Microsoft Security Readiness Kit 4.1

Документация и инструментарий безопасности — по первому требованию

Осенью 2004 г. подписчики службы Microsoft TechNet получили пакет Security Readiness Kit (SRK) 4.1 на компакт-диске. Все остальные пользователи могут загрузить полный пакет из сети по адресу http://www.microsoft.com/technet/security/ readiness/default.mspx. Как и в предыдущих версиях пакета, в SRK 4.1 объединены документация, инструментарий, исправления и пакеты обновлений. Благодаря централизации ресурсов станет проще проверять, развертывать и защищать все версии платформы Windows.

SRK 4.1 дополнен новым инструментарием, а удобное внешнее гипертекстовое приложение (Hypertext Application, HTA), напоминающее Web-интерфейс, повышает доступность материалов и функций. SRK послужит удобным информационным справочником для новых пользователей и ценным добавлением к библиотеке безопасности или набору инструментов.

Работа с SRK

Для работы с SRK не требуется устанавливать пакет — достаточно открыть файл default.hta в браузере и обратиться к порталу SRK (экран 1). Портал служит отправной точкой для доступа к данным на компакт-диске. HTA загружает файл srk.xml, в котором содержится информация и индексный указатель всех данных, хранящихся в SRK. В интерфейсе имеется меню для доступа к трем информационным разделам SRK: Products And Technologies («Продукты и технологии»), I Want To («Мне нужно») и List All Contents («Список всех материалов»). В каждом из пунктов меню есть несколько подменю с кросс-ссылками к большинству данных на компакт-диске.

Экран 1. Основное окно

Большинство документов и инструментов SRK имеются на компакт-диске, но основную часть исправлений придется загружать непосредственно с сайта Microsoft. Чтобы облегчить поиск нужных исправлений, в SRK предусмотрены ссылки на исправления и бюллетени Microsoft Security Bulletins. Большинству пользователей для перемещений по SRK будет удобнее задействовать портал HTA, но информацию можно отыскивать и вручную в иерархии каталогов на компакт-диске. В SRK нет функции поиска конкретных данных по ключевому слову. Однако объем информации не слишком велик, и, как правило, отыскать нужную информацию не составляет труда.

Владельцам SRK на компакт-диске следует убедиться, что их экземпляр выпущен не ранее февраля 2004 г. Новые материалы можно загружать вручную или настроить пакет на автоматическое обновление. Когда пользователь проверяет обновления, HTA устанавливает соединение с Web-узлом TechNet и последняя версия файла srk.xml загружается в папку My Documents зарегистрировшегося на данный момент пользователя. При просмотре обновленного SRK можно увидеть, что новые материалы имеют специальные отметки (экран 2).

Экран 2. Проверка обновлениий

Microsoft продолжает совершенствовать службы безопасности, и данный выпуск SRK будет последним пакетом, в состав которого входят исправления, инструментарий и документация. В будущем Microsoft планирует выпускать компакт-диски с исправлениями отдельно от компакт-дисков с инструментарием и руководствами. Предполагается выпустить версию 1.0 нового информационного Security Guidance Kit на компакт-диске весной 2004 г., а компакт-диск с исправлениями будет распространяться среди подписчиков TechNet.

Продукты и технологии

Документация и инструментарий в разделе Products And Technologies распределены по следующим группам продуктов: Microsoft SQL Server, IIS, Exchange Server, Software Update Services (SUS), Systems Management Server (SMS), Internet Security and Acceleration (ISA) Server и серверные и клиентские версии Windows. Поэтому, например, при развертывании SQL Server в разделе Products And Technologies можно отыскать «белые» документы с описанием оптимальных методов защиты SQL Server 2000. В отличие от других разделов SRK, в Products And Technologies не содержится исправлений.

Что мне нужно

В разделе I Want To описывается, как использовать SRK для решения конкретных задач безопасности. В большинстве разделов объясняется, как развернуть и защитить типовую платформу. Например, в главе Deploy and Operate A More Secure Exchange Environment Including Outlook Web Access рассказывается о текущем пакете обновлений, важнейших исправлениях, отчетах и руководствах по защите и публикации Exchange. В комплект документации входит .pdf-файл Security Operations Guide for Exchange 2000 Server, Web-ссылка на презентацию Windows Media Player (WMP) о публикации сервера Exchange, документ Microsoft Word об использовании ISA Server для публикации в Web компьютера с Microsoft Outlook Web Access (OWA) и поэтапные объяснения по организации удаленного доступа на базе VPN в тестовой лаборатории. Большинство этих документов можно получить и из других источников (в частности, напрямую из службы TechNet), но пакет SRK удобен, поскольку представляет собой единый комплект материалов по безопасности, ориентированных на решение административных задач.

Кроме того, в раздел I Want To входят инструменты, упрощающие решение конкретных задач. Продолжая приведенный выше пример, можно упомянуть об одном из отчетов, в котором рекомендуется запустить инструмент IIS Lockdown в ходе подготовки к безопасной публикации OWA. На компакт-диске SRK имеется инструмент IIS Lockdown, и ссылка на него существует непосредственно в разделе I Want To.

В разделе I Want To приведены руководства и решения для следующих задач:

• более безопасное развертывание и эксплуатация клиентов и серверов Windows;
• развертывание и эксплуатация более безопасной среды Exchange с Outlook Web Access;
• развертывание и эксплуатация более безопасного Web-сервера IIS;
• развертывание и эксплуатация более безопасной среды SQL Server;
• развертывание и эксплуатация более безопасной беспроводной локальной сети;
• более безопасный удаленный доступ к сети через VPN;
• аутентификация с использованием Windows Certificate Services (CA) и PKI;
• защита сетевого периметра с помощью ISA Server Firewall;
• поиск и развертывание в сети последних программных обновлений.

Даже если в настоящее время на предприятии некоторые из перечисленных технологий не применяются, в разделе I Want To можно найти полезную информацию о новых, развивающихся и широко распространенных технологиях. В частности, обзоры важных тем приведены в главах об управлении исправлениями, беспроводных локальных сетях (Wireless LAN, WLAN) и инфраструктуре открытых ключей (Public Key Infrastructure, PKI).

Список всех материалов

Раздел List All Contents — удобный способ увидеть всю информацию SRK. В трех подразделах перечислены все документы, пакеты обновлений и исправления безопасности, а также инструментарий.

Документация. В подразделе Documentation приведен список всех документов SRK, классифицированных по платформам. Он обеспечивает еще один способ поиска данных, особенно если пользователь просматривает документы, а не решает конкретную задачу. Документация состоит из .pdf-файлов и документов Word на компакт-диске, а также ссылок на отчеты и другие руководства на Web-узле Microsoft.

Пакеты обновлений и исправления безопасности. В подразделе Service Packs and Security Updates в удобной для просмотра таблице собраны все исправления для каждого продукта, распределенные по пакетам обновлений. Например, если развернут Windows 2000 Server с пакетом Service Pack 4 (SP4), то можно увидеть исправления с помощью линейки прокрутки (экран 3). Щелчком на подчеркнутой гиперссылке можно загрузить исправления с Web-узла Microsoft, а по щелчку на пиктограмме вопросительного знака (?) будет вызван бюллетень по конкретному исправлению. Такая таблица, в которой исправления распределены по продуктам, еще более эффективна в сочетании с функцией автоматического обновления. Совместно эти компоненты образуют локально управляемый и полный набор ссылок на все исправления и бюллетени безопасности Microsoft, который поможет сэкономить время при поиске конкретного исправления на Web-сайте компании.

Экран 3. Просмотр исправлений по продуктам

Большинство администраторов охотно используют автоматизированные службы управления исправлениями, такие как SUS и SMS Feature Pack 1, облегчающие установку исправлений и располагающие функциями подготовки отчетов, но список всех исправлений, распределенных по именам продуктов, позволяет без труда отыскать единственное исправление, которое необходимо применить без использования управляемых служб (например, при пересылке исправлений в удаленный офис или сотруднику, работающему дома). В SRK входят не только исправления для системы безопасности, но и пакеты обновлений для продуктов Windows, SQL Server, ISA Server 2000, Exchange и IIS. Бросается в глаза отсутствие исправлений и пакетов обновлений для Microsoft Office. В качестве новейшего пакета обновлений для Office XP и Office 2000 в SRK ошибочно указан Gold (что означает скорый выпуск), хотя в действительности Microsoft выпустила несколько пакетов обновлений для этих версий Office. Кроме того, в списке исправлений для продуктов Office значатся лишь исправления для Microsoft FrontPage Server Extensions 2002 и FrontPage Server Extensions 2000.

Инструменты. В SRK входит подмножество бесплатных инструментов по безопасности Microsoft. Большинство инструментов SRK предназначено для управления исправлениями и обновлениями или защиты служб и платформ. К сожалению, в SRK вошли только основные инструменты безопасности Microsoft и отсутствуют многие редкие инструменты (например, для ISA Server и Exchange). SRK располагает следующими инструментами:

• Password Change Functionality, Change Password Package for IIS 5.0 (Windows 2000) и Change Password Package for IIS 4.0 (Windows NT 4.0). Web-инструменты Password Change Functionality, Change Password Package for IIS 5.0 и Change Password Package for IIS 4.0 изменяют методы работы Microsoft IIS с Web-паролями. После установки этих инструментов функции обработки паролей перемещаются из модуля расширения Internet Server API (ISAPI) в более безопасный Active Server Pages (ASP), подобно функциональности в Internet Information Services (IIS) 6.0 и IIS 5.1.
• Group Policy Management Console (GPMC). GPMC представляет собой оснастку консоли Microsoft Management Console (MMC) для управления групповой политикой с помощью единственного инструмента. GPMC располагает более развитыми функциями конфигурирования отдельных групповых политик, чем оснастка MMC Active Directory Users and Computers. В GPMC наглядно видны диапазон, делегирование и наследственные связи политики, и администратор без труда может выяснить, какие сайты, домены и организационные единицы (OU) были при этом затронуты. Кроме того, при наличии хотя бы одного контроллера домена (DC) Windows Server 2003 можно использовать GPMC для связи объекта групповой политики (Group Policy Object, GPO) с фильтром Windows Management Instrumentation (WMI). GPMC отображает только измененные параметры Group Policy, что упрощает просмотр параметров. Инструмент обеспечивает моделирование Group Policy при планировании и тестировании процесса развертывания политик.
• IIS Lockdown. Инструмент IIS Lockdown позволяет изменить параметры, существовавшие до перехода на IIS 6.0, чтобы уменьшить уязвимость Web-сервера. По умолчанию после установки IIS 6.0 блокирован. Инструмент просит администратора определить роль сервера, выбрав серверный шаблон, а затем позволяет увидеть изменения, которые произойдут при применении этого шаблона. Затем инструмент спрашивает, следует ли разворачивать URLScan для грамматического разбора всех входящих URL перед обращением к ним Web-приложения, чтобы администратор имел возможность остановить опасный трафик.
• Microsoft Baseline Security Analyzer (MBSA) 1.1.1. С помощью MBSA можно проверять локальные и удаленные компьютеры в поисках типичных опасностей и имеющихся или отсутствующих исправлений. MBSA расширяет функции сканирования исправлений инструмента HFNetChk. Новейшую версию, MBSA 1.2, можно получить по адресу http://www.microsoft.com/mbsa.
• Outlook 2000 Service Release 1 (SR1) Update: Extended E-Mail Security. Microsoft Office Outlook 2003 и Outlook 2002 располагают новыми встроенными функциями, препятствующими распространению «червей» по электронной почте. Благодаря модернизации удается дополнить старые системы Outlook 2000 функциями безопасности.
• SUS 1.0. SUS обеспечивает централизованную службу подтверждения и развертывания исправлений для системы безопасности Microsoft. SUS использует клиентскую службу Automatic Updates, аналогичную сайту Windows Update. SUS обеспечивает бесплатную базовую службу управления исправлениями для организаций, которые не нуждаются в более сложном и мощном инструменте SMS.
• SQL Server Critical Update Kit. В комплект SQL Server Critical Update Kit вошли инструменты, которые проверяют и устанавливают исправления на системах SQL Server 2000 и Microsoft Data Engine (MSDE) 2000, уязвимых для «червя» SQL Slammer.
• SMS Feature Pack. SMS Feature Pack представляет собой набор модулей расширения для управления исправлениями, с помощью которых можно выполнять целевой поиск и развертывание исправлений в группах компьютеров SMS. Кроме того, через расширенный интерфейс Web-отчетов можно получить данные о состоянии исправлений
• IPSecTools и KB824146Scan. IPSecTools представляет собой набор политик IP Security (IPSec) для блокирования портов, используемых Distributed COM (DCOM) и RPC (Remote Procedure Calls — вызов удаленных процедур). Данный инструмент предотвращает распространение «червей» DCOM, но одновременно ограничивает функциональность системы, так как DCOM и RPC используются многими полезными службами и инструментами. Однако благодаря глубокой детализации инструмента администратор видит, каким образом можно быстро защититься от опасной атаки. KB824146Scan — инструмент сканирования сети, запускаемый из командной строки; применяется для поиска систем, уязвимых для атак DCOM и RPC.

Эти инструменты вошли в компакт-диск SRK, что позволяет быстро устанавливать их на серверах без Internet-соединения. По щелчку на гиперссылке в SRK запускается исполняемый файл, который выполняет установку инструмента. С Web-узла Microsoft Security Tools (http://www.microsoft.com/technet/treeview/ default.asp?url=/technet/security/ tools/default.asp) можно загрузить множество других инструментов.

Еще один камень в фундаменте

По широте охвата SRK несравним с TechNet или Microsoft Developer Network (MSDN), но тем не менее пакет обеспечивает удобный доступ ко многим документам и инструментам безопасности Microsoft. Он будет отличным источником статей, отчетов, руководств и инструментов как для подписчиков TechNet, получивших компакт-диск, так и для всех, кто обратится к SRK напрямую из Internet. Кроме того, это дополнительный ресурс для поиска исправлений и пакетов обновлений, необходимых для защиты инфраструктуры Microsoft.

Джеф Феллинг (jeff@blackstatic.com) — старший менеджер по информационной безопасности и технологиям в Internet-компании