Preview only show first 10 pages with watermark. For full document please download

Manual Mbsa

Utilización de la herramienta MBSA.A través de la interfaz gráfica como de la línea de comando se puede chequear a grandes rasgos los siguient...

   EMBED

  • Rating

  • Date

    October 2018

  • Size

    267.5KB

  • Views

    1,866

  • Categories

    Documents

Share

Transcript

2. Utilización de la herramienta MBSA. A través de la interfaz gráfica como de la línea de comando se puede chequear a grandes rasgos los siguientes temas: - Chequeo de vulnerabilidades del sistema operativo Windows - Chequeo de contraseñas - Chequeo de vulnerabilidades de IIS - Chequeo de vulnerabilidades de SQL - Chequeo de actualizaciones de seguridad Entrando más en detalle se podrá analizar: Entre las vulnerabilidades del sistema operativo que se pueden llegar a encontrar se encuentran por ejemplo la cantidad de miembros dentro del grupo de administradores locales del equipo, el sistema de archivos utilizado, si el Firewall esta activo o no, etc. Respecto a las contraseñas se analizará la presencia de cuentas con contraseña en blanco y otros inconvenientes. Los chequeos de vulnerabilidad de IIS darán una idea de los riesgos y de la misma forma para el caso de un servidor SQL. Una aclaración al respecto de SQL es que si este se encuentra en una configuración de nodos aparecerán algunas advertencias y/o errores respecto a los miembros administradores, las cuentas de invitado y el chequeo de las contraseñas de las cuentas. Seleccionando para realizar un chequeo de las actualizaciones de Windows y el producto de Office se tendrá las siguientes opciones: opciones: - Por un lado configurar los equipos para que realicen ellos mismos el chequeo con los servidores de actualización de Microsoft, agregando el cliente de actualización en caso de no tenerlo. - Realizar el chequeo contra los servidores internos de actualización, a través de esta opción solo se instalarán en el equipo las actualizaciones aprobadas por la empresa. En este caso no se utilizará el sitio de actualización de Microsoft ni algún catálogo que haya sido bajado anteriormente. - Realizar el chequeo contra los servidores de actualización de Microsoft. En este caso se bajará un catálogo para utilizar en la determinación de actualizaciones faltantes. 2.1 Utilización de la interfaz gráfica y chequeo de un equipo 2.1.1 Para acceder la misma (una vez instalado MBSA, ver en las referencias como instalar el producto) hacer clic en el menú de inicio, dentro de programas o todos los programas en el caso de Windows XP. Allí se encontrará un icono llamado “Microsoft Baseline Security Se curity Analyzer 2.0”  2.1.2 Seleccionar realizar el chequeo de un equipo. Figura 1 2.1.3 Seleccionar o escribir el nombre del equipo a chequear o su dirección IP de red. Por defecto el reporte se guardará con el nombre del dominio, del equipo, día y hora y por último existe la posibilidad de agregar dirección IP. (Figura 2) 2.1.4 Seleccionar que tipo chequeo se quiere realizar sobre las diferentes partes del sistema operativo, productos y servicios. Hacer clic en Star Scan para comenzar. Figura 2 2.1.5 Una vez terminado el chequeo aparecerá una pantalla similar a la de la Figura 3. Se podrá revisar cada una de las secciones seleccionadas al realizar la verificación las cuales se detallan en la próxima sección de este documento. Figura 3 2.2 Utilización de la interfaz gráfica y chequeo de más de un equipo 2.2.1 Para acceder la misma (una vez instalado MBSA, ver en las referencias como instalar el producto) hacer clic en el menú de inicio, dentro de programas o todos los programas en el caso de Windows XP. Allí se encontrará un icono llamado “Microsoft Baseline Security Se curity Analyzer 2.0”  2.2.2 Seleccionar realizar el chequeo de más de un equipo. (Figura 4) (Figura 4) 2.2.3 Además de las opciones de chequeo se deberá introducir el nombre del dominio si se va a realizar un chequeo en todo el dominio o bien ingresar el rango de direcciones IP a chequear. En el caso de un entorno donde no haya dominio o bien un entorno mixto será conveniente conveniente utilizar el chequeo a través del rango de direcciones IP. (Figura 5) 2.2.4 Finalizado el chequeo múltiple se deberá seleccionar un equipo de la lista (ver Figura 6) para visualizar el reporte de seguridad. (Figura 6) 2.2 Utilización de la interfaz gráfica y chequeo de más de un equipo El archivo a utilizar se encuentra dentro de la carpeta de programa en “Archivos de Programa” o “Program Files”, de acuerdo al idioma del sistema operativo, dentro de una carpeta llamada “Microsoft Baseline Security Analyzer 2”. Existirá un archivo llamado  “mbsacli.exe”  “mbsacli.exe” que permitirá permitirá realizar realizar similares similares chequeos pero a través de la línea de comando. Los atributos, parámetros y/o opciones del mismo son las siguientes: 2.3.1 Sintáxis 2.3.1.1 Para realizar un chequeo completo de uno o más equipos: MBSACLI [/target {[domain\]computer | IP} | /r IP-IP | /d domain] [/n option[+option...]] [/o template] [/qp] [/qr] [/qe] [/qt] [/q] [/listfile file] [/wa | /wi] [/catalog file] [/nvc] [/nai] [/nm] [/nd] [/u username /p password] 2.3.1.2 Para chequear el equipo local en cuanto a actualizaciones y grabar los resultados en un archivo XML: MBSACLI [/xmlout] [/unicode] [/wa | /wi] [/nd] [/catalog file] 2.3.1.3 Para chequear uno o más equipos solo por actualizaciones y grabar los resultados para ver en MBSA: MBSACLI [/target {[domain]\computer | IP} | /r IP-IP | /d domain] [/n OS+IIS+SQL+Password] [/o template] [/qp] [/qr] [/qe] [/qt] [/q] [/unicode] [/listfile file] [/wa | /wi] [/catalog file] [/nvc] [/nai] [/nm] [/nd] [/u username /p password] 2.3.1.4 Para ver un reporte: MBSACLI [/l] [/ls] [/lr report] [/ld report] [/nvc] 2.3.2 Detalle de cada parámetro 2.3.2.1 Para especificar un equipo. La identificación puede ser usando el nombre, la dirección IP y opcionalmente el dominio:  /target [domain\] [domain\]computer computer | IP : 2.3.2.2 Para especificar un rango de direcciones IP a chequear:  /r IP-IP 2.3.2.3 Para chequear todos los equipos de un dominio especificado:  /d domain domain 2.3.2.3 Con el siguiente parámetro no se realizan ciertos chequeos según la siguiente nomenclatura (Se pueden especificar más de una exclusión con el signo “+”): - OS (No chequea vulnerabilidades administrativas de Windows) - SQL (No chequea vulnerabilidades de SQL) - IIS (No chequea vulnerabilidades vulnerabilidades de IIS) II S) - Password (No revisa vulnerabilidades de contraseñas)  /n option[+option. option[+option...] ..] 2.3.2.4 Para Especificar el parámetro del nombre con el que se guardará el reporte. Se pueden usar los siguientes modificadores: - %d% (Agrega el nombre del dominio del equipo) - %c% (Agrega el nombre del equipo) - %t% (Agrega la fecha y hora en que se realizó el chequeo) - %IP% (Agrega la dirección IP del equipo)  /o template template El nombre por defecto es “%d - :%c% (%t%)”. También están disponibles los siguientes modificadores de versiones anteriores: %domain%, %computername%, y %date%. 2.3.2.5 No muestra el progreso del chequeo /qp 2.3.2.6 No muestra la lista de reportes /qr 2.3.2.7 No muestra la lista de errores /qe 2.3.2.8 No muestra ninguna salida de texto luego del chequeo de un equipo /qt 2.3.2.9 No muestra ninguna salida de las opciones anteriores /q 2.3.2.10 Realiza un chequeo de los equipos descriptos en un archivo “file”. El argumento es ruta, nombre y extensión del mismo y debe estar en formato ASCII o Unicode, conteniendo en él la lista de nombres de equipo o direcciones IP. Cada uno de estos nombres o IP deben estar en líneas de texto separadas /listfile file 2.3.2.11 Solo chequea el equipo local respecto a las actualizaciones y devuelve el reporte en modo XML. Para grabar el reporte se usa “mbsacli /xmlout > output.xml” /xmlout 2.3.2.12 Chequea solo las actualizaciones aprobadas por el servidor de actualizaciones asignado en el equipo. No se utiliza WindowsUpdate y el catálogo fuera de línea /wa 2.3.2.13 Lo contrario a la opción anterior, usa los servidores WindowsUpdate o el catálogo fuera de línea /wi 2.3.2.14 Especifica donde ir a buscar el catalogo fuera de línea. Este debe estar firmado por Microsoft. El nombre defecto del catálogo es Wsusscan.cab y es bajado desde la pagina de Microsoft /catalog file 2.3.2.15 No chequea versiones nuevas de la herramienta MBSA /nvc 2.3.2.16 No instala ni actualiza el agente de actualizaciones de Windows en el equipo a chequear. Puede ser usado para no recibir un error de chequeo incompleto en los equipos sin el instalador de Windows versión 3.0 cuando se chequea Microsoft Office y otros productos que lo requieren /nai 2.3.2.17 Chequea el equipo con la copia fuera de línea del catalogo. Para esto previamente se tuvo que haber bajado al menos una vez el catálogo /nm 2.3.2.18 No descarga ningún archivo desde el sitio de Microsoft. Usando este parámetro no descargara Wsusscan.cab, Muauth.cab, WindowsUpdateAgent20-x86.exe y WindowsUpdateAgent20-x64.exe. MBSA utilizará si tiene disponible el cache local del equipo  /nd 2.3.2.19 Especifica el usuario y contraseña utilizado para el chequeo remoto de un equipo. Para no enviar la contraseña en texto plano MBSA utilizará el mecanismo de desafíorespuesta de Windows para proteger la autenticación /u username /p password 2.3.2.20 Muestra todos los reportes disponibles /l 2.3.2.21 Muestra todos los reportes disponibles ordenados desde el más reciente al más antiguo /ls 2.3.2.22 Muestra el reporte especificado en forma básica /lr report 2.3.2.23 Muestra el reporte especificado en forma detallada /ld report 2.3.2.24 Genera un reporte con caracteres Unicode. Los usuarios con equipos japoneses y MBSA o que ejecutan una versión Japonés de Windows pueden usar este parámetro. 2.3.2.25 Este tipo de herramientas de línea de comando son muy útiles para realizar automatizaciones de chequeo o elaboración de informes de estado.