Strumenti per l'analisi
della Sicurezza: MBSA
Fabrizio Grossi
Cronologia delle minacce
Segnalazione Sviluppo
vulnerabilità
patch
Rilascio bollettino
sulla sicurezza e patch
Decodifica
patch
Nessuna
minaccia
Creazione
worm/virus
Nessuna
minaccia
Nessuna
minaccia
Solo
Microsoft
e la parte
segnalante
sono a
conoscenza
della
vulnerabilità
Solo
Vulnerabilità Informazioni
Microsoft
di dominio
per lo
e la parte
pubblico ma sfruttamento
segnalante
informazioni disponibili ma
sono a
per sfruttarla virus/worm
conoscenza non disponibili
non
della
disponibile
vulnerabilità
Corsa contro il tempo
per proteggere e dotare
di patch i sistemi prima
dell'attacco
Nessuna
minaccia
Diffusione
worm/virus
Nessuna
minaccia
Minaccia
Virus/worm
disponibile
ma non
diffuso
Virus/worm
diffuso;
sistemi non
protetti/privi
di patch
infettati
Criteri di valutazione della
gravità utilizzati da Microsoft
Livello gravità
Critico
Importante
Moderato
Basso
Definizione
La vulnerabilità consente la propagazione di un worm
su Internet come Code Red o Nimda senza l'intervento
dell'utente
La vulnerabilità consente la compromissione della
riservatezza, dell’integrità o della disponibilità dei dati
utente, oppure dell'integrità e della disponibilità delle risorse
di elaborazione
La vulnerabilità è grave, ma il rischio attenuato in misura
notevole da fattori quali la configurazione predefinita, il
controllo, la necessità di un'azione dell'utente o la difficoltà
di sfruttamento
La vulnerabilità è estremamente difficile da sfruttare
o l'impatto è minimo
Ricerca nei bollettini sulla sicurezza di TechNet:
http://www.microsoft.com/technet/security/current.asp
(in lingua inglese)
Soluzione di gestione
delle patch
Tipo di cliente

Scenario
Scelte del cliente
Piccola impresa
Da uno a tre server Windows e un
amministratore IT
SUS
Media o grande
impresa
Desidera una soluzione di gestione delle patch
con livello base di controllo con aggiornamento
di Windows 2000 a versioni più recenti
SUS
La soluzione di gestione delle patch
include:


MBSA
Software Update Services (SUS)
Vantaggi di MBSA



Identificazione automatica di patch
di protezione mancanti e problemi
di configurazione della protezione
Possibilità per l'amministratore
di analizzare centralmente un gran
numero di sistemi
Compatibilità con un'ampia gamma
di software Microsoft
Funzionamento di MBSA
1. Eseguire MBSA sul sistema con
accesso come amministratore
e specificare le destinazioni
2. Scarica il file CAB
contenente MSSecure.xml
e ne verifica la firma digitale Area di download
di Microsoft
3. Ricerca sistema operativo,
MSSecure.xml
componenti del sistema
operativo e applicazioni
nei sistemi di destinazione
4. Analizza il file
MSSecure.xml per
verificare la disponibilità
di aggiornamenti
5. Verifica l'eventuale
mancanza di
aggiornamenti richiesti
6. Generato un report sugli
aggiornamenti mancanti
con data e ora
Computer
MBSA
Il file MSSecure.xml contiene
 Nomi dei bollettini sulla
sicurezza
 Aggiornamenti specifici per
i prodotti
 Informazioni su versione
e checksum
 Chiavi di registro modificate
 Numeri degli articoli della
Knowledge Base
Opzioni predefinite di analisi di
MBSA

Interfaccia utente grafica di MBSA
(applicazioni Windows)

Utilizza -baseline, -v, -nosum




Interfaccia della riga di comando di MBSA
(mbsacli.exe)

Utilizza -sum



-baseline si allinea con gli aggiornamenti di protezione critica
di Windows Update
Commenti e avvisi ancora visualizzati per impostazione predefinita
Verifiche checksum non eseguite (corrispondenza con WU)
Verifiche checksum eseguite
Commenti e avvisi ancora visualizzati per impostazione predefinita
Analisi HFNetChk (mbsacli.exe /hf)

Utilizza -sum


Verifiche checksum eseguite
Commenti e avvisi ancora visualizzati per impostazione predefinita
Modalità di utilizzo di MBSA
1.
2.
3.
4.
5.
6.
7.
8.
Scaricare e installare MBSA
(solo una volta)
Avviare MBSA
Selezionare i computer da analizzare
Selezionare le opzioni relative
Fare clic su Start scan (Avvia analisi)
Rivedere l'elenco di aggiornamenti per
la protezione di Windows
Fare clic sul collegamentoResult details
(Dettaglio risultati).
Rivedere l'elenco di aggiornamenti
mancanti
Dimostrazione 2
Utilizzo di Microsoft Baseline
Security Analyzer
Analisi di un sistema utilizzando
la GUI Utilizzo delle opzioni della riga
di comando
View/Application Share: Demo
MBSA 1.2.1

[PlaceWare View/Application Share. Use PlaceWare > Edit
Slide Properties... to edit.]
Considerazioni su MBSA

MBSA ricerca potenziali vulnerabilità relative a:








Password

Account utente

Configurazione


Servizi
Enumerazioni Anonymous
IIS
Aree di Internet Explorer
Macro Office
Protezione di Outlook
Vengono visualizzati messaggi per patch di cui
MBSA non è in grado di confermare
l'installazione
MBSA controlla una chiave di registro solo
per verificare la presenza della patch
Non sono disponibili dati di patch per
aggiornamenti che non riguardano la protezione
Vantaggi di SUS

Controllo della gestione di patch
e aggiornamenti per gli amministratori




Compatibilità con i criteri di gruppo* per impedire
l'installazione di aggiornamenti di Windows Update
non approvati
Possibilità di gestione temporanea e test prima
dell'installazione
Semplificazione e automazione degli aspetti
chiave del processo di gestione delle patch
Aggiornamento dei sistemi supportati più
agevole e riduzione dei rischi di protezione
Nota: l'utilizzo di SUS non richiede l'implementazione
di Active Directory o Criteri di gruppo.
Funzionamento di SUS
1.
Il server SUS scarica
gli aggiornamenti
2.
L'amministratore rivede,
valuta e approva gli
aggiornamenti
3.
Approvazioni e aggiornamenti
vengono sincronizzati con
i server SUS figlio
4.
AU ottiene l'elenco degli
aggiornamenti approvati
dal server SUS
5.
AU scarica gli aggiornamenti
approvati dal server SUS o
Windows Update
6.
AU avvisa l'utente della
disponibilità di aggiornamenti
o li installa automaticamente
7.
AU registra la cronologia
di installazione
Servizio
Windows
Update
Servizio
Windows
Update
Firewall
Limitazioni della
larghezza di banda
Server
SUS figlio
Server
SUS padre
Limitazioni
dellalarghezza
di banda
Server
SUS figlio
Limitazioni
della
larghezza
di banda
Integrazione di MBSA e SUS


MBSA è in grado di analizzare
aggiornamenti di protezione e confrontarli
con quelli approvati su un server SUS
specificato
Esecuzione della riga di comando


mbsacli.exe /sus http://mysusserver
mbsacli.exe /hf /sus http://mysusserver
Considerazioni su SUS





Supporta solo aggiornamenti per Windows 2000
o sistemi operativi superiori
Non prevede la distribuzione di patch verso
computer specifici (targeting)
Il client SUS deve essere configurato per il pull
degli aggiornamenti dal server SUS
Registrazione dello stato di installazione
centralizzato su server Web, ma assenza
di report predefiniti
È possibile utilizzare più server SUS per rendere
disponibili diversi set di aggiornamenti
approvati a gruppi di computer client
Metodologie ottimali
Implementare un processo di gestione delle patch
Scegliere una soluzione di gestione delle patch
corrispondente alle esigenze dell'organizzazione
Sottoscrivere il servizio di notifica di protezione
di Microsoft
Utilizzare l'assistenza e le risorse di Microsoft
Tenere aggiornato il sistema
Ulteriori informazioni

Sito Microsoft dedicato alla protezione
(per tutti gli utenti)


Sito TechNet dedicato alla protezione
(per professionisti IT)


http://www.microsoft.com/italy/security/default.mspx
http://www.microsoft.com/technet/security
(in lingua inglese)
Sito MSDN dedicato alla protezione
(per sviluppatori)

http://msdn.microsoft.com/security
(in lingua inglese)
© 2003 Microsoft Corporation.
Questa sessione è esclusivamente a scopo informativo.