برنامج Microsoft Baseline Security Analyzer للحماية الأمنية (MBSA) | مركز التميز لأمن المعلومات-التشغيل التجريبي

برنامج Microsoft Baseline Security Analyzer للحماية الأمنية (MBSA)

البرامج الخبيثة و الإختراق و المخاطر أمن الإنترنت التوعية والتعليم والتدريب في أمن المعلومات

الكاتب: محمد بن عبد الله العريفي

المراجع: خالد الرويلي

ماجد الربيعان

النسخة الأولى

مقدمــة :

تتحمل ميكروسوفت المسؤولية عن عدم وجود الحماية في نظام ميكروسوفت للتشغيل وتطبيقاته الأخرى مما فسح المجال لتعرضها لهجمات الفيروسـات القوية والبرامج التي تنسخ نفسها في الكمبيوتر( الدودة ) . وفي السنوات الأخيرة ، تعهد كل من بيل جيتس و ستيف بالمر وفي عدة مناسبات على إعطاء الأولوية القصوى لأمن وحماية الكمبيوتر في ميكـروسوفت وان تحظى كل منتجات ميكروسوفت بأقصى مستويات الأمان ً. وبالرغم من كل ذلك ، لا تزال أنظمة ميكـروسوفت تتعرض لهذه الفيروسـات التي يتم اكتشافـهـا من حين لآخر.

ولمساعدة مستخدمي و مسئولي ( مدراء ) الكمبيوتر على التعرف على إمكانية تعرض أجهزتهم للهجوم والرقع اللازم تطبيقها لجعل الأجهزة آمنة ((patches ، فقد ابتكرت ميكروسوفت نظاماً يدعى Microsoft Baseline Security Analyzer واختصاره هو MBSA .

ماهو برنامج الحماية MBSA ؟

· إن نظام MBSA هو أداة بسيطة سهلة الاستخدام صممت للمختصين في مجال تكنولوجيا المعلومات وتساعد المؤسسات الصغيرة والمتوسطة الحجم على رصد الجوانب الأمنية في أجهزتها بموجب إرشادات وتوصيات الحماية والأمان من ميكروسوفت. وهذه الأداة أيضا هي بمثابة دليل استرشادي لوضع الحلول. وبإمكانكم تطوير إجراءات إدارة الأمن لديكم من خلال استخدام نظام MBSA من اجل الكشف على أعطال البرامج الأمنية المعتادة وإجراء التحديث بغرض الحماية عندما لا يتوفر مثل هذا التحديث في أنظمة الكمبيوتر لديكم.

· كما أن نظام MBSA هو أداة تقوم بإجراء عملية مسح لنظام التشغيل في الكمبيوتر ومنتجات ميكروسوفت الأخرى للتعرف على الجوانب التي يحتمل أن تتعرض للأعطال وكذلك رصد الأماكن غير السليمة أو الضعيفة.

· يتم تخزين نتائج عملية المسح التي يقوم بها نظام MBSA في تقرير XML ويمكن الاطلاع على هذه النتائج من خلال متصفح الانترنت.

· يقدم التقرير قائمة بالمشاكل التي يتم العثور عليها سواء كانت أخطاء بسبب الترتيب أو رقع مفقودة وعدم القيام بتحديث الكمبيوتر. والأهم من ذلك، يشتمل التقرير على إرشادات حول كيفية إصلاح المشكلة بشكل تام مع روابط تتعلق بالمعلومات الخاصة بذلك وتنزيل الملفات.

المنتجات التي تستفيد من نظام الحماية MBSA

· فيما يلي المنتجات التي تستفيد من نظام MBSA2.0 للحماية وهي :

§ Windows 2000+ SP3 and later

§ Office XP+ and later

§ Exchange 2000+ and later

§ SQL Server 2000 SP4+

§ DirectX

§ NET Framework

§ Windows Messenger

§ FrontPage Server Extensions

§ Windows Media Player 10

§ Windows Script 5.1, 5.5, 5.6

§ Windows Server 2003, 64-Bit Edition

§ Windows XP 64-Bit Edition

§ Windows XP Embedded Edition

§ Outlook Express

· أما المنتجات التالية التي تستفيد من نظام الحماية MBSA1.2.1 فلن تتوفر مباشرة لدى ميكروسوفت update ، ولذلك ، لا يستطيع نظام الحماية 2.0 إجراء مسح لها(scanning) :

§ Microsoft BizTalk Server 2000, 2002 and 2004

§ Microsoft Commerce Server 2000 and 2002

§ Microsoft Content Management Server 2001 and 2002

§ Microsoft Host Integration Server 2000, 2004 and SNA Server 4.0

§ Microsoft Office 2000

· يعمل نظام 2.0MBSA على إجراء المسح لنقاط الضعف وكذلك إجراء تحديثات الأمن المفقودة لمختلف منتجات ميكروسوفت.

متطلبات النظام:

o يمكن تحميل نظام MBSA وتشغيله على

Microsoft Windows 2000 Service Pack 3 or later, Windows XP Home Edition, Windows XP Professional, and Windows Server 2003.

كما يمكن تشغيل MBSA على الشبكة لإجراء مسح لأجهزة الكمبيوتر التي تشغل

Microsoft Windows 2000 Server, Windows 2000 Workstation, Windows XP Professional, Windows XP Embedded and Windows Server 2003

o إن عامل تحديثات ويندوز(Windows Update Agent ) هو متطلب أساسي لإجراء عملية المسح بغرض تحديث البيانات لحمايتها ، ولا يعمل نظام MBSA2.0 على

Windows NT 4.0 , Windows95,98 or me systems

o كما يمكن إجراء مسح لنظام تشغيل Windows x64 لأغراض التحديث فقط ( وليس لأغراض الحماية من التعرض لفيروسات ) . أما Windows XP Embedded و windows IA64 فيمكن إجراء المسح لهما عن بعد لأغراض التحديث ( وليس محلياً ) . أما Windows 2000 Datacenter ليس مدعوم من قبل Windows Update Agent.

الخدمات والمنافذ المطلوبة :

إن الخدمات المطلوبة هي خدمة التسجيل عن بٌعد (Remote Registry) وخدمة Server و خدمة Workstation ، وخدمة المشاركة في طباعة الملفات ، وخدمة التحديث التلقائي . يتم تنزيل ملف wsusscan.cab من موقع شبكة ميكروسوفت . ويتم إجراء مسح للكمبيوتر عن بعد من خلال استخدام منافذ TCP ports 135, 139 , 445 . وفي الوسط المتعدد النطاق حيث وجود الحاجز الناري ( firewall ) أو filtering router لفصل كلا الشبكتين ، ومنافذ TCP ports 135, 139 , 445 وUDP ports 137 , 138 يجب أن تكون مفتوحة لتمكين برنامج MBSA من الاتصال والتحقق من جهاز الكمبيوتر الذي يتم أجراء المسح له .

الفرق بين MBSA2.0 و MBSA1.2.1 :

MBSA2.0 و MBSA1.2.1 يدعمون نفس المنتجات لمراقبة عمليات أمن الترتيب (security configuration checks). ومن اجل الاطلاع على تحديث الحماية ، يعمل MBSA على توفير الدعم والحماية لكافة المنتجات التي يدعمها ميكروسوفت update . ونظرا لعدم إضافة بعض المنتجات إلى ميكروسوفت update ، فان التحديث لهذه المنتجات غير متوفر حتى الآن. ومع مرور الوقت سيتم توفير الدعم لجميع منتجات ميكروسوفت من خلال ميكروسوفت update و MBSA2.0. ولن تتم إضافة منتجات جديدة MBSA1.2.1 ولم يقدم إليها الدعم مرة أخرى وينبغي على جميع العملاء تحديث برنامج MBSA إلى النسخة MBSA2.0 .

الفرق بين MBSA و مايكروسوفت update :

إن ميكروسوفت Update هو موقع في شبكة الانترنت يستطيع إجراء مسح لجهاز الكمبيوتر والكشف عن التحديث المفقود أو اللازم وتحميل هذا التحديث كمجموعة. ويستطيع نظام MBSA إجراء المسح لأجهزة كمبيوتر متعددة في آن واحد وذلك من خلال البحث عن بيانات التحديث المفقودة أو اللازمة لهذه الأجهزة .

ملاحظة : ميكروسوفت update يقدم أيضاً للمستخدمين تحديث البيانات التي لا تتعلق بجانب الحماية مثل بيانات التحديث الدقيقة وبيانات التحديث الاختيارية . ولا يقدم نظام MBSA مثل هذا التحديث فيما لا يتعلق في جانب الحماية.

استخدام MBSA :

· يتطلب المسح الأولي الاتصال بالانترنت إذ يقوم نظام MBSA بتنزيل كتالوج بيانات التحديث من موقع ميكروسوفت على الانترنت على شكل مجموعة ملفات تدعى wsusscan.cab.

· يجب أن يكون عندك صلاحيات أدارية محلية في جهاز الكمبيوتر المراد إجراء المسح له .

· تنزيل و تحميل برنامج MBSA من مايكروسوفت .

· النقر بالفارة مرتين لفتح MBSA والنقر على عبارة " Scan Computer". وينبغي التأكد من الخيارات التالية : تأكدوا من مخاطر الهجمات بالفيروسات على ويندوزAdministrative ، تأكدوا من كلمات المرور الضعيفة ، تأكدوا من بيانات التحديث الخاصة بالأمان. ويمكنكم عدم التأكد من الخيارات التالية : التأكد إمكانيات تعرض IIS و SQL لهجمات الفيروسات. إذا لم تكن هذه البرامج محملة على جهاز الكمبيوتر.

· يعمل MBSA على تنزيل احدث قائمة من كتالوج الحماية ثم مسح الكمبيوتر المطلوب.

وبمجرد الانتهاء من عملية المسح ، تظهر النتائج في تقرير منظم تنظيماً جيداً يحتوي على تفاصيل "عما تم مسحه " . كما تظهر تفاصيل حول" كيفية تصحيح ذلك" .

ملاحظة : في حالة عدم وجود منتجات تم تحميلها على أجهزة الكمبيوتر التي تم مسحها ، فلا يتم القيام بالتأكد من المنتجات ولا تظهر في التقرير.

استخدام MBSA بدون الاتصال بالإنترنت :

يمكن عمل مسح للجهاز بدون الاتصال بالانترنت وذلك باستخدام الأمر mbsacli (خاصية عدم التنزيل) بعد نسخ الملفات اللازمة إلى الكمبيوتر لإجراء عملية المسح. وهنالك ثلاثة أنواع من الملفات المطلوبة :

§ Security update catalog (Wsusscan.cab)

§ Authorization catalog for Windows Update site access (Muauth.cab)

§ Windows Update Agent

بعد تنزيل الملفات من موقع ميكروسوفت على شبكة الانترنت ، يتم نسخها إلى الملف التالي على الكمبيوتر من خلال القيام بالمسح لتحديث بيانات الأمان :

: C:\Documents and Settings\username\Local Settings\Application Data\Microsoft\MBSA\2.0\Cache.

عيوب MBSA :

إن نظام MBSA ليس نظاماً تاماً للحماية لطالما انه يوجد إمكانيات للتعرض للهجمات والأعطال ، لكن أداة مثل نظام MBSA تعتبر أداة مفيدة.
هذه الأداة لا تعمل بدون عيب . لأن MBSA يقوم بالتشيك على Windows Registry للـ keys للإثبات سواء patch نزلت أم لا .