Introducción a la seguridad Informática 2 - (4-5)

Microsoft Baseline Security Analyzer

Microsoft Baseline Security Analyzer (MBSA) es una herramienta que puede ayudarnos a determinar el estado de seguridad de una infraestructura de acuerdo con las recomendaciones de seguridad de Microsoft y ofrece orientación precisa sobre soluciones. Pude detectar errores de configuración de seguridad habituales e identificar las actualizaciones que faltan en nuestros sistemas.

Basado en la infraestructura de Windows Update Agent y Microsoft Update, MBSA asegura coherencia con otros productos de administración de Microsoft, incluidos Microsoft Update (MU), Windows Server Update Services (WSUS), Systems Management Server (SMS), System Center Configuration Manager (SCCM) 2007 y Small Business Server (SBS).

MBSA tienes 2 tipos de escaneos, single host y multiple hosts. Single host da al usuario la posibilidad de escanear el propio equipo dónde reside MBSA o un equipo remoto siempre y cuando dispongamos de las credenciales necesarias. En un dominio este tipo de análisis se haría con credenciales de alto privilegio para que MBSA se pudiera ejecutar y realizar un escaneo de todas las máquinas de una empresa o de un subgrupo, esto se realizaría con el modo multiple hosts.

MBSA puede realizar una comprobación en la configuración de seguridad de la máquina basándose en la recomendación de Microsoft para este aspecto. Las siguientes opciones pueden ser chequeadas por la herramienta en busca de una mala configuración:

Windows Administrative Vulnerabilities. Evalúa las posibles vulnerabilidades que pueden existir al nivel de servicios administrativos de Windows.

Algunas de las cosas que se comprueban son:

• Búsqueda de actualizaciones de seguridad y Service Pack no instalados.
• Búsqueda de usuarios con contraseña caducada.
• Comprobación del sistema de archivos empleado en cada unidad (FAT32, NTFS...).
• Determinar si la característica de acceso automático al sistema (autologon) se encuentra activada.
• Determinar si la cuenta de invitado se encuentra activada.
• Chequeo acerca de la restricciones sobre conexiones anónimas (RestrictAnonymous).
• Enumeración de los usuarios en el grupo de administradores.
• Búsqueda de contraseñas vacías o extremadamente débiles.
• Búsqueda de servicios innecesarios.
• Comprobaciones sobre unidades y carpetas compartidas.
• Chequeo acerca del registro de la actividad del sistema (auditing).

IIS Administrative Vulnerabilities. Evalúa posibles vulnerabilidades que pueden existir en Internet Information Services (IIS).
Algunas de las cosas que se comprueban son:

• Determinar si la herramienta IISLockdown se ejecutó en el sistema.
• Búsqueda de scripts y aplicaciones de ejemplo añadidas durante la instalación.
• Determinar si la característica Parent Paths se encuentra activada.
• Búsqueda de actualizaciones de seguridad de IIS no instaladas.
• Comprobaciones acerca de la carpeta virtual IISAdmin.
• Comprobaciones acerca de las carpetas virtuales MSADC y Scripts.
• Chequeo acerca del registro de la actividad de los servicios de IIS.
• Pruebas para determinar si se está ejecutando IIS en un controlador de dominio.

SQL Administrative Vulnerabilities. Evalúa posibles vulnerabilidades que pueden existir en MS SQL Server.
Algunas de las cosas que se comprueban son:

• Comprobar si el grupo de administradores forma parte del rol sysadmin.
• Comprobar si CmdExec se encuentra disponible únicamente para sysadmin.
• Determinar si MSSQL se está ejecutando en un controlador de dominio.
• Determinar si la cuenta sa se encuentra disponible.
• Comprobación acerca de los permisos en las carpetas de instalación de MSSQL.
• Determinar si la cuenta de invitado dispone de acceso a los servicios de base de datos.
• Comprobar si el grupo Everyone tiene acceso a claves del registro pertenecientes a MSSQL.
• Determinar si las cuentas de usuario empleadas por los servicios de MSSQL pertenecen al grupo de administradores.
• Búsqueda de contraseñas SQL vacías o extremadamente débiles.
• Búsqueda de actualizaciones de seguridad no instaladas.
• Análisis del tipo de autenticación establecida.
• Enumeración de los miembros del rol sysadmin

Configure Computers for Microsoft Updates and Scanning Prerequisities. Activa actualizaciones e instalación de “parches” en los equipos a escaner previo al escaneo definitivo.

Estos reportes finales podrán ser almacenados a modo de histórico y ser consultados en cualquier momento.

A continuación podemos ver una captura de pantalla de la interfaz de MBSA: