Обзор служебных программ: Проверьте свои программы на предмет наличия брешей в безопасности
Утилита Microsoft Attack Surface Analyzer позволяет обнаруживать прорехи в защите установленного ПО.
Лэнс Уитни
Вас интересует, какие недостатки защиты есть в приложениях, установленных в вашей организации? Проблему может решить бесплатное средство, предоставляемое компанией Microsoft. Attack Surface Analyzer создает моментальный снимок среды компьютера до и после установки приложения. Эта утилита просматривает изменения в реестре, файловой системе и других областях на предмет возникновения возможных проблем с безопасностью, создаваемых вновь установленной программой.
В результате просмотра создается CAB-файл. После просмотра утилита использует этот файл для генерации отображаемого на экране отчета с подробностями изменений, внесенных в Windows и возможных брешей в защите, возникающих из-за установки приложения. Первый просмотр называется базовым. Он создает моментальный снимок среды компьютера до установки новой программы. Второй просмотр называется производственным. В его процессе создается моментальный снимок после установки программы.
Между этими просмотрами можно установить одну или несколько программ. Лучше всего устанавливать по одной программе за раз, чтобы точно знать, какая программа вносит те или иные уязвимости. Перед выполнением просмотра нужно позаботиться об установке всех приложений и обновлений, которые стандартно устанавливаются в вашей компании на Windows-машины.
Утилита создана для разработчиков, которым нужно тестировать свои приложения на предмет наличия брешей в безопасности. Вместе с тем, она также подойдет специалистам по ИТ, которым надо следить за безопасностью своих систем при установке на серверах и персоналках тех или иных программ. В описании утилиты говорится, что она создана командой Microsoft Security Engineering, и в Microsoft ее используют в различных командах для внутреннего тестирования.
Тестирование и еще раз тестирование
Загрузить Attack Surface Analyzer можно в Центре загрузки Microsoft по адресу. Здесь можно загрузить файл Attack_Surface_Analyzer_BETA_x86.msi для 32-разрядных версий Windows или Attack_Surface_Analyzer_BETA_x64.msi — для 64-разрядных редакций. После установки войдите под административной учетной записью и запустите Attack Surface Analyzer через соответствующую команду в меню «Пуск» (Start).
Сначала надо выполнить базовый просмотр. Выберите действие Run new scan (рис. 1). Можно изменить имя и местоположение CAB-файла, который будет создан утилитой. Затем щелкните кнопку Run Scan.
.jpg "Запуск нового просмотра в Microsoft Attack Surface Analyzer")
Рис. 1. Запуск нового просмотра в Microsoft Attack Surface Analyzer
В окне Collecting Data перечислены задачи, которые можно выполнять в утилите (рис. 2). Здесь можно понять, сколько времени может занять просмотр. В зависимости от размера среды он может занять несколько минут или больше времени.
.jpg "Первым делом Attack Surface Analyzer собирает системные данные")
Рис. 2. Первым делом Attack Surface Analyzer собирает системные данные
По завершении базового просмотра открывается окно Scan Complete, в котором указано имя и местоположение CAB-файла (рис. 3). Не закрывайте окно Attack Surface Analyzer.
Далее установите новую программу. После установки можно перезагрузить компьютер, если это необходимо. Затем нужно будет повторно открыть Attack Surface Analyzer. Если перезагрузка не нужна, просто вернитесь в окно утилиты. Убедитесь, что в окне указан CAB-файл базового просмотра и щелкните кнопку Run Scan.
.jpg "При базовом просмотре генерируется CAB-файл")
Рис. 3. При базовом просмотре генерируется CAB-файл
Снова открывается окно Collecting Data. На этот раз в нем отображается процесс просмотра продукта. По завершении просмотра открывается окно Scan Complete с именем и местоположением второго CAB-файла.
Далее надо сгенерировать текущий отчет. Выберите вариант Generate an attack surface report. В окне отображается имя и местоположение базового просмотра, просмотра продукта и имя файла отчета (рис. 4). Щелкните кнопку Generate. Утилита анализирует разницу между двумя просмотрами.
.jpg "При сравнении базового и производственного просмотров выявляются бреши в защите")
Рис. 4. При сравнении базового и производственного просмотров выявляются бреши в защите
По завершении анализа отчет открывается как HTML-файл функция браузере по умолчанию (рис. 5). На вкладке Report Summary содержится базовая информация о двух CAB-файлах и версией Windows. На вкладке Security Issues перечислены фактические прорехи в системе безопасности, которые образовались после установки новой программы. На вкладке Attack Surface представлены более подробные сведения о некоторых изменениях, сделанных в Windows.
.jpg "Конечный отчет Attack Surface Analyzer")
Рис. 5. Конечный отчет Attack Surface Analyzer
По щелчку Explain на каждой из трех страниц отчета открывается подробное описание брешей в защите и изменений, выполненных в Windows. Настоятельно рекомендую читать эти страницы объяснений, чтобы лучше понимать, какие проблемы с безопасностью возможны и насколько прорехи в защите серьезны.
Microsoft Attack Surface Analyzer поддерживает Windows 7, Windows Vista и Windows Server 2008. Сами данные могут собираться на компьютерах под управлением Windows 7, Windows Vista, Windows Server 2008 или Windows Server 2008 R2. Анализ данных и генерацию отчетов можно выполнить на компьютере под управлением Windows 7 или Windows Server 2008 R2 с Microsoft .NET Framework 3.5 SP1.
.jpg "Lance Whitney")
Лэнс Уитни (Lance Whitney) — ИТ-консультант, преподаватель и технический писатель. Он потратил массу времени на тонкую настройку рабочих станций и серверов, работающих под управлением Windows. Будучи журналистом, в начале 1990-х гг. он сменил профессию, увлекшись миром информационных технологий.