Strumenti per l'analisi della Sicurezza: MBSA Fabrizio Grossi Cronologia delle minacce Segnalazione Sviluppo vulnerabilità patch Rilascio bollettino sulla sicurezza e patch Decodifica patch Nessuna minaccia Creazione worm/virus Nessuna minaccia Nessuna minaccia Solo Microsoft e la parte segnalante sono a conoscenza della vulnerabilità Solo Vulnerabilità Informazioni Microsoft di dominio per lo e la parte pubblico ma sfruttamento segnalante informazioni disponibili ma sono a per sfruttarla virus/worm conoscenza non disponibili non della disponibile vulnerabilità Corsa contro il tempo per proteggere e dotare di patch i sistemi prima dell'attacco Nessuna minaccia Diffusione worm/virus Nessuna minaccia Minaccia Virus/worm disponibile ma non diffuso Virus/worm diffuso; sistemi non protetti/privi di patch infettati Criteri di valutazione della gravità utilizzati da Microsoft Livello gravità Critico Importante Moderato Basso Definizione La vulnerabilità consente la propagazione di un worm su Internet come Code Red o Nimda senza l'intervento dell'utente La vulnerabilità consente la compromissione della riservatezza, dell’integrità o della disponibilità dei dati utente, oppure dell'integrità e della disponibilità delle risorse di elaborazione La vulnerabilità è grave, ma il rischio attenuato in misura notevole da fattori quali la configurazione predefinita, il controllo, la necessità di un'azione dell'utente o la difficoltà di sfruttamento La vulnerabilità è estremamente difficile da sfruttare o l'impatto è minimo Ricerca nei bollettini sulla sicurezza di TechNet: http://www.microsoft.com/technet/security/current.asp (in lingua inglese) Soluzione di gestione delle patch Tipo di cliente Scenario Scelte del cliente Piccola impresa Da uno a tre server Windows e un amministratore IT SUS Media o grande impresa Desidera una soluzione di gestione delle patch con livello base di controllo con aggiornamento di Windows 2000 a versioni più recenti SUS La soluzione di gestione delle patch include: MBSA Software Update Services (SUS) Vantaggi di MBSA Identificazione automatica di patch di protezione mancanti e problemi di configurazione della protezione Possibilità per l'amministratore di analizzare centralmente un gran numero di sistemi Compatibilità con un'ampia gamma di software Microsoft Funzionamento di MBSA 1. Eseguire MBSA sul sistema con accesso come amministratore e specificare le destinazioni 2. Scarica il file CAB contenente MSSecure.xml e ne verifica la firma digitale Area di download di Microsoft 3. Ricerca sistema operativo, MSSecure.xml componenti del sistema operativo e applicazioni nei sistemi di destinazione 4. Analizza il file MSSecure.xml per verificare la disponibilità di aggiornamenti 5. Verifica l'eventuale mancanza di aggiornamenti richiesti 6. Generato un report sugli aggiornamenti mancanti con data e ora Computer MBSA Il file MSSecure.xml contiene Nomi dei bollettini sulla sicurezza Aggiornamenti specifici per i prodotti Informazioni su versione e checksum Chiavi di registro modificate Numeri degli articoli della Knowledge Base Opzioni predefinite di analisi di MBSA Interfaccia utente grafica di MBSA (applicazioni Windows) Utilizza -baseline, -v, -nosum Interfaccia della riga di comando di MBSA (mbsacli.exe) Utilizza -sum -baseline si allinea con gli aggiornamenti di protezione critica di Windows Update Commenti e avvisi ancora visualizzati per impostazione predefinita Verifiche checksum non eseguite (corrispondenza con WU) Verifiche checksum eseguite Commenti e avvisi ancora visualizzati per impostazione predefinita Analisi HFNetChk (mbsacli.exe /hf) Utilizza -sum Verifiche checksum eseguite Commenti e avvisi ancora visualizzati per impostazione predefinita Modalità di utilizzo di MBSA 1. 2. 3. 4. 5. 6. 7. 8. Scaricare e installare MBSA (solo una volta) Avviare MBSA Selezionare i computer da analizzare Selezionare le opzioni relative Fare clic su Start scan (Avvia analisi) Rivedere l'elenco di aggiornamenti per la protezione di Windows Fare clic sul collegamentoResult details (Dettaglio risultati). Rivedere l'elenco di aggiornamenti mancanti Dimostrazione 2 Utilizzo di Microsoft Baseline Security Analyzer Analisi di un sistema utilizzando la GUI Utilizzo delle opzioni della riga di comando View/Application Share: Demo MBSA 1.2.1 [PlaceWare View/Application Share. Use PlaceWare > Edit Slide Properties... to edit.] Considerazioni su MBSA MBSA ricerca potenziali vulnerabilità relative a: Password Account utente Configurazione Servizi Enumerazioni Anonymous IIS Aree di Internet Explorer Macro Office Protezione di Outlook Vengono visualizzati messaggi per patch di cui MBSA non è in grado di confermare l'installazione MBSA controlla una chiave di registro solo per verificare la presenza della patch Non sono disponibili dati di patch per aggiornamenti che non riguardano la protezione Vantaggi di SUS Controllo della gestione di patch e aggiornamenti per gli amministratori Compatibilità con i criteri di gruppo* per impedire l'installazione di aggiornamenti di Windows Update non approvati Possibilità di gestione temporanea e test prima dell'installazione Semplificazione e automazione degli aspetti chiave del processo di gestione delle patch Aggiornamento dei sistemi supportati più agevole e riduzione dei rischi di protezione Nota: l'utilizzo di SUS non richiede l'implementazione di Active Directory o Criteri di gruppo. Funzionamento di SUS 1. Il server SUS scarica gli aggiornamenti 2. L'amministratore rivede, valuta e approva gli aggiornamenti 3. Approvazioni e aggiornamenti vengono sincronizzati con i server SUS figlio 4. AU ottiene l'elenco degli aggiornamenti approvati dal server SUS 5. AU scarica gli aggiornamenti approvati dal server SUS o Windows Update 6. AU avvisa l'utente della disponibilità di aggiornamenti o li installa automaticamente 7. AU registra la cronologia di installazione Servizio Windows Update Servizio Windows Update Firewall Limitazioni della larghezza di banda Server SUS figlio Server SUS padre Limitazioni dellalarghezza di banda Server SUS figlio Limitazioni della larghezza di banda Integrazione di MBSA e SUS MBSA è in grado di analizzare aggiornamenti di protezione e confrontarli con quelli approvati su un server SUS specificato Esecuzione della riga di comando mbsacli.exe /sus http://mysusserver mbsacli.exe /hf /sus http://mysusserver Considerazioni su SUS Supporta solo aggiornamenti per Windows 2000 o sistemi operativi superiori Non prevede la distribuzione di patch verso computer specifici (targeting) Il client SUS deve essere configurato per il pull degli aggiornamenti dal server SUS Registrazione dello stato di installazione centralizzato su server Web, ma assenza di report predefiniti È possibile utilizzare più server SUS per rendere disponibili diversi set di aggiornamenti approvati a gruppi di computer client Metodologie ottimali Implementare un processo di gestione delle patch Scegliere una soluzione di gestione delle patch corrispondente alle esigenze dell'organizzazione Sottoscrivere il servizio di notifica di protezione di Microsoft Utilizzare l'assistenza e le risorse di Microsoft Tenere aggiornato il sistema Ulteriori informazioni Sito Microsoft dedicato alla protezione (per tutti gli utenti) Sito TechNet dedicato alla protezione (per professionisti IT) http://www.microsoft.com/italy/security/default.mspx http://www.microsoft.com/technet/security (in lingua inglese) Sito MSDN dedicato alla protezione (per sviluppatori) http://msdn.microsoft.com/security (in lingua inglese) © 2003 Microsoft Corporation. Questa sessione è esclusivamente a scopo informativo.