будет сохранен образ, используется не поддерживаемая файловая система или другой непонятной причиной. Если Вы уверены, что Partimage поддерживает файловую систему, попробуйте перемонтировать раздел с файлом-образом, затем смонтируйте и размонтируйте раздел, копия которого создается. Я вводил следующие команды:

# umount /mnt/save # mount /dev/sda3 /mnt/save # mkdir /mnt/tmp # mount /dev/sda2 /mnt/tmp # umount /mnt/tmp

Во всяком случае, мне это помогло. Если подготовка прошла удачно, будет выведено окно с информацией:

Затем Partimage создаст образ раздела и поместит его в заданный файл:

Если копирование завершилось успешно, появится соответствующее сообщение. После нажатия кнопки OK Partimage закроется.

Восстановление раздела из образа

Для восстановления раздела из образа нужно выполнить практически те же действия, что и при создании копии, но задать другие опции в Partimage. Запустите программу и выберите из списка раздел, который должен быть восстановлен (т.е. раздел, который будет перезаписан данными из образа, а не тот, на котором находится файл-образ). Во втором поле введите путь к файлу-образу. (Заметьте, имя файла должно оканчиваться на.000 . Если вы не знаете точного имени файла-образа, нажмите звездочку и найдите необходимый файл. При этом, раздел, на котором находится образ, должен быть примонтирован. Это можно сделать командой:

# mount /dev/sda3 /mnt/save

Только замените раздел и точку монтирования на подходящие Вам.)

Наконец, установите опцию Restore partition from an image file , выделив ее и нажав Space:

Чтобы проверить, не возникнет ли ошибок в процессе восстановления, можно выполнить сначала его имитацию, установив соответствующую опцию. А затирать свободные блоки нет необходимости; это только изнашивает винчестер:

А затем предложено подтвердить намерение восстановить раздел из выбранного образа. Имейте ввиду, данные на разделе будут перезаписаны.

Производится восстановление указанного раздела:

Если все прошло успешно, выведется соответствующее сообщение.

Для работы с жесткими дисками и другими накопителями создано десятки достойных программ, а дополнительных средств и утилит для обработки, переноса дисковых разделов и очистки свободного пространства насчитываются тысячи. На этом фоне дистрибутив Parted Magic выгодно отличается среди множества подобных по предназначению программных решений. Главными его преимуществами, по сравнению с другими, является баланс доступности при максимальной полифункциональности.

Что такое Parted Magic?

Чтобы разобраться, что собой являет этот дистрибутив, нужно знать о нем несколько фактов. Чаще всего ответ на этот вопрос состоит из двух частей: откуда он и как он работает.

Итак, этот программный продукт создан на основе операционной системы Linux. То есть базовая сборка была бесплатной, доступной любому пользователю сети или другому владельцу компьютера, вооруженному флешкой или другим переносным устройством. Хотя современная сборка платная, благодаря соотношению цены и качества она остается одной из самых популярных программ своего рода.

PM являет собой пакет утилит, с помощью которых возможно выполнить ряд операций с логическими разделами жестких дисков. Всего в этом дистрибутиве насчитывается около 70 отдельных компонентов, каждый из которых выполняет отдельные функции.

Таким образом с помощью набора утилит можно производить ряд действий с накопителем. Работа с разделами жесткого диска включает в себя:

  • создавать или удалять их;
  • именовать (присваивать названия, метки);
  • изменять размеры разделов;
  • обеспечивать полное копирование;
  • производить проверку и идентификацию данных.

С созданием и удалением разделов, а также с необходимостью их именования сталкиваются при установке-переустановке операционной системы. Иногда перед использованием диска его нужно отформатировать, создать на свободном месте раздел с определенной файловой системой. Для этого предназначена ключевой компонент программы GParted . Разработчик рекомендует для обработки файловых систем NTFS и FAT использовать соответственно утилиты Ntfsprogs и Dosfstools . Работа с разделами диска Windows 10, ранних ее версий производится также, как и с другими операционными системами (Linux или Mac OS).

Изменение разделов производится двумя способами. Если нужно увеличить объем, это происходит за счет незанятого пространства — неразмеченной области. Не занятое пространство раздела можно отделить от него, сократив объем.

Копирование (клонирование) разделов помогает быстро перенести большие объемы данных, создать работоспособную копию операционной системы или скопировать флешку. С утилитой Partition Image копируются файлы и папки раздела, а также его структура и файловая система.

Отдельные функции Parted Magic помогают восстановить утраченную и ошибочно удаленную информацию. TestDisk — та часть программы, которая часто «спасает» даже загрузочные сектора.

Использование программы

Уяснив возможности, которыми обладает Parted Magic, как пользоваться ею — будет легко разобраться. Пользование PM состоит из трех этапов.

Предварительно программа для работы с разделами жесткого диска устанавливается на флешку или другой накопитель. Для этого ее достаточно смонтировать на носитель из файла-образа с помощью любой подходящей программы. Она требует небольшого пространства, как и предыдущие версии программы — около 500 МБ. Таким образом PM можно установить даже на обычный CD, если такая необходимость есть. Существует возможность запускать программу из сетевого хранилища или носителя. Для персонального компьютера все же лучше использовать диск, потому что флешка не всегда определяется, а сетевые ресурсы могут быть недоступны.

На втором этапе диск или флешка с программой подключаются к компьютеру, который следует перезагрузить или просто включить, предварительно изменив настройки в . После запуска программы начинается непосредственная обработке разделов.


На третьем этапе работать с PM достаточно просто:

  • программа имеет понятный и доступный интерфейс, доступ к каждой отдельной утилите осуществляется с главного окна;
  • в настройках при загрузке сразу же можно изменить язык на русский или любой другой, корректировать режим использования и нагрузки ресурсов компьютера (RAM);
  • при работе программы, записанной на CD, она полностью выгружается в память компьютера; это удобно, поскольку дисковод освобождается для дальнейшей работы с другими гибкими дисками.

Получив после всех действий нужный результат можно с облегчением вздохнуть. Использование такого надежного инструмента как Parted Magic поможет быстро и качественно выполнить любую работу с разделами дисков.

В следующей статье расскажу о том, как изменить размер раздела с помощью Parted Magic.

MBSA - программа, предназначенная для управления патчами на компьютерах, иcпользующих ОС Windows. MBSA упрощает жизнь администратору, позволяя сканировать множество компьютеров и находить в нем "недопатченные" экземпляры, создавать удобные отчеты и автоматизировать стратегию управления патчами. Важным свойством MBSA является то, что эта программа всегда в курсе последних обновлений: она знает все о новых патчах и заплатках к самой системе и основным ее сервисам и приложениям. MBSA был разработан компанией Shavlik Technologies по заказу компании Microsoft. В данной статье мы рассмотрим все возможности MBSA и коснемся его расширенной коммерческой версии Enterprise Inspector.
На наши вопросы отвечает Майк Фэлэнд (Mike Fahland), главный инженер по безопасности программного обеспечения компании Shavlik. Далее мы зададим несколько вопросов представителю компании Microsoft.


TanaT : Расскажите в нескольких словах о Shavlik Technologies.

Майк Фэлэнд : Shavlik Technologies - один из ведущих разработчиков продуктов и услуг в сфере информационной безопасности. Штаб-квартира Shavlik Technologies расположена в городе Святого Павла (St. Paul), штат Миннесота, США. Компания помогает IT-специалистам и администраторам управлять системой безопасности предприятия, оценивать уровень защищенности серверов путем сканирования на предмет уязвимостей и устранять найденные проблемы. Чаще всего уязвимости возникают из-за недостатка патчей, уязвимых учетных записей и слабых паролей. Линейка продуктов Shavlik включает HFNetChkPro (промышленный стандарт для решений, позволяющих управлять security-патчами) и Enterprise Inspector (средство инспектирования сети). Эти продукты используются в тысячах компаний по всему миру. Также широко известен MBSA. Его создала тоже наша компания. Shavlik предоставляет не только продукты, а еще и услуги: своевременное обновление ПО, стратегию управления патчами и т.д. С компанией можно связаться по телефону +1 612-331-6737, по e-mail [email protected] или через сайт http://www.shavlik.com .


TanaT : Что означает слово "baseline" в названии "Microsoft Baseline Security Analyzer"? Означает ли это, что MBSA может находить только простейшие уязвимости?

Майк Фэлэнд : "Baseline" обычно определяется как совокупность действий, которые должны быть выполнены на данной технологической платформе для ее адекватной защиты. MBSA находит не только простейшие уязвимости - некоторые проверки являются технически неочевидными.


TanaT : Какие уязвимости может находить MBSA?

Майк Фэлэнд :


Отсутствующие патчи для ОС Windows, IIS, SQL Server, Media Player и Exchange Server.
Еще использующиеся учетные записи с пустыми или слабыми паролями.
Избыточное число учетных записей администратора.
Незащищенные файловые системы.
Уязвимости, связанные с особенностями AutoLogon в Windows.
Разрешение учетной записи гостя.
Настройки для анонимного входа.
Ненужные службы.
Совместно используемые ресурсы.
Проверка, подтверждающая, что аудит и ведение журнала разрешены.
Определение, запущен ли IIS Lockdown.
Проверка, присутствуют ли IIS Sample Applications и виртуальные каталоги (уязвимые и в общем случае вовсе не обязательные).
Проверка, разрешен ли IIS Parent Path.
Проверка всех установленных копий SQL на наличие некоторые общих уязвимостей.
Проверка настроек безопасности для Internet Explorer, Office и Outlook.


TanaT : Расскажите подробнее о некоторых уязвимостях (смотрите текст ниже).

Майк Фэлэнд : EnterpriseInspector и MBSA создают мини-отчет ("что было отсканировано") для каждого отдельного элемента общего отчета. Подробности о любой проверке вы можете получить, щелкнув на соответствующий значок в отчете. Вот несколько примеров.


TanaT : "Избыточное число административных учетных записей".

Майк Фэлэнд : Эта проверка находит и выводит на экран все индивидуальные учетные записи, принадлежащие группе Локальных Администраторов (Local Administrators). Если обнаружено более двух индивидуальных учетных записей администратора, программа составит список учетных записей и пометит их как потенциально уязвимые. Вообще, рекомендуется, чтобы администраторов было как можно меньше, так как они имеют неограниченную власть над компьютером.


TanaT : "Незащищенные файловые системы".

Майк Фэлэнд : Эта проверка определяет, является ли NTFS файловой системой на каждом жестком диске. NTFS - это защищенная файловая система, позволяющая контролировать или ограничивать доступ к отдельным файлам и директориям. Например, если вы захотите сделать доступными ваши файлы для коллег так, чтобы файлы можно было просматривать, но не изменять, то это довольно просто сделать с помощью Списков Контроля Доступа (Access Control Lists), обеспечиваемых NTFS.

Замечание : Проверка будет возможна только тогда, когда диск экспортируется с привилегиями администратора.


TanaT : "Проверка, подтверждающая, что аудит и ведение журнала разрешены".

Майк Фэлэнд : АУДИТ . Эта проверка определяет, разрешен ли аудит на сканируемом компьютере. В Microsoft Windows реализована возможность аудита. Система следит за некоторыми специальными событиями (например, удавшиеся или не удавшиеся попытки входа в систему) и заносит соответствующую информацию о них в журнал системных событий. Проверяя этот журнал, вы можете с легкостью обнаружить злонамеренные действия и уязвимые места в вашей системе безопасности.

ВЕДЕНИЕ ЖУРНАЛА IIS . Эта проверка определяет, разрешено ли ведение журнала в Internet Information Services (IIS) и используется ли W3C Extended Log File Format. IIS ведет журнал, который можно использовать для того, чтобы всегда быть в курсе всех произошедших событий или чтобы контролировать выполнение функций, реализованных в Windows. Журнал регистрации содержит информацию о том, кто посещал ваш узел, что просматривал посетитель и что было просмотрено последним. Вы можете вывести на монитор все попытки (удавшиеся или нет) обращения к вашему web-сайту, виртуальным папкам или файлам (включая события чтения или записи). Вы также можете выбрать, какие именно события проверить для сайта, виртуальных папок или файлов. При постоянном анализе файла журнала вы можете обнаружить области сервера или сайтов, которые могут быть объектом атаки (попытки проникновения в защищенную систему) или вызвать другие проблемы. Можно вести журнал и отдельно для каждого web-сайта, а также выбрать формат файла журнала. Если вы включите ведение журнала, то будут протоколироваться события для всех папок сайта, но слежение за некоторыми директориями вы можете отключить на свое усмотрение.


TanaT : "Проверка, присутствуют ли IIS Sample Applications и виртуальные каталоги (уязвимые и в общем случае вовсе не обязательные)".

Майк Фэлэнд : Эта проверка определяет, запущен ли на сканируемом компьютере Internet Information Services (IIS) Lockdown 2.1, часть Microsoft Security Tool Kit. IIS Lockdown работает, если выключены все лишние возможности IIS, таким образом, для нападающих область, подверженная атаке, может быть уменьшена. При защите web-серверов администратор должен, в первую очередь, использовать инструменты IIS Lockdown.

Замечание : Инструменты IIS Lockdown разработаны для IIS 4.0, 5.0, and 5.1 и не нужны для нового Windows Server 2003 с установленной IIS 6.0. Если же вы перешли от IIS 5.0 к IIS 6.0, тогда lockdown-инструменты следует запустить.


TanaT : "Проверка, разрешена ли IIS Parent Path".

Майк Фэлэнд : Эта проверка определяет, установлена ли ASPEnableParentPaths на проверяемом компьютере. Родительские каталоги в Internet Information Services (IIS) позволяют страницам Active Server Pages (ASP) использовать относительный путь из родительского каталога в текущий (то есть синтаксис вида "..").


TanaT : MBSA разработан для сканирования серверов, не так ли? А домашние пользователи могут его использовать?

Майк Фэлэнд : Домашние пользователи обычно не устанавливают у себя IIS, SQL или Exchange, поэтому данные проверки вообще у них не запустятся. Домашним пользователям нужно следить, чтобы их компьютеры были правильно "пропатчены" и их учетную запись было непросто взломать.


TanaT : Можно ли использовать MBSA для удаленного сканирования? Такого как, например, сканирование портов?

Майк Фэлэнд : MBSA может сканировать все удаленные машины, если имеется доступ к учетной записи администратора. Не нужно устанавливать какое бы то ни было дополнительное ПО на удаленные машины.



TanaT : Я могу сканировать "не мои" компьютеры (то есть те компьютеры, где у меня нет учетных записей) с помощью MBSA?

Майк Фэлэнд : MBSA попытается соединиться со всеми машинами домена или со всеми IP-адресами, которые вы зададите. Если соединение удается, то производится проверка, чтобы установить, обладает ли ваша учетная запись правами администратора на удаленной машине. Если нет, то сканирование не производится.

Майк Фэлэнд : MBSA загружает последнюю информацию о патчах с сайта Microsoft. Если нет доступа в Интернет, то MBSA будет использовать последнюю копию такой информации, которая была загружена из сети или скопирована на машину.


TanaT : Как работает MBSA? Я думаю, что он имеет базу знаний, где хранится вся информация об уязвимостях, сервис паках, заплатках и т. п. В начале MBSA подключается к этой базе и загружает данные. База MBSA (так же, как и антивирусная база) нуждается в регулярном обновлении. Я прав?

Майк Фэлэнд : Как я уже говорил, MBSA использует файлы, содержащие информацию о доступных патчах и об их установке. Microsoft обновляет эти файлы почти каждую неделю.


TanaT : Как вы думаете, почему Microsoft попросила именно Shavlik Technologies разработать MBSA?

Майк Фэлэнд : Shavlik Technologies уже доказала в своем продукте HFNetChk высокий уровень надежности своих технологий сканирования и совместимости. HFNetChk первоначально разрабатывался именно для Microsoft. Этот и другие корпоративные проекты между Shavlik и Microsoft укрепляют совместное сотрудничество.



TanaT : Какая разница между MBSA и Enterprise Inspector?

Майк Фэлэнд : MBSA записывает результаты в XML-файлы на локальный жесткий диск. Вы их можете просмотреть и отсортировать так, как захотите, но проанализировать информацию о домене или всем предприятии не удастся. Также, результаты старой проверки можно очистить только вручную, удаляя XML-файлы.
Shavlik Technologies разработала MBSA конкретно для Microsoft. Enterprise Inspector - это расширенная версия MBSA, которую предлагает уже Shavlik, а не Microsoft. Архитектура клиент-сервер сделала Enterprise Inspector пригодным для работы с большими корпоративными сетями. Также, в Enterprise Inspector больше полностью автоматизированных функций, а создаваемые после проверки отчеты более подробны, чем аналогичные в MBSA.
Shavlik Enterprise Inspector включает также и базу данных для хранения и обработки результатов. Вы можете проверять любое число компьютеров (от нескольких штук до целых доменов и организаций), используя общую базу данных. Помимо простого сканирования на предмет недостающих патчей, Enterprise Inspector совершает несколько других проверок, таких как проверка конфигурации Internet Explorer, Windows Media Player и Office XP. Сервера, использующие IIS, SQL или Exchange, можно проверить на наличие заплаток и проинспектировать конфигурацию этих служб.
Shavlik Enterprise Inspector содержит инструменты для работы с отчетами. Эти инструменты могут создавать отчеты различных видов. Например, можно анализировать безопасность всего предприятия, создавать самые общие отчеты, а также столь подробные отчеты, что можно будет увидеть, какая конкретно машина подвержена какой уязвимости. Также, можно установить, чтобы Enterprise Inspector автоматически удалял старые результаты сканирования из базы данных. Все результаты сканирования и исследования помещаются в запасную базу данных SQL, чтобы можно было впоследствии использовать уже созданные отчеты или создать краткую сводку по вашему требованию.
Каждый отчет Enterprise Inspector содержит "оценку" по 100-бальной шкале, которая отражает общее состояние системы. Чем выше оценка, тем выше уровень безопасности. Оценка ниже 50 говорит о значительной опасности. Многие отчеты содержат общую информацию, показывающую состояние защиты системы за определенный промежуток времени - улучшилось ли оно, ухудшилось или не поменялось.
Инструмент автономного создания отчетов в Enterprise Inspector предоставляет 10 предопределенных, но отлично настраиваемых отчетов. Вот они:

Полный отчет : Как любой хороший отчет, он начинается с красочного графика, на котором изображен обобщенный уровень риска для каждой инспектируемой категории. Другие графики проще, они выражают уровень риска численно для каждой категории или всей системы в целом.

Соответствие между администраторами и конкретным компьютером : Показывает тех администраторов, которые произвели сканирование данной системы.

Соответствие между компьютерами и конкретным администратором : Показывает все системы, которые подверглись сканированию со стороны конкретного администратора. Этот и предыдущий отчеты очень полезны для мониторинга автоматизации и производительности.

Список сканирований : Показывает список всех проведенных сканирований. Отчет может включать информацию о каком-то конкретном диапазоне IP-адресов, отсортирован по типам сканирования, администраторам, датам, доменам или самым "плохим" системам, согласно оценкам, которые выставил Enterprise Inspector.

Подробности о сканировании : Показывает подробности каждого сканирования и те моменты, на которые надо обратить внимание.

Машины с частичным сканированием : Показывает системы, в которых какие-то виды сканирования были отключены. Такие машины могут иметь искусственно завышенную оценку, так как при их сканировании учитываются уязвимости только проинспектированной части системы. Этот отчет выделяет такие системы и указывает на то, что они требуют дальнейшего анализа.

Общая сводка : Показывает машины, отсканированные по каждому домену и средний балл всех систем на данный период. Этот отчет удобен для долгосрочного анализа.

Конкретные особенности : Показывает каждую машину и списки всех выполненных сканирований, включая дату, средний балл и его изменение. Этот отчет полезен для более точного анализа каждой машины.

Соответствие между патчами и конкретным компьютером : Показывает каждую машину и патчи, которые необходимо установить.

Соответствие между компьютерами и определенным патчем : Показывает новые, еще не установленные патчи и машины, на которых они отстутствуют.


TanaT : Enterprise Inspector бесплатен, как и MBSA?

Майк Фэлэнд : Нет. Цена на Enterprise Inspector начинается с $1,199 для лицензии на 50 мест. На 1000 мест Enterprise Inspector стоит $11,299. Плата за ежегодное сопровождение составляет 25% прейскурантной цены.


Отчет, создаваемый Enterprise Inspector



TanaT : Расскажите об Office XP? Может ли он вызвать проблемы в безопасности?

Майк Фэлэнд : В плане уязвимости, такие приложения Microsoft, как Media Player или Office не отличаются от других. Например, любое приложение от любого производителя, которое не проверяет входящие параметры на корректность их длины и значения, может быть подвержено хакерским атакам. Если хакеру удастся использовать уязвимость такого приложения и выполнить свой код, то безопасность всей системы будет скомпрометирована.


TanaT : Вы не могли бы дать несколько рекомендаций администраторам о том, как более эффективно использовать MBSA и EnterpriseInspector.

Майк Фэлэнд : Вот несколько общих рекомендаций, хотя в каждом конкретном случае могут быть свои особенности.

Выделите небольшой набор компьютеров на вашем предприятии. Установите на них новые патчи, исправляющие ошибки в системе безопасности. Перед подключением данного набора компьютеров к общей сети, убедитесь, что все патчи установлены корректно и стабильность работы корпоративных приложений не нарушена. Такие инструменты, как Shavlik HFNetChkPro могут упростить эти процессы.

Перед тем, как установить те или иные патчи на конкретную машину, следует установить самый последний патч на машины из вашей тестовой группы. Только проверив патч таким образом, устанавливайте его на другие компьютеры.

Регулярно сканируйте машины вашего предприятия. Новые security-патчи выпускаются очень часто. Если у вас не будет четкой стратегии управления ними, новые приложения и сервисы смогут легко скомпрометировать конфигурацию ваших систем. Shavlik Enterprise Inspector и Shavlik HFNetChkPro позволяют автоматизировать и упростить процесс управления патчами.

Проверяйте почаще сайт Microsoft, чтобы вовремя отследить новые уязвимости. Подпишитесь на рассылку, чтобы получать уведомления по e-mail о новых патчах. Внедряйте пачти сразу же после того, как убедитесь, что они безопасны, на своих тестовых машинах. База данных Shavlik содержит информацию о самых новых security-патчах, она обновляется каждый час. Используйте HFNetChkPro и вы сможете, всего лишь несколькими кликами мышки, установить новые патчи там, где захотите. Хакеры не успеют даже эксплоит написать, а вы уже все залатаете.


TanaT : Спасибо за интервью.


На наши вопросы отвечает Владимир Мамыкин, менеджер по системам безопасности продуктов Microsoft.


TanaT : Это стандартная практика в Microsoft - заказывать программное обеспечение у сторонних разработчиков типа Shavlik Technologies? Почему Microsoft не обошлась собственными силами?

Владимир Мамыкин : Заказ программного обеспечения у сторонних компаний не является стандартной практикой Microsoft. Однако, как и каждая успешная компания, Microsoft выбирает оптимальные способы получения максимального результата при минимальных затратах. В случае заказа разработки Microsoft Baseline Security Analyzer, по-видимому, было решено, что оптимально заказать ее у внешнего разработчика - компании Shavlik Technologies, чем делать ее самостоятельно. Во многом это было обусловлено и тем, что MBSA не является базовым продуктом, он обеспечивает дополнительные сервисные функции по мониторингу безопасности сети и рабочего места.
Приобретение в собственность или лицензирование сторонних продуктов является обычной практикой для многих компаний. Это связано с тем, что наш мир становится все более и более миром узких специалистов. Поэтому невозможно все делать одинаково хорошо. Например, используемый в продуктах Microsoft модуль правописания на русском языке был разработан сторонней российской компанией. В ISA Server используются средства обнаружения вторжений, лицензируемые у лидера таких продуктов компании ISS. Мы сами делаем только то, что по нашему мнению делаем лучше других. Такая специализация - только на пользу потребителям.


TanaT : MBSA является частью инициативы Trustworthy Computing?

Владимир Мамыкин : Да, MBSA является частью реализации стратегии построения защищенных информационных систем (Trustworthy Computing). Стратегия построения защищенных информационных систем состоит из обеспечения безопасности таких систем, обеспечения их надежности и обеспечения деловой добросовестности поставщика таких систем. Обеспечение безопасности в свою очередь состоит из построения безопасной архитектуры, обеспечения безопасных настроек систем по умолчанию, обеспечения безопасной каждодневной работы с системой, и из отлаженного взаимодействия с потребителями и партнерами. Так как MBSA обеспечивает ряд дополнительных функций по проверке безопасной конфигурации системы, то этот продукт является частью обеспечения безопасной работы с системой.


TanaT : Как часто, на ваш взгляд, требуется производить проверку системы с помощью MBSA?

Владимир Мамыкин : Так как MBSA пользуется при своей работе постоянно обновляемой базой данных по выявленным уязвимостям, то продуктом надо пользоваться регулярно.
Для системного администратора сети использование MBSA должно производиться после изменения любых настроек в сети, включая добавление/удаление пользователей и изменения их ролей. Необходимо использовать MBSA после установки нового ПО и updates. Но раз в неделю мы рекомендуем запускать MBSA, даже если все параметры сети остались прежними - для проверки соответствия вашей сети безопасным параметрам в обновляемой базе данных.
Для частного пользователя рекомендации те же, за исключением того, что при неизменности настроек компьютера MBSA надо запускать раз в месяц.


TanaT : Вы можете дать какие-нибудь рекомендации по эффективному использованию MBSA?

Владимир Мамыкин : Рекомендации по частоте использования MBSA описаны в предыдущем пункте. Процедуры проверки подробно приведены у нас на сайте . Для более эффективного использования MBSA надо более тщательно настраивать саму систему под ваши нужды. Например, если вы в описании ролей обяжете использовать сложные пароли для входа в систему, то пользователи не смогут пользоваться простыми паролями, и MBSA будет выдавать сообщения, что с паролями все нормально. Но если вы разрешите пользователям использовать легкие для взлома пароли, то, не смотря на предупреждения MBSA о слабых паролях, нарушений в вашей системе с точки зрения вашей политики нет. Для повышения безопасности более тщательно определяйте роли пользователей, а MBSA будет следить за их выполнением.


TanaT : На ваш взгляд, MBSA рассчитан на использование администраторами серверов, или и домашние пользователи могут найти ему хорошее применение?

Владимир Мамыкин : Это очень хороший продукт для частных пользователей, особенно если они используют дома Интернет. Мы об этом уже говорили выше.


TanaT : Что планируется изменить или улучшить в будущих версиях MBSA?

Владимир Мамыкин : В настоящий момент MBSA имеет только англоязычный интерфейс. Со временем планируется сделать интерфейс мультиязычным.
Что касается потребительских качеств, то продукт развивается. Например, в новой версии V1.1.1 добавлена работа с Windows Server 2003.


TanaT : Спасибо, что согласились ответить на наши вопросы.