2. Utilizacin de la herramienta MBSA.

A travs de la interfaz grfica como de la lnea de comando se puede chequear a grandes rasgos los siguientes temas: - Chequeo de vulnerabilidades del sistema operativo Windows - Chequeo de contraseas - Chequeo de vulnerabilidades de IIS - Chequeo de vulnerabilidades de SQL - Chequeo de actualizaciones de seguridad Entrando ms en detalle se podr analizar: Entre las vulnerabilidades del sistema operativo que se pueden llegar a encontrar se encuentran por ejemplo la cantidad de miembros dentro del grupo de administradores locales del equipo, el sistema de archivos utilizado, si el Firewall esta activo o no, etc. Respecto a las contraseas se analizar la presencia de cuentas con contrasea en blanco y otros inconvenientes. Los chequeos de vulnerabilidad de IIS darn una idea de los riesgos y de la misma forma para el caso de un servidor SQL. Una aclaracin al respecto de SQL es que si este se encuentra en una configuracin de nodos aparecern algunas advertencias y/o errores respecto a los miembros administradores, las cuentas de invitado y el chequeo de las contraseas de las cuentas. Seleccionando para realizar un chequeo de las actualizaciones de Windows y el producto de Office se tendr las siguientes opciones: - Por un lado configurar los equipos para que realicen ellos mismos el chequeo con los servidores de actualizacin de Microsoft, agregando el cliente de actualizacin en caso de no tenerlo. - Realizar el chequeo contra los servidores internos de actualizacin, a travs de esta opcin solo se instalarn en el equipo las actualizaciones aprobadas por la empresa. En este caso no se utilizar el sitio de actualizacin de Microsoft ni algn catlogo que haya sido bajado anteriormente. - Realizar el chequeo contra los servidores de actualizacin de Microsoft. En este caso se bajar un catlogo para utilizar en la determinacin de actualizaciones faltantes. 2.1 Utilizacin de la interfaz grfica y chequeo de un equipo 2.1.1 Para acceder la misma (una vez instalado MBSA, ver en las referencias como instalar el producto) hacer clic en el men de inicio, dentro de programas o todos los programas en el caso de Windows XP. All se encontrar un icono llamado Microsoft Baseline Security Analyzer 2.0 2.1.2 Seleccionar realizar el chequeo de un equipo.

Figura 1 2.1.3 Seleccionar o escribir el nombre del equipo a chequear o su direccin IP de red. Por defecto el reporte se guardar con el nombre del dominio, del equipo, da y hora y por ltimo existe la posibilidad de agregar direccin IP. (Figura 2) 2.1.4 Seleccionar que tipo chequeo se quiere realizar sobre las diferentes partes del sistema operativo, productos y servicios. Hacer clic en Star Scan para comenzar.

Figura 2 2.1.5 Una vez terminado el chequeo aparecer una pantalla similar a la de la Figura 3. Se podr revisar cada una de las secciones seleccionadas al realizar la verificacin las cuales se detallan en la prxima seccin de este documento.

Figura 3 2.2 Utilizacin de la interfaz grfica y chequeo de ms de un equipo 2.2.1 Para acceder la misma (una vez instalado MBSA, ver en las referencias como instalar el producto) hacer clic en el men de inicio, dentro de programas o todos los programas en el caso de Windows XP. All se encontrar un icono llamado Microsoft Baseline Security Analyzer 2.0 2.2.2 Seleccionar realizar el chequeo de ms de un equipo. (Figura 4)

(Figura 4) 2.2.3 Adems de las opciones de chequeo se deber introducir el nombre del dominio si se va a realizar un chequeo en todo el dominio o bien ingresar el rango de direcciones IP a chequear. En el caso de un entorno donde no haya dominio o bien un entorno mixto ser conveniente utilizar el chequeo a travs del rango de direcciones IP.

(Figura 5) 2.2.4 Finalizado el chequeo mltiple se deber seleccionar un equipo de la lista (ver Figura 6) para visualizar el reporte de seguridad.

(Figura 6) 2.2 Utilizacin de la interfaz grfica y chequeo de ms de un equipo El archivo a utilizar se encuentra dentro de la carpeta de programa en Archivos de Programa o Program Files, de acuerdo al idioma del sistema operativo, dentro de una carpeta llamada Microsoft Baseline Security Analyzer 2. Existir un archivo llamado mbsacli.exe que permitir realizar similares chequeos pero a travs de la lnea de comando. Los atributos, parmetros y/o opciones del mismo son las siguientes: 2.3.1 Sintxis 2.3.1.1 Para realizar un chequeo completo de uno o ms equipos: MBSACLI [/target {[domain\]computer | IP} | /r IP-IP | /d domain] [/n option[+option...]] [/o template] [/qp] [/qr] [/qe] [/qt] [/q] [/listfile file] [/wa | /wi] [/catalog file] [/nvc] [/nai] [/nm] [/nd] [/u username /p password] 2.3.1.2 Para chequear el equipo local en cuanto a actualizaciones y grabar los resultados en

un archivo XML: MBSACLI [/xmlout] [/unicode] [/wa | /wi] [/nd] [/catalog file] 2.3.1.3 Para chequear uno o ms equipos solo por actualizaciones y grabar los resultados para ver en MBSA: MBSACLI [/target {[domain]\computer | IP} | /r IP-IP | /d domain] [/n OS+IIS+SQL+Password] [/o template] [/qp] [/qr] [/qe] [/qt] [/q] [/unicode] [/listfile file] [/wa | /wi] [/catalog file] [/nvc] [/nai] [/nm] [/nd] [/u username /p password] 2.3.1.4 Para ver un reporte: MBSACLI [/l] [/ls] [/lr report] [/ld report] [/nvc] 2.3.2 Detalle de cada parmetro 2.3.2.1 Para especificar un equipo. La identificacin puede ser usando el nombre, la direccin IP y opcionalmente el dominio: /target [domain\]computer | IP : 2.3.2.2 Para especificar un rango de direcciones IP a chequear: /r IP-IP 2.3.2.3 Para chequear todos los equipos de un dominio especificado: /d domain 2.3.2.3 Con el siguiente parmetro no se realizan ciertos chequeos segn la siguiente nomenclatura (Se pueden especificar ms de una exclusin con el signo +): - OS (No chequea vulnerabilidades administrativas de Windows) - SQL (No chequea vulnerabilidades de SQL) - IIS (No chequea vulnerabilidades de IIS) - Password (No revisa vulnerabilidades de contraseas) /n option[+option...] 2.3.2.4 Para Especificar el parmetro del nombre con el que se guardar el reporte. Se pueden usar los siguientes modificadores: - %d% (Agrega el nombre del dominio del equipo) - %c% (Agrega el nombre del equipo) - %t% (Agrega la fecha y hora en que se realiz el chequeo) - %IP% (Agrega la direccin IP del equipo) /o template El nombre por defecto es %d - :%c% (%t%). Tambin estn disponibles los siguientes modificadores de versiones anteriores: %domain%, %computername%, y %date%. 2.3.2.5 No muestra el progreso del chequeo /qp 2.3.2.6 No muestra la lista de reportes /qr 2.3.2.7 No muestra la lista de errores /qe 2.3.2.8 No muestra ninguna salida de texto luego del chequeo de un equipo /qt 2.3.2.9 No muestra ninguna salida de las opciones anteriores /q 2.3.2.10 Realiza un chequeo de los equipos descriptos en un archivo file. El argumento es ruta, nombre y extensin del mismo y debe estar en formato ASCII o Unicode, conteniendo en l la lista de nombres de equipo o direcciones IP. Cada uno de estos nombres o IP deben estar en lneas de texto separadas /listfile file 2.3.2.11 Solo chequea el equipo local respecto a las actualizaciones y devuelve el reporte en modo XML. Para grabar el reporte se usa mbsacli /xmlout > output.xml /xmlout 2.3.2.12 Chequea solo las actualizaciones aprobadas por el servidor de actualizaciones asignado en el equipo. No se utiliza WindowsUpdate y el catlogo fuera de lnea /wa 2.3.2.13 Lo contrario a la opcin anterior, usa los servidores WindowsUpdate o el catlogo fuera de lnea /wi 2.3.2.14 Especifica donde ir a buscar el catalogo fuera de lnea. Este debe estar firmado por Microsoft. El nombre defecto del catlogo es Wsusscan.cab y es bajado desde la pagina de Microsoft /catalog file

2.3.2.15 No chequea versiones nuevas de la herramienta MBSA /nvc 2.3.2.16 No instala ni actualiza el agente de actualizaciones de Windows en el equipo a chequear. Puede ser usado para no recibir un error de chequeo incompleto en los equipos sin el instalador de Windows versin 3.0 cuando se chequea Microsoft Office y otros productos que lo requieren /nai 2.3.2.17 Chequea el equipo con la copia fuera de lnea del catalogo. Para esto previamente se tuvo que haber bajado al menos una vez el catlogo /nm 2.3.2.18 No descarga ningn archivo desde el sitio de Microsoft. Usando este parmetro no descargara Wsusscan.cab, Muauth.cab, WindowsUpdateAgent20-x86.exe y WindowsUpdateAgent20-x64.exe. MBSA utilizar si tiene disponible el cache local del equipo /nd 2.3.2.19 Especifica el usuario y contrasea utilizado para el chequeo remoto de un equipo. Para no enviar la contrasea en texto plano MBSA utilizar el mecanismo de desaforespuesta de Windows para proteger la autenticacin /u username /p password 2.3.2.20 Muestra todos los reportes disponibles /l 2.3.2.21 Muestra todos los reportes disponibles ordenados desde el ms reciente al ms antiguo /ls 2.3.2.22 Muestra el reporte especificado en forma bsica /lr report 2.3.2.23 Muestra el reporte especificado en forma detallada /ld report 2.3.2.24 Genera un reporte con caracteres Unicode. Los usuarios con equipos japoneses y MBSA o que ejecutan una versin Japons de Windows pueden usar este parmetro. 2.3.2.25 Este tipo de herramientas de lnea de comando son muy tiles para realizar automatizaciones de chequeo o elaboracin de informes de estado.